1.1 Bakgrunn og sentrale begreper

I 2018 fikk Norge nytt personvernregelverk. Den nye personopplysningsloven består av nasjonale regler og EUs personvernforordning (GDPR – General Data Protection Regulation) og gjelder i utgangspunktet for all behandling av personopplysninger, både i privat og offentlig sektor, forutsatt at det benyttes elektroniske hjelpemidler eller at opplysningene inngår i et register.

Med personvern menes et lovpålagt vern av privatlivets fred og din personlige integritet. Vernet inkluderer din rett til å ha innflytelse på bruk og spredning av personopplysninger om deg.

Med person menes en levende identifisert eller identifiserbar fysisk person.

Med personopplysninger menes opplysninger og vurderinger som kan knyttes til deg som person. Eksempler kan være navn, adresse, telefonnummer, e-postadresse, IP-adresse, bilnummer, bilder, og fødselsnummer (både fødselsdato og personnummer). Opplysninger om adferdsmønstre er også regnet som personopplysninger.

Opplysninger om deg som forteller om din rasemessige eller etniske bakgrunn, om dine politiske, filosofiske eller religiøse oppfatninger, helseforhold, seksuelle forhold, og eventuelle opplysninger om at du har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, samt medlemskap i fagforeninger, er definert som sensitive personopplysninger.

Med behandling av personopplysninger menes alle operasjoner som gjøres med personopplysninger, som for eksempel innsamling, registrering, strukturering, lagring og spredning.

Med behandlingsansvarlig menes den virksomheten som er ansvarlig for behandling av personopplysninger, bestemmer formålet med behandlingen, og hvilke virkemidler som skal brukes.

Personopplysninger skal kun behandles for spesifikke, uttrykkelige, angitte og legitime formål.

En databehandler er en virksomhet som behandler personopplysninger på oppdrag fra den behandlingsansvarlige.

En databehandleravtale er en avtale mellom databehandler og behandlingsansvarlig om hvordan personopplysninger skal behandles.

Behandlingsgrunnlag

Med behandlingsgrunnlag menes det lovfestede grunnlaget for behandling av personopplysninger. Behandlingen er bare lovlig dersom:

• den registrerte har samtykket til behandlingen (GDPR art. 6 nr. 1 a)
• den har til hensikt å oppfylle en avtale som den registrerte er part i (GDPR art. 6 nr. 1 b)
• den er nødvendig for å oppfylle en rettslig forpliktelse (GDPR art. 6 nr. 1 c)
• den er nødvendig for å verne den registrertes vitale interesser (GDPR art. 6 nr. 1 d)
• den er nødvendig for å utføre en oppgave i allmennhetens interesse / utøve offentlig myndighet (GDPR art. 6 nr. 1 e)
• den er nødvendig for formål knyttet til berettigede interesser (GDPR art. 6 nr. 1 f)

Med samtykke menes en frivillig, spesifikk, informert, utvetydig og aktiv erklæring fra deg om at du godtar behandling av gitte personopplysninger. Et samtykke kan trekkes tilbake når som helst.

Helitrans Norge kan behandle personopplysninger dersom det er nødvendig for å oppfylle en avtale som du er part i, eller for å gjennomføre tiltak du har spurt etter før avtaleinngåelse.

Helitrans Norge er pålagt gjennom rettslige plikter å utføre visse behandlinger av personopplysninger.

Helitrans Norge samler inn visse personopplysninger dersom det er nødvendig for å beskytte en persons vitale interesser (svært snevert – typisk liv og død, eller fare for helsa).

Helitrans Norge kan behandle personopplysninger dersom det er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som behandlingsansvarlig er pålagt.

Helitrans Norge kan behandle personopplysninger dersom det er nødvendig for å ivareta berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Dette brukes kun der inngrepet i ditt personvern er meget lite, og fordelene er større enn ulempene.

Med dataportabilitet menes muligheten til å flytte data (innhold) mellom forskjellige systemer og tjenester.

2. Hvordan behandler Helitrans Norge personopplysninger?

Helitrans Norge grunntjenester er:

• Persontransport med helikopter
• Transport av gods med helikopter

Dette er tjenester som involverer et stort ansvar, og som må utføres med stor grad av nøyaktighet for å ivareta involvertes sikkerhet. En effektiv og nøyaktig kommunikasjon er viktig for å ivareta sikkerheten.

