Personvernerklæringen beskriver hvorledes Tromsø forskningsstiftelse (TFS) samler inn og bruker personopplysninger i virksomheten sin og hvilke rettigheter du har dersom vi behandler personopplysninger om deg som behandlingsansvarlig.
1. Hvilke personopplysninger behandles av TFS
Vi innhenter og behandler personopplysninger som er nødvendig for å behandle søknader, oppfylle avtaler og/eller norsk lov. Personopplysninger anvendes kun for det formål de er innsamlet for, og stiftelsen selger ikke personopplysninger til andre. Deling av personopplysninger med tredjepart (se: Underdatabehandlere) skjer kun når tredjepart har en rolle som inngår i stiftelsens behandling av søknader og avtaler.
Stiftelsen sletter personopplysninger når det ikke lenger er legitime grunner for å oppbevare dem.
1.1 Behandling av personopplysninger ved søknadsbehandling
Personopplysninger i søknader mottas pr. epost og behandles av stiftelsens administrasjon. Søknadene deles med og behandles av fageksperter som bedømmer søknader, både hver for seg og i fagpaneler.
Stiftelsens vitenskapelig rådgivende utvalg og styre behandler også søknader med personopplysninger. Som ledd i søknadsbehandlingen utarbeider stiftelsen oversikter over søkere og fageksperter som inneholder personopplysninger. Oversiktene lagres sammen med søknadene hos stiftelsens leverandør av datalagringstjenester, se pkt. 2.1. Søknader og oversikter kan bli delt med stiftelsens revisor og regnskapsfører som ledd i kontroll av stiftelsens tildelingsvirksomhet.
Hvilke personopplysninger som stiftelsen lagrer, varierer med hvilken rolle personen det gjelder innehar. I hovedsak lagrer stiftelsen navn, epostadresse, stilling, fødselsdato, utdanning og arbeidserfaring, samt rolle i omsøkt eller innvilget prosjekt.
1.2 Behandling av personopplysninger ved inngåelse og oppfølging av avtaler om tildeling
Tildelinger fra stiftelsen gis i all hovedsak som bidrag til prosjekter ved UiT og UNN, og disse er ansvarlig for eventuelle tilsettinger og personaloppfølging, herunder behandling av personalopplysninger for tilsatte i prosjekter som stiftelsen tildeler midler til.
For å kunne følge opp de kontraktsfestede forpliktelsene utarbeider stiftelsen oversikter over avtaler. Disse inneholder kontaktinformasjon som navn på prosjektleder, e-postadresse og organisatorisk tilhørighet. Avtaler og oversikter deles med stiftelsens regnskapsfører og revisor.
Ved inngåelse av avtale om tildeling forplikter mottaker seg til å sende årlige framdriftsrapporter til stiftelsen. Disse rapportene kan inneholde personopplysninger, men stiftelsen anmoder om å begrense bruken av personopplysninger til det som er nødvendig i forhold til rapporteringen. Rapportene behandles av stiftelsens administrasjon og gjøres også tilgjengelig for stiftelsens vitenskapelige rådgivende utvalg og styre.
Rapportene og oversikter lagres i en skyløsning fasilitert av Norinnova AS, se pkt. 2.2.1.
1.3 Behandling som ledd i lønns- og personaladministrasjon
Medlemmer av styret, adminstrasjonen og vitenskapelig rådgivende utvalg, fageksperter (peer reviewers), samt andre som får honorar fra stiftelsen, er registrert i lønnssystemet som stiftelsens autoriserte regnskapsfører benytter. Slik registrering er nødvendig for å kunne oppfylle avtaler og lovpålagte krav, herunder rapportering til offentlige myndigheter.
2. Underdatabehandlere
Leverandører som Tromsø forskningsstiftelse bruker som underdatabehandlere, er listet under. Disse skal kunne dokumentere gode interne rutiner for personvern og informasjonssikkerhet gjennom sertifiseringer, revisjon eller annen relevant dokumentasjon.
