Personvernerklæring

Bruk av personlig data

Denne personvernerklæringen forklarer hvordan PlayDesign Designbyrå AS samler inn og bruker personopplysninger.

PlayDesign, ved daglig leder, er behandlingsansvarlig for virksomhetens behandling av personopplysninger. Der det daglige ansvaret er delegert, er dette spesifisert under hvert enkelt punkt. Delegeringen omfatter kun oppgavene og ikke ansvaret. Erklæringen inneholder opplysninger du har krav på når det samles inn opplysninger fra nettstedet vårt (personopplysningsloven § 19) og generell informasjon om hvordan vi behandler personopplysninger (personopplysningsloven § 18 1. ledd).

 

Behandling av personopplysninger på nettsiden

Webansvarlig har det daglige ansvaret for PlayDesigns behandling av personopplysninger på playdesign.no, med mindre annet er oppgitt under. Det er frivillig for dem som besøker nettsidene å oppgi personopplysninger i forbindelse med tjenester, for eksempel ved å melde seg opp til å motta nyhetsbrev. Behandlingsgrunnlaget er samtykke fra den enkelte, med mindre annet er spesifisert.

PlayDesign er databehandler, og står for utvikling og vedlikehold av nettstedet. WP Engine er vår driftsleverandør for playdesign.no.

Opplysninger som samles inn i forbindelse med drift av nettsted, lagres på egne servere som driftes av leverandøren. Det er kun PlayDesign og WP Engine som har tilgang til opplysningene som samles inn. En egen databehandleravtale mellom PlayDesign og WP Engine regulerer hvilken informasjon leverandøren har tilgang til og hvordan den skal behandles.

Nettstatistikk

PlayDesign samler inn avidentifiserte opplysninger om besøkende på playdesign.no. Formålet med dette er å utarbeide statistikk som vi bruker til å forbedre og videreutvikle informasjonstilbudet på nettstedet. Eksempler på hva statistikken gir svar på er hvor mange som besøker ulike sider, hvor lenge besøket varer, hvilke nettsteder brukerne kommer fra og hvilke nettlesere som benyttes.

Vi bruker analyseverktøyet Google Analytics på playdesign.no, et gratis analyseverktøy som Skatteetaten, Lånekassen og svært mange andre offentlige og private virksomheter benytter på sine nettsider. Dette, og lignende analyseverktøy, samler inn blant annet IP-adresser som gir informasjon om de besøkendes adferd på nettstedene. Formålet med bruken av analyseverktøyet er å få kunnskap om de besøkendes behov, slik at nettstedet kan gjøres så brukertilpasset og velfungerende som mulig.

En IP-adresse er definert som en personopplysning fordi den kan spores tilbake til en bestemt maskinvare og dermed til en enkeltperson. Opplysningene behandles i avidentifisert og aggregert form. Med avidentifisert menes at vi ikke kan spore opplysningene vi samler inn tilbake til den enkelte bruker. PlayDesign har i en databehandleravtale med Google bestemt at den siste oktetten i brukerens IP-adresse blir angitt til null mens den er i minnet. IP-adressen 12.214.31.144 blir for eksempel endret til 12.214.31.0. (Hvis IP-adressen er en IPv6-adresse, blir de 80 siste av de 128 bitene angitt til null.) Først etter denne anonymiseringsprosessen blir forespørselen registrert for behandling. Den fullstendige IP-adressen blir ikke registrert på noe tidspunkt ettersom all anonymisering skjer i minnet nesten umiddelbart etter at forespørselen er mottatt. I tillegg behandles IP-adressene på aggregert nivå, det vil si at all data slås sammen til en gruppe og ikke behandles individuelt.

Informasjonskapsler

Informasjonskapsler (cookies) er små tekstfiler som plasseres på din datamaskin når du laster inn en nettside.

Lagring av opplysninger og behandling av disse opplysningene er ikke tillatt med mindre bruker både har blitt informert om og har gitt sitt samtykke til behandlingen. Brukeren skal få vite om og godkjenne hvilke opplysninger som behandles, hva formålet med behandlingen er og hvem som behandler opplysningene, jf. ekomloven § 2-7b.

Følgende informasjonskapsler brukes på playdesign.no:

  • Google Analytics bruker et sett med informasjonskapsler for å samle informasjon og rapportere statistikk om bruk av nettstedet, uten at enkelte besøkende identifiseres for Google. Hovedinformasjonskapselen som brukes av Google Analytics heter «__ga».

Informasjon fra dette verktøyet utleveres ikke fra PlayDesign til andre aktører.

