PERSONVERNERKLÆRING MINDBLOWN AS

1. INNLEDNING

Mindblown AS (heretter "vi") utvikler fysiske og digitale tjenester innenfor psykisk helse. Våre tjenester tilbys både til offentlige og private kunder.

Denne personvernerklæringen forteller hvordan vi samler inn og bruker personopplysninger. Personvernerklæringen gjelder alle som besøker våre nettsider eller deltar på kurs, kontaktpersoner hos våre kunder, leverandører og samarbeidspartnere, de som søker jobb hos oss eller på annen måte er i kontakt med oss.

Vi er behandlingsansvarlig for de personopplysningene vi behandler.

Våre kontaktdetaljer:

Besøksadresse: Mindblown AS, C/O KBT, Sorgenfriveien 9, 7031 Trondheim, Norge

E-post: [email protected]

Organisasjonsnummer: 826 111 232

2. HVA ER PERSONOPPLYSNINGER?

Personopplysninger er alle opplysninger som kan knyttes til deg som person. Typiske opplysninger er navn, adresse, telefonnummer og e-post, men det kan også være opplysninger som indirekte identifiserer en person, slik som kjøpshistorikk og bruk av nettsider.

3. VÅR BEHANDLING AV PERSONOPPLYSNINGER

Nedenfor finner du en oversikt over de personopplysningene vil behandler og vårt formål og grunnlag for slik behandling.

1. Når du registrerer deg som bruker/kursdeltaker på vår nettside, samler vi inn de opplysningene du gir oss, som er epostadresse, fornavn og etternavn. I de tilfellene det er arbeidsgiver som er vår kunde, registreres også ditt arbeidssted (arbeidsgiver og eventuell avdeling). Vi registrerer også tidspunktet for når din tilgang til kurset ble aktivert, og når den utløper. Dette trenger vi for å kunne gi deg tilgang til nettsiden og kurset/kursene du skal delta på, og kommunisere med deg angående spørsmål og tilbakemeldinger knyttet til kurset. Behandlingsgrunnlaget vil være avtalen, det vil si kundeavtalen og/eller din aksept av brukervilkårene ved registrering.

2. Når du starter kurset, registrerer vi starttidspunktet, når du sist logget deg inn, hvor langt du til enhver tid er kommet i kurset, og når du har fullført kurset. Dette gjør vi for at du skal kunne følge med på progresjonen din og gis muligheten til å plukke opp tråden og fortsette kurset ved neste innlogging. Behandlingen skjer på grunnlag av vår berettigede interesse i å sikre best mulig funksjonalitet for vår tjeneste.

3. Dersom du er gitt tilgang til kurset via en helseinstitusjon hvor du er pasient og hvor din kursdeltakelse inngår som del av ditt behandlingsopplegg, vil vi kunne utlevere opplysninger om din progresjon i kurset til din behandler. Utleveringen skjer på grunnlag av vår berettigede interesse i å levere en tjeneste som våre kunder kan benytte innenfor et større behandlingsopplegg.

4. Dersom vi ber deg svare på spørsmål og gi oss tilbakemeldinger om forventninger og erfaringer knyttet til kurset, vil det være opp til deg om du vil besvare dette. Behandlingen skjer på grunnlag av det samtykket du gir ved å besvare spørsmålene. Dine tilbakemeldinger vil ikke bli utlevert til andre med mindre du spesifikt samtykker til slik utlevering. Dette kan f.eks. være aktuelt der din kursdeltakelse inngår som del av et behandlingsopplegg du deltar i som pasient.

5. Det kan hende at vi sender deg eposter om endringer på kurs(ene) du er påmeldt, din kursprogresjon, oppdatering på kursplattformen eller andre nødvendige beskjeder. Behandlingen skjer på grunnlag av kundeavtalen og/eller brukervilkårene, og vår berettigede interesse i slik behandling for å kunne tilby en best mulig tjeneste. Dersom vi ønsker å sende deg markedsføring om våre kurs, vil behandlingen av ditt navn og epostadresse for dette formål skje ut fra vår berettigede interesse dersom du har et eksisterende kundeforhold hos oss, og ikke har reservert deg mot dette, eller på grunnlag av ditt samtykke dersom slikt samtykke er innhentet. Slikt samtykke kan trekkes ved å kontakte oss på [email protected]. Tilsvarende gjelder reservasjoner, som også kan gjøres ved å benytte linken i markedsføringshenvendelser mottatt fra oss.

6. Ved betaling av kurs registreres nødvendig betalingsopplysninger, så som kortnummer, navn og utløpstidspunkt. Behandlingsgrunnlaget er kundeavtalen. Disse personopplysningene knyttet til betalingen behandles av våre betalingsløsningsleverandører og ikke av oss. Se punkt 4 for mer informasjon om dette.

7. For å kunne besvare henvendelser som kommer inn til oss utenom kursregistreringen, vil vi også registrere navn og epostadresse, og eventuelle andre personopplysninger som måtte følge av henvendelsen. Behandlingen skjer på grunnlag av ditt samtykke, samt vår berettigede interesse i slik behandling der dette anses nødvendig for å kunne hjelpe deg med din forespørsel.

