Behandling av personopplysninger i iSPONS

AGINOR PROSJEKTPARTNER, organisasjonsnummer 921425813, er behandlingsansvarlig for personopplysninger som behandles gjennom iSPONS.no, med mindre annet er uttrykkelig opplyst.

Henvendelser om personvern kan sendes til post(at)aginor.no.

Denne personvernerklæringen forklarer hvordan iSPONS behandler personopplysninger om brukere, lagansvarlige, klubbrepresentanter, supportere, sponsorer og andre som bruker eller mottar invitasjoner fra løsningen.

Erklæringen gjelder personopplysninger som samles inn via nettsiden, ved registrering av konto, ved bruk av funksjoner i løsningen, ved invitasjoner per e-post og ved administrasjon av sponsorforhold, lag, sesonger, kamper, fakturagrunnlag og betalinger.

iSPONS kan behandle identifikasjons- og kontaktopplysninger som navn, e-postadresse, telefonnummer, adresse, postnummer, poststed og eventuelle interne notater knyttet til en bruker- eller supporterprofil.

For brukerkontoer behandles også opplysninger om rolle og tilgangsnivå, innloggingsstatus, tidspunkt for opprettelse og oppdatering av konto, samt tekniske autentiseringsopplysninger som håndteres via innloggingsløsningen.

For supportere og sponsorer kan løsningen behandle navn, e-postadresse, mobilnummer, registreringsstatus, invitasjonsstatus, tilknytning til lag eller klubb, avtalte bidrag per mål eller poeng, maksimalt sesongbeløp, fakturagrunnlag, betalingsstatus, betalingsreferanser og eventuelle manuelle notater.

For klubb- og lagadministrasjon kan løsningen også behandle opplysninger om kontaktpersoner, klubbdata, lagtilhørighet, sesonger, kampresultater og økonomiske opplysninger som er nødvendige for å administrere sponsorinntekter, fakturering og oppfølging.

Løsningen kan i tillegg behandle tekniske opplysninger som IP-adresse, tidspunkt, nettleser-/enhetsinformasjon, sikkerhetslogger, informasjonskapsler for innlogging og annen hendelseslogg som er nødvendig for sikker drift, feilsøking og tilgangskontroll.

Personopplysninger behandles for å opprette og administrere brukerkontoer, gi tilgang til relevante deler av løsningen og sikre at riktig bruker får riktige roller og tilganger. Behandlingsgrunnlaget vil normalt være GDPR artikkel 6 nr. 1 bokstav b (oppfyllelse av avtale) og bokstav f (berettiget interesse i sikker og effektiv brukerstyring).

Opplysninger behandles også for å registrere supportere og sponsorer, sende invitasjoner, koble invitasjoner til brukerprofiler, administrere sponsoravtaler og følge opp dialog mellom lag/klubb og supporter eller sponsor. Behandlingsgrunnlaget vil normalt være artikkel 6 nr. 1 bokstav b og/eller bokstav f.

Kampdata, sesongdata og sponsoropplysninger behandles for å beregne bidrag, generere fakturagrunnlag, dokumentere innbetalinger og gi oversikt over opptjente beløp. Behandlingsgrunnlaget vil normalt være artikkel 6 nr. 1 bokstav b, og for bokførings- og regnskapsrelaterte opplysninger artikkel 6 nr. 1 bokstav c sammenholdt med bokføringsregelverket.

Kontaktopplysninger og tekniske logger kan behandles for kundestøtte, feilretting, informasjonssikkerhet, forebygging av misbruk og dokumentasjon av hendelser. Behandlingsgrunnlaget er normalt artikkel 6 nr. 1 bokstav f.

Dersom iSPONS på et senere tidspunkt bruker opplysninger til formål som krever samtykke, for eksempel ikke-nødvendig elektronisk markedsføring eller ikke-nødvendige informasjonskapsler, skal dette beskrives særskilt og behandles på grunnlag av artikkel 6 nr. 1 bokstav a.

Opplysningene kommer i hovedsak direkte fra den registrerte, fra klubb- eller lagrepresentanter som registrerer opplysninger i løsningen, eller fra inviterte supportere og sponsorer som godtar invitasjoner og oppretter eller aktiverer konto.

Løsningen kan også hente eller motta opplysninger fra eksterne kilder når dette er nødvendig for tjenesten, for eksempel kamp- og turneringsdata fra offentlige eller åpne sportsdatakilder og virksomhetsopplysninger om klubber fra offentlige registre som Brønnøysundregistrene, der dette er relevant for funksjonaliteten.

Personopplysninger deles ikke med andre enn det som er nødvendig for å levere tjenesten eller når det følger av lov. Opplysninger kan være tilgjengelige for autoriserte administratorer, klubb- og lagansvarlige innenfor de tilgangene som er satt opp i løsningen.

iSPONS benytter eksterne leverandører som databehandlere. Basert på dagens løsning omfatter dette blant annet Supabase for autentisering, database og applikasjonsnære lagringstjenester, Resend for utsendelse av e-postinvitasjoner og transaksjonell e-post, samt Vercel for hosting og drift av webløsningen.

Det skal inngås databehandleravtaler med leverandører som behandler personopplysninger på vegne av iSPONS, og iSPONS skal sikre at leverandørene bare behandler opplysningene etter dokumenterte instrukser.