Slik administrerer du informasjonskapsler (nettvett.no)

Nyhetsbrev

PlayDesign sender ut nyhetsbrev cirka 4 ganger i året via e-post. For at vi skal kunne sende e-post må du registrere en e-postadresse, evt. fornavn og etternavn hvis ønskelig. MailChimp er databehandler for nyhetsbrevet. E-postadressen lagres i en egen database, deles ikke med andre og slettes når du sier opp abonnementet. E-postadressen slettes også om vi får tilbakemelding om at den ikke er aktiv.

Play Products AS behandler enkelte typer data utenfor EU og EØS, hos en tredjepartsleverandør av tekniske løsninger. I listen over personopplysninger som behandles (se “Når behandler vi personopplysninger?”) finnes det detaljer om hvilke opplysninger som delvis behandles utenfor EU/EØS. Disse opplysningene håndteres fra Norge, men behandles hos MailChimp (The Rocket Science Group, LLC), med hovedkontor i 675 Ponce de Leon Ave NE, Suite 5000. Atlanta, GA 30308 USA.

Behandling av opplysninger om EU- og EØS-borgere i USA er godkjent av Europakommisjonen, gjennom en avtale om tilstrekkelig beskyttelsesnivå for personopplysninger, kalt EU-US Privacy Shield.

Behandling av disse personopplysningene hos MailChimp (The Rocket Science Group, LLC) omfatter kun nyhetsbrev, og videre håndtering av opplysningene foretas fra Norge, med Mailchimp.com som verktøy.

Kontaktskjema på nettsiden

På playdesign.no kan du be PlayDesign ta kontakt med deg for å bistå med våre tjenester, og vi ber da om navnet på en kontaktperson og kontaktinformasjon til denne. Personopplysninger vi får inn ved slike henvendelser blir ikke benyttet til andre formål enn å ta kontakt med de som henvender seg via kontaktskjema.

Prosjektstyring og arkiv

Wrike

PlayDesign bruker Wrike til prosjektstyring med elektronisk lagring av dokumenter. Wrike er  sertifisert med AT 101 SOC 2 (Type II) for prinsipper for sikkerhet og konfidensialitet, og bekrefter at Wrike tar hensiktsmessige skritt for å beskytte systemets- og kundens data. I tillegg er Wrike medlem av Cloud Security Alliance (CSA), og resultatet av vår Security, Trust & Assurance Registry (STAR) Level One vurdering er publisert på CSAs nettsted.

Wrike har et pålitelig datasenter i USA som er kompatibelt med SSAE 16 Type II og ISO 27001 standard, dette ligger i San Jose, California. Wrikes europeiske datasenter holder til i Amsterdam, Nederland, og er også i samsvar med ISO 27001 og ISAE 3402 standarder (tilsvarende SSAE 16). Dette datasenteret er isolert og beholder kun kunde- og sensitive data i EU.
Alle server- og nettverkskomponenter overvåkes kontinuerlig av interne Wrike-ansatte og våre colocation-leverandører. Wrike’s Disaster Recovery-infrastruktur ligger i Google Cloud Platform for både USA og EU, og har stor skalerbarhet og sikkerhet med SSAE16 / ISAE 3402 Type II, ISO 27001, FedRAMP, PCI DSS, HIPAA og andre sertifiseringer.

Webansvarlig er delegert det daglige ansvaret for systemet og manuelt arkiv, og at det er utarbeidet nødvendige rutiner for bruk av dette. Respektive medarbeidere følger opp at den faktiske prosjektstyringen er i samsvar med rutinene.

PlayDesign behandler personopplysninger for å oppfylle tilsynets lovpålagte oppgaver etter bl.a. personopplysningslov, forvaltningslov, offentlighetslov og arkivlov.

Det registreres ulike typer personopplysninger i arkiv- og saksbehandlingssystemet. Dette er opplysninger som navn, adresse, telefonnummer, e-postadresse (grunndata) og annen relevant informasjon som fremgår av henvendelsen. Registrering, lagring og oppbevaring skjer i henhold til arkivlovgivningen. Saksdokumentene kan i tillegg inneholde sensitive personopplysninger.

Ved krav om innsyn utleveres personopplysninger i henhold til offentlighetsloven og forvaltningsloven. Opplysninger som er nødvendig for behandling av klagesaker vil bli utlevert til Personvernnemnda som er PlayDesigns klageorgan.

Det er etablert særlige sikkerhetstiltak og rutiner for svært beskyttelsesverdig informasjon i arkivet, som for eksempel sensitive personopplysninger.

