Retningslinjer for personvern
1. Personvernerklæring og behandlingsansvarlig
Personvernerklæringen informerer om hvordan To Rom og Kjøkken samler inn og bruker personopplysninger.
Denne personvernerklæringen ble publisert: 29.08.24
Bedriftens registrerte adresse er Carl Johans gate 5, 7010 Trondheim. Du kan kontakte To Rom og Kjøkken på: hege@2rok.no
To Rom og Kjøkken er behandlingsansvarlig for de personopplysninger som samles inn om deg.
2. Hva er personopplysninger
Personopplysninger er alt som beskriver deg eller som kan knyttes til deg som enkeltperson. Det kan omfatte kontaktopplysninger (Navn, telefonnummer osv), identifikasjonsnummer (IP-adresse, kundenummer, cookie-id osv.) og opplysninger om handlinger eller atferd (sider du har besøkt, reservasjoner, eposter du har mottatt osv).
3. Hvorfor vi samler inn personopplysninger, og formålet med det
3.1 Statistikk for forbedring av nettsider og markedskommunikasjon
Vi samler og analyserer data om hvordan du og andre brukere benytter nettstedet. Formålet med dette er å få vite hvordan nettsidene benyttes, slik at vi kan forbedre vårt innhold og våre produkter/tjenester basert på denne innsikten.
Hvilke data: Data om atferd (hvilke sider du besøker, hva du klikker på osv), data om din enhet (type datamaskin/mobiltelefon, operativsystem, nettleser osv.), data om ditt nettverk og posisjon (avledet fra IP-adresse). Alle data knyttes til et anonymt id-nummer som lagres i en cookie i din nettleser. (les mer om cookies)
Behandlingsgrunnlag: Legitim interesse. Vi har stor verdi av å samle og analysere dette datamaterialet, og vurderer at det ikke utgjør noen stor belastning for ditt personvern så lenge informasjonen ikke knyttes til andre informasjonskilder og kontaktopplysninger.
Slik behandler vi personopplysninger: Vi benytter Google Analytics til å samle disse dataene fra din nettleser. Dataene lagres på Google sine servere, men eies av oss. De knyttes ikke til andre verktøy eller kilder med mindre du har gitt samtykke (se andre formål). For å minimere konsekvensene for personvernet lagres ip-adressen kun i anonymisert form (les om ip-anonymisering), og vi setter utløpstiden for cookien som identifiserer deg til maksimalt 7 dager. Når cookien har utløpt vil dataene ikke lenger ha noen kobling til deg som person. I tillegg vil alle individuelle data slettes automatisk av Google Analytics etter 14 måneder.
3.2 Sporing av konverteringer for annonsering
Vi måler resultatene fra vår markedsføring ved å rapportere hvor mange kontakthenvendelser, påmeldinger og reservasjoner som kommer fra en markedskampanje. Formålet er å kunne optimalisere og effektivisere vår markedsføring.
Hvilke data: At du har gjennomført en konkret handling på vårt nettsted, og fra hvilken kilde du kom inn til vårt nettsted. Knyttes også til alle andre data som samles til statistikk (se over).
Behandlingsgrunnlag: Legitim interesse. Databehandlingen setter oss i stand til å bruke våre ressurser mest mulig effektivt, og spare både krefter og penger på tiltak som ikke skaper resultater. I de tilfeller hvor datainnsamlingen ikke er mulig å gjennomføre uten at data kobles til annen informasjon hos tredjepart baserer vi oss på ditt aktive samtykke.
Slik behandler vi personopplysninger: Databehandlingen følger de samme prinsippene som for generelle statistikkformål. Med grunnlag i legitim interesse samler og behandler vi data i Google Analytics, samt at vi sender data til Google Ads med bruk av såkalt Consent Mode (data sendes uten cookie-informasjon). Har du gitt samtykke til “markedsføring” sender vi data til Google Ads på vanlig måte.
3.3 Målretting av annonser
Vi samler data om din atferd på våre nettsider og deler disse med ulike annonseleverandører (databehandlere), med det formål å oppnå mer presis målretting av annonser.
Hvilke data: Data om atferd (hvilke sider du besøker, hva du klikker på osv), data om din enhet (type datamaskin/mobiltelefon, operativsystem, nettleser osv.), data om ditt nettverk og posisjon (avledet fra IP-adresse). Alle data knyttes til et anonymt id-nummer som lagres i en cookie i din nettleser. Dette id-nummeret er en felles identifikator for deg på tvers av alle nettsteder du besøker, som utveksler data med de samme annonseleverandørene.