8. For å kunne inngå og administrere våre kundeavtaler med kommuner/bedrifter/organisasjoner, samt leverandør- og samarbeidsavtaler, behandler vi kontaktpersonen(e)s navn, stilling, telefonnummer og epostadresse, samt eventuell korrespondanse knyttet til inngåelse og oppfyllelse av avtalen. Behandlingen skjer på grunnlag av samtykke eller avtale med oss, samt vår berettigede interesse i slik behandling for å kunne inngå og administrere våre avtaler.

9. Ved henvendelser som gjelder rekruttering til nye stillinger hos oss, behandler vi innsendte opplysninger om deg, din CV, søknad, attester og referanser. Behandling skjer på grunnlag av det samtykket du har gitt ved å søke stillingen, samt vår berettigede interesse i slik behandling for å kunne administrere våre ansettelsesprosesser.

4. UTLEVERING AV PERSONOPPLYSNINGER TIL ANDRE

Generelt

Vi vil ikke utlevere dine personopplysninger til andre med mindre det foreligger et lovlig grunnlag for slik utlevering. Eksempler på slikt grunnlag er samtykke eller avtale med deg, eller en lovpålagt plikt til å utlevere informasjonen.

Vi bruker databehandlere til å lagre eller på annen måte behandle personopplysninger på våre vegne. I slike tilfeller har vi inngått avtaler for å ivareta informasjonssikkerheten i alle ledd av behandlingen. Våre databehandlere kan ikke behandle dine personopplysninger på annen måte enn det som er avtalt med oss og beskrevet i denne personvernerklæringen. Dersom vår bruk av databehandlere innebærer lagring eller annen overføring av opplysninger utenfor EU/EØS, vil vi sørge for at dette skjer til land godkjent av EU-kommisjonen eller i samsvar med gyldig rettslig grunnlag etter gjeldende personvernregler og råd fra EU og Datatilsynet.

Særlig om kursplattformen Thinkific

Våre kurs tilbys på kursplattformen Thinkific. Denne setter oss i stand til å tilby og selge de tjenestene vi tilbyr til deg og våre andre kunder. Dataene dine lagres via Thinkifics datalagring, databaser og Thinkific- applikasjonen. Thinkific lagrer dataene dine på en sikker måte bak en brannmur. Dersom du ønsker å lese mer om Thinkifics behandling av personopplysningene på våre vegne, finner du mer informasjon i databehandleravtalen med vedlegg, som du finner her: https://www.thinkific.com/dpa.

Særlig om betalingsløsningsleverandøren Stripe

Vi benytter en sikker tredjeparts betalingsløsning som heter Stripe. Stripe er en av de største aktørene i markedet. Kunder kan betale med Visa, Mastercard eller via Klarna. Betalinger er kryptert gjennom PCI-DSS (Payment Card Industry Data Security Standard). Dine kjøpstransaksjonsdata lagres bare så lenge det er nødvendig for å fullføre kjøpstransaksjonen.

Alle betalingsportaler følger standardene etablert av PCI-DSS, administrert av PCI Security Standards Council, som er en samlet felles standard benyttet av betalingsnettverkene Visa, MasterCard,

American Express og Discover. PCI-DSS sine krav bidrar til sikker håndtering av kredittinformasjon på kursplattformen, relaterte kurs og hos tjenesteleverandør. Nærmere informasjon om Stripes behandling av personopplysningene, kan du lese om i databehandleravtalen tilgjengelig her: https://stripe.com/en-no/legal/dpa

5. LAGRINGSTID OG SLETTING

Vi lagrer dine personopplysninger så lenge det er nødvendig for å oppfylle formålet med behandlingen eller lovpålagte plikter, og i henhold til våre kundeavtaler.

Personopplysninger vi behandler på grunnlag av ditt samtykke slettes når samtykket opphører eller trekkes tilbake (jf. punkt 7 nedenfor), med mindre det følger av lovkrav eller andre behandlingsgrunnlag at vi likevel må beholde de aktuelle opplysningene en viss tid.

Ta kontakt med din helseinstitusjon/behandler dersom du ønsker at opplysninger de har fått utlevert fra oss i tråd med punkt 3 nr. 3 og/eller 4, skal slettes.

6. BESKYTTELSE OG INFORMASJONSSIKKERHET

Beskyttelse av dine personopplysninger er en høyt prioritert oppgave for oss, og vi arbeider kontinuerlig for å beskytte personopplysninger og annen konfidensiell informasjon. Vårt sikkerhetsarbeid omfatter både fysiske, tekniske og administrative tiltak. Tilgangen til dine personopplysninger er begrenset til ansatte og underleverandører som har et tjenstlig behov for slik tilgang. Vi vil gi opplæring til ansatte og tredjeparter der det er relevant, for å fremme bevissthet om våre retningslinjer og rutiner for personvern.

Sikkerhetsarbeidet innebærer også at vi jevnlig gjennomgår ulike faktorer som risikoeksponering, tilgjengelig teknologi, forretningsbehov og lovkrav. Dette skal sikre at vi til enhver tid har tilstrekkelige sikkerhetstiltak, blant annet for å unngå at personopplysninger kommer på avveie.

