1. Hvorfor behandler vi personopplysninger?
SiS Sportssenterer et av Stavangers største og mest innholdsrike treningssenter med idrettshall og klatresenter. For at du skal kunne ta i bruk fasilitetene våre er det nødvendig at vi behandler noen personopplysninger om deg. Denne personvernerklæringen skal gi deg informasjon om hvorfor, på hvilket behandlingsgrunnlag og hvor lenge vi behandler dine personopplysninger. Du vil også kunne lese om hvilke rettigheter du har som registrert i punkt 6.
Er du usikker på noe, har spørsmål eller kommentarer knyttet til denne personvernerklæringen, ta kontakt med oss.Kontaktinformasjonen finner du nederst i punkt 7.
2. Hva er en personopplysning og et behandlingsgrunnlag?
Personopplysninger er alle opplysninger og vurderinger som kan knyttes til deg som enkeltperson. Dette kan for eksempel være navn, e-postadresse, fødselsnummer og adresse. Det kan også være et bilde eller videoopptak, kjøps- og betalingshistorikk eller hvilke treningstimer du har vært på. Så lenge den opplysningen eller vurderingen kan spores tilbake til deg er det å anse som en personopplysning.
Vi som virksomhet er underlagt en rekke plikter etter lovverket når vi behandler dine personopplysninger. Dette omfatter blant annet at vi er pålagt å ha et rettslig grunnlag for å gjøre noe som helst med personopplysningene dine. Etter personvernforordningen, General Data ProtectionRegulation, som skal forstås som forordning (EU) 2016/679 heretter omtalt som GDPR, er det seks ulike behandlingsgrunnlag etter artikkel 6.
Behandlingen må enten kunne forankres i samtykke (GDPR art. 6 (1) bokstav a) eller være nødvendig for å oppfylle en avtale (GDPR art. 6 (1) bokstav b), en rettslig plikt (GDPR art. 6 (1) bokstav c), beskytte vitale interesser (GDPR art. 6 (1) bokstav c), utføre en oppgave i offentlig interesse eller utøve offentlig myndighet (GDPR art. 6 (1) bokstav e), eller ivareta legitime interesser (GDPR art. 6 (1) bokstav f).
3. Medlemskap
3.1 Inngåelse av medlemskap
Når du blir medlem av SiS Sportssenter, trenger vi å behandle en rekke personopplysninger om deg for å inngå medlemsavtalen. Dette omfatter personopplysninger som navn, e-postadresse, telefonnummer, fødselsdato og kjønn. Basert på hvilket abonnement du velger vil vi muligens behandle opplysninger som blant annet om du er student, tidligere student eller hvilken arbeidsgiver du har.
Ved medlemmer under 16 år vil vi også behandle opplysninger knyttet til deg som foresatt, dette vil omfatte navn, adresse, mobilnummer, e-postadresse, fødselsdato og kjønn.
Når du bestiller et medlemskap opprettes det en brukerkonto knyttet til deg i våre systemer. Der samles alle personopplysningene du har oppgitt og som behandles under medlemskapet. Behandlingsgrunnlaget vårt for å behandle disse opplysningene er GDRP art. 6 (1) bokstav b avtale.
3.2 Administrasjon av medlemskapet
For å kunne sende deg faktura er det nødvendig at vi benytter personopplysningene navn, adresse og type medlemskap. Formålet med behandlingen er å kreve inn betaling for valgt abonnement.Ved betalingsmislighold sendes personopplysningene til inkassobyrået Remind AS. Disse behandlingene skjer for å oppfylle avtalen med deg, slik at behandlingsgrunnlaget er GDPR art. 6 (1) bokstav b.
Vi har en rekke tilbud som du kan ta i bruk når du er medlem. Dersom du ønsker å booke en squashbaneeller en treningstime benytter vi personopplysningene dine for å melde deg på. Videre vil vi ofte ha behov for å kontakte deg med viktige beskjeder som angår medlemskapet som ved endring av åpningstider eller dersom en time du har meldt deg på er kansellert. Behandlingsgrunnlaget er avtalen vi har inngått med deg og dermed GDPR art. 6 (1) bokstav b.
3.3 Adgangskontroll
For å sikre at det er du som er medlem som benytter deg av SiS Sportssenter, registrerer vi ett portrettfotografi av deg som knyttes til din brukerprofil. Dette benyttes bare for å verifisere at det er riktig person som besøker senteret. Videre lagrer vi et ID-nummer knyttet til brikken eller kortet du bruker ved adkomst. Dette gjør vi for å gi deg tilgang til senteret og for å oppfylle avtalen vår med deg. Behandlingsgrunnlaget er derfor GDPR art. 6 (1) bokstav b.
3.4 Treningshistorikk
Du vil ha muligheten til å se alle tidligere besøk og timer du har deltatt på i våre systemer. Dette vil gi deg en oversikt over treningshistorikken din ved SiS Sportssenter. Det å tilby denne funksjonen er en berettiget interesse vi har, å gi deg en treningsdagbok. Dette anser vi som en fordel for deg som medlem. Behandlingsgrunnlaget for lagring og oversikt over treningshistorikk er GDRP art. 6 (1) bokstav f.
