Innledning

Søstrene Storaas hotell as og Søstrene Storaas event & reiser as behandler dine personopplysninger i forskjellige sammenhenger, for eksempel når du bestiller tjenester av oss, overnatter på vårt hotel, bruker tjenester vi leverer og i enkelte andre sammenhenger. I vår personvernerklæring finner du mer informasjon om vår behandling av personopplysninger. Under finner du også kontaktinformasjon dersom du har spørsmål eller vil kreve innsyn.

Vi behandler dine personopplysninger i samsvar med den til enhver tid gjeldende norske personopplysningsloven, herunder GDPR.

1.     Hvem er ansvarlig for behandling av personopplysninger hos oss?

Hos oss er det Solveig Haug Storaas (Søstrene Storaas hotell as) og Henriette Storaas-Barsnes (Søstrene Storaas event & reiser as) som har det daglige behandlingsansvaret.

Blant personopplysninger vi behandler er informasjon om egne ansatte, kontaktpersoner hos kunder og leverandører, navnelister og øvrig informasjon som vi har behov for ved gjennomføring av arrangementer i inn og utland, privatkunder og andre forretningsforbindelser. Bedriften har ansvaret for å overholde de pliktene som følger av reglene om personopplysninger.

2.     Grunnkrav for behandling av personopplysninger

Loven stiller opp seks grunnlag som gjelder for all behandling av alle personopplysninger. Vi skal sørge for at personopplysninger skal:

a.     behandles på en lovlig, rettferdig og gjennomsiktig måte med hensyn til den registrerte («lovlighet, rettferdighet og gjennomsiktighet»)

b.     samles inn for spesifikke, uttrykkelig angitte og berettigede formål og ikke viderebehandles på en måte som er uforenlig med disse formålene («formålsbegrensning»)

c.     være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

d.     være korrekte og om nødvendig oppdaterte; det må treffes ethvert rimelig tiltak for å sikre at personopplysninger som er uriktige med hensyn til formålene de behandles for, uten opphold slettes eller korrigeres («riktighet»)

e.     lagres slik at det ikke er mulig å identifisere de registrerte i lengre perioder enn det som er nødvendig for formålene som personopplysningene behandles for («lagringsbegrensning»)

f.      behandles på en måte som sikrer tilstrekkelig sikkerhet for personopplysningene, herunder vern mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade, ved bruk av egnede tekniske eller organisatoriske tiltak («integritet og fortrolighet»)

Hvis personopplysninger brukes til andre formål enn de er samlet inn for, se punkt 2 ovenfor, skal vi alltid vurdere om det nye eller endrede formålet er forenlig med det opprinnelige. Vi skal da ta hensyn til de faktorene som fremgår av personvernforordningen artikkel 6 nr. 4.

3.     Grunnlag for å behandle personopplysninger

3.1.BEHANDLINGSGRUNNLAG

Vi skal ha minst ett av følgende grunnlag for all behandling av personopplysninger:

a.     den registrerte har gitt samtykke til behandling av sine personopplysninger for ett eller flere spesifikke formål

b.     behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse

c.     behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige

d.     behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig dersom den registrerte er et barn (interesseavveining)

Det skal gå frem av kartleggingsskjemaet hvilke(t) grunnlag vi har for å behandle opplysninger.

Hvis grunnlaget for behandling er samtykke fra den registrerte (se nr. 1), skal vi sette oss inn i de særlige reglene som gjelder for slike samtykker, blant annet kravet om dokumentasjon.

Hvis grunnlaget for behandling er vår berettigede interesse (interesseavveining) (se nr. 4), skal vi konkret og skriftlig dokumentere avveiningen, se nærmere nedenfor.

3.2. ANDRE KONTAKTPERSONER

Behandling av personopplysninger er basert på interesseavveining. Vi har behov for å ha kontakt med offentlige myndigheter, for eksempel NAV og tilsynsmyndigheter i forbindelse med offentligrettslige forhold der vi kan ha forpliktelser og rettigheter. Dette er en berettiget interesse. I en del tilfeller vil den kommunikasjonen kunne være effektiv bare hvis vi kan kontakte enkeltpersoner direkte. Behandling er derfor nødvendig.

