Personvernerklæring

NIKUT

 

1.  Hvem er behandlingsansvarlig?

Norsk Institutt for Kunstuttrykk og Kommunikasjon (NIKUT) («vi») behandler personopplysninger om våre studenter, tidligere studenter, potensielle studenter og abonnenter på vårt nyhetsbrev. Vi er behandlingsansvarlig for all behandling vi gjør av personopplysninger. At vi er behandlingsansvarlig betyr at vi er forpliktet til blant annet å informere deg om hvordan vi benytter personopplysningene dine, og til å beskytte personopplysningene dine. Det er viktig for oss at du føler dine personopplysninger er trygge hos oss, og vår personvernerklæring skal gi deg informasjon om hvordan vi jobber for dette.

I denne personvernerklæringen gir vi deg blant annet informasjon om hvilke personopplysninger vi behandler, og for hvilke formål vi behandler dem, hvilke tredjeparter som er involvert, informasjon om dine rettigheter og ikke minst hvordan vi sikrer informasjonen vi har om deg. Hvis du har spørsmål om hvordan vi behandler personopplysningene er du velkommen til å ta kontakt med oss. Se kontaktinformasjonen helt nederst i personvernerklæringen.

Der vi henviser til personvernlovgivningen har vi benyttet referanser til den nye personopplysningsloven som tredde i kraft 1. juli 2018.

 

2.  Utdanningsformål

2.1 Oppfylle avtaleforholdet

Vi behandler personopplysninger i den grad det er nødvendig for å oppfylle avtaleforholdet. Det rettslige grunnlaget for slik behandling er personopplysningsloven § 1, jf. EUs personvernforordning («GDPR») artikkel. 6 nr. 1 bokstav b. I den grad behandlingen ikke er strengt nødvendig for å oppfylle avtalen med deg vil grunnlaget være GDPR artikkel 6 nr. 1 bokstav b og vår legitime interesse i å følge opp avtaleforholdet med deg, f.eks. svare på e-poster og yte service til deg, eller kontrollere at avtalen er riktig oppfylt. I punktene nedenfor har vi konkretisert behandlingsaktivitetene og formålene nærmere.

2.1.1 Oppstart og oppfølging av studieforløpet

Vi vil sikre deg som ny student en smidig og effektiv oppstart. Vi vil derfor behandle dine personopplysninger som navn, adresse, fødselsdato, telefonnummer, e-postadresse og informasjon gitt i forbindelse med søknad. Dersom du ikke gir oss disse opplysningene kan vi ikke levere alle våre tjenester til deg. Videre vil vi måtte dele enkelte personopplysninger med tredjeparter for å kunne levere de tjenestene for å følge opp deg som student på best mulig måte. Oversikt over tredjeparter vi samarbeider med finnes under punkt 5.

Vi kan også benytte personopplysningene for å kunne tilpasse innholdet vi tilbyr til dine interesser, analysere forbruks-/markedstrender og forbedre våre tjenester.

2.1.2 Faktura og betaling

For å sikre korrekt fakturagrunnlag og riktig fakturamottaker vil person- opplysninger som navn, adresse, telefonnummer og e-postadresse benyttes i faktureringen. Personopplysningene vil også kunne benyttes dersom det skulle oppstå eventuelle avvik eller innsigelser på fakturagrunnlaget.

2.1.3 Kundebehandling

For å gi deg som kunde personlig, effektiv og god service, vil vi dokumentere opplysninger fra dine kundehenvendelser. Vi har rutiner som sikrer at vi kun dokumenterer det som er nødvendig og relevant for sakens natur. Navn, adresse, telefonnummer og e-postadresse er eksempler på personopplysninger som benyttes.

2.1.4 Avslutning av kundeforhold

Dersom kundeforholdet avsluttes vil relevante personopplysninger behandles. Dette for å sikre at riktig kundeforhold avsluttes.

