Integritetspolicy
Innledning
I denne integritetspolicy finner du informasjon om hvordan personopplysninger blir behandlet av Stromma Tourism AS med organisasjonsnummer 5560515818 (under kalt ”Moveat” och referert til som ”vi”, ”vår”, ”oss”). Henvisninger till ”du”, ”deg”, ”din” gjelder den registrerte personen, hvis personopplysninger vi behandler.
Denne integritetspolicy forklarer hvordan vi samler inn och behandler dine personopplysninger. Den beskriver også dine rettigheter, og hvordan du kan gjøre dem gjeldende. Det er viktig at du leser og forstår denne integritetspolicyen, og kjenner deg trygg på vår behandling av dine personopplysninger. All behandling av personopplysninger skjer med forsiktighet, i henhold til GDPR (samt SCC om nødvendig) og vi deler ikke personopplysningene med uvedkommende. Du er alltid velkommen til å kontakte oss her ved eventuelle spørsmål.
Denne integritetspolicy omfatter alle typer personopplysninger, både i strukturerte och ustrukturerte data, uansett hvorfra eller hvordan personopplysningene er samlet inn.
Vi hegner om din personlige integritet, også i henhold til personopplysningsloven, og etterstreber en sikker og trygg bruk av nettstedet og applikasjonen. Under kan du lese hvordan vi behandler dine personopplysninger som vi får tilgang til når du inngår en avtale med oss, kontakter oss, eller når vi på annen måte kommer i kontakt med deg.
Definisjoner
Følgende begreper skal ha nedenstående angitte innhold, både når de uttrykkes i flertall og entall:
Nettstedet: gjelder www.moveat.co.
Applikasjonen: gjelder applikasjonen ”Moveat” for Android/iOS.
Kjøper: gjelder den som bestiller billetter fra Moveat.
Tredjepart: gjelder andre enn kjøparen eller Moveat.
Billett: gjelder de billetter som til enhver tid selges av Moveat.
Betalingstjenesteleverandør: gjelder tredjepart som behandler betalinger fra kjøper for Moveats regning via de ulike betalingsmetoder som er tilgjengelige ved bestillingstilfelllet av slike autoriserte tredjeparter.
Personopplysninger: Alle opplysninger som, direkte eller indirekte, alene eller sammen med andre opplysninger, kan bli koblet til en identifisert eller identifiserbar fysisk levende person, er personopplysninger ifølge GDPR. Vanlige eksempler på personopplysninger er: navn, telefonnummer, adresse, e-postadresse, bruker-ID, konto/kortnummer, registreringsnummer på kjøretøy, IP-adresse m.m.
Registrert: Den person som kan bli identifisert gjennom personopplysningene.
Behandling: Behandling av personopplysninger kan skje på ulike måter. Alt som skjer med personopplysninger, automatisert eller på annen måte, er en form for behandling. Behandling kan skje gjennom en enkelt handling, eller gjennom en kombinasjon av ulike handlinger. Eksempel på vanlige behandlinger av personopplysninger er lagring, sletting, deling, innlesning, registrering, kopiering, innsamling, organisering, anvendelse, justering, ødelegging m.m.
Personopplysningsansvarlig: Den som bestemmer formålet med en type behandling av personopplysninger og hvordan behandlingen skal foregå, er ifølge GDPR å anse som personopplysningsansvarlig. Fysiske personer, juridiske personer, myndigheter, institusjoner eller andre organer kan være personopplysningsansvarlig.
Personopplysningsmedarbeider: Den som behandler personopplysninger for en personopplysningsansvarligs regning, i henhold til den ansvarliges instruksjoner, er ifølge GDPR å anse som personopplysningsmedarbeider.
Tredjepart: Tredjepart innebærer en annen enn den personopplysningsansvarlige (og de personer som er tiltrodd å behandle personopplysningene), registrerte eller personopplysningsmedarbeidere (og de personer som er tiltrodd å behandle personopplysningene). Tredjepart kan være en juridisk person eller en fysisk person, institusjon, myndighet eller annet organ.
GDPR: EUs personvernforordning om beskyttelse for fysiske personer med hensyn til personopplysninger og om den frie flyten av slike opplysninger og opphevelse av direktiv 95/46/EG og personopplysningsloven fra 200 (Lov om behandling av personopplysninger).
