Norges ærligste Personvernerklæring
For et nyhetsbrev om personvern
Jeg misliker de fleste personvernerklæringene jeg leser. Jeg synes mange av dem er vanskelige å forstå og så uklare at jeg ikke skjønner hvordan personopplysningene mine behandles.
Jeg har laget slike personvernerklæringer for andre før. Personvernerklæringer hvor jeg var mye mer opptatt av å henvise til korrekt regelverk på «ekte» jusspråk, heller enn å snakke til deg som leser dette som et vanlig menneske.
Men nå har jeg et nyhetsbrev, og da må jeg skrive en selv. Jeg har en gylden anledning til å gjøre opp for mine tidligere synder.
Så derfor presenterer jeg herved Norges Ærligste Personvernerklæring!
Med dette ønsker jeg å være helt åpen om hvordan jeg behandler dine personopplysninger når du abonnerer på nyhetsbrevet mitt. Dette for at du skal kunne ta et personvernvennlig valg som er riktig for deg!
Hvem er ansvarlig for å behandle dine personopplysninger når du melder deg på nyhetsbrevet mitt? (i)
Det er meg, Ida Thorsrud, som er ansvarlig for å behandle dine personopplysninger på en måte som er i samsvar med personvernregelverket når du melder deg på nyhetsbrevet mitt. Du kan ta kontakt med meg ved å svare på enhver e-post jeg sender deg (selve nyhetsbrevet) eller på personverntakk [alfakrøll] pm.me
Når jeg sier at jeg må behandle dine personopplysninger «i samsvar med personvernregelverket», mener jeg at jeg må følge de reglene som står i EU-forordningen om personvern som heter General Data Protection Regulation (forkortet GDPR) og den norske personopplysningsloven.
Hva gir meg rett til å behandle dine personopplysninger? (ii)
For å behandle dine personopplysninger, må jeg kunne vise til et «behandlingsgrunnlag». Sagt på en annen måte, jeg må kunne vise til hva som gir meg rett til å behandle dine personopplysninger.
Da du meldte deg på nyhetsbrevet mitt om personvern, samtykket du til at jeg kan behandle personopplysningene dine. Det at jeg ber deg om å bekrefte e-postadressen din, er for å forsikre meg om at du virkelig vil melde deg på. Behandlingsgrunnlaget for dette nyhetsbrevet er altså ditt samtykke. Det står i GDPR artikkel 6 nr. 1 bokstav a) at samtykke er et gyldig behandlingsgrunnlag.
Hvordan går du frem for å trekke tilbake samtykket? (iii)
Helt nederst i e-postene jeg sender deg, er det en knapp du kan trykke på for å si opp abonnementet ditt på nyhetsbrevet. Formelt har du da trukket tilbake samtykket ditt aka. ombestemt deg!
Bruker du en leverandør for å behandle mine personopplysninger?
Ja, jeg bruker selskapet Make AS for å sende deg nyhetsbrev.
Jeg kjøper tilgang til programmet deres, som jeg bruker til å registrere nye abonnementer på e-postlista mi, holde oversikt over eksisterende abonnementer, gjør det mulig å melde seg av, sende nyhetsbrev og opprettholde lista ved at jeg sletter folk som ikke har åpnet nyhetsbrev fra meg på flere måneder.
Bruker leverandøren noen underleverandører?
Ja, Make AS har disse underleverandørene:
Navn
Deploi AS
Hva gjør de?
Drift og vedlikehold av Make AS’ servere for nyhetsbrevapplikasjonen og databasen.
Navn
Hovedkvarteret IT AS
Hva gjør de?
Drift og vedlikehold av Make AS’ e-postservere.
Hvilke personopplysninger jeg behandler om deg og hvorfor? (iv)
Først og fremst behandler jeg informasjon som du gir til meg for at du skal kunne melde deg på nyhetsbrevet. Dette er:
Navnet ditt: Jeg spør etter fornavnet ditt fordi jeg starter hvert nyhetsbrev med å adressere deg som person. Du kan gi meg til fulle navn med etternavn og alt, du kan velge å la feltet være blankt eller du kan juge og oppgi et tullenavn. Det er opp til deg!