2.1 Forretningsførsel av Tromsø forskningsstiftelse
Stiftelsen kjøper forretningsførsel/administrative tjenester av Norinnova AS. Norinnova behandler på denne måte personopplysninger på vegne av Stiftelsen. Det er inngått databehandleravtale med Norinnova. Ved bruk av underdatabehandlere bekrefter vi at disse pålegges samme forpliktelser hva gjelder vern av personopplysninger som er fastsatt i databehandleravtale med Norinnova.
For å gjennomføre oppdraget benytter Norinnova Databehandlere (underdatabehandlere) som nevnt under. Merk at stiftelsen ikke samler inn personopplysninger fra søkere eller tilsatte ved hjelp av sitt nettsted. Nettsidene til stiftelsen kan inneholde lenker til stiftelsens sider på Facebook og Twitter. Bruken av disse tjenestene er underlagt personvernerklæringene til selskapene som leverer dem.
2.2 Underdatabehandlere for drift av stiftelsens nettsted – analyse – sikkerhet
Merk at stiftelsen ikke samler inn personopplysninger fra søkere eller tilsatte ved hjelp av sitt nettsted. Nettsidene til stiftelsen kan inneholde lenker til stiftelsens sider på Facebook og Twitter. Bruken av disse tjenestene er underlagt personvernerklæringene til selskapene som leverer dem.
2.2.1 Braathe AS
De administrative tjenestene til TFS kjøpes av Norinnova AS. Norinnova benytter Braathe AS, Stakkevollveien 41, 9010 Tromsø, som IT driftsleverdør og leverer drift av skytjenester for drift av stiftelsens kontorstøtteprogrammer og lagring av data. Stiftelsen behandler og arkiverer personopplysninger i elektronisk form gjennom disse tjenestene. Braathe er revidert og sertifisert av DNV GL etter ISO 9001 Kvalitet og ISO 14001 Miljø. https://braathe.no/ Les mer om personvern på https://braathe.no/pve/
2.2.2 Domeneshop
Domeneshop AS, Christian Krohgs gate 16, 0186 Oslo, er stiftelsens leverandør av webhotell som gjør stiftelsen i stand til å publisere sine websider på Internett. Domeneshops avtalevilkår inkluderer en standard databehandleravtale som trer i kraft dersom man bruker Domeneshops hostingtjenester for å behandle personopplysninger. Kun data som stiftelsen publiserer på sine nettsider behandles og lagres av Domeneshop A/S.
2.2.3 Wordfence
Wordfence er sikkerhetstjenesten (Firewall) for stiftelsen websider. Websidene er produsert i verktøyet WordPress med Wordfence som sikkerhetstjenesten til WordPress. Denne oppdateres kontinuerlig og sikrer at stiftelsens nettsider har nødvendig beskyttelse mot inntrenging fra uvedkommende. Wordfence lagrer IP-adresser for å sikre sidene mot inntrengning. Det er kun data på stiftelsens nettsider som behandles av denne tjenesten. Mer info om Wordfence finnes på www.wordfence.com
2.2.4 Google Analytics
Stiftelsen bruker analyseverktøyet Google Analytics på sitt nettsted. Ved besøk på nettsidene til stiftelsen, blir IP-adressen registrert. (En IP-adresse er definert som en personopplysning fordi den kan spores tilbake til en bestemt maskin og dermed til en enkeltperson.) De som besøker nettstedet opplyses imidlertid om og kan reservere seg mot Google Analytics’ bruk av informasjonskapsler til innsamling av analysedata.
Google Analytics er satt opp slik at IP-adressene kun blir behandlet i anonymisert form. Opplysningene kan således bare behandles i avidentifisert form, og slik at de ikke kan knyttes til enkeltpersoner.
