Personvernerklæring

1. Innledning

Denne personvernerklæringen er utarbeidet av det kommunale oppgavefellesskapet Nasjonal Digital Læringsarena («NDLA«, «vi» eller «oss«) for å gi deg informasjon om hvordan, hvorfor og på hvilket grunnlag vi behandler dine personopplysninger. I tillegg beskriver personvernerklæringen hvilke rettigheter du som registrert har etter EUs personvernforordning 2016/679 (GDPR) og den norske personvernlovgivningen (sammen «Personvernlovgivningen«).

NDLA er opprettet og består av følgende fylkeskommuner: Agder fylkeskommune, Innlandet fylkeskommune, Møre og Romsdal fylkeskommune, Vestfold og Telemark fylkeskommune, Vestland fylkeskommune, Nordland fylkeskommune, Rogaland fylkeskommune, Troms og Finnmark fylkeskommune, Trøndelag fylkeskommune og Viken fylkeskommune (samlet omtalt som «Fylkeskommunene«).

Det overordnede formålet til NDLA er å utvikle og dele kompetanse, tjenester og teknologi til nytte for videregående opplæring. For å oppfylle formålet vil NDLA behandle enkelte personopplysninger.

Fylkeskommunene har felles behandlingsansvar etter GDPR artikkel 26 for behandlingen av personopplysninger som er beskrevet i denne personvernerklæringen. Dette innebærer blant annet at Fylkeskommunene er ansvarlige for å ivareta dine rettigheter etter Personvernlovgivningen, herunder din rett til å få informasjon om hvordan personopplysningene dine behandles. I tråd med GPDR artikkel 26 har Fylkeskommunene inngått en avtale om felles behandlingsansvar som fastsetter Fylkeskommunenes respektive ansvar for etterlevelse av Personvernlovgivningen. Du kan benytte kontaktinformasjonen i punkt 12 nedenfor dersom du ønsker mer informasjon om ansvarsfordelingen mellom Fylkeskommunene.

Dersom du har spørsmål knyttet til NDLAs behandling av personopplysningene dine, ønsker vi at du benytter kontaktinformasjon i punkt 12 nedenfor slik at vi kan besvare henvendelsen din så raskt som mulig. Du har imidlertid rett til å utøve dine rettigheter i henhold til Personopplysningslovgivningen overfor hver av Fylkeskommunene.

I tillegg til å være felles behandlingsansvarlige kan Fylkeskommunene også, som en del av NDLAs virksomhet, opptre som databehandlere. Dette innebærer at Fylkeskommunene behandler personopplysninger på vegne av NDLAs kunder eller samarbeidspartnere (det vil si våre samarbeidsfylker, og på sikt også friskoler og/eller statlige skoler), som igjen er behandlingsansvarlige for behandlingen av personopplysninger som gjennomføres i NDLA på deres vegne. I punkt 5 nedenfor har vi tatt inn noe informasjon om Fylkeskommunenes behandling av personopplysninger i NDLA som databehandler, men denne personvernerklæringen gjelder i all hovedsak Fylkeskommunenes behandling av personopplysninger i NDLA i rollen som felles behandlingsansvarlige. 

2. Hva er personopplysninger?

Personopplysninger er enhver opplysning eller vurdering som kan knyttes til en fysisk person eller en mindre gruppe av mennesker («registrerte«). Eksempler på hva som er å regne som personopplysninger, er følgende: navn, personnummer, adresse, telefonnummer og e-postadresse. Personopplysninger kan også omfatte særlige kategorier (tidligere omtalt som «sensitive») personopplysninger, slik som blant annet opplysninger om helsetilstand, religiøs overbevisning, etnisk opprinnelse eller opplysninger om en persons seksuelle forhold eller orientering.

Med behandling av personopplysninger mener vi innsamling, lagring, sammenstilling, sletting og enhver annen bruk av personopplysninger.