Vi lagrer navn og kontaktdetaljer og vi bruker opplysningene til å kontakte personens arbeidsgiver. Opplysningene er knyttet til kontaktpersonens arbeidsgivers virksomhet og ikke til kontaktpersonens privatliv. Vår behandling av personopplysningene er klart påregnelig for kontaktpersonen.

Vi mener at den berettigede interessen går foran kontaktpersonens interesser.

3.3. BEHANDLING AV PERSONOPPLYSNINGER FOR BARN U.18 ÅR

For unge under 18 år behandles de samme opplysninger som før øvrige gjester og vi mener den berettigede interessen går foran gjestens interesse, også for så vidt gjelder unge under 18. 

Både for unge under 18 og for øvrige gjester vil opplysninger om allergi og andre eventuelle helsemessige opplysninger bli slettet så snart dette ikke lenger er nødvendig for å gjennomføre det aktuelle arrangement.

 4.  Grunnlag for behandling av sensitive personopplysninger

Behandling av sensitive personopplysninger krever behandlingsgrunnlag i tillegg til de som er nevnt i punkt 3.

Sensitive personopplysninger er: opplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, overbevisning eller fagforeningsmedlemskap, samt genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering.

Skal vi behandle slike opplysninger, skal vi sørge for å ha behandlingsgrunnlag. For ansatte hos oss vil opplysninger om helse og fagforeningsmedlemskap være særlig aktuelle. Helse omfatter for eksempel sykdom og skader og fravær begrunnet i dette. Særlig aktuelt behandlingsgrunnlag vil være at behandling er nødvendig i egenskap av arbeidsgiver, for eksempel ved oppfølgning og rapportering til offentlige myndigheter eller ved tilrettelegging av arbeidsforholdet.

Behandling av opplysninger om straffbare forhold og lovovertredelser o.l. er underlagt særlige regler som vi skal sette oss inn i hvis vi skal behandle slike opplysninger.

5.     Behandling av personopplysninger ifm. arrangementer i inn- og utland og bookinger på hotellet

Vi i Søstrene Storaas hotell as og Søstrene Storaas event & reiser as behandler de personopplysningene som er nødvendig for å oppfylle en avtale som du har tatt del i, eller for å gjennomføre tiltak på din anmodning før en avtaleinngåelse.

Dette kan være opplysninger om hvordan vi skal få tak i deg som navn, telefonnr, mailadresse og postadresse. Ved utenlandsreiser registrerer vi passinformasjonen din. For å kunne oppfylle vår del av avtalen har vi også behov for å vite allergier eller andre sensitive opplysninger slik at vi kan tilpasse oppholdet/reisen for deg. I noen tilfeller er det også hensiktsmessig å vite alder på de under 18 og 20år.

Vi beholder personopplysningen så lenge det er hensiktsmessig ift. vår avtale med deg.

6.     Behandling av personopplysninger ifm. markedsføring.

Melder du deg på vårt nyhetsbrev bruker vi din epostadresse til å sende deg tilbud og nyheter fra oss. Vi vil også bruke din e-postadresse eller telefonnummer til å sende deg nyheter og tilbud innenfor regler om eksisterende kundeforhold. Vårt grunnlag er samtykke.

Du kan til enhver tid melde deg av vårt nyhetsbrev ved å ta kontakt på eventreiser@storaas.no.

7.     Behandling av personopplysninger generelt

Vi skal sørge for at de relevante ansatte har kjennskap til reglene om personopplysninger, herunder dette dokumentet om personvern. Kunnskapsnivået skal være tilpasset den enkelte ansattes behandling av personopplysninger. Vi skal vurdere om noen grupper av ansatte har behov for særlig kunnskap, for eksempel personalfunksjoner og IT-ansvarlige. Ledelsen hos oss skal alltid ha kjennskap til regelverket.

