Kondis, ved daglig leder, er behandlingsansvarlig for Kondis sin behandling av personopplysninger. Hovedforpliktelsen til en behandlingsansvarlig er å sikre at personopplysninger behandles i henhold til kravene i EUs personvernforordning 2016/679 og den nye personvernloven. I dette ligger det å sikre forsvarlig behandling av personopplysninger på en slik måte at det ikke innebærer risiko for de registrerte.

Kontaktinformasjon til den behandlingsansvarlige:

Kondis – norsk organisasjon for kondisjonsidrett
Sognsveien 75 A
0855 Oslo
Tlf: 22 60 94 70
E-post: Kondis@kondis.no
For henvendelser angående medlemsregisteret (medlemsservice): Kondis@mediaconnect.no
Daglig leder: Marianne Røhme

 

Noen virksomheter er ifølge personvernforordningen pålagt å ha et personvernombud. Dette gjelder offentlig myndighet, de som driver monitorering i stor skala av registrerte, eller de som behandler sensitive personopplysninger. Kondis er en ideell organisasjon som ikke behandler persondata som gjør det påkrevd med et personvernombud. Vi har derfor ingen i organisasjonen som fungerer som personvernombud. Alle henvendelser om personvern kan derfor rettes direkte til behandlingsansvarlige eller til medlemsservice.
Kondis gir ut magasinet Kondis og driver nettstedet Kondis.no. Våre omtaler og bilder av personer i pressesammenheng på organisasjonens nettsider, i vår elektroniske bildedatabase eller i medlemsbladet, omfattes ikke av EUs personvernforordning 2016/679 eller den nye personvernloven (Eus personvernforordning 20167679 artikkel 85).
Kondis har 12.700 medlemmer og 8 ansatte i til sammen 5,75 årsverk per 31.12.17. Det er også rundt 50 frivillige tilknyttet organisasjonen. Kondis driver også kondisbutikken.no og diverse elektroniske terminlister over idrettsarrangementer.
Driften av Kondisbutikken er satt bort til Idrettsbutikken AS på Flisa som står for utsending av varer og fakturering av kundene, mens regnskapsføring og lønnskjøring er satt bort til HS Regnskap-Invest AS.

KONDIS BEHANDLER FØLGENDE PERSONOPPLYSNINGER:

  • Medlemmer: Navn, adresse, fødselsdato og -år for medlemmer, e-postadresse, telefonnummer, og e-postdialoger med disse.
  • Annonsekunder: Navn og kontaktinformasjon på annonsekunder og e-postdialoger med disse.
  • Arrangører i terminlistene: Navn og kontaktinformasjon på arrangører registrert i terminlistene våre og e-postdialoger med disse.
  • Ansatte: Navn, kontakt- og lønnsinformasjon, avtaleforhold og kommunikasjon med ansatte og frivillige. Våre ansatte mottar nøkkelkort med personlig kode for adgangskontroll til kontorlokalene.
  • Deltakerlister: Nyttårsløpet og arrangementer vi har.
  • Kondisbutikken: Navn, adresse og e-postadresse til kunder i Kondisbutikken.

I tillegg behandler vi personopplysninger i forbindelse med:

  • Informasjonskapsler på Kondis.no, MIN SIDE, Kondisbutikken.
  • Statistikk i forbindelse med vårt system for å måle nettrafikk på kondis.no, Google Analytics, og annonsesystemet Adform.

 

MEDLEMMER

Når du blir medlem hos oss vil du fra tid til annen komme i kontakt med de som driver medlemsservice for oss. Dette er folk hos Mediaconnect AS i Oslo. Disse oppdaterer medlemsregisteret etter hvert som de mottar nye medlemmer eller får beskjed om at noen ønsker å melde seg ut. Det er også Mediaconnect som foretar adresseendringer, og som sender ut den årlige medlemsfakturaen.

I følge personvernforordningen fra EU er det ikke lov til å behandle personopplysninger uten at dette gjøres med utgangspunkt i et formål som er definert i forordningen. Når Mediaconnect behandler personopplysninger for Kondis, er formålet at Kondis skal kunne oppfylle avtalene med medlemmene (som f.eks. å sende ut medlemsbladet 10 ganger i året).