Behandling av personopplysninger er nødvendig i ulike sammenhenger:

• Kommuniserer med oss
• Administrasjon
• Fakturering
• Ansettelse

Helitrans Norge vil aldri selge personopplysninger til tredjepart mot økonomisk vederlag. Det kan forekomme at personopplysninger deles med tredjepart for å utføre visse operasjoner for Helitrans Norge (f.eks. utsendelse av nyhetsbrev, leid kundeoppfølgingssystem, m.m.).

2.1 Kommuniserer med oss

Vi behandler dine personopplysninger i en eller annen form når du besøker våre websider, sosiale nettverk, på/avmelder deg på vårt nyhetsbrev, gjør bestillinger, når vi yter våre tjenester, når vi fakturerer for våre tjenester og når vi behandler stillingssøknader og ansetter nye medarbeidere.

Formål

Helitrans Norge behandler dine personopplysninger for:

• å levere tjenestene til deg som kunde
• når kunder involverer deg i leveransen av våre tjenester
• for å av sikkerhetsmessige grunner kunne ta kontakt med deg
• til ulike plattformer, slik at vi kan kommunisere med deg og at våre kommunikasjonsplattformer fremstår effektivt og forutsigbart
• å kunne tilpasse tjenestene og informasjonsflyten til din person, dine brukervaner og interesser
• å kunne lære om bruken av, og videreutvikle tjenestene til det beste for deg og andre brukere
• å identifisere deg, opprette og opprettholde en brukerkonto for deg i vår online plattform og nettbutikk

2.2 Administrasjon

Som ledd i den daglige drift behandler Helitrans Norge personopplysninger ved håndtering og planlegging av bestillinger.

Formål

De overordnede formålene med å behandle personopplysninger om deg som ledd i vår daglige drift er å:

• sikre en trygg og effektiv gjennomføring av våre kunders bestillinger
• oppfølging og informasjon av våre kunder før, under eller etter gjennomføring av våre tjenester
• informere våre kunder direkte eller indirekte om tjenester, tilbud, tjenester og annet

3. Personopplysninger som behandles, grunnlag og formål

3.1 Generelt ved besøk av våre onlinetjenester

3.1.1 Innsamling av besøksdata

Når du benytter Tjenestene samler vi inn informasjon om eksempelvis navn på produsent av datamaskinen, mobilen eller smart-TV-en din, hvilket operativsystem enheten har, hvilken nettleserversjon eller e-postklient som benyttes, samt informasjon om tilkoblingen til Tjenestene, som IP-adresse. Formålet er å gi bedre brukeropplevelse og hindre misbruk av Tjenestene.

Behandlingsgrunnlaget er berettiget interesse (forbedre og videreutvikle Tjenestene til det beste for deg og andre brukere).

3.1.2 Geografisk posisjon

Ved bestilling av transporttjenester kan du bli spurt om posisjon, for å forenkle bestillingsprosessen og ta utgangspunkt i nærområde og nærmeste helikopterbase.

Behandlingsgrunnlaget er berettiget interesse (gjøre bruk av tjenesten enklest mulig).

3.1.3 Søkemotorer

Nettsiden lagrer informasjon om hvilke søkeord du benytter i våre søkeverktøy. Søkeordene lagres i aggregert form, og kan ikke kobles til andre personopplysninger.

Behandlingsgrunnlaget er berettiget interesse (forbedre og videreutvikle Tjenestene).

3.1.4 Kommentarfelt

Helitrans Norge netttjenester bruker normalt ikke kommentarfelt, og lagrer da heller ikke kommentarer eller personopplysninger knyttet til dette. Om det unntaksvis benyttes kommentarfelt, vil det være nødvendig å logge inn med brukernavn og passord for å legge igjen kommentar.

Behandlingsgrunnlaget er berettiget interesse (unngå misbruk som spam og sjikane).

3.1.5 Analyse og statistikk

Vi analyserer og sammenstiller opplysninger du selv velger å gi oss i forbindelse med spørreundersøkelser og lignende datainnsamlinger for å forbedre tilbudet til publikum. Behandlingsgrunnlaget for dette er ditt samtykke.

Vi analyserer bruken av og interaksjon med Tjenestene. Analysen lages på bakgrunn av handlinger som utføres på din enhet. Statistikken kan inkludere eksempelvis hvilke sider/nyhetssaker du har besøkt, når og hvor lenge disse besøkes, hvilke TV-/radioprogram som startes/stoppes/avbrytes, handlinger i kvisser, spill og valgomat. Statistikken brukes ikke til å koble informasjon tilbake til enkeltpersoner.