Vi skal kartlegge all behandling av personopplysninger. Dette gjør vi i et eget skjema der vi angir blant annet kategorier av registrerte, formål med behandlingen, hvordan vi behandler opplysningene og hvilke grunnlag den har for behandlingen. Skjemaene skal bidra til at vi etterlever reglene om behandling av personopplysninger.

I noen tilfeller vil det være hensiktsmessig og behandle personopplysninger i forbindelse med feilsøking og for å rette opp feil. I slike tilfeller anonymiserer vi data så fremt det er mulig, men vil også behandle personopplysninger i disse tilfellene. 

8.     Kontaktpersoner hos leverandører

Behandlingen av personopplysninger er basert på interesseavveining. Vi har behov for å holde kontakt med våre leverandører for å følge opp blant annet tilbud, bestillinger og leveranser. Dette er en berettiget interesse. Den kontakten blir effektiv bare ved å kontakte enkeltpersoner direkte. Behandling er derfor nødvendig.

Behandlingen skjer overfor kontaktpersonens arbeidsgiver, som ønsker å være leverandør hos oss. I tillegg til navn behandler vi kontaktopplysninger, som telefonnummer, epostadresse og arbeidsgiver, som alle er knyttet først og fremst til kontaktpersonens arbeidsforhold og ikke til kontaktpersonens privatliv. Omfanget av opplysningene er svært begrenset. Behandlingen av opplysningene er knyttet til leverandørens næringsvirksomhet og ikke til kontaktpersonens privatliv. Vår behandling av personopplysningene er klart påregnelig for kontaktpersonen.

Vi mener at den berettigede interessen går foran kontaktpersonens interesser.

9.     Kontaktpersoner hos bedriftskunder

Behandlingen av personopplysninger er basert på interesseavveining. Vi har behov for å holde kontakt med våre bedriftskunder for å følge opp tilbud, bestillinger og leveranser. Dette er en berettiget interesse. Den kontakten blir effektiv bare ved å kontakte enkeltpersoner direkte. Behandling er derfor nødvendig.

Behandlingen skjer overfor kontaktpersonens arbeidsgiver, som er kunde hos oss. I tillegg til navn behandler vi alminnelige opplysninger, som telefonnummer, epostadresse og arbeidsgiver, som alle er knyttet først og fremst til kontaktpersonens arbeidsforhold. Omfanget av opplysningene er derfor begrenset. Behandlingen av opplysningene er knyttet til leverandørens næringsvirksomhet og ikke til kontaktpersonens privatliv. Når det er påkrevet med samtykke etter markedsføringsloven, vil kontaktpersonen dessuten ha gitt samtykke før vi sender eposter med markedsføring. Vår behandling av personopplysningene er klart påregnelig for kontaktpersonen.

Vi mener at den berettigede interessen går foran kontaktpersonens interesser.

10.  Ansatte

Behandling av opplysninger er i hovedsak rettslige forpliktelser. Noe av behandlingen er basert også på interesseavveining. Vi har behov for å dokumentere at vi har oppfylt forpliktelser etter lov og avtale etter at de er oppfylt. Vi har også behov for dokumentasjon for personaladministrasjon til bruk for fremtidig personaladministrasjon. Dette er berettigede interesser. Det er ikke mulig å ha tilgang til opplysningene på annen måte enn å lagre opplysningene. Behandling er derfor nødvendig.

Ansatte hos oss har et løpende avtaleforhold med oss. Personopplysningene vi behandler er knyttet til dette avtaleforholdet. Det er i stor grad snakk om opplysninger ansatte har gitt oss. Opplysningene gjelder forhold det er nærliggende at en arbeidsgiver behandler.

Vi mener at den berettigede interessen går foran den ansattes interesser.

I noen tilfeller vil det være aktuelt for behandling av sensitive opplysninger. Skal vi behandle slike opplysninger, skal vi sørge for å ha behandlingsgrunnlag og at opplysningene behandles på en måte som sikrer tilstrekkelig sikkerhet for personopplysningene, herunder vern mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade, ved bruk av egnede tekniske eller organisatoriske tiltak («integritet og fortrolighet»). For ansatte hos oss vil opplysninger om helse og fagforeningsmedlemskap være særlig aktuelle. Helse omfatter for eksempel sykdom og skader og fravær begrunnet i dette. Særlig aktuelt behandlingsgrunnlag vil være at behandling er nødvendig i egenskap av arbeidsgiver, for eksempel ved oppfølgning og rapportering til offentlige myndigheter eller ved tilrettelegging av arbeidsforholdet.