3. Hvem behandler vi personopplysninger om?

Denne personvernerklæringen omfatter vår behandling av personopplysninger om følgende kategorier av registrerte:

  • besøkende på ndla.no
  • personer som kontakter oss gjennom sosiale medier, e-post eller ved hjelp av kontaktskjema på ndla.no eller tilhørende subdomener
  • abonnenter som abonnerer på nyhetsbrev og blogg hos NDLA
  • brukere som logger inn på ndla.no via Feide

4. Hvordan innhentes informasjonen?

Personopplysningene som vi behandler, er som regel samlet inn direkte fra deg. Dette gjelder for eksempel når du kontakter oss og oppgir kontaktinformasjonen din, eller dersom du velger å abonnere på nyhetsbrevene våre.

Enkelte av personopplysningene vi behandler, samler vi inn fra tredjeparter. For eksempel samler vi inn personopplysninger om deg gjennom operativ- og datasystemer, nettleser og ved bruk av informasjonskapsler (cookies) og lignende teknologi. Dersom du logger inn på ndla.no via Feide, vil vi motta enkelte personopplysninger om deg.

5. Hvordan behandler vi dine personopplysninger, og for hvilke formål?

Personopplysninger som samles inn ved besøk på nettsiden vår

Dersom du besøker nettsiden vår, samler vi inn følgende informasjon:

  • hvilken nettside du har besøkt
  • hva du har søkt på i søkemotoren vår
  • dato og tidspunkt for besøk
  • annen teknisk informasjon om enheten din, slik som nettleserversjon, operativsystem, IP-adresse og posisjon basert på IP-adresse

Sistnevnte informasjonen hentes fra operativsystemet (datautstyr som ble brukt), internettoppkoblingen (IP-adresse) og fra nettleseren (type, forrige side, åpnet side, neste side, tidspunkt nettside åpnet) og hvor lenge den besøkende var på nettsiden.

Formålet med behandlingen vår av disse personopplysningene er å forbedre brukeropplevelsen din. Det rettslige grunnlaget for behandlingen vår av personopplysningene dine er vår legitime interesse i å videreutvikle tjenestene våre.

NDLA benytter flere analyseverktøy for å samle inn informasjon om besøkende på nettsidene våre. Dette innebærer at når du besøker nettsiden vår, vil vi og enkelte tredjeparter kunne samle inn informasjon om hvordan du bruker nettsidene våre ved bruk av informasjonskapsler som lagres på enheten din. Du kan lese mer om bruken vår av informasjonskapsler i vår erklæring for informasjonskapsler som det er lenket til nederst på sidene våre.

Personopplysninger som samles inn når du tar kontakt med oss

Dersom du kontakter oss gjennom sosiale medier, e-post eller ved hjelp av kontaktskjema på ndla.no eller tilhørende subdomener, kan vi samler vi inn følgende informasjon om deg:

  • e-postadresse
  • teknisk informasjon slik som operativsystem, versjon, nettleser, IP-adresse, posisjon basert på IP-adresse
  • eventuelle personopplysninger som framkommer i din henvendelse
  • eventuelt e-postsignatur ved andre gangs henvendelse

Formålet med behandlingen vår av denne type personopplysninger er å kunne besvare dine henvendelser og tilby support. Det rettslige grunnlaget for behandlingen vår av dine personopplysninger er vår berettigede interesse i å besvare henvendelser fra brukerne våre for å hjelpe deg.

Personopplysninger som samles inn dersom du abonnerer på nyhetsbrev 

Dersom du mottar nyhetsbrev eller abonnerer på våre blogginnlegg, samler vi inn følgende informasjon om deg:

  • navn
  • e-postadresse
  • fagpreferanser

Vi behandler de ovennevnte personopplysningene for markedsføringsformål. Det rettslige grunnlaget for behandlingen vår av personopplysningene dine er at du har gitt oss ditt samtykke til denne behandlingen. Du kan når som helst velge å avslutte abonnementet ditt via en lenke i nyhetsbrevet som du har mottatt, dersom du ikke lenger ønsker å motta nyheter, varsler eller informasjon fra oss.

Personopplysninger som samles inn dersom du logger inn i Min NDLA

I forbindelse med denne delen av virksomheten vår opptrer vi som en databehandler, og det er våre samarbeidspartnere som er behandlingsansvarlige. Vår behandling av personopplysninger på vegne av samarbeidspartnerne våre er i sin helhet underlagt de begrensningene som følger av våre databehandleravtaler med dem, og de instrukser som samarbeidspartnerne våre har gitt oss for behandlingen.