 

2.2 Nyhets- og informasjonsbrev

Som student eller abonnent på vårt nyhetsbrev vil du motta digitalt nyhets- og informasjonsbrev fra oss, dersom du har undertegnet vår samtykkeerklæring. Nyhets- og informasjonsbrevene kan inneholde nyttig informasjon fra oss knyttet til studieløp (for eksempel praktisk informasjon) og informasjon om andre hendelser, kurs og studier som har en sammenheng med kundeforholdet. Utsendelsene vil også kunne inneholde informasjon som anses som markedsføring. Vi behandler denne informasjonen med grunnlag i personopplysningsloven § 1, jf. GDPR artikkel 6 nr. 1 bokstav f, fordi vi har en interesse i å kunne kommunisere med deg som kunde, markedsføre våre tjenester og gi deg relevante tilbud. Du kan når som helst melde deg av fra vårt nyhetsbrev som inneholder markedsføring ved å følge angivelsen i nyhetsbrevet.

 

2.3 Tilpasning og analyse

Vi benytter opplysninger om ditt kundeforhold for blant annet å kunne sende råd og informasjon som er tilpasset deg og dine interesser. Vi vil også kunne analysere dine personopplysninger, herunder bruksmønster for å videreutvikle tjenestene som vi leverer. Det rettslige grunnlaget for dette er personopplysningsloven § 1, jf. GDPR artikkel 6 nr. 1 bokstav f. Vi har behov for å bruke personopplysningene dine på denne måten for å kunne tilby konkurransedyktige og attraktive tjenester til våre kunder. Vi mener dette ikke medfører noen vesentlig risiko for ditt personvern, da slike analyser vil ta utgangspunkt i aggregerte kundegrupper.

 

2.4 Kundeundersøkelser

Det er viktig for oss å få dine tilbakemeldinger slik at vi kan forbedre vår service, tjenester og produkter. Derfor vil vi kunne benytte navn, telefonnummer og e-postadresse for å sende deg kundeundersøkelser. Behandlingsgrunnlaget for dette formålet er personopplysningsloven § 1, jf. GDPR artikkel. 6 nr. 1 bokstav f, fordi vi har en interesse av å få vite hvordan kundene våre opplever oss.

 

2.5 Behandling av personopplysninger med ditt samtykke

I noen tilfeller trenger vi ditt samtykke for å behandle personopplysningene dine. Det gjelder blant annet hvis vi ønsker å sende deg markedsføring for tjenester som ikke er direkte knyttet til kundeforholdet ditt hos oss eller dersom vi skal kunne fortsette å kommunisere med deg etter at kundeforholdet er opphørt.

Hvis vi ber deg om ditt samtykke vil det alltid fremgå klart og tydelig hva vi ber om samtykke til og hvilke av dine personopplysninger vi ber om å få behandle. Husk at det alltid er frivillig å samtykke og at du når som helst kan trekke tilbake samtykker som du har gitt. Du kan alltid få en oversikt over dine samtykker og trekke tilbake ditt samtykke ved å sende en e-post til nikut@online.no.

 

3.  Oversikt over personopplysninger som behandles

Over har vi angitt hvilke opplysninger vi behandler for ulike formål og på ulike grunnlag. Her gir vi en oversikt over opplysninger vi kan behandle om deg:

  • Fornavn
  • Etternavn
  • Fødselsnummer
  • Telefonnummer
  • Faktura- og postadresse
  • E-postadresse
  • Kundenummer
  • Bilde

 

4.  Hvor hentes opplysningene fra?

4.1 Kundeforhold

Når du registrerer deg som student hos oss oppgir du dine personopplysninger. Dette gjelder alle opplysninger nevnt i punkt 3, som vil være nødvendig for å for eksempel sende faktura og utstede studiebevis.

 

4.2 Abonnent

Når du registrerer deg som abonnent på våre nyhetsbrev oppgir du dine personopplysninger, som for eksempel navn og e-postadresse.

 

5.  Utlevering av opplysningene til tredjeparter

Vi bruker troverdige leverandører og systemer for å støtte ulike prosesser. Disse må følge høye sikkerhetsstandarder for databeskyttelse. Vi deler kun informasjon som er nødvendig for å oppfylle behandlingsaktiviteter knyttet til ditt avtaleforhold og som beskrevet her. Leverandørene er bundet av kontrakt til å bevare informasjonen konfidensielt og følge våre instrukser for behandling og sletting. Leverandørene av systemene har ikke innsyn i personopplysninger som behandles i systemene, dersom dette ikke er eksplisitt nevnt i oversikten nedenfor. Utover dette vil vi kun dele dine personopplysninger dersom du har gitt oss ditt samtykke.