11.  Tidligere ansatte

Behandlingen av de fleste av personopplysningene er basert på interesseavveining. Det kan oppstå behov for oss for å dokumentere personalforhold også etter at arbeidsforholdet er avsluttet, for eksempel en tvist med den tidligere ansatte. Dette kan gjelde for eksempel dokumentasjon for at vi som arbeidsgiver har oppfylt våre forpliktelser etter lovgivning eller arbeidsavtalen. Dette er en berettiget interesse. Det er ikke mulig å ha tilgang til opplysningene på annen måte. Behandling er derfor nødvendig.

Behandlingen går ut på å lagre opplysningene i inntil tolv måneder. Opplysninger om at den ansatte har vært ansatt, varighet av arbeidsforholdet og arbeidsoppgaver kan vi lagre lenger. Opplysningene vil ikke bli utlevert til andre uten at den tidligere ansatte ber om det, for eksempel i forbindelse med vurdering av ansettelse hos ny arbeidsgiver.

Vi mener at den berettigede interessen går foran den tidligere ansattes interesser.

12.  Jobbsøkere

Behandlingen av personopplysninger er basert på interesseavveining. Vi har behov for å bruke opplysninger for å vurdere søknader jobbsøkere sender oss. Dette er en berettiget interesse. Det er ikke mulig å vurdere en søknad uten å behandle personopplysninger. Behandling er derfor nødvendig.

Vi ber de som vil søke jobb hos oss om å sende oss minst opplysninger om navn, utdanning, arbeidserfaring, referansepersoner mv (CV). Jobbsøkere vil ofte gi ytterligere personopplysninger de regner som relevante for vurderingen av søknaden, for eksempel om kontaktinformasjon, familieforhold og interesser, i tillegg. I intervjuer stiller vi spørsmål for å avgjøre om jobbsøkeren passer til stillingen. I noen tilfeller kan vi bruke tester eller spørsmålsskjemaer for dette formålet. Hvis det blir aktuelt å ansette jobbsøkeren vil vi kunne be om ytterligere informasjon samt om dokumentasjon for opplysninger vi allerede har fått. Det er frivillig å gi oss opplysninger.

Vi bruker ikke opplysningene til noe annet enn å vurdere søknaden. Vi gir ikke opplysningene til noen andre. Vi kan beholde opplysninger fra jobbsøkere i tolv måneder, i tilfelle jobbsøkere skulle mene at deres rettigheter ikke er oppfylt.

Vi mener at den berettigede interessen går foran jobbsøkerens interesser.

13.  Informasjon til de registrerte (personvernerklæring)

Vi skal gi lovbestemt informasjon til de registrerte. Vi skal gi slik informasjon i en personvernerklæring. Alle registrerte skal ha tilgang til den informasjonen som gjelder dem. Informasjon til ansatte gir vi i personalhåndbok i personalhåndbok i tillegg til at personverndokument er tilgjengelig på nettsiden.

Informasjonen skal inneholde blant annet navnet på bedriften og kontaktinformasjon, formålet med behandlingen, kategoriene av personopplysninger, mottakere av personopplysninger (dersom de utleveres), informasjon om eventuell utlevering av personopplysninger til andre land, hvor lenge personopplysningene vil bli lagret, de registrertes rett til å kreve innsyn, rette eller kreve slettet personopplysningene, hvordan virksomheten fikk tilgang til personopplysningene og muligheten til å klage virksomheten inn til Datatilsynet.

Hvis den registrerte er barn, skal vi vurdere særlig hvordan god informasjon kan gis.