Behandlingsgrunnlaget for bruk av personopplysninger til dette formålet er også berettiget interesse (forbedre og videreutvikle Tjenestene).

Data som utelukkende samles inn for analyse- og statistikkformål og som ikke knyttes til identifiserbare enkeltpersoner lagres på ubestemt tid. Data knyttet til innloggede brukere slettes etter 12 måneder med inaktivitet.

3.1.6 Informasjonskapsler

Om du lurer på hvordan Helitrans Norge benytter seg av informasjonskapsler, kan du lese mer i artikkelen Informasjonskapsler (cookies). Formålet er å gi bedre brukeropplevelse og forbedre Tjenestene. Behandlingsgrunnlaget er ditt samtykke og berettiget interesse.

3.1.7 Innlogget bruker

Dersom du registrerer deg og opptrer som innlogget bruker av Tjenestene, eller på andre måter oppretter et kundeforhold til Helitrans Norge via Tjenestene, behandler vi i tillegg til obligatoriske felter som navn og e-postadresse, de personopplysningene du selv oppgir (f.eks. fødselsår, postnummer, kjønn, interesser og bilde).

Innloggede brukere vil få en personlig tilpasset tjeneste. For å kunne tilby dette, analyserer Helitrans Norge bruksmønster for å avdekke adferd og preferanser og gi anbefalinger og innhold som er relevant. Personopplysninger kan fortelle noe om hvordan/når/om innhold konsumeres på tvers av enheter og plattformer, og hvor ofte innhold brukes. Interaksjon med Tjenestene kan påvirke resultatet.

Behandlingsgrunnlaget er avtale.

Data knyttet til innloggede brukere slettes etter 12 måneder med inaktivitet. Opplysningene slettes når du sletter brukerkontoen.

3.2 Hvilke personopplysninger behandles når du kontakter oss?

3.2.1 Ved bestilling av tjenester

Vi behandler følgende personopplysninger for å kunne stå i kontakt i forbindelse med levering av tjenesten:

• Navn
• Telefonnummer
• Epost

I tillegg lagres følgende som del av tjenesteoppdraget:

• Adresse
• Posisjonsdata

3.2.2 Når du har bedt om å motta nyheter / nyhetsbrev

For å kunne sende ut informasjonsbrev (nyhetsbrev) samler vi (med mottakers autorisasjon) inn:

• Navn
• Epostadresse
• Bransje
• Region
• Kanal (hvilken type informasjon man ønsker)

3.2.3 Når du kontakter oss via skjema, e-post eller webside

Når du sender oss en e-post eller kontakter oss via nettskjema, vil henvendelsen behandles i et av våre oppfølgingssystemer. Opplysninger vi ikke er forpliktet til å journalføre eller arkivere vil bli slettet etter Helitrans Norge fastsatte sletterutiner.

Når du kontakter oss elektronisk kan vi motta og lagre:

• Navn
• Telefonnummer / epost eller brukernavn / identifikator på tjenesten vi kontaktes via
• Profilinformasjon (f.eks. bilde) dersom tjenesten har profil
• IP-adresse
• Meldinger og informasjon som er sendt og som må sees som del av kontakten

Våre IT-løsninger kan lagre dette automatisk som del av din profil i vårt kundeoppfølgingssystem. Informasjonen kan også lagres i flightoperationsystem samt regnskaps- og faktureringssystem.

Behandlingsgrunnlaget for opplysninger vi behandler for å saksbehandle henvendelsen er berettiget interesse (yte god kundeservice).

Vår e-postløsning støtter TLS-kryptering for å sikre e-postkommunikasjon. Kommunikasjonen vil være beskyttet hvis e-postleverandør støtter dette. E-post som sendes uten TLS avvises ikke. Tjenesteleverandøren skanner innkommende og utgående e-post for virus og skadevare.

Behandlingsgrunnlaget her er berettiget interesse (sikre Helitrans Norge IKT-infrastruktur).

3.2.4 Når du følger oss på sosiale medier

Når du følger oss eller kontakter oss på sosiale medier, kan vi motta og lagre:

• Navn
• Brukernavn / identifikator
• Profilinformasjon (f.eks. bilde og annet lagret av tjenesten)

Våre IT-løsninger kan lagre dette som en del av din profil i vårt kundeoppfølgingssystem.