For øvrig viser vi til beskrivelsen av informasjonssikkerheten hos våre databehandlere som er angitt og henvist videre til ovenfor.

7. DINE RETTIGHETER

Du har følgende rettigheter med hensyn til de personopplysninger vi behandler om deg:

• Innsyn: Du kan be om å få vite hvilke personopplysninger vi har registrert om deg

• Korrigering eller sletting: Du har rett til å få feil, ufullstendige eller irrelevante opplysninger om deg korrigert eller slettet

• Trekke tilbake samtykke: Du kan til enhver tid trekke tilbake ditt samtykke til vår behandling av dine personopplysninger

• Dataportabilitet: Du kan be om å få utlevert personopplysningene du har gitt til oss i et format som kan overføres til en annen virksomhet, i den grad dette er praktisk mulig og i samsvar med norsk rett

• Informasjon ved brudd på personopplysningssikkerheten: Hvis et brudd på personopplysningssikkerheten medfører høy risiko for dine rettigheter og friheter, plikter vi å varsle deg.

• Begrense/protestere mot behandlingen: Du har rett til å få behandlingen begrenset i visse tilfeller, så som når:

- Du bestrider riktigheten av personopplysningene - behandlingen stanses i en periode som gjør det mulig for oss å kontrollere riktigheten av personopplysningene

- Behandlingen er ulovlig, og du motsetter deg sletting av personopplysningene og isteden anmoder om at bruken av personopplysningene begrenses

- Vi ikke lenger trenger personopplysningene til formålet med behandlingen, men du har behov for disse for å fastsette, gjøre gjeldende eller forsvare rettskrav

Du kan også protestert mot behandling etter GDPR artikkel 21 nr. 1 i påvente av kontrollen av om hvorvidt våre berettigede interesser går foran ditt personvern

For å utøve dine rettigheter kan du ta kontakt med oss på [email protected]. Vi vil svare på din henvendelse til oss så fort som mulig og senest innen 30 dager.

Du kan klage på vår behandling av personopplysninger:

Vi håper du vil si ifra dersom du mener vi ikke overholder reglene i personopplysningsloven. Si da

gjerne først i fra gjennom den kontakten eller kanalen du allerede har etablert med oss. Du kan også klage på vår behandling av personopplysninger. Dette gjør du til Datatilsynet.

Les mer om dine rettigheter her:

https://www.datatilsynet.no/rettigheter-og-plikter/den-registrertes-rettigheter/

8. INFORMASJONSKAPSLER - COOKIES

På våre nettsider bruker vi informasjonskapsler (cookies). En cookie er en fil som lagres i din nettleser, og som gjør at nettsiden kjenner igjen nettleseren fra gang til gang. Både vi og våre samarbeidspartnere kan benytte cookies. Blant annet bruker vi nettanalyseverktøy som er innebygd i vårt nettsted på kursplattformen Thinkfic for å måle og samle anonym sesjonsinformasjon.

Dersom de ikke er nødvendig for at nettsidene våre skal fungere, vil de ikke lagres på din enhet med mindre du samtykker til dette.

Hvilke cookies vi bruker til enhver tid fremgår av vår cookies-modul fra Cookiebot, som vil komme opp ved første besøk på vår nettside, og som ellers er tilgjengelig i form av link på denne siden. Der kan du endre dine gjeldende innstillinger for samtykke til cookies.

Dersom du ikke ønsker at det lagres cookies, kan du endre innstillingene i nettleseren du bruker. Du kan også slette eksisterende cookies. Dersom du velger å slette eller ikke akseptere cookies kan du oppleve redusert funksjonalitet på nettsidene våre.

Våre nettsteder kan også inneholde lenker til andre tredjeparters nettsteder, produkter og tjenester, herunder sosiale medier (f.eks. Metas sosiale tilleggsmoduler for Facebook og Instagram). Tredjepartstjenester eller tredjepartsapplikasjoner som er tilgjengelig på våre nettsteder er underlagt tredjepartens personvernpolicy. Vi oppfordrer deg til å gjøre deg kjent med disse tredjepartenes personvernpraksis. På enkelte tjenester i sosiale medier vil vi kunne ha et delt behandlingsansvar med den som er ansvarlig for det sosiale mediet, og da gjelder vår personvernerklæring for vårt behandlingsansvar.

9. ENDRINGER I PERSONVERNERKLÆRINGEN

Vi forbeholder oss retten til å endre denne personvernerklæringen når som helst, så vennligst les den ofte. Endringer og presiseringer trer i kraft umiddelbart etter at de legges ut på nettstedet. Hvis vi gjør vesentlige endringer i denne erklæringen, vil vi varsle deg på vår nettside om at den har blitt oppdatert, slik at du er oppmerksom på hvilken informasjon vi samler inn, hvordan vi bruker den og/eller eksponerer den. Skulle vårt nettsted eller kurs avvikles eller slås sammen med et annet selskap, kan din informasjon bli overført til de nye eierne slik at de kan fortsette å selge tjenester til deg.