Vi har inngått en databehandleravtale med Mediaconnect for å sikre at de behandler personopplysningene på en god måte.
Det er opprettet en MIN SIDE-funksjon på Kondis.no hvor du som medlem selv kan gå inn og oppdatere den informasjonen vi har lagret på deg. Denne funksjonen gir deg mulighet til å se hvilken kontaktinformasjon som er lagret og til å foreta endringer/korrigeringer. Tjenesten krever personlig innlogging med et passord som er generert fra Connect som er navnet på systemet hvor personopplysningene er lagret.

Den som logger seg på MIN SIDE, får kun tilgang til sin egen informasjon og ikke det som er lagret på andre registrerte.

Magasinet Kondis kommer ut 10 ganger per år og sendes til alle medlemmene. Ved hver distribusjon av bladet, laster Mediaconnect oppdaterte adresselister til Kondis sin FTP-server. Her kan distribusjonsselskapet Helt Hjem, som distribuerer bladene med avisbud, og Grafisk Ferdiggjøring, som adresserer blader som skal distribueres med Posten, logge seg inn og hente adressefilene. Adresselistene består av medlemmets medlemsnummer i Kondis, navn og adresse.

De personopplysningene som samles inn fra deg som er medlem er: navn, adresse, fødselsdato og -år, telefonnummer og e-postadresse. Dersom du også ønsker å kjøpe klær i forbindelse med innmeldingen, ber vi også om din størrelse på klesplagget.

Årsaken til at vi trenger navn og adresse er for å kunne sende medlemsbladet og faktura på medlemskontingenten til rett person, fødselsdato og -år for å fastsette kontingentens størrelse (det er lavere pris for unge og pensjonister), og telefonnummer og e-post for å kunne ta kontakt med deg om saker som angår medlemskapet som for eksempel når blader eller fakturaer kommer i retur på grunn av feilaktig adresse.

Vi vil ikke sende deg tilbud eller nyhetsbrev på e-post eller SMS eller ringe deg for tilbud uten at du har gitt oss et samtykke til dette på forhånd. Dersom du ønsker denne typen informasjon, må du ta kontakt med Mediaconnect på e-post: kondis@mediaconnect.no og gi beskjed om at du ønsker å gi samtykke til å motta nyhetsbrev og tilbud på e-post og telefon.

Når du melder deg ut av Kondis, blir dette registrert i medlemsregisteret og distribusjonen av medlemsbladet avsluttes. Dine personopplysninger lagres i fem år etter utmeldingen. Dette fordi regnskapsloven stiller krav om at alle bilag skal være tilgjengelig i fem år etter at regnskapet for året er avsluttet.

Ved at personopplysningene lagres såpass lenge sikrer vi også at du kan få tilbake sitt gamle medlemsnummer om du melder seg inn igjen i løpet av perioden.

Medlemsnummeret blir brukt i flere sammenhenger som ved innlogging for å lese bladet digitalt, lese saker på kondis.no eller for å utnytte våre gode avtaler med samarbeidspartnere. Mange som melder seg ut et år f.eks. pga utenlandsopphold eller en skade som gjør at en ikke får trent så mye akkurat da, har derfor et stort ønske om å få tilbake sitt gamle medlemsnummer når de melder seg inn igjen.