Behandlingsgrunnlag: Samtykke, som du gir ved å akseptere “markedsføring” som formål (eller “alle”) når du besøker våre nettsider. Du kan endre ditt samtykke nederst i venstre hjørne på siden.
Slik behandler vi personopplysninger: Data samles fra din nettleser når du besøker våre sider, og sendes til lagring og bearbeiding hos Google Ads. I neste omgang blir du plassert i ulike “målgrupper” hos disse leverandørene, som gir mulighet til at vi kan kjøpe annonsering av dem som du får se når du besøker andre nettsteder i deres nettverk. Data om deg inngår også i din generelle profil hos leverandøren, og brukes til å beskrive dine interesser og anslå andre karakteristika ved deg (profilering). Hvis du har oppgitt kontaktopplysninger eller annen personlig informasjon til leverandøren, så knyttes dataene også opp mot dette. Dette gir grunnlag for at andre annonsører enn Synlighet som benytter samme annonsenettverk kan kjøpe annonser med mer presis målretting. Konsekvensen for deg er at de annonsene du får se blir mer tilpasset deg og din situasjon. For å unngå at data om din atferd på våre sider benyttes på denne måten kan du unngå å samtykke til bruk av cookies til “markedsføring”. For å unngå generelt at annonseleverandører samler slike data og benytter dette til å lage en profil på deg kan du enten slette/avvise alle cookies i din nettleser, eller redigere dine innstillinger hos leverandøren. Her er linker til hvordan du kan gjøre dette hos Google.
3.4 Oppfølging av henvendelser og salgsprosesser
Ved henvendelse via kontaktskjema, ved bordreservasjon eller påmelding til et arrangement/kurs innhenter vi nødvendige opplysninger. Du legger selv inn det som er nødvendig for bestilling og betaling. Formålet med innhentingen er å gi deg best mulig service ved oppfølging av nåværende og fremtidige bestillinger.
Hvilke data: navn, telefonnummer, e-postadresse, arbeidssted ved bestilling av jobbarrangement, adresse ved levering av catering, allergier som er relevante for servering av mat og drikke.
Behandlingsgrunnlag: Legitim interesse
Slik behandler vi personopplysninger: Personopplysninger og interaksjoner lagres i vårt kunderegister. Dette skjer automatisk når du selv fyller ut informasjon på nettsiden, eller manuelt dersom henvendelse skjer via våre ansatte. De ansatte som behandler reservasjon/bestilling har tilgang til informasjonen, og den blir lagret i vårt kunderegister i ett år.
3.5 Utsendelse av nyhetsbrev
Ved å melde deg inn i vår gjesteklubb eller huke av for at du ønsker å motta nyhetsbrev fra oss ved booking så henter vi inn nødvendige opplysninger. Formålet med dette er å kunne sende deg relevant informasjon på mail om f.eks kurs, invitasjoner og tilbud.
Hvilke data: Navn, e-postadresse
Behandlingsgrunnlag: Samtykke, som du gir ved å huke av for “e-post” ved booking eller påmelding til nyhetsbrev. Slik behandler vi personopplysninger: Opplysningene lagres automatisk i vår mailplattform Mailchimp, og blir lagret frem til du selv avregistrerer deg.
3.10 Overføring av personopplysninger til mottakere i land utenfor EØS
Det er en målsetting for oss at all behandling av personopplysninger skal foretas innenfor EØS, men det vil kunne være at vi benytter leverandører eller behandler personopplysninger utenfor EØS. I slike tilfeller skal overføring og behandling utenfor EØS skje i land godkjent av EU-kommisjonen eller i samsvar med gyldig rettslig grunnlag for overføringen av personopplysninger etter GDPR kapittel V. Skjer ikke overføring til land godkjent av EU-kommisjonen, vil overføring kun skje etter de garantier som er oppstilt i GDPR artikkel 46 (2). Hvilket grunnlag som er benyttet for overføring kan du få opplyst om du kontakter oss. Både de leverandører vi benytter for annonsering og analyse (som Google m.fl.) er basert i USA, og data vil i mange tilfeller overføres dit. Vi er kjent med utfordringene og kravene som følger av “Schrems II”-dommen, og jobber for å finne gode løsninger på dette.