Dersom du logger inn i Min NDLA på ndla.no via Feide, vil vi behandle følgende informasjon om deg på vegne av de behandlingsansvarlige:

  • din Feide-ID
  • navn
  • e-post adresse
  • foretrukket språk
  • grupper (årstrinn (GREP), klasser, basisgrupper, undervisningsgrupper og andre grupper)
  • organisasjonstilhørighet (informasjon om vertsorganisasjoner og organisasjonsenheter og din rolle ved disse)

Formålet med behandlingen vår av disse personopplysningene er å gi deg som bruker tilgang til egne ressurser og våre styringsverktøy samt å gi deg mulighet til å favorittmerke og organisere dine favorittressurser. Formålet med å benytte roller er å gi brukere tilgang til ulikt innhold. For eksempel vil lærere ha tilgang til enkelte artikler som elever ikke har tilgang til. Dersom du er tilknyttet en av våre samarbeidspartnere og ønsker ytterligere informasjon om hvordan vi behandler personopplysninger på deres vegne, ber vi deg ta kontakt med den aktuelle behandlingsansvarlige.

6. Utlevering av personopplysninger og bruk av databehandlere

Vi deler personopplysningene dine med våre samarbeidspartnere, forskere og lignende gjennom rapporter om bruk. Vi deler ikke personidentifiserende informasjon i slike rapporter. Noen overordnede, anonymiserte tall er offentlig tilgjengelig.

Utover det ovennevnte benytter vi oss av ulike tjenesteleverandører i den grad det er nødvendig for å levere våre tjenester til deg. Dette omfatter bl.a. våre leverandører av systemer, programvarer og markedsføringstjenester. Vi har inngått databehandleravtaler med leverandørene som beskytter personopplysningene dine, og som sørger for at leverandørene ikke kan bruke opplysninger utover det som følger av denne personvernerklæringen.

Vi vil ikke utlevere personopplysningene dine til andre aktører enn de som er nevnt ovenfor, med mindre vi er lovpålagt å utlevere denne informasjonen. I enkelte tilfeller, for å oppfylle formålene beskrevet ovenfor, vil vi utlevere personopplysningene dine til land utenfor EU/EØS. Vi sørger for at personopplysningene dine er tilstrekkelig sikret, for eksempel ved å inngå Standard Contractual Clauses («SCCs«) utarbeidet av EU-kommisjonen.

7. Lagring av personopplysningene

Vi vil slette eller anonymisere personopplysninger når de ikke lenger er nødvendige for formålet de ble samlet inn for, og i samsvar med følgende sletterutiner:

  • Personopplysninger som samles inn i forbindelse med at du har kontaktet oss via e-post eller ved hjelp av kontaktskjema på nettsidene våre, slettes senest 12 måneder etter at henvendelsen din er blitt besvart.
  • Dersom du har tatt kontakt med oss via sosiale medier, kan du selv slette dine opplysninger og/eller meldinger i det relevante sosiale mediet.
  • Dersom du har takket ja til å motta nyhetsbrev og/eller til å abonnere på vår fagblogg, fortsetter vi å behandle personopplysningene dine inntil du selv avslutter ditt abonnement. Dette kan gjøres via en lenke i nyhetsbrevet.
  • Personopplysningene som vi behandler i forbindelse innlogging i Min NDLA via Feide, vil lagres inntil vi mottar en instruks fra den behandlingsansvarlige om å slette personopplysningene dine eller inntil avtalen mellom oss og den behandlingsansvarlige avsluttes. Disse opplysningene vil imidlertid også bli slettet innen 180 dager dersom du sletter din brukerkonto i Feide. Du kan når som helst opprette ny brukerkonto med din Feide-ID, men da vil alt arbeid som var lagret på din tidligere brukerkonto, være slettet.

8. Hva gjør vi for å sørge for at personopplysningene dine er sikret?

Som felles behandlingsansvarlige for behandling av dine personopplysninger beskrevet i denne personvernerklæringen, har Fylkeskommunene det overordnede ansvaret for å sørge for at personopplysningene dine behandles og oppbevares på en sikker måte. Dette innebærer at Fylkeskommunene må treffe tekniske og organisatoriske tiltak som er egnet for tilfredsstillende informasjonssikkerhet.