SCC: Kommisjonens vedtak (EU) 2021/914 av den 4. juni 2021, om standard avtaleklausuler for overføring av personopplysninger til tredjeland i samsvar med rådets forordning (EU) 2016/679, eller senere oppdatert versjon.
Eventuelle andre GDPR-relaterte begreper som ikke defineres her, skal ha samme betydning i denne integritetspolicy som angitt i artikkel 4 i GDPR.
Personopplysningsansvarlig
Moveat er personopplysningsansvarlig for all behandling av personopplysninger som utføres av oss eller for vår regning, og vi er ansvarllige for behandling av disse i den grad vi bestemmer metode og hensikt med behandlingen (jfr prinsippet om ansvarsplikt).
Hva er en personopplysning og hva er en behandling av personopplysninger?
Personopplysninger er all slags informasjon som indirekte eller direkte kan henføres til en fysisk person. Behandling av personopplysninger er alt som skjer med personopplysningene. Enhver handling som utføres med personopplysninger utgjør en behandling, enten den utføres automatisert eller ikke. Eksempler på vanlige behandlinger er innsamling, organisering, lagring, bearbeiding og sletting.
Kategorier av personopplysninger som vi behandler
I samsvar med prinsippet om opplysningsminimering behandler vi bare personopplysninger som er adekvate, nødvendige og relevante for å oppfylle de oppgavene de ble samlet inn for. Vi kan behandle dine personopplysninger f.eks. i følgende tilfeller:
Informasjon du gir oss. Du kan direkte eller indirekte komme til å gi oss informasjon om deg selv på flere ullike måter. Dette kan f.eks. være person- og kontaktinformasjon som navn, fødselsdato, personnummer, profilbilde, adresse, e-postadresse, telefonnummer, etc. som du registrerer i applikationen, i forbindelse med kjøp av billetter eller annen informasjon som blir inkludert i en melding som du sender eller på annen måte deler med oss.
Informasjon vi samler inn om deg. Når du bruker våre tjenester kan følgende informasjon samles inn:
- Person- och kontaktinformasjon – navn, fødselsdato, personnummer, adresse, e-postadresse, telefonnummer, profilbilde (om du registrerer dette i applikasjonen) etc.
- Informasjon om varer/tjenester– detaljer angående de varer/tjenester du har bestilt.
- Enhetsinformasjon– f.eks. IP-adresse, språkinnstillinger, nettleserinnstillinger, tidssone, operativsystem, plattform och skjermoppløsning.
- Geografisk informasjon– din geografiske plassering for å kunne vise arrangementer nær deg, kart med de ulike smakstoppene billetten din omfatter, for å henvise deg til riktig region for tjenesten.
Vi anbefaler sterkt at du ikke legger inn spesielle eller sensitive typer personopplysninger hos oss.
Målsetting med behandlingen och rettslig grunnlag
I samsvar med prinsippet om intensjonsbegrensning behandler vi utelukkende personopplysninger for særskilte, utrykkelig angitte og berettigede hensikter. Videre er hver behandling rettslig grunngitt og dermed lovlig, i samsvar med bestemmelsene i GDPR. Under kan du lese mer om det rettslige grunnlaget og hensikten med behandlingen av personopplysningene.
1. Når du besøker nettstedet eller bruker applikasjonen:
Nettstedet og applikasjonen bruker cookies. Anvendelsen av nødvendige cookies krever ikke ditt samtykke, ettersom de er nødvendige for å kunne tilby tjenestene på nettstedet og/eller applikasjonen. Du kan derfor ikke velge bort bruken av slike nødvendige cookies. Derimot inntreffer bruken av ikke-nødvendige cookies bare om du gir ditt samtykke til det. Du kan når som helst tilbakekalle et gitt samtykke og selv håndtere lagringen av cookies via bl.a. innstillingene i nettleseren din. Rettslig grunnlag: Samtykke. Personopplysninger som kan behandles gjennom cookies er: Geografisk plassering, IP-adresse, språkinnstillinger, nettleserinnstillinger, tidssone, operativsystem, plattform og skjermoppløsning. Informasjon om hvordan vi bruker cookies finner du i vår cookiepolicy.
