PERSONVERNERKLÆRING FOR RAMME.NO / RAMME GÅRD

Ramme er en gård og en kulturdestinasjon utenfor Hvitsten i Vestby kommune i Akershus hvor det drives økologisk gårdsbruk med kjøtt, melkeprodukter og grønnsaker. I tillegg har gården et besøksområde med kro, restaurant, galleri, scene og kafe/butikk. På Ramme arrangeres konserter, teatersetninger og andre kulturaktiviteter, slik som guidede turer og omvisninger i den barokke hagen med skulpturer, dammer, fontener og kaskader.

 

Denne personvernerklæringen beskriver hvordan Rammestiftelsen for kunst, kultur og natur («Rammestiftelsen») behandler personopplysninger og hvilke rettigheter enkeltpersoner har etter personopplysningsloven og personvernforordningen (GDPR) ved slik behandling.

 

  • Behandlingsansvarlig
  • 2.De registrerte vi behandler personopplysninger om og deres rettigheter
  • 3.Hvem kan du kontakte?
  • 4.Oversikt over behandlinger som foretas av Rammestiftelsen
    • Kultur-, kunst- og andre besøksrelaterte aktiviteter på Ramme gård, inkludert omvisninger
    • Administrative tjenester og arkivering/sakshåndtering
    • Fakturering
    • Erfaring- og kunnskapsforvaltning
    • Markedsføring
    • Samhandling med leverandører, samarbeidspartnere og andre tredjeparter
    • 4.7Søknader og jobbsøkere
    • 4.8Særskilte behandlingsaktiviteter hvor Ramme Eiendom er behandlingsansvarlig
      • 4.8.1Sikkerhet og WiFi
      • 4.8.2Gårdsutsalg og butikk
  • 5.Hvem utleverer vi personopplysninger til
  • 6.Behandling av personopplysninger innenfor EU/EØS
  • 7.Hvor lenge lagres personopplysningene
  • Informasjonskapsler (cookies)
  • 9.Informasjonssikkerhet
  • 10.Versjon

Rammestiftelsen er ansvarlig for å legge til rette for markedsføring og kommersiell drift av Ramme. Ved besøk på gården, nettstedet ramme.no og de arrangementer som finner sted på Ramme, er Rammestiftelsen behandlingsansvarlig og behandler personopplysninger i henhold til regelverket og med fokus på sikkerhet. Adressen til behandlingsansvarlig er:

 

Besøksadresse: Rammeveien 90, 1545 Hvitsten

Epost: post@ramme.no

Telefon: +47 64 98 32 00

Organisasjonsnummer: NO 913 449 487 MVA

  

Ved behandling av personopplysninger i forbindelse med overnatting på og matservering hos hotellet på Ramme, er behandlingsansvarlig Ramme fjordhotell AS. Hotellet driftes av Classic Norway Hotels.

 

Ved visse behandlingsaktiviteter på Ramme, er Ramme Eiendom Petter Olsen («Ramme Eiendom») behandlingsansvarlig. Dette gjelder ved behandling av personopplysninger knyttet til gårdsutsalg og butikk på Ramme og ved behandling av personopplysninger ifm. med Rammes WiFi og sikkerhetsløsninger for å overvåke, sikre, avdekke og forhindre uønskede hendelser. Du kan lese mer om behandlingsaktivitetene hvor Ramme Eiendom er behandlingsansvarlig i personvernerklæringens pkt. 4.8.  Adressen til behandlingsansvarlig er:

 

Besøksadresse: Rammeveien 92, 1545 Hvitsten

Epost: post@ramme.no

Telefon: +47 64 98 32 02

Organisasjonsnummer: 969 921 480

 

Ramme Eiendom er også databehandler på vegne av Ramme fjordhotell AS, Norder i Viken AS og Rammestiftelsen knyttet til administrative tjenester.