E-postadressen din: Dette sier seg selv, men for at jeg skal kunne sende deg nyhetsbrev på e-post, må jeg ha e-postadressen din.
Jeg behandler også personopplysninger om hvor ofte du åpner nyhetsbrev fra meg. Det er flere grunner til dette.
For det første er det er viktig for meg at du som er på e-postlista, faktisk ønsker å være der. Jeg sender som regel ut et nyhetsbrev i uka, og hvis du ikke har åpnet et nyhetsbrev på 2 måneder, er det ganske sannsynlig at du ikke egentlig får noe ut av det. Da forbeholder jeg meg den friheten å slette deg fra lista.
For det andre kan det være at du bytter e-postadresse, og ikke lenger åpner nyhetsbrevet av den grunn. Flere av dere som abonnerer på nyhetsbrevet bruker e-posten deres på jobb. Og det skjer jo at du ved (u)jevne mellomrom bytter jobb, og dermed e-postadresse. Jeg må sørge for at jeg bare behandler personopplysninger som er oppdaterte. Hvis du ikke lenger bruker e-postadressen, må jeg ha en mulighet til å finne det ut, for så å fjerne e-postadressen din fra lista.
Hvor lenge vil personopplysningene dine bli lagret? (v)
Jeg vil lagre personopplysningene dine så lenge du abonnerer på nyhetsbrevet mitt, eller til jeg avslutter det. Hvis jeg avslutter nyhetsbrevet før du sier opp abonnementet ditt, vil jeg slette dine personopplysninger.
Jeg sender nyhetsbrev ca. en gang i uka. Hvis du ikke har åpnet et nyhetsbrev på 2 måneder, vil jeg slette deg fra e-postlista. Det betyr at jeg ikke lenger behandler personopplysningene dine.
Sender jeg dine personopplysninger til noen? (vi)
Ja. Jeg bruker Make AS for å levere nyhetsbrevet til deg. Så når du melder deg på, blir dine personopplysninger delt med dem og deres underleverandører.
Ut over dette, er det ingen jeg deler dine personopplysninger med.
Overfører jeg dine personopplysninger til tredjeland? (vii)
Nei. Make AS er et norsk selskap. Serverne deres er i Norge. Også underleverandørene til Make AS behandler bare personopplysninger i Norge.
Behandler jeg dine personopplysninger på en automatisert måte? Eller profilerer jeg deg? (viii)
Nei.
Hvordan går du frem for å oppfylle personvernrettighetene dine? (ix)
Du har flere rettigheter etter personvernregelverket. Her skal jeg fortelle seg om hvilke du har, og hvordan jeg forstår dem.
1. Du har rett til å be meg om dataportabilitet
Dette er en rettighet som skal forhindre at et kommersielt firma «fanger» personopplysningene dine. Kort fortalt går det ut på at du skal kunne ta med deg personopplysningene dine til en konkurrent. Fordi det er mulig å abonnere på flere nyhetsbrev samtidig, er ikke dette en rettighet som er realiserbar i mitt tilfelle.
2. Du har rett til å be om at jeg skal slette dine personopplysninger
Helt nederst i e-postene jeg sender deg, er det en knapp du kan trykke på for å si opp abonnementet ditt på nyhetsbrevet. Når du gjør det, vil du og dine personopplysninger automatisk slettes.
3. Du har rett til å be om at jeg skal rette dine personopplysninger
Hvis du har skrevet navnet ditt feil, kan du sende meg en e-post og så vil jeg manuelt rette det. Hvis du har skrevet e-postadressen din feil, vil jeg ikke klare å levere e-posten til din adresse. Du blir da sletta fra lista.
4. Du har rett til å be meg om innsyn i dine personopplysninger
Send meg en e-post, så skal jeg gi deg innsyn i hvilke konkrete personopplysninger jeg behandler om deg.
5. Du har rett til å be om begrensning i behandlingen
Hvis du tenker at jeg behandler dine personopplysninger ulovlig, kan du be om begrensning inntil jeg finner ut av om jeg gjør dette på lovlig måte. Det betyr at jeg ikke kan bruke dem til jeg kan svare på om jeg behandler dine personopplysninger lovlig.
