Personvernerklæring

2. Behandlingsansvarlig

Apokus v/ daglig leder er behandlingsansvarlig ved behandlingen av personopplysninger om abonnenter på Kurskatalogen Apokus:365, potensielle abonnenter, kontaktperson/ administrator hos kunder med bedriftsabonnement, leverandører og samarbeidspartnere, deltagere i forskningsstudier, stillingssøkere, abonnenter på nyhetsbrev, deltakere på digitale opplæringsaktiviteter og besøkende til vår hjemmeside. For opplysningene som registreres når du besøker våre sider/profiler på sosiale medier, vil vi kunne ha delt behandlingsansvar med tilbyderen av det sosiale mediet (begrenset til de dataene vi har kontroll over eller tilgang til).

Apokus tilbyr bedriftsabonnement til virksomheter. Dersom kunden ikke har eget e-læringssystem, får kunden tilgang til Kurskatalogen Apokus:365 gjennom Apokus’ e-læringssystem. Apokus er databehandler for personopplysninger om kundens brukere (for eksempel ansatte) Apokus får tilgang til som en følge av dette. I slike tilfeller reguleres forholdet mellom kunden og Apokus av en egen databehandleravtale.

Dersom kunden har bedriftsinternt e-læringssystem leveres Kurskatalogen Apokus:365 gjennom overføring av en SCORM-fil. Apokus får da ikke tilgang til personopplysninger om kundens brukere.

3. Hvilke personopplysninger behandler vi og til hvilket formål?

3.1 Opplysninger om abonnenter på kurskatalogen Apokus:365

Apokus behandler personopplysninger om brukere (for eksempel ansatte) hos kunder med bedriftsabonnement og privatpersoner som abonnerer på e-læringskurs i Kurskatalogen Apokus:365. For opplysningene om brukere hos kunder med bedriftsabonnement opptrer Apokus som databehandler. Grunnlaget for behandlingen av disse personopplysningene er databehandleravtalen med kunden. Personopplysningene som behandles omfatter personalia (for eksempel navn og e-postadresse), arbeidsgiver og status på kursgjennomføring (påbegynt/bestått). Vi henviser til kundens personvernerklæring for mer informasjon om behandlingen av personopplysninger om kundens brukere.

Apokus er behandlingsansvarlig for personopplysninger om privatpersoner som abonnerer på e-læringskurs i Kurskatalogen Apokus:365 God som legemiddelrådgiver (heretter kalt «abonnenter»). Behandlingen omfatter personalia (for eksempel navn, adresse, telefonnummer og e-postadresse) profesjon/stilling, arbeidsgiver, betalingsinformasjon og status på kursgjennomføring (påbegynt/bestått).

Formålet med behandlingen er salg og administrasjon av e-læringskurs i Kurskatalogen Apokus:365, herunder opprette brukertilganger, informere abonnenter om aktualiteter, levere e-læringskurs, dokumentere og rapportere kursgjennomføring (bestått/påbegynt) samt fakturering. Det rettslige grunnlaget for behandlingen er personvernforordningen artikkel 6 nr. 1 bokstav b – behandlingen er nødvendig for å inngå en avtale med den registrerte, dvs. avtalen om abonnement på e-læringskurs i Kurskatalogen Apokus:365.

Det er nærliggende at det vil oppstå behov for administrasjon i en periode etter at abonnentens abonnementsperiode har utløpt, for eksempel for å kunne besvare henvendelser fra abonnenten. Videre er det nødvendig å behandle personopplysninger om abonnenter etter at abonnentsperioden har utløpt for dokumentasjonsformål, for eksempel dokumentere fullførte kurs og gi tilgang til kurshistorikk dersom abonnementet reaktiveres. Videre er det behov for å lagre visse personopplysninger etter utløpet av abonnementsperioden for å oppfylle rettslige forpliktelser i bokføringslovgivningen.

Det rettslige grunnlaget for å behandle personopplysninger om abonnenter etter at abonnementsperioden har utløpt er personvernforordningen artikkel 6 nr. 1 bokstav f – interesseavveining. Behandlingen er nødvendig for formål knyttet til Apokus’ berettigede interesser, dvs. sørge for administrasjon av Apokus:365 i en periode hvor det er nærliggende at det vil kunne oppstå et slikt behov, samt behovet for dokumentasjon. Behandling av faktureringsinformasjon etter at abonnementsperioden har utløpt gjøres med hjemmel i artikkel 6 nr. 1 bokstav c – behandlingen er nødvendig for å oppfylle rettslige forpliktelser.

3.2.Opplysninger om potensielle abonnenter

Apokus behandler personopplysninger om personer som har fått gratis tilgang til e-læringskurs i Kurskatalogen Apokus:365 for en tidsbegrenset periode. Opplysningene som behandles er personalia, profesjon/stilling og arbeidsgiver.

