Personvernerklæring for Prima-konsernet
Ditt personvern1 er viktig for Prima-konsernet, og vi er opptatt av å verne om person-opplysningers2 integritet3, tilgjengelighet4 og konfidensialitet5. All behandling6 av person-opplysninger i Prima-konsernet skal følge det til enhver tid gjeldende personvernregelverket, herunder GDPR og personopplysningsloven.
Denne personvernerklæringen gir utfyllende opplysninger om hvilke personopplysninger som samles inn, hvordan opplysningene samles inn og beskyttes og hvilke rettigheter du har dersom personopplysninger om deg er registrert hos oss.
Prima-konsernet består av Prima AS, Prima Arena AS og Prima Holding Trondheim AS.
Det er delt behandlingsansvar i Prima-konsernet som reguleres gjennom interne databehandleravtaler8. Personopplysninger knyttet til personaladministrasjon administreres av Prima Holding Trondheim AS.
Hovedansvaret for den daglige oppfølgningen av personvernregelverket ligger hos de enkelte daglige ledere i de 3 selskapene.
Der Prima-konsernet er databehandler9 er det behandlingsansvarlig som bestemmer formålet10 med behandlingen av personopplysningene. Forholdet mellom behandlingsansvarlig og databehandler reguleres i databehandleravtaler.
Prima-konsernet behandler personopplysninger til følgende hovedformål:
Bruk av andre databehandlere
Prima-konsernet inngår databehandleravtale med alle virksomheter som behandler personopplysninger på vegne av oss. Ved bruk av underdatabehandlere bekrefter vi at disse pålegges samme forpliktelser med hensyn til vern og bruk av personopplysninger og andre kundedata som Prima-konsernet.
Dine personopplysninger vil kun bli delt med andre i den grad det er nødvendig for å levere de relevante tjenester og kun hvor det foreligger databehandleravtaler eller etter krav fra offentlige myndigheter.
Personopplysninger vil ikke bli lagret lenger enn det som er nødvendig for å oppfylle formålet med behandlingen eller lovpålagte plikter vi har.
Videre vil vi slette personopplysninger om deg dersom du ber oss om det, med mindre vi har et rettslig grunnlag eller en lovpålagt plikt til å oppbevare personopplysningene videre.
Konsernets egne data lagres lokalt på servere i Norge og i Irland (Microsoft og Amazon AWS) avhengig av sensitivitetsgrad. Lagring av data av underleverandører/databehandlere reguleres i databehandleravtaler og det stilles krav til at alle leverandører tilfredsstiller kravene i GDPR.
Du har krav på å få informasjon om behandlingen av personopplysninger om deg selv. Herunder hvilke personopplysninger som behandles, formålene bak behandlingen, mottaker av opplysningene, hvor opplysningene evt er samlet inn fra og forventet lagringstid.
Du har rett til å få uriktige eller mangelfulle opplysninger om deg selv rettet. Du har også rett til å få opplysninger slettet når opplysningene ikke lenger anses nødvendige for å oppnå formålet de ble samlet inn for, eller dersom behandlingen baserer seg på ditt samtykke og du trekker dette tilbake. Behandlingen vil være nødvendig dersom den er lovpålagt.
Retten til begrensning av behandlingen som gjelder deg selv
Om du har rett til å få en begrensing i behandlingen av personopplysningene vil opplysningene bli lagret, men kan i utgangspunktet ikke behandles uten eksplisitt samtykke. Du har krav på å bli informert hvis begrensning oppheves.
Du kan motsette deg behandling av personopplysninger, konsernet vil da fryse behandlingen av opplysningene frem til avklaring, med unntak av behov for å fastsette, gjøre gjeldende eller forsvare et rettskrav eller for å verne en annen persons rettigheter. Du kan og motsette deg sletting av opplysninger dersom det er nødvendig for evt. rettskrav.
Du har rett til å få utlevert personopplysningene dine i et hensiktsmessig format til videre og personlig bruk, samt flytte, kopiere eller overføre personopplysningene dine fra en virksomhet til en annen. Personopplysningene du ønsker å få utlevert må være samlet inn av konsernet på bakgrunn av samtykke eller kontrakt.
Videre kan du til enhver tid trekke tilbake eventuelle samtykker til behandling av dine personopplysninger.
Du har også rett til ikke å være gjenstand for en avgjørelse som utelukkende er basert på automatisert behandling som har rettsvirkning for, eller på tilsvarende måte i betydelig grad, påvirker deg.
Det er kun i tilfeller der Prima-konsernet er behandlingsansvarlig at vi kan forvalte dine rettigheter, i de tilfeller hvor konsernet er databehandler må krav om utøvelse av disse rettighetene rettes til behandlingsansvarlig.
Spørsmål eller anmodninger om innsyn, retting og sletting av opplysninger som er registrert om deg kan rettes til personvernombud@prima-as.no eller til Prima Holding Trondheim AS v/personvernombudet, Idrettsveien 2, 7072 Heimdal.
Prima-konsernet har eget personvernombud som bistår med veiledning slik at personopplysninger blir behandlet i tråd med regelverket.
Har du generelle spørsmål eller innsigelser til Prima-konsernets behandling av personopplysninger kontakt personvernombud@prima-as.no.
Dersom du mener at vi behandler personopplysninger i strid med lovverket kan du rette en klage til Datatilsynet (post@datatilsynet.no).
1) Personvern er retten til et privatliv og retten til å bestemme over egne personopplysninger.
2) Personopplysninger er opplysninger og vurderinger som kan knyttes til en enkeltperson.
3) Integritet - sikre at personopplysninger ikke blir endret utilsiktet eller av uvedkommende.
4) Tilgjengelighet - personopplysninger skal være tilgjengelig for det formålet de er tiltenkt.
5) Konfidensialitet - personopplysninger er sikret mot at uvedkommende får tilgang til dem.
6) Behandling av personopplysninger - all bruk av personopplysninger, slik som innsamling,
registrering, sammenstilling, lagring og utlevering, eller en kombinasjon av slike
bruksmåter.
7) Behandlingsansvarlig er den som bestemmer formålet med behandlingen av person-
opplysninger og hvilke hjelpemidler som skal brukes.
8) Databehandleravtale er en avtale mellom databehandler og behandlingsansvarlig som skal
sikre at personopplysninger blir behandlet i samsvar med regelverket og setter en ramme for
hvordan databehandler kan behandle opplysningene.
9) Databehandler er den som behandler personopplysninger på vegne av den behandlings-
ansvarlige.
10) Ethvert formål med behandling av personopplysninger skal identifiseres og beskrives
presist. Alle formål skal være forklart på en måte som gjør at alle berørte har samme
entydige forståelse av hva personopplysningene skal brukes til. At formålet skal være
legitimt innebærer at det i tillegg til å ha et rettslig grunnlag også skal være i samsvar med
øvrige etiske og rettslige samfunnsnormer.
11) Den registrerte er enkeltpersonen som de lagrede opplysningene kan knyttes til.