3.5 Klatrekurs
Du kan bestille klatrekurs hos oss. Vi behandler da personopplysningene navn, e-post, telefonnummer og adresse for å sikre påmelding og utstede faktura for kurset. Ved godkjent ferdighetsprøve i forbindelse med klatrekurset vil navnet ditt videreformidles til Norges Klatreforening som utsteder relevant kort. Behandlingsgrunnlaget er her avtalen vi inngår med deg for klatrekurset og da GDPR art. 6 (1) bokstav b.
3.6 Hvor lenge behandler vi dine medlemsopplysninger?
Medlemsopplysningene lagres i en gitt periode etter opphørt medlemskap.Lagringen skjer for å sikre at dersom du ombestemmer deg, at du får en enkel prosess med å gjenåpne medlemskapet igjen. Det er en berettiget interesse vi har, nemlig å legge til rette for at kunder enkelt kan vende tilbake til oss igjen. Behandlingsgrunnlaget for denne lagringen er GDPR art. 6 (1) bokstav f.
Andre personopplysninger er vi lovpålagt å lagre etter opphørt medlemskap. Dette gjelder fakturaopplysninger som vi må lagre i 5 år og medlemsavtalen i 3,5 år etter bokføringsloven § 13.
3.7 Utestengte medlemmer
Ved utestengelse fra SiS Sportssenter vil det komme frem av medlemmets profil i våre systemer at vedkommende ikke lenger har adgang til senteret. Dette er en berettiget interesse vi har, nemlig å sikre effektiv håndheving av vårt reglement. Vi lagrer medlemsprofilen med notatet om utestengelse kun i en begrenset periode. Det foretas egne vurderinger knyttet til hver sak om det foreligger gode grunner for fortsatt lagring. Behandlingsgrunnlaget for lagring av personopplysninger knyttet til utestengte medlemmer er GDPR art. 6 (1) bokstav f.
4. Rent senter
SiS Sportssenter jobber for et rent treningsmiljø i samarbeid med Antidoping Norge. Derfor er alle våre medlemmer forpliktet etter medlemsavtalen til å opptre i tråd med senterets interesser og formål om å være et doping- og rusfritt miljø. Hvis du ønsker å lese mer om rent senter kan du gjøre dether.
Dersom det er mistanke om bruk av dopingmidler fra dopinglisten, vil SiS Sportssenter gjennomføre en samtale med deg. Behandlingsgrunnlaget for disse samtalene er medlemsavtalen og dermed GDPR art. 6 (1) bokstav b. Ingen personopplysninger lagres i forbindelse med denne samtalen.
Ved behov for dopingtest vil du skrive under en avtaleder det kommer frem at du tillater at prøven tas av Antidoping Norge. Vi lagrer denne kontrakten frem til medlemskapet opphører og maksimalt 1 år.Selve testen er det Antidoping Norge som bistår med og det er iverksatt tiltak for å sikre personvernet i prosessen som blant annet at prosedyrer fastsatt av World Anti-Doping Agency.Det rettslige grunnlaget for denne behandlingen er GDPR art. 6 (1) bokstav b avtale. Vi lagrer ikke informasjon om positiv test i våre systemer. Personopplysningene kan bli delt med politiet dersom dopingbruk avdekkes.
I forbindelse med behandlingen vil SiS Sportssenter behandle helseopplysninger og mulig opplysninger om straffbare forhold, slik at det vil skje en behandling av særlige kategorier av personopplysninger etter GDPR art. 9. Vi har fått tillatelse fra Datatilsynet om å behandle denne typen personopplysninger på fastsatte vilkår i tråd med personopplysningsloven § 7. Konsesjonen er forankret i nasjonal rett i § 6 i forskrift om overgangsregler for behandling av personopplysninger. Unntaket i GDPR art. 9 (2) bokstav g er derfor oppfylt.
Det er streng tilgangsstyring knyttet til behandlingen av personopplysninger i tilknytning til rent senter, og det er kun direktøren for SiS Sportssenter og antidopingansvarlig som har tilgang.
5. Besøkende
5.1 Klatrekurs
Hvis du ikke er medlem hos SiS Sportssenter, vil du kunne melde deg på vårt klatrekurs via våre nettsider. Vibehandler personopplysningene navn, e-post, telefonnummer og adresse for å sikre påmelding og utstede faktura for kurset. Behandlingsgrunnlaget er her avtalen vi inngår med deg for klatrekurset, og derfor forankret i GDPR art. 6 (1) bokstav b.Personopplysningene innsamlet i forbindelse med påmelding lagres 1 år før de slettes fra våre systemer. Fakturaopplysningene oppbevares i 5 år i tråd med bokføringsloven § 13.
5.2 Squash
Hvis du ønsker å leie squashbane trenger etterspør vi noen av dine personopplysninger for å reservere banen. Vi registrerer da navn og telefonnummer i våre systemer. Behandlingen skjer for å oppfylle avtalen om å gi deg tilgang til banen, slik at behandlingsgrunnlaget er GDPR art. 6 (1) bokstav b. Personopplysningene knyttet til denne behandlingen anonymiseres den 1. i hver måned.