Tripletex (Visma Software)

Vi har en databehandleravtale med Visma Software, hvor vi har vårt prosjektstyrings- og regnskapssystem. Her lagrer vi følgende:
Navn, etternavn, e-postadresse, telefonummer, adresse til virksomheten, navn på prosjekt og kostnader knyttet til dette, ellers offentlig informasjon som bl.a. organisasjonsnummer.
Denne informasjonen bruker vi til å holde orden på prosjekter og regnskap, i tillegg til lovpålagte krav om bokføring.

E-post og telefon

PlayDesign benytter e-post og telefon som en del av det daglige arbeidet for å oppfylle tilsynets lovpålagte oppgaver etter personopplysningslov og forvaltningslov. Daglig leder har det daglige ansvaret for behandlingen av personopplysninger knyttet til e-posten eller telefonsamtalen som mottas. Relevante opplysninger som fremkommer av telefonsamtaler og e-postutveksling som skjer som en del av saksbehandling journalføres. Disse opplysningene behandles i så fall som beskrevet over (se «Saksbehandling og arkiv»).

PlayDesigns medarbeidere benytter i tillegg e-post i alminnelig dialog med interne og eksterne kontakter. Den enkelte er ansvarlig for å slette meldinger som ikke lenger er aktuelle, og minst hvert år gjennomgå og slette unødvendig innhold i e-postkassen. Ved fratreden slettes e-postkontoene, men enkelte relevante e-poster vil normalt bli overført til kollegaer.

Sensitive personopplysninger skal ikke sendes med e-post.

Vi gjør deg oppmerksom på at vanlig e-post er ukryptert. Vi oppfordrer deg derfor ikke til å sende taushetsbelagte, sensitive eller andre fortrolige opplysninger via e-post.

Det gjøres ingen øvrig systematisk registrering av telefonsamtaler hvor innringer kan identifiseres, bortsett fra at telefonsamtalen blir liggende i medarbeiderens liste på telefonen. Telefonsamtaler til vår veiledningstjeneste telles i anonym form.

Opplysninger om ansatte

PlayDesign behandler personopplysninger om sine ansatte for å administrere lønn og personalansvar. Rettslig grunnlag følger av personopplysningsloven § 8, første ledd og § 8 a), b) eller f) samt § 9 a), b) og f). Det er daglig leder og administrasjon som har det daglige ansvaret for dette. Det registreres nødvendige opplysninger for utbetaling av lønn, for eksempel grunndata, lønnsnivå, tidsregistrering, skatteprosent, skattekommune og fagforeningstilhørighet. Andre opplysninger om ansatte er knyttet til vedkommendes arbeidsinstruks og tilrettelegging av vedkommendes arbeid.

Sletterutiner for personalopplysninger følger regnskapsloven og arkivloven. Opplysninger om navn, stilling og arbeidsområdet regnes å være offentlige opplysninger og kan publiseres på tilsynets nettsider.

Alle stillingssøknader blir journalført i PlayDesigns postjournal. Disse blir lagret i vårt elektroniske arkiv i cirka ett år før de makuleres. Det er daglig leder som er ansvarlig for dette.

Unntak:

  • Alle stillingssøknader på avdelingsdirektørnivå bevares.
  • Alle tidligere og nåværende ansatte har en personalmappe i vårt arkivsystem.

Her blir blant annet stillingssøknaden arkivert/oppbevart. Personalmapper skal bevares (dvs. at stillingssøknaden ikke blir slettet eller makulert). Personalmapper blir ryddet ved utløp av arbeidsforholdet.

Rettigheter

Alle som spør har rett på grunnleggende informasjon om behandlinger av personopplysninger i en virksomhet etter personopplysningslovens § 18, 1. ledd. PlayDesign har gitt denne informasjonen i denne erklæringen, og vil henvise til den ved eventuelle forespørsler. De som er registrert i en av PlayDesigns systemer har rett på innsyn i egne opplysninger. Vedkommende har også rett til å be om at uriktige, ufullstendige eller opplysninger PlayDesign ikke har adgang til å behandle blir rettet, slettet eller supplert. Vennligst benytt kontaktinformasjonen nedenfor til slike forespørsler. Krav fra den registrerte skal besvares kostnadsfritt og senest innen 30 dager.

Kontaktinformasjon

E-post: ken@playdesign.no
Telefon: +47 915 38 447
Postadresse: Kirkegata 29, 4006 Stavanger
Org. nr 991 135 685
www.playdesign.no

 

Sist endret: 06/07-2018