3.2.5 Når du kontakter oss via telefon

Når du kontakter oss per telefon vil vi få opp telefonnummeret ditt, hvorfra våre datasystemer kan gjøre oppslag på navn og (hvis du er tidligere kunde) tidligere aktiviteter:

• Telefonnummer

Om du ringer oss, vil navn og telefonnummer bli lagret sammen med opplysninger om når du ringte i vår telefonsentral, og på enhetene som samtalen ble koblet til. Det gjøres navneoppslag i nettbasert telefonkatalog og vårt kundeoppfølgingssystem.

Behandlingsgrunnlaget er berettiget interesse (ivareta sikkerheten til Helitrans Norge ansatte og registrering ved besøk i lokaler).

Helitrans Norge har spredte lokaliteter med baser rundt om i Norge. Hovedkontoret på Værnes samt flere baser er lokalisert på flyplasser hvor Avinor står for sikkerhet og besøkskontroll. På disse vil besøkende være registrert av Avinor i deres løsninger pga. sikkerhet.

Behandlingsgrunnlaget er berettiget interesse (sikre tilgang til flyplassene og Helitrans Norge lokaler).

3.2.6 Fakturering / betaling av tjenester

Ved fakturering og/eller betaling lagres følgende om den som skal motta faktura:

• Navn på fakturamottaker
• Adresse
• Telefon
• Epostadresse

Helitrans Norge utfører fakturering og håndterer personopplysninger knyttet til kunde og tjenesten. I noen situasjoner betaler kunder via betalingsstjenester, og kundens personopplysninger håndteres også der. Helitrans Norge bruker en faktoringpartner, og personopplysninger kan deles med denne tredjeparten.

Ved betaling med kredittkort håndteres kredittkortinformasjon mot tredjepartstjenester (f.eks. VIPPS og iZettle), men kredittkort- eller bankinformasjon lagres aldri av Helitrans Norge. Unntak: ved tilbakebetaling kan vi be om bankinformasjon for å utføre banktransaksjon; informasjonen lagres/arkiveres som del av regnskapsdata etter egne regler og lover.

3.2.7 Stillingssøknader og ansettelser

Dersom du søker jobb i Helitrans Norge, trenger vi å behandle opplysninger om deg for å vurdere søknaden. Opplysninger behandles i den utstrekning det er nødvendig for å inngå eller forberede inngåelse av arbeidsavtale. Dersom søknaden inneholder sensitive (særlige kategorier) personopplysninger, er rettslig grunnlag personopplysningsloven § 6.

Søknadsdokumenter inneholder typisk:

• Navn
• Adresse
• Telefon
• Epost
• Fødselsdato og personnummer

Personnummer er særskilt sensitiv persondata som kan misbrukes og det tas spesielle hensyn. Informasjonen destrueres når den ikke lengre er påkrevd. Helitrans Norge benytter ikke og lagrer ikke personnummer annet enn ved ansettelser. Ansatte lagres i vårt HR- og lønningssystem.

4. Adgangsrutiner, avdelingsinndeling og nivåinndeling

Helitrans Norge benytter adgangskontroll slik at utenforstående ikke skal få tilgang til kundeinformasjon, herunder personopplysninger. I tillegg bestrebes avdelingsinndeling og nivåinndeling slik at detaljert kundeinformasjon bare er tilgjengelig for de som må ha tilgang.

5. Databehandlere og tredjeparter

For å kunne levere Tjenestene benytter Helitrans Norge flere eksterne tjenesteleverandører. Noen er databehandlere (på vegne av Helitrans Norge), andre er tredjeparter som behandler personopplysninger på egne vegne.

Helitrans Norge benytter flere databehandlere som gir innsikt i publikums bruksmønstre og interaksjon med Tjenestene. Eksempler er Google Analytics, Hotjar, Bitrix24 og Mailchimp.

Når databehandler behandler personopplysninger på vegne av Helitrans Norge, er dette regulert i databehandleravtaler eller andre mekanismer som sørger for sikker behandling. Dersom bruk av databehandlere innebærer overføring til land utenfor EØS skal passende garantier være på plass (f.eks. EUs standard overføringsavtaler).