 

Ramme er en kulturdestinasjon for besøkende, og har samarbeidspartnere, tilhørende og ansatte som bidrar til aktivitetene på Ramme. I tillegg til de besøkende med tilhørende personopplysninger, behandler vi også i enkelte tilfelle følgende personopplysninger:

  • Kontaktopplysninger til kontaktpersoner hos våre leverandører, samarbeidspartnere eller andre tredjeparter
  • Kontaktopplysninger til kontaktpersoner hos bedriftskunder
  • E-postadresser til privatpersoner i forbindelse med kurs og nyhetsbrev
  • Innsynsrett
    • Du har rett til å se hvilke opplysninger vi behandler om deg.
  • Rett til sletting
    • Du har rett til å kreve at personopplysninger om deg slettes hvis det eksempelvis ikke lenger finnes et grunnlag for behandling.
  • Retteplikt
    • Du har rett til å få uriktige opplysninger om deg selv rettet.
  • Begrensningsrett
    • Du kan be om at vi begrenser behandlingen av dine personopplysninger.
  • Protest
    • Du kan protestere mot behandlingen av dine personopplysninger.
  • Dataportabilitet
    • Personopplysninger vi måtte ha om deg kan du be om å få utlevert i et strukturert, alminnelig anvendt og maskinlesbart format og skal ha rett til å overføre nevnte opplysninger til en annen behandlingsansvarlig.
  • Trekke tilbake samtykke
    • Da vår behandling er basert på samtykke fra deg, så har du rett til å trekke samtykket tilbake.

 

De personer vi behandler personopplysninger om er å anse som registrerte etter GDPR. Hvis du er å anse som en registrert, har du som utgangspunkt, med enkelte forbehold, følgende rettigheter:

 

 

Har du spørsmål om hvordan vi behandler personopplysninger, ønsker å klage eller utøve dine rettigheter etter GDPR, så kan du sende en e-post til gdpr@ramme.no.

 

Du kan også finne ut mer om dine rettigheter etter GDPR eller klage til Datatilsynet på www.datatilsynet.no.

 

For å kunne organisere og gjennomføre kultur-, kunst- og andre besøksrelaterte aktiviteter på Ramme, inkludert omvisninger, er det nødvendig å behandle personopplysninger.

 

Behandlingsgrunnlag er avtalen (GDPR art. 6 b) knyttet til privatpersoners avtale om å besøke Ramme, og berettiget interesse (GDPR art. 6 f) for vår dialog med virksomhetsklienter. Videre vil annen besøksrelatert aktivitet være hjemlet etter en berettiget interesse (GDPR art. 6 f) som er knyttet til vår egeninteresse i å opptre etisk og etterleve lover og forskrifter.

 

Hvilke personopplysninger som behandles: Navn, telefonnummer og e-postadresse.

 

For å kunne levere tjenester på Ramme, er vi avhengig av å kunne samhandle med samarbeidspartnere og behandle personopplysninger i forbindelse med vår administrasjon.

Behandlingsgrunnlag er avtalen (GDPR art. 6 b) knyttet til privatpersoner og virksomheter, samt berettiget interesse (GDPR art. 6 f) for vår dialog med samarbeidspartnere eller i andre tilfeller med besøkende.

Hvilke personopplysninger som behandles: Vi behandler vanligvis kontaktperson/navn, stilling, e-postadresse, telefonnummer og adresse for å kunne kommunisere med samarbeidspartnere (basert på oppdragsavtale), og i forbindelse med sakshåndtering vil vi kunne behandle personopplysninger om kontaktpersoner, besøkende og andre representanter som fremkommer av dokumenter, e-poster, prosesskriv, avtaler, notater etc. (basert på berettiget interesse).

I noen saker kan vi også kunne behandle (sensitive) personopplysninger av særskilt kategori, slik som helseopplysninger i forbindelse med administrasjon. I slike tilfeller vil behandlingsgrunnlaget være basert på avtale (GDPR art. 9 b) for private besøkende.

 

Vi vil også kunne behandle personopplysninger for formål som ikke er uforenlige med det opprinnelige formålet de ble innhentet for. Dette gjelder eksempelvis informasjon som er delt med våre samarbeidspartnere på Ramme. I slike tilfeller vil behandlingsgrunnlaget være en berettiget interesse etter GDPR art. 6 nr 4.

For å kunne fakturere våre arrangementer, behandler vi informasjon for å kunne utstede faktura gjennom vårt regnskapssystem.

 

Behandlingsgrunnlaget for besøkende er berettiget interesse (GDPR art. 6 f) knyttet til vår interesse for å fakturere, eller avtale for private (GDPR art. 6 b), i tillegg til lagring og regnskapsføring som er hjemlet for å oppfylle rettslige forpliktelse (GDPR art. 6 c).

 

Hvilke personopplysninger som behandles: Betalingsopplysninger, kostnader, saksbeskrivelse og kontaktopplysninger som vi har mottatt/samlet.   