ANNONSØRER

Dersom du har vært i kontakt med oss i forbindelse med at du har forhørt deg om annonsering i medlemsbladet eller på våre nettsider, har dine kontaktopplysninger blitt lagret i vårt annonsesystem.
Alle de som registreres i vårt annonsesystem får en e-post som forklarer hvilke personopplysninger Kondis har registrert og hva formålet er med innsamlingen. Formålet har vi satt til at vi begge parter har en «berettiget interesse» for dette.
E-posten om at vi har registrert dine personopplysninger sendes ut umiddelbart etter at opplysningene ble registrert. I den samme e-posten spør vi også om samtykke til at vi kan sende deg nyhetsbrev og SMS for å fortelle om våre tilbud og kampanjer.
For å kunne følge opp avtaler og betalingshistorikken med deg som kunde, er det nødvendig å ta vare på personopplysningene over tid. Noen kunder har vi kun kontakt med en gang i året, andre sjeldnere og andre oftere. Vi har derfor funnet det formålstjenlig både for våre kunder og for Kondis å lagre personopplysningene i tre år etter siste kontakt.
I forbindelse med annonsesalget har vi leasingavtale på CRM-systemet SuperOffice som ligger på en server hos vår samarbeidspartner Datasvar AS. For å sikre at opplysningene blir håndtert på riktig måte, har vi inngått en dataavtale med Datasvar.

TERMINLISTENE

Dersom du arrangerer løp, multisport, sykkelritt eller skirenn har du stor glede av å kunne markedsføre arrangementet ditt i våre terminlister på nett og i bladet.

I våre terminlister lager vi oversikt over mosjonsarrangementer med kontaktinformasjon til de ansvarlige, linker til påmelding og arrangørens nettsider. Opplysningene publiseres åpent for allmenheten både på papir og elektronisk.

Formålet for lagring av opplysningene er at både arrangørene og brukerne har en berettiget interesse av dette.

Terminlistene fungerer som et historisk arkiv der de gamle løpene blir tatt vare på. Det er ikke mulig å slette registreringer i terminlistene, men de kan anonymiseres hvis det er ønskelig.

NETTSTATISTIKK OG INFORMASJONSKAPSLER I KONDIS SINE DATALØSNINGER

Kondis samler inn avidentifiserte opplysninger om besøkende på nettsiden: kondis.no. Formålet med dette er å utarbeide statistikk som benyttes til forbedring og videreutvikling av informasjonstilbudet på nettstedet. Eksempler på hva statistikken gir svar på, er antall besøkende på ulike sider, lengde på besøket, hvilke nettsteder den besøkende kommer fra og hvilke nettlesere som benyttes.

Opplysningene behandles i avidentifisert og aggregert form. Dette betyr at vi ikke kan spore opplysningene vi samler inn tilbake til den enkelte bruker. All data slås sammen til en gruppe og behandles aldri individuelt. Vi samler inn hele IP-adressen, men IP-adressen avidentifiseres slik at bare de tre første tallgruppene i adressen benyttes til å generere statistikk. Det vil si at dersom IP-adressen består av numrene 195.159.103.82, brukes bare 195.159.103.xx.

Vi bruker analyseverktøyet Google Analytics på vårt nettsted. Informasjon fra dette verktøyet utleveres ikke fra Kondis til andre aktører. 

Informasjonskapsler (cookies) er små tekstfiler som plasseres på din datamaskin når du laster ned en nettside. Kondis benytter seg av informasjonskapsler til å generere statistikk slik at vi kan spore din bruk av nettstedet - men dette gjøres anonymisert. Lagring og behandling av disse opplysningene er ikke tillatt med mindre brukeren både har blitt informert om og har gitt sitt samtykke til behandlingen. Brukeren skal få vite om og godkjenne hvilke opplysninger som behandles, hva formålet med behandlingen er og hvem som behandler opplysningene, jf. ekomloven § 2-7b.

Følgende informasjonskapsler brukes på kondis.no:

  • Analyseverktøyet Google Analytics som lagrer statistikk ved bruk av nettstedet brukt til analyse og forbedringspunkter.
  • Vår publiseringsløsning (Custompublish) plasserer også informasjonskapsler på din maskin.
  • DoubleClick, Google Adsense, AppNexus, Adform, Clickonometrics og BidSwitch samler informasjon brukt til markedsføring, og lagres anonymt 

ADFORM

Kondis bruker annonsestyringssystemet Adform. Systemet skal gjøre det mulig for oss å selge annonsevisninger på våre nettsider til kjøpere som henvender seg til vår målgruppe. Adform bruker våre brukerdata og statistikk til å kalkulere målgruppedata og sannsynligheten for hvilke brukerprofiler som tilhører de samme brukerne. Videre å gi oss styringsverktøy som gjør det mulig for oss å segmentere og kategorisere brukerdata for våre målgrupper.