2. Når du kontakter oss via e-post, svarskjema, telefon eller sosiale medier:
Når du kontakter oss via e-post, kontaktskjema, telefon eller sosiale medier, får vi tilgang til de personopplysninger som framgår av en slik kontakt. Eksempelvis kan vi få tilgang til følgende personopplysninger som tilhører deg: fornavn, etternavn, telefonnummer, e-postadresse, bruker-ID fra sosiale medier (om relevant) og andre opplysninger du gir oss. Den informasjonen innhentes uansett om det dreier seg om personlig- demografisk- kollektiv- eller teknisk informasjon, for at vi skal vite hvem vi snakker med og for å holde kontakten i denne forbindelse.
Når du kontakter oss via nettstedets kontaktskjema for å leggee inn en forespørsel eller påmelding.
Du kan også sende en melding via nettstedets kontaktskjema om at du melder interesse og påmelding til å bli en del av mataktørene i Moveat. Da får vi tilgang til følgende personopplysninger: fornavn, etternavn, restaurant/bedrift, sted, telefonnummer och e-postadresse. Disse opplysningene behandles av oss så vi kan håndtere henvendelser i løpet av kontakten med deg i saken. Før henvendelsen sendes til oss, godkjenner du at vi behandler dine personopplysninger i samsvar med vår integritetspolicy.
3. Når du inngår en avtale med oss:
Vi behandler personopplysninger som tillhører deg, uansett om det dreier seg om personlig- demografisk- kollektiv- eller teknisk informasjon, for å kunne fullbyrde avtalen du inngår med oss, eksempelvis ved kjøp av billetter, godkjenning av brukervilkår i forbindelse med at du registrerer en brukerkonto til applikasjonen eller avtaler som inngås mellom oss og matkreatører eller aktører. Personopplysninger som vi behandler i disse tilfellene gjelder blant annet, men ikke utelukkende: e-postadresse, organisasjonsinnehaver, kontaktperson, arbeidsgiver, arbeidssted, navn, telefonnummer.
Bokføringsunderlag: Vi behandler och lagrer fakturaer, kvitteringer og annet som utgjør bokføringsunderlag i samsvar med den til enhver tid gjeldende norske lovgivning, som f.eks. bokføringsloven og i samsvar med Skatteetatens til enhver tid gjeldende regler. Bokføringsunderlag og verifiseringer kan i visse tilfelle inneholde personopplysninger, som kjøperens navn och kontaktopplysninger. Slike lagres så lenge loven krever det.
4. Når vi har en rettslig forpliktelse til å behandle personopplysninger:
Om vi er pliktige i henhold til lov-, domstols- eller myndighetsbeslutninger å behandle visse personopplysninger, skjer behandlingen med støtte i Rettslig forpliktelse som rettslig grunnlag. I slike tilfelle skjer behandlingen kun i den utstrekning det er nødvendig for å oppfylle våre rettslige forpliktelser, og da behandler vi bare nødvendige personopplysninger, så lenge loven krever det (i samsvar med prinsippet om lagringsminimering).
5. Når vi har en berettiget interesse for en viss behandling:
Når en behandling av personopplysninger skjer med støtte i Berettiget interesse som rettslig grunnlag, er vår oppfatning at behandlingen ikke utgjør noen inntrengning i den registrertes rett till privatliv og integritet. Dette har vi kommet fram til, etter å ha gjort en avveining mellom på den ene siden hva den aktuelle behandlingen innebærer for den registrertes interesser samt rett til privatliv, og på den annen side vår berettigede interesse i den behandlingen dette gjelder. Vi behandler dog aldri følsomme personopplysninger med støtte i dette rettslige grunnlag.
Basert på vår Berettigede interesse kan vi behandle personopplysninger for å:
- beskytte våre rettigheter og eiendom,
- gjennomføre direktemarkedsføring av våre tjenester,
- sikre den tekniske funksjonaliteten på nettstedet og/eller applikasjonen,
- samle inn statistikk, resultatmålinger m.m. om våre tjenester.
Hvem deler vi personopplysninger med?