Jeg er usikker på hvor praktisk denne rettigheten er. Jeg bruker samtykke som behandlingsgrunnlag, og hvis du mener jeg behandler dine personopplysninger ulovlig, tenker jeg at den enkleste løsningen er at jeg sletter deg fra e-postlista.
6. Du har rett til å protestere på min behandling av dine personopplysninger
Hvis du er uenig i hvordan jeg bruker dine personopplysninger, kan du protestere på behandlingen. Det betyr at du sender meg en e-post hvor du forklarer meg hva du er misfornøyd med. En protest kan gjøre at jeg ikke lenger kan bruke dine personopplysninger, noe som betyr at du vil slettes fra e-postlista.
7. Du har rett til informasjon om hvordan jeg behandler dine personopplysninger
Voilà! Dette er websiden hvor jeg informerer deg om hvordan jeg behandler dine personopplysninger!
For å be at jeg hjelper deg å realisere en av rettighetene på denne lista, sender du meg en e-post på personverntakk [alfakrøll] pm.no
Husk å sende meg en melding fra den e-postadressen du abonnerte fra, slik at jeg har sikkerhet for at du er du og at du søker innsyn i dine egne personopplysninger, og ikke i noen andres.
Kan du klage på denne behandlingen? (x)
Ja. Hvis du vil kan du klage denne behandlingen inn for det norske Datatilsynet.
Datatilsynet jobber med en elektronisk løsning for at du skal kunne sende en klage, men de har foreløpig ikke en sikker nok løsning på plass. Det betyr at du må sende en skriftlig klage til:
Datatilsynet
Postboks 458 Sentrum
0105 Oslo
Referanser til personvernregelverket for deg som er hakket mer interessert enn andre!
(i) Dette forteller jeg deg fordi det står i GDPR artikkel 13 nr. 1 bokstav a) at jeg må informere deg om hvem som er ansvarlig for å behandle dine personopplysninger. Formelt heter det en «behandlingsansvarlig».
(ii) Dette forteller jeg deg fordi det står i GDPR artikkel 13 nr. 1 bokstav c) at jeg må informere deg om hvilket behandlingsgrunnlag jeg bruker for å behandle dine personopplysninger.
(iii) Dette forteller jeg deg fordi det står i GDPR artikkel 13. nr. 2 bokstav c) at hvis behandlingsgrunnlaget er samtykke, plikter jeg å fortelle deg hvordan du skal gå frem for å trekke tilbake samtykket.
(iv) Dette forteller jeg deg fordi det står i GDPR artikkel 13 nr. 1 bokstav c) at jeg må informere deg om hvorfor jeg behandler dine personopplysninger. Formelt sakt plikter jeg å informere deg om hva som er formålet med behandlingen.
(v) Dette forteller jeg deg fordi GDPR artikkel 13 nr. 2 bokstav a) pålegger meg å informere deg om hvor lenge jeg planlegger å behandle eller lagre personopplysningene dine.
(vi) Dette forteller jeg deg fordi jeg er pålagt i GDPR artikkel 13 nr. 1 bokstav e) å informere deg om jeg sender personopplysningene dine til andre. Formelt må jeg informere deg om «eventuelle mottakere av personopplysningene».
(vii) Dette forteller jeg deg fordi det står i GDPR artikkel 13 nr. 1 bokstav f) at jeg må informere deg om det at du abonnerer på nyhetsbrevet mitt innebærer at personopplysningene dine blir sendt ut av EU/EØS.
(viii) Dette forteller jeg deg fordi det står i GDPR artikkel 13 nr. 2 bokstav f) at jeg må fortelle deg om denne behandlingen utsetter deg for en automatisert avgjørelse, eller om jeg profilerer deg.
(ix) Dette forteller jeg deg fordi det står i GDPR artikkel 13 nr. 2 bokstav c) pålegger meg å informere deg om hvordan du skal gå frem for å håndheve personvernrettighetene dine. Disse er retten til innsyn, retten til sletting, retten til retting, retten til begrensning av behandlingene, retten til å protestere og retten til dataportabilitet.
(x) Dette forteller jeg deg fordi det står i GDPR artikkel 13 nr. 2 bokstav d) at jeg må fortelle deg at du kan klage på meg til Datatilsynet hvis du mener at jeg behandler dine personopplysninger i strid med personvernregelverket.