For å tilpasse og videreutvikle Tjenestene benytter Helitrans Norge tredjepartstjenester (f.eks. elementer fra Google, Facebook, Twitter, YouTube, Snapchat eller Instagram), hvor bruker kan ha egen brukerkonto hos tredjepart. Helitrans Norge kan da se samlet informasjon (inkl. alder, kjønn og sted) og statistikk om besøk/reaksjoner/klikk, m.m.

Tredjepartstjenester tilgjengelig via våre tjenester er underlagt tredjepartens personvernerklæring. Vi oppfordrer deg til å gjøre deg kjent med disse.

Helitrans Norge har avtaler med en rekke databehandlere som behandler personopplysninger knyttet til daglig drift (f.eks. lønn, telefonabonnementer, fysisk sikkerhet for ansatte og besøkende).

6. Dine rettigheter og hvordan du kan utøve disse

6.1 Personvernombud

Dersom du har spørsmål om Helitrans Norge behandling av dine personopplysninger eller om dine rettigheter etter personvernlovgivningen, ta kontakt med Helitrans Norge personvernombud på: [email protected]

Du har krav på svar uten ugrunnet opphold, og senest innen 30 dager.

6.2 Tilbaketrekking av samtykke

Dersom du har gitt samtykke til at Helitrans Norge kan behandle dine personopplysninger, kan du når som helst trekke samtykket tilbake ved å kontakte oss.

6.3 Innsyn i egne opplysninger

Du kan be om innsyn i de personopplysninger Helitrans Norge behandler om deg. Se Innsyn for mer informasjon og kontaktopplysninger.

6.4 Retting av personopplysninger

Du kan be oss rette eller supplere opplysninger om deg som er feilaktig eller misvisende. Dersom du har opprettet en brukerprofil på Helitrans Norge webside, kan du gjøre endringer på Min side.

6.5 Sletting av personopplysninger

I enkelte situasjoner kan du be oss slette opplysninger om deg selv. Les mer om retten til sletting på Datatilsynets side.

6.6 Dataportabilitet

Du har rett til å motta og få overført personopplysninger du selv har oppgitt ved samtykke eller avtale til Helitrans Norge (dataportabilitet). Du vil få informasjonen utlevert i et strukturert og maskinlesbart format, og du kan be Helitrans Norge overføre direkte til ny virksomhet hvis teknisk mulig.

Før vi utleverer opplysninger om deg, må vi fastslå din identitet.

6.7 Begrenset behandling

Du har rett til å kreve begrenset behandling av dine personopplysninger. I dette tilfellet blir opplysningene lagret, men ikke brukt.

Når behandling er begrenset skal virksomheten lagre opplysningene, men ikke bruke dem uten ditt samtykke. Noen få unntak kan gjelde (f.eks. rettskrav, verne en annen persons rettigheter eller viktige allmenne interesser).

6.8 Stopp bruk av personopplysninger i reklamesammenheng

Du har rett til å kreve at bruken av dine personopplysninger stoppes brukt i reklamesammenheng. Opplysninger lagres da, men brukes ikke til markedsrettede formål.

6.9 Øvrige rettigheter

Dersom du mener vi har registrert feil personopplysning om deg, du ønsker å motsette deg behandling, eller du mener det har skjedd brudd på personvernregelverket, ber vi deg kontakte personvernombudet på [email protected].

Du kan også klage over vår behandling av personopplysninger til Datatilsynet.

Du kan begrense mengden av opplysninger som behandles ved å bruke privatmodusinnstillinger på enheten din (f.eks. blokkere cookies, hindre logging/sporing via privat-modus). Kvaliteten på Tjenestene kan bli påvirket av slike tiltak.

7. Annen kontaktinformasjon

Henvendelser rettes til HELITRANS NORGE AS (organisasjonsnummer 932 893 037). For kontaktinformasjon, se Kontakt.

8. Informasjonssikkerhet

Helitrans Norge overordnede grunnprinsipper for informasjonssikkerhet gjelder alle brukere, systemer og tjenester i Helitrans Norge. Tiltak for etterlevelse av informasjonssikkerhet gjelder også for sikring av personopplysninger som brukes til journalistiske formål.

Grunnprinsippene skal bidra til at Helitrans Norge informasjonsverdier sikres på en systematisk og tilfredsstillende måte. Grunnprinsippene legges til grunn ved planlegging, organisering og gjennomføring av alle prosjekter som omhandler informasjonssystemer.