Dette gjøres ved bruk av standard scripts. Følgende personopplysninger blir behandlet: Deler av en IP-adresse, lokasjoner basert på den fulle IP-adressen, URL-en til nettsiden og hvilken nettleser som blir brukt. Som bruker av Adform kan vi legge inn annonsepris, navn på annonseproduktet og ordrenummer.

Ingen sensitive data blir behandlet av Adform.

Når en bruker kommer inn på våre nettsider kan Adform bruke informasjon rundt den besøkendes lokasjon, hvilke nettsider vedkommende har vist interesse for osv. til å hjelpe oss til å levere mer relevant annonsering til brukeren på våre nettsteder og mobile applikasjoner. Videre blir informasjonen rundt den besøkende brukt til analyser og statistikk.

For å bestemme hvilke annonser som skal vises, for eksempel å skulle vise lignende produkter som en besøkende har sett på tidligere, bruker Adform en informasjonskapsel for dette formålet. Dette skjer på anonymt basis. Informasjonskapselen samler ikke inn navn, adresser, telefonnumre, e-postadresser eller annen informasjon som identifiserer en person. I stedet inneholder informasjonskapselen et tilfeldig identifikasjonsnummer, opt-out eller opt-in valg, eller informasjon om kampanje-/annonseaktivitet på en annonsør på nettstedet. Den lagrer anonym informasjon som: type enhet, operativsystem, webleserversjon, geografisk plassering, hvilke nettadresser der Adform viser annonser, eller fakta om antall klikk eller visninger av annonser.

Ved Web-forespørsler til Adform Web-servere blir IP-adresser og/eller mobilenhetidentifikatorer av brukerenheter anonymisert.

PERSONOPPLYSNINGER FOR ANSATTE OG FRIVILLIGE

I Kondis registrerer vi navn, kontakt- og lønnsinformasjon på våre ansatte og frivillige. Dette både hos vår regnskapsfører HS Regnskap-Invest AS, og i form av arbeidsavtaler og personaldokumenter internt hos Kondis. Arbeidsavtaler og øvrige personaldokumenter blir lagret lokalt på daglig leders PC og med sikkerhetskopi i Microsofts skytjeneste OneDrive.
Lønnsslipper sendes på e-post fra vårt regnskapskontor. Lønnsslipper som sendes til ansatte på e-post er da krypterte og passordbelagte. Lønnslipper som sendes til daglig leder for kontroll, er ikke passordbelagte, men de siste sifrene i personnummeret er fjernet.

Opplysningene behandles i henhold til artikkel 6. nr. 1 b i forordningen.

Opplysningene brukes i det daglige til lønnskjøring, utgiftsrefusjon, og utbetalinger til ansatte/frivillige og innberetning til det offentlige.  Det er inngått databehandleravtale med HS Regnskap-Invest AS.

NØKKELKORT MED KODE

For å komme inn i lokalene må de ansatte bruke nøkkelkort med kode på tre dører på vei inn til kontoret om de skal på kontoret utenfor oppsatt kontortid.

Vi leier kontorer av Ullevaal Stadion AS. De registrerer navn og firma til de som mottar nøkkelkort. Kondis bruker bilde på kortene. I tillegg står Kondis sin logo, den ansattes navn og et kortnummer på kortet.

Det er Ullevaal Stadion AS som ser denne informasjonen på den enkelte bruker. PIN-koden som brukeren oppgir blir imidlertid skjult i systemet.

Det er tre personer hos Ullevaal Stadion som drifter anlegget, og som kan gå inn og se informasjon. De sjekker ikke inngangstidene til brukere, men kun alarmloggen som sier om noen prøver å komme inn uten tillatelse, feilmeldinger på dører osv.

Ullevaal Stadion AS har ikke lov å oppgi informasjon om brukere til andre. Den ansatte kan spørre om å få logg til dine passeringer, men det er ingen som får utlevert logg på andre enn seg selv – heller ikke ledere.