Vi gir ikke ut personopplysninger eller annen personlig informasjon eller kombinert personlig og demografisk informasjon til ekstern uvedkommende part, med unntak for følgende situasjoner:
Vi har rett til å utlevere opplysninger hvis det finnes en lovpålagt plikt for oss å gjøre det, hvis det begjæres av et offentlig organ eller annen tilsynsmyndighet eller om vi i god tro anser at en slik utlevering er nødvendig for å
- følge lovpålagte krav eller rette seg etter en domstolsavgjørelse,
- beskytte rettighetene eller eiendomsretten til Moveat,
- forhindre et lovbrudd eller beskytte nasjonal sikkerhet, eller
- beskytte brukeres personlige sikkerhet eller allmennheten.
Vi støtter oss på forskjelllige tjenesteleverandører for blant annet å ivareta våre rettslige interesser, oppfylle våre avtalefestede og rettslige forpliktelser, oppdage og forebygge tekniske-, drifts- eller sikkerhetsmessige problemer; samt vedlikeholde, forbedre och drifte nettstedet og/eller applikasjonen (programvareoppdatering). Eksempler på tjenesteleverandører som vi engasjerer er leverandører av økonomisystemer, webutvikling, skylagring av dokumenter og bilder m.m.
I noen tilfeller kan vi ha behov for å dele personopplysninger vi er ansvarlige for med en betrodd tjenesteleverandør, for at denne skal behandle personopplysningene for vår regning og i henhold til våre instruksjoner. I slike tilfeller blir tjenesteleverandøren en personopplysningsmedarbeider hos oss, i samsvar med bestemmelsene i GDPR.
Hvor lenge og hvor lagres dine personopplysninger?
I samsvar med prinsippene om integritet og konfidensialitet, etterstreber vi å lagre samtlige personopplysninger vi behandler innenfor EU/EØS. Om personopplysninger blir lagret i et land utenfor EU/EØS, skal vi påse at slik lagringsplass sikrer et adekvat beskyttelsesnivå i tråd med bestemmelsene i GDPR og SCC.
Vi lagrer dine personopplysninger bare så lenge det er nødvendig for å utføre kontraktsmessige forpliktelser overfor deg som kunde, opprettholde grunnleggende etter-kjøp-service, og så lenge det kreves i forhold til lovfestede lagringstider.
- Personopplysninger som legges igjen i forbindelse med bestilling av billetter, lagres av oss i den tiden du har en registrert brukerkonto i applikasjonen. Dette gjøres for å håndtere eventuelle reklamasjons- og servicetjenester, og for at vi skal kunne oppfylle våre forpliktelser i hht. kjøpsavtalen.
- Personopplysninger vi får i forbindelse med en kundeservicetjeneste og/eller via et kontaktskjema på hjemmesiden lagres i opp til fem (5) år etter at kundeservicetjenesten er avsluttet. Behandlingen er nødvendig for å ivareta vår og din berettigede interesse av å håndtere kundeservicetjenesten.
Når personopplysningene ikke lenger behøver å være lagret for oppfylle de hensikter de ble innsamlet for, blir de enten slettet eller anonymisert/sperret (i samsvar med prinsippet om lagringsminimering). Vi følger interne retningslinjer og rutiner angående sortering och loggføring av sperrede personopplysninger for å sikre at behandlingen av personopplysninger skjer i tråd med GDPR.
Personopplysninger kan forbli lagret i vår backup-lagring i opp til 24 måneder etter at de er manuelt slettet, før slike backup-lagrede kopier blir permanent slettet.
Tekniske og organisatoriske sikkerhetstiltak
I samsvar med prinsippet om integritet og konfidensialitet, vedtar og implementerer vi ulike tekniske og organisatoriske sikkerhetstiltak for å beskytte personopplysningene vi behandler. Tiltakene gjøres for å beskytte mot inntrengning, misbruk, tap, ødeleggelse och andre forandringer som kan innebære risiko for integriteten. Nedenfor finner du eksempler på noen sikkerhetstiltak vi vedtar och implementerer:
- Vi følger interne rutiner med instruksjoner for behandling av personopplysninger. Blant annet interne rutiner for sperring av personopplysninger och håndtering samt dokumentasjon av personopplysningshendelser,
- Interne rutiner og denne integritetspolicy gjennomgås minst årlig, og ved behov.
- Kontaktorgan for personopplysningssaker er ansatt, og rapporterer direkte till selskapets øverste ledelse.