AGINOR PROSJEKTPARTNER opplyser per i dag at personopplysninger ikke behandles eller overføres til land utenfor EØS som del av den ordinære driften av iSPONS.

Dersom dette endrer seg senere, skal iSPONS sørge for gyldig overføringsgrunnlag etter GDPR kapittel V og oppdatere denne erklæringen før slik overføring tas i bruk.

Brukerkontoer og tilhørende profilopplysninger lagres så lenge kontoen er aktiv. Når et kundeforhold eller en brukerkonto er avsluttet, er anbefalt hovedregel at konto- og profilopplysninger slettes eller anonymiseres etter 12 måneder, med mindre opplysningene fortsatt må oppbevares for å håndtere pågående sponsorforhold, tvister, sikkerhetshendelser eller lovpålagte plikter.

Opplysninger om supportere, sponsorer og invitasjoner lagres så lenge det er nødvendig for å administrere relasjonen, dokumentere invitasjoner, håndtere aksept og følge opp sponsorforhold. Utløpte eller ubrukte invitasjoner bør som hovedregel slettes senest 90 dager etter utløpsdato, med mindre de må bevares lenger som dokumentasjon i en konkret sak.

Fakturaopplysninger, betalingsreferanser og annet regnskapsmateriale lagres så lenge dette er nødvendig for å oppfylle bokførings- og regnskapsrettslige plikter. Slike opplysninger vil normalt oppbevares i minst 5 år i samsvar med gjeldende regelverk, og eventuelt lenger dersom lov krever det i det konkrete tilfellet.

Tekniske logger og sikkerhetslogger lagres bare så lenge det er nødvendig for drift, feilsøking, sikkerhet og dokumentasjon. Som hovedregel anbefales en lagringstid på 90 dager, med mulighet for lenger oppbevaring dersom det er nødvendig for å undersøke eller dokumentere konkrete sikkerhetshendelser, misbruk eller rettskrav.

iSPONS skal gjennomføre egnede tekniske og organisatoriske tiltak for å beskytte personopplysninger mot uautorisert tilgang, endring, tap, misbruk og ulovlig behandling. Tiltakene skal vurderes ut fra risikoen ved behandlingen og omfatter blant annet tilgangsstyring, autentisering, logging, rollebasert tilgang, sikker lagring, sikker overføring og rutiner for håndtering av avvik.

Bare personer med tjenstlig behov skal ha tilgang til personopplysninger, og tilgangen skal begrenses til det som er nødvendig for den enkeltes rolle.

iSPONS legger per i dag ikke opp til automatiserte individuelle avgjørelser eller profilering som har rettsvirkning eller tilsvarende vesentlig betydning for den registrerte etter GDPR artikkel 22. Dersom dette endres, skal erklæringen oppdateres før slik behandling starter.

Nettsiden og løsningen bruker nødvendige teknologier for å holde brukere innlogget, beskytte sesjoner, ivareta sikkerhet og få løsningen til å fungere. Dette kan omfatte informasjonskapsler og tilsvarende lagring i nettleseren knyttet til autentisering og sesjonshåndtering.

iSPONS bruker etter det opplyste ikke analyseverktøy, sporingsverktøy eller andre ikke-nødvendige informasjonskapsler per i dag. Dersom dette endrer seg, skal dette beskrives særskilt, og eventuelt samtykke skal innhentes der loven krever det.

Den registrerte har, innenfor rammene av personvernregelverket, rett til å be om innsyn i hvilke personopplysninger iSPONS behandler om vedkommende, og til å få kopi av opplysningene.

Den registrerte kan også be om retting av uriktige opplysninger, sletting av opplysninger når vilkårene er oppfylt, begrensning av behandling, dataportabilitet der det er relevant, og protestere mot behandling som skjer på grunnlag av berettiget interesse.

Der behandlingen bygger på samtykke, kan samtykket trekkes tilbake når som helst. Tilbakekallet påvirker ikke lovligheten av behandlingen som fant sted før samtykket ble trukket tilbake.

Henvendelser om bruk av rettigheter kan sendes til post(at)aginor.no. AGINOR PROSJEKTPARTNER skal besvare forespørsler uten ugrunnet opphold og senest innen én måned, med mindre regelverket gir grunnlag for forlengelse.

AGINOR PROSJEKTPARTNER har per i dag ikke etablert egne, særskilt dokumenterte rutiner for innsyn, retting, sletting og andre personvernhenvendelser. Slike henvendelser vil derfor inntil videre håndteres manuelt via post(at)aginor.no.

Det anbefales at virksomheten etablerer en enkel intern rutine som beskriver hvordan henvendelser mottas, identitet kontrolleres ved behov, vurderinger dokumenteres, og svar gis innen fristene i personvernregelverket.

Dersom den registrerte mener at iSPONS behandler personopplysninger i strid med gjeldende regelverk, kan vedkommende kontakte iSPONS først slik at saken kan vurderes og eventuelt rettes opp. Den registrerte har også rett til å klage til Datatilsynet. Oppdatert kontaktinformasjon finnes på www.datatilsynet.no.

iSPONS kan oppdatere personvernerklæringen når det er nødvendig ved endringer i funksjonalitet, behandlingsformål, leverandører eller gjeldende rett. Den til enhver tid gjeldende versjonen skal være tilgjengelig på denne siden, og vesentlige endringer bør varsles på en egnet måte dersom regelverket krever det.