5.1 Databehandlere

5.1.1 Kommunikasjon og behandling av dine henvendelser

Vi benytter ordinær telefontjeneste i dialogen med deg på telefon, som vil besvares av en av våre ansatte eller tilknyttede faglærere/konsulenter. Telefonnummer vil lagres eller oppdateres i våre systemer. Vi benytter standardiserte e-postklienter til å besvare dine forespørsler via e-post. For å kunne svare på e-posten din må vi bruke e-postadressen din og e-postens innhold. Når det gjelder kommunikasjon med deg via SMS bruker vi ordinær telefontjeneste, som vil være med en av våre ansatte eller tilknyttede faglærere/konsulenter. Telefonnummeret ditt er opplysningen som brukes her.

5.1.2 Databehandlere

NIKUT bruker følgende databehandlere:

  • Domeneleverandør for e-posttjenester og web-hotell.
  • Visma til studentregister og til økonomi, regnskap og lønn.
  • Microsoft Office 365til e-postkorrespondanse, kontorstøtte og elektronisk arkiv.
  • WordPress for drift av vår nettside.
  • Google Analyticsfor analyse av bruken av nettsiden vår.
  • Administrativ koordinator for web-administrasjon, e-postutsendelser og -mottak, generering av nyhetsbrev og generelt kontaktpunkt for studenter og abonnenter.

5.1.3 Supplering og kvalitetssikring av personopplysninger

Vi lagrer personopplysningene lokalt hos oss, hvor de også er kryptert som en kvalitetssikring av opplysningene vi har hos oss. NIKUT har dermed et oppslagsverk, og personopplysninger som hentes ut eller kvalitetssikres er blant annet navn, adresse, e-postadresse og telefonnummer.

5.1.4 Vår nettside

På noen deler av www.nikut.org benyttes informasjonskapsler, såkalte cookies. Cookies brukes for å gjøre nettsiden mer brukervennlig. Vi bruker ikke cookies for å samle sensitiv personlig informasjon. Du kan til enhver tid gjøre endringer i nettleseren din og blokkere cookies. Ved å blokkere alle cookies kan det være at du mister tilgangen til deler av vår hjemmeside.

5.1.5 Fakturering

Vi bruker Saldo Regnskap som leverandør i forbindelse med fakturering, purring og avvikshåndtering. For å kunne fakturere deg benyttes blant annet navn, adresse og betalingsinformasjon.

 

6.  Hvordan sikres, slettes og arkiveres opplysningene?

6.1 Sikring av dine personopplysninger

Vi har rutiner for å sikre at behandling av dine personopplysninger til enhver tid er i tråd med legitime behandlingsgrunnlag. I tillegg har vi avtaler med samtlige samarbeidspartnere og leverandører for å sikre at dine personopplysninger behandles på en trygg og forsvarlig måte. Vi har også kontraktfestede sletterutiner slik at dine personopplysninger slettes hos databehandlere når det ikke lenger er noe grunnlag for oppbevaring. I våre egne systemer har vi slette- og anonymiseringsrutiner som gjør at du ikke kan identifiseres som kunde dersom vi ikke har behandlingsgrunnlag for dette. Vi vil ikke oppbevare eller behandle dine personopplysninger når behandlingsgrunnlaget ikke er tilstede. Vi har dessuten implementert nødvendige tekniske og organisatoriske tiltak for å sikre at personopplysningene til enhver tid er forsvarlig beskyttet. For eksempel har vi innført krav om en såkalt to-faktors autentisering via SMS for å sikre at du er den eneste som kan hente ut dine personopplysninger hos oss, og vi har tilgangskontroll.

 

6.2 Sletting og oppbevaring

I henhold til personopplysningsloven § 1, jf. GDPR artikkel 17 vil vi ikke lagre dine personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen.