Formålet med behandlingen om potensielle abonnenter er å øke bruken av Apokus:365 ved å gi potensielle abonnenter tilgang til e-læringskursene i Kurskatalogen, samt administrasjon av abonnenter med slik gratis tilgang. Det rettslige grunnlaget for behandlingen er personvernforordningen artikkel 6 nr. 1 bokstav b – behandlingen er nødvendig for å oppfylle en avtale med den registrerte, dvs. avtalen om gratis tilgang til Apokus:365 i en periode.

Personopplysningene vil også behandles i en periode etter at prøvetilgangen utløp for dokumentasjonsformål. Apokus har behov for å vite om den aktuelle brukeren har hatt en gratis prøveperiode for å unngå misbruk av tilbudet. Personopplysninger om potensielle abonnenter etter at prøvetilgangen er utløpt behandles med hjemmel i personvernforordningen artikkel 6 nr. 1 bokstav f – berettiget interesse. Behandlingen er nødvendig av hensyn til dokumentasjon og for å unngå at en bruker får flere gratis prøveperioder.

3.3 Opplysninger om kontaktperson/administrator hos kunder med bedriftsabonnement

Apokus tilbyr bedriftsabonnement på e-læringskurs i Kurskatalogen Apokus:365. I den forbindelse behandler Apokus personopplysninger om kontaktperson/ansvarlig administrator(er) hos kunder. Opplysningene som behandles omfatter personalia, stillingsbetegnelse og arbeidsplass.

Formålet med behandlingen er administrasjon av Apokus:365, herunder oppfylle avtalen om bedriftsabonnement, og hjemles i personvernforordningen artikkel 6 nr. 1 bokstav b (behandlingen er nødvendig for å oppfylle en avtale med den registrerte).

Det er behov for å lagre visse personopplysninger etter at avtaleforholdet er opphørt/avsluttet av hensyn til dokumentasjon og administrasjon. Personopplysninger om kontaktperson/administrator etter at abonnementsperioden er opphørt behandles med hjemmel i personvernforordningen artikkel 6 nr. 1 bokstav f – berettiget interesse.

3.4 Opplysninger om leverandører og samarbeidspartnere

Apokus behandler personopplysninger om leverandører og samarbeidspartnere som er nødvendig for gjennomføring av kontraktsforpliktelser. Opplysningene som behandles er personalia, stillingsbetegnelse og arbeidsplass.

Formålet med behandlingen er å administrere kontraktsforholdet med leverandører og samarbeidspartnere, og gjennomføre kontraktsforpliktelser. Det rettslige grunnlaget for behandling av personopplysninger er personvernforordningen artikkel 6 nr. 1 bokstav b – behandlingen er nødvendig for å inngå en avtale med den registrerte.

Personopplysningene vil også behandles i en periode etter at avtalen opphørte for administrasjons- og dokumentasjonsformål. Personopplysninger om kontaktperson hos leverandør og samarbeidspartner etter at abonnementsperioden er opphørt behandles med hjemmel i personvernforordningen artikkel 6 nr. 1 bokstav f – berettiget interesse.

3.5 Opplysninger om deltagere i spørreundersøkelser, intervjuer, prosjekter og forskningsstudier

Apokus behandler personopplysninger om deltagere spørreundersøkelser, fokusgrupper og forskningsprosjekter for oppdragstakere (oppdragsforskning) eller forskningsstudier forankret i selskapets formål og strategi. Dette inkluderer å gjennomføre undersøkelser og prosjekter for å forbedre Apokus’ produkter og tjenester til sine kunder.

Personopplysninger som behandles kan omfatte studie-ID, navn, kjønn, alder, stilling, arbeidssted, telefonnummer, e-postadresse, lyd-, bilde og videoopptak og eventuelle andre personopplysninger som fremkommer i spørreskjemaet, intervjuguiden eller studieprotokollen.

Det rettslige grunnlaget for behandlingen er samtykke fra den enkelte studiedeltager, jf. personvernforordningen artikkel 6 nr. 1 bokstav a.

Apokus har avtale om personverntjenester med Sikt.

3.6 Opplysninger om stillingssøkere

Apokus kan benytte eksternt rekrutteringsbyrå i forbindelse med rekruttering. Rekrutteringsbyrået opptrer som regel i egenskap av å være behandlingsansvarlig. Rekrutteringsbyrået lyser ut ledige stillinger på vegne av Apokus, tar imot søknader og overfører opplysninger om aktuelle kandidater til Apokus.

Personopplysninger som Apokus behandler i forbindelse med rekruttering er blant annet personalia og jobb- og utdanningsdetaljer.

Formålet med behandlingen er rekruttering. Dette omfatter blant annet å vurdere søkeres egnethet til stillinger, kommunisere med søkerne og eventuelt etablere et ansettelsesforhold.

Det rettslige grunnlaget for behandlingen i forbindelse med rekrutteringsprosessen er personvernforordningen artikkel 6 nr. 1 bokstav b – å gjennomføre tiltak på den registrertes anmodning før en eventuell avtaleinngåelse.

Dersom vi beholder søknadsdokumentasjon etter en rekrutteringsprosess er avsluttet er formålet å kunne vurdere vedkommende for ansettelse på et senere tidspunkt. Behandlingen gjøres på grunnlag av samtykke fra søkeren, jf. personvernforordningen artikkel 6 nr. 1 bokstav a.