 

Som kunnskapsbedrift vil vi se hen til tidligere saker når vi gir råd. Vi lærer av våre erfaringer, og vil i den forbindelse benytte våre erfaringer fra tidligere aktiviteter og arrangement til å lære opp våre medarbeidere, samt forbedre og videreutvikle våre aktiviteter gjennom et erfaringsarkiv.  Ved utarbeidelse av standardrapporter, maler eller annen erfaringsdokumentasjon vil vi, så langt det er mulig, anonymisere personopplysningene.

 

Behandlingsgrunnlaget for slik behandling av personopplysninger er berettiget interesse (GDPR art. 6 f) knyttet til vår egen interesse for å forvalte kunnskap.

 

Hvilke personopplysninger som behandles: Personopplysninger vil i liten grad være en del av kunnskapsforvaltning, men vil kunne forekomme sporadisk i form av kontaktopplysninger eller henvisning til personer i saksdokumenter.

 

Vi markedsfører Ramme gjennom å sende ut nyhetsbrev og annen markedsinformasjon om kultur- og kunstaktiviteter, kurs, seminarer, osv. per e-post til kontaktpersoner hos våre eksisterende kontakter, registrerte interessenter osv. Dette gjelder besøkende som har vært i kontakt med oss innenfor de siste to år, samt andre som har gitt sitt samtykke til å motta slik kommunikasjon.  

 

Behandlingsgrunnlaget for markedsføring mot registrerte som har vært besøkende de siste to år er berettiget interesse (GDPR art. 6 f) for å holde disse besøkende oppdatert om våre arrangementer, samt markedsføringsloven § 15 (3). For utsendelser til andre personer og interessenter er vårt grunnlag samtykke (GDPR art. 6 a), jf. markedsføringsloven § 15 (1). Alle mottakere av våre utsendelser kan enkelt melde seg av ved å benytte lenken som er inkludert i hver e-post.

 

Hvilke personopplysninger som behandles: E-postadresse, navn og telefonnummer.

 

Vi administrerer også sider på kommunikasjonsplattformene LinkedIn, Facebook og Instagram, hvor vi har et delt behandlingsansvar, og hvor besøkende på nettsidene kan legge igjen kommentarer og personopplysninger.. Behandlingsgrunnlaget for slik behandling av personopplysninger er berettiget interesse (GDPR art. 6 f) knyttet til vår egen interesse i å markedsføre våre aktiviteter.

 

For å yte våre tjenester benytter vi leverandører/underleverandører og samarbeidspartnere og benytter kontaktpersonenes kontaktinformasjon.

 

Behandlingsgrunnlaget er hjemlet i avtale med de nevnte (GDPR art. 6 b) eller berettiget interesse (GDPR art. 6 f) for å håndtere kommunikasjon og andre forhold som ikke er hjemlet i avtale.

 

For å kunne ansette riktige personer gjennomfører vi jevnlig ansettelsesprosesser hvor arbeidssøkere sender oss sine jobbsøknader.

 

Behandlingsgrunnlaget er berettiget interesse (GDPR art. 6 f) for å innhente relevant informasjon om arbeidssøkeren, samt beholde slik informasjon i en begrenset periode på 12 måneder i etterkant i de tilfeller søknaden og dens materiale kan benyttes til nye behov som dukker opp. Dette med mindre søkeren ikke ønsker at informasjonen skal lagres videre eller på annen måte trekker søknaden.

 

Personopplysninger som behandles: Navn, adresse, opplysninger i CV, sivilstand og andre personopplysninger om vedkommende med referanse til tidligere arbeidsgivere og kontaktpersoner.

 

Behandling av personopplysninger knyttet til ansatte følger våre interne personvernrutiner.

 

Ramme Eiendom logger aktiviteter på Ramme for å ivareta sikkerheten, herunder videoovervåkning og annet sikkerhetsarbeid, i tillegg til å sikre informasjonssikkerheten/IT-sikkerhet for vårt nettverk, avdekke, oppklare og følge opp sikkerhetshendelser med mål om å ha tilfredsstillende informasjonssikkerhet og fysisk sikkerhet rundt våre digitale løsninger.

 

For behandling av personopplysninger for digitale sikkerhetsformål, er det hjemlet i en berettiget interesse (GDPR art. 6 f) i å sikre personopplysninger fra å komme på avveie eller tilsvarende.