- Betrodde leverandører og medarbeidere garanterer et adekvat nivå av teknisk og organisatorisk sikkerhet for de tjenestene som tilbys og de oppgaver som utføres.
- Samtlige medarbeidere har inngått en taushetsavtale rundt blant annet personopplysninger som behandles innenfor rammene for virksomheten og arbeidets gjennomføring.
- All behandling av personopplysninger skjer i tråd med de grunnleggende prinsippene for personvern.
Dine rettigheter i egenskap av registrert
Hvis vi behandler dine personopplysninger, har du ifølge GDPR visse rettigheter i forhold til vår behandling av dine personopplysninger. Nedenfor følger de rettigheter du har i egenskap av registrert:
- Du har rett på tilgang til dine personopplysninger. Du kan kreve en kopi av de opplysningene du ønsker å få utlevert, og verifikasjon av den informasjonen vi har om deg. En slik kopi er gratis.
- Du har rett til rettelser. Du har rett til å korrigere feilaktig eller ikke-komplett informasjon om deg selv, samt til å komplettere informasjon.
- Du har rett til å kreve sletting (”retten til å bli glemt”). Du har rett til kreve sletting av dine personopplysninger i de tilfeller dataene ikke lenger er nødvendige for den hensikten de ble innsamlet for. Det kan dog finnes lovmessige pålegg eller avtaleforpliktelser for oss som hindrer oss i å umiddelbart slette deler av dine data.
- Du har rett til informasjon. Du har rett til å få informasjon om innsamlingen og bruken av dine personopplysninger, når dine personopplysninger behandles.
- Du har rett til begrensning av behandling. Du har i visse tilfelle rett til å kreve at behandlingen av dine personopplysninger begrenses. Med begrensning menes at opplysningene markeres slik at de i framtiden bare kan behandles for visse avgrensede formål.
- Du har rett til å nekte at personopplysningene brukes i direktemarkedsføring og profilering.
- Du har rett til å ikke bli gjenstand for en beslutning som bare er basert på automatisert behandling, automatisert beslutningstagning, og til å nekte profilering.
- Du har rett til å når som helst trekke tilbake et gitt samtykke (dog uten at det påvirker behandling som tidilgere har vært utført med støtte i ditt gitte samtykke).
- Du har rett til, under visse omstendigheter, å bli informert om eventuelle personopplysningshendelser som berører dine personopplysninger.
- Du har rett till dataportabilitet, som innebærer at du kan tilegne deg og gjenbruke dine personopplysninger for dine egne formål overfor ulike tjenester.
Personopplysningshendelser
Vi følger bestemmelsene i GDPR angående håndtering, anmeldelse og dokumentasjon av personopplysningshendelser. Når det kreves ifølge GDPR, kommer vi til å melde inntrufne personopplysningshendelser til Datatilsynet innen 72 timer, og meddele de registrerte som berøres av inntruffet personopplysningshendelse.
Forandring av denne integritetspolicy
Innholdet i denne integritetspolicy kan bli oppdatert fra tid til annen, uten at det blir sendt melding om dette på forhånd. Eksempelvis hvis det er nødvendig for å tydeliggjøre noe, på grunn av endret eller ny lovbestemmelse, eller om vår behandling av personopplysninger endres. Den nyeste versjonen finnes alltid publisert på nettstedet som er tilgjengelig for allmenheten. Du plikter selv å lese gjennom innholdet i denne integritetspolicy, og holde deg oppdatert om eventuelle endringer.
Spørsmål eller klager
Har du spørsmål eller funderinger, eller er misfornøyd med vår behandling av dine personopplysninger, er du alltid velkommen til å kontakte oss. Nedenfor finner du våre organisasjonsopplysninger:
Firma: Strömma Tourism AS
Org. nr: 5560515818
E-post: hei@moveat.co
Nettsted: www.moveat.co
Postadresse: Grev Wedels plass 4, 0151 Oslo
Vår kontaktperson for personopplysningssaker:
Hvis du har spørsmål om vår behandling av personopplysninger, vennligst kontakt oss på e-post.
E-post: privacy@stromma.com
Norsk tilsynsmyndighet
Du har også rett til å kontakte den norske tilsynsmyndigheten for å innlevere klager.
Namn: Datatilsynet.
Postadresse: Datatilsynet Postboks 458 Sentrum 0105 Oslo.