Når kundeforholdet ditt er avsluttet slettes personopplysninger hos de databehandlere som ikke er pliktig til å beholde disse i henhold til lovgivning. Oppbevaring av personopplysninger, vil gjøres i tre år etter avsluttet kundeforhold, i tråd med alminnelig foreldelsesfrist. Dette for å kunne behandle eventuelle endringer, innsigelser eller avvik etter opphør. Etter tre år vil vi slette personopplysninger knyttet til disse formålene. I henhold til Bokføringsloven § 13, 2. skal visse opplysninger, som kontrakt og fakturagrunnlag med blant annet navn og adresse, lagres i fem år etter kundeforholdet er avsluttet. Vi har rutiner for å sikre tilgangsstyring på personopplysningene i denne perioden, og kun autoriserte brukere vil få adgang til dine opplysninger, dersom det skulle bli nødvendig. Etter oppbevaringstiden på fem år vil vi ha slettet og/eller anonymisert alle personopplysninger som kan identifisere deg som kunde.

Dersom vi behandler personopplysninger på grunnlag av ditt samtykke, slettes disse når samtykke trekkes tilbake.

 

6.3 Angrerett, annullering eller tilbud som ikke er besvart

Dersom du angrer en registrering hos oss eller registreringen var feil og blir annullert, vil vi oppbevare personopplysningene i bestillingen i inntil 30 dager for å kunne kvalitetssikre saken og avdekke eventuelle feil, samt besvare din henvendelse dersom du har spørsmål rundt dette. Dersom du har bedt om et tilbud og ikke besvarer dette innen 30 dager vil bestillingen bli inaktiv og slettes etter nye 30 dager. Her legger vi også kvalitetssikring og henvendelse fra deg som grunnlag for oppbevaringen.

Dersom det ved angring eller annullering produseres en faktura, enten denne skal betales eller tapsføres, er vi pliktig til å oppbevare noen av personopplysningene i henhold til lovgivning. Kontrakt, fakturagrunnlag og de personopplysninger knyttet til dette vil oppbevares i fem år, jf. Bokføringsloven § 13, 2. I tråd med alminnelig foreldelsesfrist vil vi oppbevare logg med dialog og henvendelser i tre år.

 

7.  Dine rettigheter

Du har en rekke rettigheter overfor oss som behandlingsansvarlig for dine personopplysninger.

Du har blant annet:

Rett til innsyn i bruk av dine personopplysninger (personopplysningsloven § 1, jf. GDPR artikkel 15).

  • Du har krav på å få informasjon om hvordan NIKUT behandler dine personopplysninger. Denne personvernerklæringen er ment å inneholde den informasjonen du har rett til å få.
  • Du har også rett til å se/få innsyn i alle personopplysninger som er registrert om deg ved NIKUT.

 

Rett til utlevering/dataportabilitet av dine personopplysninger (personopplysningsloven § 1, jf. GDPR artikkel 20).

  • Du har også rett til å få utlevert en kopi av personopplysninger om deg, dersom du ønsker det.
  • Din rett til dataportabilitet gjelder kun hvis opplysningene du ønsker utlevert er samlet inn på bakgrunn av samtykke eller kontrakt.

 

Rett til å fremme en innsigelse (personopplysningsloven § 1, jf. GDPR artikkel 21).

  • Du kan ha rett til å fremme en innsigelse mot behandlingen, det vil si protestere mot behandlingen, dersom du har et særskilt behov for å få stanset behandlingen. F.eks. hvis du har et beskyttelsesbehov, fortrolig adresse, eller lignende. Innsigelsesretten er ikke en ubetinget rett, og den avhenger av hva som er det rettslige grunnlaget for behandlingen, og om du har et særskilt behov. Vilkårene går frem av GDPR artikkel 21.
  • Hvis du fremmer en innsigelse mot behandlingen, vil vi vurdere om vilkårene for å fremme en innsigelse er oppfylt. Dersom vi kommer til at du har rett til å protestere mot behandlingen, og at innsigelsen er berettiget, vil vi stanse behandlingen og du vil også kunne kreve sletting av opplysningene.
  • Vær oppmerksom på at vi i enkelte tilfeller likevel kan gjøre unntak fra sletting.