 

Personopplysninger som behandles: IP-adresse og andre sikkerhetsrelaterte opplysninger (eksempelvis e-post)

 

For behandling av personopplysninger ifm. med videoovervåkning på Ramme, er det hjemlet i en berettiget interesse (GDPR art. 6 f) i å avdekke, oppklare og følge opp fysiske sikkerhetshendelser.

 

Personopplysninger som behandles: Bilde/video av besøkende

 

Ramme Eiendom tilbyr diverse varer fra Ramme som besøkende kan kjøpe. For å kunne selge varene gjennom vår salgsløsning, er det nødvendig å behandle personopplysninger.

 

Behandlingsgrunnlaget er nødvendighet for å oppfylle kjøpsavtalen (GDPR art. 6 b).

 

Personopplysninger som behandles: Betalingsinformasjon (navn, adresse, telefonnummer, epost, kortnummer eller kontonummer).

 

 

Der det er nødvendig for å utføre arrangementer og legge til rette for et godt opphold på Ramme, vil vi dele personopplysninger med andre selskaper på Ramme, slik som Norder i Viken AS og, for overnatting, Ramme fjordhotell AS.

Vi benytter videre leverandører av IT-tjenester, herunder også IT-baserte administrasjonsløsninger som regnskapsløsninger, hvor leverandørene er våre underleverandører som behandler personopplysninger på våre vegne etter tilfredsstillende krav til informasjonssikkerhet og i henhold til en databehandleravtale for å kunne levere tjenestene til oss.

Vi utleverer ikke personopplysninger til tredjeparter, herunder gir ingen tilgang til disse, ut over det som er nevnt over.

Personopplysninger som nevnt i denne erklæringen behandles utelukkende innenfor EU/EØS. Det overføres ingen personopplysninger utenfor EU/EØS. Skulle det bli aktuelt med overføring utenfor EU/EØS vil det skje etter GDPR og med tilhørende behandlingsgrunnlag.

Personopplysninger som nevnt i denne erklæringen behandles kun så lenge vi trenger de for å oppfylle formålene som er beskrevet. For enkelte kategorier: 

  • Kontaktinformasjon: slettes 5 år etter opphør av leverandørforhold
  • Dokumenter for lagring og arkivering, samt erfaringsarkiv: 20 år for dokumenter som vi har tilgang til selv og er ansvarlig for.
  • Fakturering: 5 år for alminnelige fakturaopplysninger i henhold til bokføringsloven, og 3.5 år for sekundærinformasjon.
  • Markedsføring: Slettes etter 2 år etter opphør av klientforhold, med mindre samtykke til utsendelse av e-post/nyhetsbrev trekkes tilbake.
  • Søknadsprosesser: Med mindre søkere som ikke har fått tilbud om arbeidsforhold eksplisitt ber om sletting av CV, slettes CV 12 måneder etter at en søker har fått tilbud om stillingen.
  • Sikkerhet: Personopplysninger slettes etter 3 måneder.

 

Websidene som er tilgjengelig gjennom www.ramme.no benytter ingen informasjonskapsler som behandler personopplysninger. Websidene benytter kun nødvendige tekniske informasjonskapsler for å få nettsidene til å fungere.

 

Rammestiftelsen benytter tredjepartstjenester og kommunikasjonsplattformer, slik som LinkedIn, som kan benytte informasjonskapsler og som er regulert av tjenestevilkårene til disse tjenestene og plattformene.

 

Etter GDPR behandler vi personopplysninger på en tilfredsstillende sikker måte og med fokus på informasjonssikkerhet. Vi har implementert tekniske og organisatoriske tiltak og tilhørende rutiner, og krever tilsvarende fra våre leverandører og samarbeidspartnere, inkludert dokumentasjon på slik informasjonssikkerhet. Vi reviderer også jevnlig vår informasjonssikkerhet. 

Vår digitale infrastruktur leveres av en IT-partner som er sertifisert etter ISO27001 og har iverksatt nødvendige og proaktive tiltak for å beskytte sensitiv informasjon mot uautorisert adgang og endringer.

Denne personvernerklæringen vil være gjenstand for jevnlig evaluering og oppdatering basert på faktiske endringer i vår behandling av personopplysninger. Siste tilgjengelige versjon vil du alltid finne på www.ramme.no.  

Eksisterende versjon: 1.0 (dato: 12-05-2022)