14.  Dine rettigheter og sletting av personopplysninger

Vi skal besvare henvendelser fra registrerte uten ugrunnet opphold. Mottar vi slike henvendelser, skal de sendes til Solveig Haug Storaas på mail til solveig@storaas.no ved henvendelser som gjelder Søstrene Storaas hotell as og Henriette Storaas-Barsnes på mail til henriette@storaas.no ved henvendelser som gjelder Søstrene Storaas event & reiser as, og merkes tydelig med PERSONOPPLYSNINGER i emnefeltet.

Vi skal sørge for at registrerte får gjennomført rettighetene sine hos oss.

Vi skal slette personopplysninger uten ugrunnet opphold når de ikke lenger er "nødvendig" for formålet som de ble samlet inn eller behandlet for. Minst én gang i året skal vi gjennomgå dette. Våre retningslinjer for sletting er oppdatert i kartleggingsskjemaet.

For ansatte beholder vi som hovedregel alle opplysninger i hele ansettelsestiden. Ansatte kan be om at opplysninger blir slettet. Dette vil bli vurdert konkret. Lovgivningen kan stille krav til lengre oppbevaringstid. For tidligere ansatte eller jobbsøkere se pkt. 8 og 9 også her kan lovgivningen stille krav til lengre oppbevaringstid enn det som fremgår der.

For kontaktpersoner hos leverandører og kunder skal vi slette opplysningene når vi blir kjent med at personen ikke lenger er relevant for våre behov, herunder hvis personen slutter hos den bedriften, offentlig etaten osv. Det kan likevel forekomme situasjoner som gjør at vi lagrer opplysningene for en lengre periode dersom vi mener det kan bli nødvendig med dokumentasjon av den kontakten vi har hatt med leverandøren eller kunden. Det kan gjelde for eksempel spørsmål om rettigheter eller forpliktelser i avtaleforholdet med leverandøren eller kunden. Også lovgivningen kan stille krav til lengre oppbevaringstid.

Vi kan likevel lagre opplysningene for en lengre periode hvis vi mener det kan bli nødvendig med dokumentasjon kontakt med personen eller personens arbeidsgiver. Det kan gjelde for eksempel spørsmål om rettigheter eller forpliktelser i avtale-, offentligrettslige eller andre forhold.

[Virksomheter med privatkunder bør vurdere å ha egne rutiner, ev. at systemer håndterer de vanligste formene for henvendelser]

15.  Personvernombud

Vi har vurdert om personvernforordningen krever at vår bedrift skal ha personvernombud.

Vi driver ikke regelmessig og systematisk monitorering i stor skala av registrerte. For de fleste kategorier av registrerte behandler vi stort sett alminnelige personopplysninger som navn, adresse, arbeidsgiver, epostadresse, telefonnummer o.l. Vi behandler enkelte sensitive opplysninger om ansatte og i forbindelse med utenlandsreiser.

Vi har konkludert med at vår bedrift ikke er underlagt krav om å ha personvernombud.

16.  Informasjonssikkerhet

Vi skal etter loven treffe passende tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som svarer til risikoen knyttet til vår behandling av personopplysninger. Vi skal da ta hensyn til teknikkens stand, gjennomføringskostnadene og behandlingens karakter, omfang og formål, samt sammenhengen den utføres i.

På denne bakgrunn har vi gjennomført disse tiltakene:

·         Det er utpekt en person hos oss med særlig oppgave å påse sikkerheten: Solveig Storaas og Henriette Storaas-Barsnes.

·         Uvedkommende skal hindres tilgang til personopplysningene eller utstyr disse er lagret på,

·         Det skal sikres at virksomhetens nettverk er beskyttet mot inntrengning fra eksterne nettverk med brannmur som kun slipper gjennom nødvendig datatrafikk,

·         Det skal sikres at virksomhetenes nettverk er beskyttet mot uvedkommendes bruk, eksempelvis ved sikring av trådløst nettverk.

·         Ekstra tiltak skal iverksettes for spesielt beskyttelsesverdige opplysninger som for eksempel sykemeldinger, opplysninger rundt tilrettelegging av arbeidsplassen, vurderinger av den ansatte, merknader og advarsler.