6. Kameraovervåkning
Av sikkerhetshensyn har vi kameraovervåkning. Kameraene er plasserte i resepsjonen, squash-hallene, idrettshallen og ved personalinngangen.
Vi har strenge, skriftlige rutiner knyttet til bruken av kameraovervåkning. Det er kun daglig leder og IT-ansvarlig som har tilgang til opptakene, og dette kan kun skje hvis man er koblet på samme nettverk som kamerasystemene. Pålogging skal kun forekomme ved mistanke om kriminell aktivitet. Kameraovervåkningen er en berettiget interesse vi som virksomhet har, slik at behandlingsgrunnlaget er GDPR art. 6 (1) bokstav f. Opptakene blir som hovedregel lagret i 7 dager før de blir automatisk slettet.
Ved etterforskning av straffbare handlinger eller ulykker leveres videoovervåkningsopptak til politiet i tråd med forskrift om kameraovervåkning i virksomhet, og behandlingsgrunnlaget vil da være GDPR art. 6 (1) bokstav c. Dersom det er sannsynlig at opptak skal utleveres til politi oppbevares opptaket opp til 30 dager.
7. Dine rettigheter
Du kan alltid ta kontakt med oss dersom du ønsker mer informasjon om hvordan vi behandler dine personopplysninger eller har spørsmål knyttet til dette.
Når vi behandler dine personopplysninger vil du videre ha en rekke rettigheter som du kan håndheve til enhver tid, som du finner mer informasjon om her.
7.1 Rett til informasjon og innsyn
Du har krav på å få informasjon om hvordan dine personopplysninger behandles, og denne personvernerklæringen skal inneholde den informasjonen. Dersom du ønsker kan du ta kontakt med oss for å få innsyn i alle personopplysningene som vi har registrert om deg i våre systemer. Videre kan du fremsette krav om å få utlevert en kopi av alle personopplysningene vi har registrert.
7.2 Rett til å trekke samtykke
Er det rettslige grunnlaget vi har for å behandle personopplysningene dine samtykke, står du fritt til å trekke dette tilbake når du ønsker. Du behøver ikke å oppgi grunn til hvorfor du ønsker å trekke samtykket.
7.3 Rett til korrigering/retting
Du har rett til å få uriktige personopplysninger om deg korrigert/rettet. Du har også rett til å få ufullstendige personopplysninger om deg supplert. Dersom du mener vi har registrert feil eller mangelfulle personopplysninger om deg, ber vi deg om å ta kontakt med oss. Det er viktig at du begrunner og eventuelt dokumenterer hvorfor du mener personopplysningene er feil eller mangelfulle.
7.4 Rett til sletting
Dersom du ønsker å få slettet dine personopplysninger, ber vi deg om å ta kontakt med oss. Det er viktig at du begrunner hvorfor du ønsker at personopplysningene blir slettet, og om mulig også opplyser hvilke personopplysninger du ønsker å få slettet. Vi vil da vurdere om vilkårene for å kreve sletting er oppfylt. Noen personopplysninger er vi lovpålagt å behandle, for eksempel etter bokføringsloven, slik at vi ikke har mulighet til å slette dem.
7.5 Rett til å protestere
Du har rett til å protestere mot behandlingen av dine personopplysninger når behandlingsgrunnlaget blant annet er forankret i GDPR art. 6 (1) bokstav f. Dersom vi kommer frem til at du har rett til å protestere vil vi stanse behandlingen av personopplysningene og du vil også kunne kreve å få de slettet.
7.6 Rett til begrensning
I enkelte tilfeller kan du ha rett til å kreve at behandlingen av dine personopplysninger blir begrenset. Begrensning av personopplysninger vil si at personopplysningene fortsatt blir lagret, men at mulighetene for videre behandling blir begrenset. Dersom du mener at personopplysningene er feil eller mangelfulle, eller har fremmet en innsigelse mot behandlingen (se punktet om retten til å protestere), har du rett til å kreve at behandlingen av dine personopplysninger midlertidig begrenses. Det vil si at behandlingen blir begrenset inntil vi evt. har rettet dine personopplysninger, eller har fått vurdert om innsigelsen din er berettiget.
7.7 Rett til å klage over behandlingen
Dersom du mener vi ikke har behandlet personopplysningene på en korrekt og lovlig måte, eller hvis du mener at vi ikke har klart å overholde dine rettigheter, har du mulighet til å klage over behandlingen. Du finner informasjon om hvordan du kan kontakte oss under i punkt 8.
Du har videre mulighet til å fremme klagen for Datatilsynet. Datatilsynet er ansvarlig for å kontrollere at norske virksomheter opptrer i tråd med bestemmelsene i personopplysningsloven og GDPRved behandling av personopplysninger.
Du finner oppdatert informasjon om hvordan du kontakter Datatilsynet på www.datatilsynet.no .
8. Kontaktinformasjon
Hvis du ønsker å ta kontakt med oss angående denne personvernerklæringen send en e-post til sletting@sissportssenter.no.