Av sikkerhetsmessige grunner er det begrenset hvor mye vi kan utdype om hvilke tekniske sikkerhetstiltak Fylkeskommune har gjennomført og etablert. Vi kan imidlertid si at alle våre ansatte er pålagt taushetsplikt om personopplysningene dine hvor dette er nødvendig, samt at vi har truffet tiltak for å sikre integriteten og tilgjengeligheten til personopplysningene dine.

9. Rettigheter

Dersom vi behandler personopplysningene dine har du etter Personvernlovgivningen en rekke rettigheter som du kan gjøre gjeldende overfor oss.

Innsyn: Du kan ta kontakt dersom du ønsker innsyn i hvilke personopplysninger vi behandler om deg, herunder dersom du ønsker å motta en kopi av disse.

  • Retting: Dersom personopplysningene som vi besitter om deg, er uriktige, kan du kreve at vi retter opp i disse.
  • Sletting: Du kan be oss om å slette personopplysningene dine, noe vi vil respektere og følge med mindre vi for eksempel er pålagt å oppbevare personopplysningene dine eller det er andre forhold som gjør fortsatt lagring nødvendig.
  • Begrensning i behandlingen: Du kan i samsvar med Personvernlovgivningen også kreve at behandlingen vår av dine personopplysninger begrenses, dersom vilkårene for dette etter Personvernlovgivningen er oppfylt. Dersom behandlingen begrenses, vil personopplysningene dine kun lagres.
  • Protest mot behandlingen: Der vår behandling har grunnlag i berettigede interesser, har du rett til å protestere mot behandlingen av personopplysningene dine. Dersom du protesterer, skal vi stanse den aktuelle behandlingen, med mindre det foreligger tvingende berettigede grunner til å fortsette behandlingen.
  • Dataportabilitet: Dersom vi behandler personopplysninger om deg basert på samtykke eller for å gjennomføre en avtale og personopplysningene behandles automatisk, kan du be oss om å utlevere personopplysningene til deg eller til en tredjepart i et strukturert, alminnelig anvendt og maskinleselig format.

Der behandlingen vår av dine personopplysninger er basert på samtykke, kan du til enhver tid trekke samtykket tilbake.

Vi gjør oppmerksom på at rettighetene ovenfor ikke er absolutte, og at det kan være unntak eller begrensninger i utøvelsen av rettighetene. Dersom du har spørsmål eller ønsker å gjøre en av rettighetene dine gjeldende, kan du ta kontakt med oss. Kontaktinformasjon finner du under punkt 12 i denne personvernerklæringen. Du får svar fra oss så raskt som mulig og senest innen 30 dager. Dersom vi ser at saksbehandlingstiden blir lenger enn 30 dager, gir vi deg beskjed om det.

10. Datatilsynet, klagemuligheter og gjeldende personvernlovgivning

Datatilsynet er ansvarlig for å føre kontroll med personvernregelverket og tilsyn med norske selskapers behandling av personopplysninger. Hvis du har klager knyttet til vår behandling av personopplysningene dine, kan du kontakte oss når du vil. Du kan også klage til Datatilsynet eller en tilsynsmyndighet i EU/EØS-land der du bor eller arbeider, eller der den påståtte overtredelsen har funnet sted.

Kontaktinformasjon til Datatilsynet finner du på Datatilsynets hjemmeside. På hjemmesiden finner du også ytterligere informasjon om våre plikter etter den gjeldende Personvernlovgivningen.

Den til enhver tid gjeldende versjon av Personvernlovgivningen er tilgjengelig på Lovdata. Personopplysningsloven og GDPR finner du her.

11. Endringer

Fra tid til annen kan vi revidere denne personvernerklæringen, for eksempel som følge av at behandlingen vår av personopplysninger endrer seg, eller som følge av endringer i Personvernlovgivningen. Når personvernerklæringen enders, vil vi publisere en oppdatert versjon på hjemmesiden vår. Hvis vi gjør større endringer i personvernerklæringen vår, vil vi gi deg beskjed, og ved behov vil vi be om ditt samtykke på nytt.

 

12. Kontaktinformasjon

Har du spørsmål eller kommentarer vedrørende ditt personvern eller ønsker å bruke en av rettighetene dine, ta kontakt med oss på personvern@ndla.no.