·         Ansatte skal gis opplæring i bruk av virksomhetens IT-system tilrettelagt etter den ansattes stillingsbeskrivelser.

17.  Avvik og tiltak for å rette opp i dem

Vi dokumenterer skriftlig hvilke tiltak som gjøres for å følge GDPR, ved avvik dokumenterer vi hvilke tiltak som settes i gang for å utbedre sikkerheten.

18.  Kjøp av IT-tjenester – databehandleravtaler

Vi bruker flere databehandlere for å kunne leverer våre tjenester til deg. Vår største databehandler er vårt bookingsystem Visbook AS og vårt CRM-system levert av Ganske Enkelt. Med alle våre underleverandører av IT-tjenester sørger vi for å ha en databehandleravtale som sikrer at våre underleverandører også følger de kravene til sikkerhet som personopplysningsloven krever.

Dersom tjenesteleverandøren skal overføre personopplysninger til land utenfor EU/EØS, må det foreligge et lovlig grunnlag for dette.

19.  Brudd på personopplysningssikkerheten

Ved brudd på personopplysningssikkerheten (for eksempel hackerangrep eller tap av personopplysninger) skal vi straks kontakte Datatilsynet for å finne ut hva vi bør gjøre.

"Brudd på personopplysningssikkerheten" betyr brudd som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som vi behandler.

Ved visse brudd på personopplysningssikkerheten skal vi varsle Datatilsynet og av og til også den registrerte. Varsling til Datatilsynet skal skje med én gang, og senest 72 timer etter at vi ble kjent med bruddet. Det er ikke nødvendig å varsle Datatilsynet hvis det er lite trolig at bruddet på personopplysningssikkerheten vil føre med seg risiko for enkeltpersoners rettigheter. Et eksempel er der et sikkerhetsbrudd har ført til at uvedkommende har fått tilgang til personopplysninger som allerede er offentlig tilgjengelige.

Vi har plikt til å varsle den registrerte dersom det er trolig at bruddet på personopplysningssikkerheten vil medføre høy risiko for enkeltpersonenes rettigheter og friheter. Vi mener at vår behandling av personopplysninger bare helt unntaksvis kan føre til slik risiko.

Vi skal dokumentere eventuelle brudd på personopplysningssikkerheten. Dette gjør vi ved å beskrive de faktiske forholdene rundt bruddet ("Hva har skjedd?"). I tillegg skal vi beskrive virkningene av bruddet og hvilke tiltak som er truffet for å avhjelpe bruddet. Denne dokumentasjonen skal gjøre det mulig for Datatilsynet å kontrollere at virksomheten har etterlevd kravene i loven.

20.  Vurdering av personvernkonsekvenser og forhåndskonsultering med Datatilsynet

Vi skal utrede personvernkonsekvensene når den planlegger en behandling av personopplysninger som sannsynligvis vil utgjøre høy risiko for personers rettigheter, som retten til personvern. I vurderingen av om det er nødvendig med en slik utredning skal vi ta hensyn til arten, omfanget, sammenhengen og formålet med behandlingen. Den skal også ta hensyn til om den benytter ny teknologi.

Det er flere typetilfeller der det er nødvendig å utrede personvernkonsekvenser: Systematisk og omfattende vurdering av personlige forhold når opplysningene brukes til automatiserte avgjørelser, behandling av sensitive personopplysninger i stort omfang eller systematisk overvåking av offentlig område i stort omfang.

I tilfellene ovenfor skal vi sette oss inn i de særlige reglene som gjelder, blant annet om at Datatilsynet av og til skal involveres i forhåndsdrøftelser.

21.  Endringer i personvernerklæring eller i behandling

Vi jobber kontinuerlig med utvikling og forbedring av våre tjenester overfor våre kunder. Dette vil kunne endre måten eller omfanget av vår behandling av personopplysninger. Informasjonen vi gir gjennom denne personvernerklæringen vil derfor justeres og oppdateres med ujevne mellomrom. Vi vil dessuten endre personvernerklæringen når nye regler eller myndighetspraksis gjør det nødvendig.