 

Rett til å be om korrigering av personopplysninger (personopplysningsloven § 1, jf. GDPR artikkel 16).

  • Du har rett til å få uriktige personopplysninger om deg korrigert. Du har også rett til å få ufullstendige personopplysninger om deg supplert. Dersom du mener vi har registrert feil eller mangelfulle personopplysninger om deg, ber vi deg om å ta kontakt med oss. Det er viktig at du begrunner og evt. dokumenterer hvorfor du mener personopplysningene er feil eller mangelfulle.

 

Rett til å få dine personopplysninger slettet eller at behandlingen begrenses (personopplysningsloven § 1, jf. GDPR artikkel 17 og 18).

  • I enkelte tilfeller kan du ha rett til å kreve at behandlingen av dine personopplysninger blir begrenset. Begrensning av personopplysninger vil si at personopplysningene fortsatt blir lagret, men at mulighetene for videre behandling blir begrensede.
  • Dersom du mener at personopplysningene er feil eller mangelfulle, eller har fremmet en innsigelse mot behandlingen (se mer om dette over), har du rett til å kreve at behandlingen av dine personopplysninger midlertidig blir begrenset. Det vil si at behandlingen blir begrenset inntil vi evt. har rettet dine personopplysninger, eller har fått vurdert om innsigelsen din er berettiget.
  • I andre tilfeller kan du også kreve en mer permanent begrensning av dine personopplysninger. For å ha rett til å kreve begrensning av dine personopplysninger, må vilkårene i personopplysningsloven og GDPR artikkel 18 være oppfylte. Dersom vi mottar en henvendelse fra deg om begrensning av personopplysninger, vil vi vurdere om lovens vilkår er oppfylte.
  • I noen tilfeller har du rett til å kreve at vi sletter personopplysninger om deg. Retten til sletting er ikke en ubetinget rett, og hvorvidt du har rett til sletting må vurderes i lys av gjeldende lover om personvern, det vil si personopplysningsloven og GDPR. Dersom du ønsker å få slettet dine personopplysninger, ber vi deg om å ta kontakt med oss. Det er viktig at du begrunner hvorfor du ønsker at personopplysningene blir slettet, og om mulig også opplyser hvilke personopplysninger du ønsker å få slettet. Vi vil da vurdere om vilkårene for å kreve sletting i loven er oppfylt.
  • Vær oppmerksom på at lovverket i enkelte tilfeller gir oss anledning til å gjøre unntak fra retten til sletting.

 

7.1 Klage

Dersom du mener at NIKUTs behandling av personopplysninger er i strid med relevante personvernbestemmelser har du rett til å sende inn en klage til NIKUT direkte, Datatilsynet eller annen relevant tilsynsmyndighet.

 

Klage til NIKUT kan sendes per post til Norsk Institutt for Kunstuttrykk og Kommunikasjon, Ankerveien 36C, 0785 Oslo.

 

7.2 Krav til legitimering

Hvis du ber om for eksempel innsyn i dine personopplysninger må vi vite at det faktisk er deg som spør. Derfor må du legitimere deg med navn, e-postadresse og telefonnummer for å få innsyn i dine personopplysninger. Din innsynsbegjæring vil bli besvart innen 30 dager etter forespørselen. Opplysningene vil bli tilsendt via e-post og du vil motta en pinkode på SMS for å låse opp filene.

7.3 Cookies

For å få informasjon om bruk av våre nettsider benytter vi informasjonskapsler (cookies). Bruk av cookies er basert på ditt samtykke i henhold til ekomloven § 2-7b. Dette gjør vi for å tilpasse nettsiden til våre brukere, forbedre den, og for å markedsføre våre produkter. Vi behandler imidlertid bare dine personopplysninger i den utstrekning du har samtykket til vår bruk av cookies, og vil stanse behandlingen dersom du trekker tilbake ditt samtykke til vår bruk av cookies.

 

8.  Kontaktinformasjon

Spørsmål og kommentarer til denne personvernerklæringen kan rettes til nikut@online.no eller skriftlig til adressen under:

NIKUT
Ankerveien 36 C
0785 OSLO
Merk: Personvern