Formålet med stiftelsens bruk av Google Analytics er å utarbeide statistikk som stiftelsen nytter til å utvikle og forbedre informasjonen på nettsidene. Statistikken gir kunnskap om tallet på personer som besøker de ulike sidene, hvor lenge besøket varer, hvilke nettsteder brukerne kommer fra, og hvilke nettlesere og hvilke enheter (PC/mobil/nettbrett) som blir brukt.
https://www.google.com/analytics/terms/no.html
2.3 Andre underdatabehandlere
Stiftelsen kjøper data- og regnskapstjenester av eksterne leverandører. Ved bruk av underdatabehandlere bekrefter vi at disse pålegges samme forpliktelser med vern og bruk av personopplysninger som Tromsø forskningsstiftelse.
2.3.1 Trond Mohn stiftelse
TFS signerte samarbeidsavtale med Trond Mohn stiftelse (Org.nr. NO 988 029 327) 16. juni 2023. Avtalen innebærer at TFS behandler personopplysninger på vegne av TMS. TFS opptrer derved som databehandler for den behandlingsansvarlige TMS. Partene signerte databehandleravtale som regulerer TFSs behandling av personopplysninger på vegne av Trond Mohn stiftelse.
2.3.2 BDO AS
BDO AS, Org.nr. NO 993 606 650, er autorisert regnskapsfører som leverer regnskapstjenester til stiftelsen og behandler således personopplysninger for alle som mottar lønn, honorar eller andre godtgjørelser fra stiftelsen. BDO AS behandler personopplysninger på vegne av stiftelsen i tråd med gjeldende lovverk og bransjestandarder, og TFS har en egen databehandlingsavtale med BDO AS. BDO benytter Cantor rapportering for utarbeidelse av rapporter. Rapportene er tilgjengelig for stiftelsen i Cantor Web. https://www.bdo.no/nb-no/home-no
2.3.3 VISMA AS
VISMA AS er leverandør av tjenesten Visma Approval og Visma Autopay som er en nettbasert løsning for behandling av faktura. BDO AS er lisenshaver og avtalepart med Visma AS. Tromsø forskningsstiftelse og BDO AS har inngått avtale om bruk av systemet i fellesskap og den regulerer ansvar, krav til systemet og oppbevaring av oppdragsdokumentasjon.
https://www.visma.no/personvernerklaring/
2.3.4 PWC AS
PWC AS er leverandør av revisjonstjenester, og en nettbasert portal Connect PWC (https://ccglobal.pwc.com) for sikker utveksling av revisjonsdata. PWC AS behandler personopplysninger på vegne av stiftelsen i tråd med gjeldende lovverk og bransjestandarder.
2.3.5 MailChimp
TFS bruker systemet MailChimp til å sende ut nyhetsbrev. Den enkelte kan selv melde seg av og på mottakerlisten for dette nyhetsbrevet. MailChimps Legal Privacy Policy forklarer hvordan data behandles. Brukere i EØS-området må inngå egen databehandlingsavtale med MailChimp.
3. Rettigheter
Personer som er registrert av stiftelsen, har rett til innsyn i egne personopplysninger. Dersom personopplysningene er ukorrekte eller ufullstendige, eller stiftelsen behandler opplysninger det ikke har lov til å behandle, har den registrerte rett til å kreve at slike opplysninger blir korrigert, slettet eller supplerte. Slike forespørsler vil stiftelsen svare på kostnadsfritt og senest innen 30 dager.
4. Personvernombud
Stiftelsen har vurdert det slik at den ikke plikter å ha personvernombud.
5. Kontaktinformasjon og klage til Datatilsynet
Stiftelsen ved styreleder er behandlingsansvarlig for virksomhetens behandling av personopplysninger. Stiftelsens administrasjon svarer på spørsmål fra personer som får eller kan få personopplysningene sine behandlet av stiftelsen.
Kontakt:
Du kan når som helst klage til Datatilsynet dersom du mener vår behandling av personopplysninger ikke samsvarer med vår beskrivelse, eller at vi på andre måter bryter med personvernlovgivningen. Du finner nærmere informasjon om dette på www.datatilsynet.no
Tromsø, november 2023