Ved f.eks. innbrudd, må dette politianmeldes før Ullevaal Stadion AS kan gi logg til politiet.

KONDISBUTIKKEN

Det er Idrettsbutikken på Flisa som driver Kondisbutikken for oss. Dette er en nettbutikk på domenet www.kondisbutikken.no. De som handler i butikken må først registrere seg som kunde med navn og adresse. Etter at kjøpet er gjennomført, pakker Idrettsbutikken forsendelsen og sender denne til kunden. Varene faktureres ved utsendelse.

Formålet for lagring av personopplysninger i Kondisbutikken er i henhold til artikkel 6 nr. 1 b i forordningen. Opplysningene er nødvendige for å oppfylle en avtale med kunden.

Nye medlemmer som melder seg inn i Kondis kan velge å kjøpe varer i Kondisbutikken til spesiell fordelaktig pris ved innmeldingen. Lister med kontaktinformasjonen til disse medlemmer sendes som passordbelagte filer på e-post fra Kondis til Kondisbutikken.

PÅMELDING TIL VÅRE ARRANGEMENTER

Fra tid til annen arrangerer vi løp, kurs og treningsturer. Ved påmelding til disse arrangementene samler vi inn personopplysninger som navn, adresse, telefonnummer og e-postadresse. Ved påmelding til løp samler vi også inn hvilken aldersklasse vedkommende skal løpe i.
Treningsturer arrangeres i samarbeid med en turoperatør. Det er denne som står for det tekniske arrangementet, mens vi bidrar i markedsføringen av reisen. Våre medlemmer får tilbud om å være med til rabatterte priser. På disse turene er det turoperatørene som er behandlingsansvarlige.

Det samme forholdet kan vi ha til kursarrangører. I slike tilfeller er det kursarrangøren som er behandlingsansvarlig, mens vi står for markedsføringen og tilbyr medlemmene våre rabattert deltakelse.

Ved påmelding til løp vi arrangerer er det Kondis som er behandlingsansvarlig, mens vår samarbeidspartner på påmelding og resultatservice er databehandler.

RUTINER FOR LAGRING OG SLETTING

Det er regnskapsloven som bestemmer hvor lenge vi må lagre personopplysninger fra våre medlemmer. Når du melder deg inn i Kondis, blir dine personopplysninger lagt inn i vårt medlemsregister. Herfra vil du også få generert en faktura på medlemskapet. Regnskapsloven krever at vi beholder alle regnskapsbilag i fem år etter at de ble ført i regnskapet. Dersom du melder deg ut igjen, vil det derfor gå fem år etter regnskapsavslutning for det året, før vi kan slette dine personopplysninger.

Opplysninger fra annonsekunder oppbevares i tre år etter siste kontakt. Ettersom vårt annonsesystem ikke inneholder regnskapsbilag, har vi ingen plikt til å oppbevare disse opplysningene i fem år. Det er vår regnskapsfører som fakturerer annonsekundene og som har forpliktelser til lagring av opplysningene i henhold til regnskapsloven.

Bakgrunnen for at personopplysningene til annonsekunder blir tatt vare på i tre år etter siste kontakt er med utgangspunkt i en berettiget interesse for dette for både annonsør og oss.

Kondis har faste årsavtaler med mange annonsekunder og løsere avtaler med andre. Noen annonserer hver måned og i hver utgivelse av medlemsbladet, mens andre begrenser seg til faste perioder av året. Dersom en arrangør har et løp i slutten av april, vil det være naturlig for vedkommende å annonsere for dette på vårparten. Videre vil det kunne ta nesten et år før de annonserer neste gang om de ikke har flere arrangementer gjennom året. Selv om annonsøren ikke har avtale med Kondis om å også skulle annonsere for neste års arrangement når inneværende arrangement er gjennomført, er det likevel så opplagt at kundeforholdet vil fortsette at det ville være svært uheldig for både den registrerte og behandlingsansvarlig om personopplysningene ble slettet på et tidlig tidspunkt etter siste kontakt.