4. Dine rettigheter
Nedenfor følger dine rettigheter som registrert. For å ta i bruk dine rettigheter må du kontakte oss her: https://www.toromogkjokken.no/kontakt/
Vi vil svare på din henvendelse til oss så fort som mulig. Vi vil om nødvendig be deg om å bekrefte identiteten din eller å oppgi ytterligere informasjon før vi lar deg ta i bruk dine rettigheter overfor oss. Dette gjør vi for å være sikre på at vi kun gir tilgang til dine personopplysninger til deg – og ikke noen som gir seg ut for å være deg. Når det gjelder opplysninger samlet på bakgrunn av at du er identifisert med bruk av cookies så vil en slik bekreftelse være svært vanskelig. Vi kan derfor ikke gi deg innsyn i disse opplysningene annet enn på generelt grunnlag, eller gjennomføre endringer eller sletting. Dersom du sletter cookies i din nettleser vil de opplysninger vi har lagret ikke lenger ha noen tilknytning til deg.
4.2 Informasjon
Du har rett til å få informasjon om de personopplysninger vi behandler om deg. Gjennom denne erklæringen informerer vi deg om vår behandling av personopplysninger. Du kan også kontakte oss om du ønsker mer informasjon.
4.3 Innsyn
Du har rett til å kreve innsyn i personopplysningene som behandles om deg.
4.4 Endring og sletting
Du kan også be oss om å rette feilaktige opplysninger vi har om deg eller be oss om å slette personopplysninger. Vi vil så langt som mulig imøtekomme en forespørsel om å slette personopplysninger, men vi kan ikke gjøre dette dersom vi fremdeles har behov for opplysningene.
4.5 Behandling på grunnlag av samtykke
Behandler vi personopplysninger på grunnlag av ditt samtykke, så kan du til enhver tid trekke tilbake samtykket. Den enkleste måten å gjøre dette på, er å bruke den måte som er opplyst om da du ga samtykket eller kontakte oss.
4.6 Rett til å begrense eller protestere mot behandlingen
Du har rett til å få behandlingen begrenset i visse tilfeller, som dersom:
a) Du bestrider riktigheten av personopplysningene, i en periode som gjør det mulig for oss å kontrollere riktigheten av personopplysningene.
b) Behandlingen er ulovlig, og du motsetter seg sletting av personopplysningene og isteden anmoder om at bruken av personopplysningene begrenses.
c) Vi ikke lenger trenger personopplysningene til formålet med behandlingen, men du har behov for disse for å fastsette, gjøre gjeldende eller forsvare rettskrav.
d) Du har protestert mot behandling etter GDPR artikkel 21 nr. 1 i påvente av kontrollen av om hvorvidt våre berettigede interesser går foran ditt personvern.
4.7 Retten til dataportabilitet
For opplysninger som du har gitt til oss og er nødvendig for å gjennomføre en avtale med oss, og som behandles automatisk (dvs. ikke manuelt av oss) kan du be om å få personopplysningene om deg utlevert eller overført til annen leverandør i et strukturert, alminnelig anvendt og maskinlesbart format (dataportabilitet).
4.8 Automatiserte avgjørelser, herunder profilering
Det vil ikke bli foretatt automatiserte avgjørelser som nevnt i GDPR artikkel 22 nr. 1 og 4 basert på dine personopplysninger foruten det som gjøres under målretting av annonser, se ovenfor.
5. Generelt om oppbevaring og lagring (sletting) av personopplysninger
Vi oppbevarer personopplysninger så lenge det er nødvendig for det formål personopplysningene ble samlet inn for, og sletter opplysningene i tråd med krav i regelverket. Hvor lenge vi behandler de enkelte typene opplysninger vi behandler, er tatt inn i ovenfor hvor de enkelte behandlinger omtales.
I stedet for å slette personopplysningene, kan det i enkelte tilfeller være aktuelt å anonymisere personopplysningene. Med anonymisering menes at alle identifiserende eller potensielt identifiserende kjennetegn fjernes fra datasett som tas vare på.
Dette betyr for eksempel at personopplysninger som vi behandler på grunnlag av ditt samtykke slettes hvis du trekker ditt samtykke. Personopplysninger vi behandler for å oppfylle en avtale med deg slettes når avtalen er oppfylt og alle plikter som følger av avtaleforholdet er oppfylt, som f.eks. lovmessige plikter knyttet til regnskapsføring, oppfølging av kundeforholdet knyttet til reklamasjon mv.
6. Klager
Vi benytter Datatilsynet i Norge som ledende tilsynsmyndighet for grenseoverskridende behandling etter GDPR artikkel 56.
Mener du at vår behandling av personopplysninger ikke er i overensstemmelse med det vi har beskrevet her eller at vi på andre måter bryter personvernlovgivningen, så kan du klage til Datatilsynet. Vi ber deg imidlertid å først kontakte oss, slik at vi kan få utbedret eventuelle feil behandling raskest mulig.
Du finner informasjon om dine rettigheter og hvordan kontakte Datatilsynet på Datatilsynets nettsider: www.datatilsynet.no.