HVEM HAR TILGANG TIL DATAENE?

Det er kundebehandlere hos Mediaconnect som har tilgang til personopplysningene om våre medlemmer. Videre har ansatte i Kondis, totalt 7 personer, mulighet til å gjøre oppslag i medlemssystemet via et API som er satt opp mellom Kondis.no og medlemssystemet. Dette API-et medfører at også ansatte hos Custompublish, som drifter Kondis.no for oss, har tilgang til personopplysningene til våre medlemmer.

Ved hver utsendelse av medlemsbladet Kondis, blir det sendt adressefiler fra Mediaconnect til Helt Hjem, daglig leder i Kondis og Grafisk Ferdiggjøring via en FTP-server. Det kreves pålogging for å få tilgang til disse personopplysningene.

Når det gjelder personopplysningene til annonsekundene, er disse kun tilgjengelige for annonseansvarlig i Kondis og ansatte i Datasvar som drifter løsningene for oss.
For å sikre at ikke personopplysningene blir misbrukt eller kommer på avveie, er det viktig at vi i Kondis har databehandleravtaler med våre samarbeidspartnere.

INFORMASJON TIL DE REGISTRERTE

Dersom vi har registrert personopplysninger på deg, har du rett til å få vite hvilke opplysninger vi har registrert. Om noe er feil har du rett til å få dette korrigert og du har rett til å få dem slettet om ikke lovgivningen krever at vi har dem registrert.

Hvis du melder deg inn i Kondis, må vi registrere navn og adresse på deg slik at vi får sendt deg bladet og faktura for medlemskapet. For å kunne nå deg raskt i forbindelse med forhold som angår medlemskapet, har vi også registrert din e-postadresse og ditt telefonnummer. Du kommer ikke til å motta tilbud og nyhetsbrev fra oss på e-post eller til din telefon. For å motta dette må du gå inn på MIN SIDE og gi oss et aktivt samtykke om at du for eksempel ønsker enten å motta nyhetsbrev og/eller tilbud fra oss. Dette samtykket kan du når som helst trekke tilbake igjen dersom du skulle ønske det.

Vi har også registrert din fødselsdato- og år slik at vi kan fastsette riktig kontingent på deg. Dersom du har familiemedlemmer i samme husstand er dette også registrert hos oss slik at de kan få lavere pris på medlemskontingenten sin.

I følge EUs personvernforordning 2016/679 har vi ikke lov til å registrere personopplysninger uten at det er gitt åpning for dette i forordningen. Ettersom formålet med å registrere dine kontaktopplysninger er for å oppfylle en avtale vi har med deg, har vi derfor tillatelse til å behandle dine persondata for å handtere denne avtalen.

Ettersom vi er forpliktet til å beholde alle regnskapsbilag i fem år etter at de er ført i regnskapet, må vi vente i fem år før vi kan slette dine personopplysninger etter at medlemskapet er sagt opp.

Dersom du ønsker å kontrollere hvilken kontaktinformasjon vi har registrert på deg, kan du gjøre dette på MIN SIDE. Her kan du også rette opp om noe er feil. Dersom du ønsker å få en fullstendig oversikt over hvilke persondata vi har på deg, kan du når som helst ta kontakt med de som driver medlemsservice for oss på e-post kondis@mediaconnect.no.

E-POSTUTVEKSLING MED KONDIS

Kondis sine medarbeidere benytter e-post i alminnelig dialog med interne og eksterne kontakter. Den enkelte er ansvarlig for å slette meldinger som ikke lenger er aktuelle, og minst hvert år gjennomgå og slette unødvendig innhold i e-postkassen. Ved fratreden slettes e-postkontoene, men enkelte relevante e-poster vil normalt bli overført til kollegaer.

Sensitive personopplysninger skal ikke sendes med e-post.

Vi gjør deg oppmerksom på at vanlig e-post er ukryptert. Vi oppfordrer deg derfor ikke til å sende taushetsbelagte, sensitive eller andre fortrolige opplysninger via e-post.