3.7 Opplysninger om deltakere på opplæringsaktiviteter og kurs

Apokus behandler personopplysninger om deltakere som melder seg på opplæringsaktiviteter og kurs (f.eks. Praktisk vaksinasjonskurs, Apokus:Live, Treningslab). Formålet er å tilby, levere og evaluere opplæringsaktiviteten, samt eventuelt kunne utstede bevis for deltakelse.

Personopplysninger som Apokus behandler er blant annet navn, tittel, e-post, stillingskategori, arbeidssted, mobilnummer, betalingsopplysninger. Videre behandles personopplysninger om atferdsmønstre, dvs. om du har lest digitalt tilsendt informasjon i forbindelse med opplæringsaktiviteten, og/eller klikket på lenker.

Apokus vil sende opplysninger om påmeldinger og deltagelse, herunder kursbevis til arbeidsgiver på forespørsel fra denne.

Det rettslige grunnlaget for behandling av personopplysninger om deltakere er personvernforordningen artikkel 6 nr. 1 bokstav b – behandlingen er nødvendig for å oppfylle en avtale med den registrerte, dvs. avtalen om å delta på opplæringsaktiviteten.

3.8 Opplysninger om abonnenter på nyhetsbrev

Apokus behandler personopplysninger om abonnenter på nyhetsbrev. Personopplysningene som behandles er navn, e-post og stillingskategori. Videre behandles personopplysninger om atferdsmønstre, dvs. om du har åpnet nyhetsbrevet og/eller klikket på lenker.

Formålet med behandlingen av personopplysningene er å kunne sende ut nyhetsbrevet, samt å få innblikk i hvilket innhold som er interessant for abonnentene Det rettslige grunnlaget for behandling av personopplysninger om abonnenter er personvernforordningen artikkel 6 nr. 1 bokstav b – behandlingen er nødvendig for å oppfylle en avtale med den registrerte, dvs. avtalen om å motta nyhetsbrev. Du kan når som helst melde deg av nyhetsbrevet ved å trykke på lenken for avmelding i nyhetsbrevet, eller ved å kontakte oss på post@apokus.no.

3.9 Opplysninger om besøkende til vår nettside,  www.apokus.no

Informasjonskapsler er små tekstfiler som plasseres på din datamaskin når du besøker en nettside. Apokus bruker informasjonskapsler for å forbedre brukeropplevelsen og å analysere bruken av våre nettsider.

Vi bruker Google Analytics til å samle inn statistikk om hvordan nettstedet vårt blir brukt.

Opplysningene som behandles er IP-adresse, nettleser og operativsystem, lokasjon og tidspunkt for besøk. I tillegg behandles opplysninger om hvilke sider den registrerte IP-adressen besøker og varigheten av besøket, samt hva som ble klikket på i løpet av besøket og eventuelle filer som ble nedlastet. Formålet med behandlingen er å optimalisere bruken av våre hjemmesider og få innsikt i brukerinteraksjonen på vår nettside.

Det rettslige grunnlaget for behandlingen er personvernforordningen artikkel 6 nr. 1 bokstav f – berettigede interesser. Du samtykker til bruken av informasjonskapsler så lenge du ikke reserverer deg mot dette. Hvis du ikke ønsker at nettleseren din skal lagre informasjonskapsler på maskinen din, så har du mulighet til å skru det av i nettleseren. Nettvett.no har laget en oppskrift på hvordan du kan administrere dine innstillinger for informasjonskapsler.

3.10 Opplysninger om besøkende til våre profiler i sosiale medier

Apokus har sider/profiler i følgende sosiale medier: Facebook, Twitter, Youtube og Instagram.

Når du besøker våre sider i sosiale medier samler den sosiale mediekanalen inn personopplysninger som benyttes til å utarbeide statistikk. Apokus har ikke tilgang til personopplysningene som samles inn, men vi får tilgang til anonymisert statistikk som er utarbeidet av den sosiale mediekanalen på bakgrunn av de innsamlede opplysningene. Formålet med dette er statistikk og analyse, samt måle antall likes, klikk og kommentarer.

For opplysningene som registreres om besøkende på Apokus’ profil på sosiale medier, vil Apokus kunne ha delt behandlingsansvar med tilbyderen av det sosiale mediet (begrenset til de dataene Apokus har kontroll over eller tilgang til).

Det rettslige grunnlaget for behandlingen er personvernforordningen artikkel 6 nr. 1 bokstav f – berettigede interesser. Du kan når som helst reservere deg mot bruken av informasjonskapsler ved å skru av bruk av informasjonskapsler i din nettleser. Nettvett.no har laget en oppskrift på hvordan du kan administrere dine innstillinger for informasjonskapsler.

4. Informasjonssikkerhet

Apokus er opptatt av informasjonssikkerhet, og har sikringsmekanismer som innebærer både organisatoriske og tekniske tiltak slik som rolle- og tilgangsstyring og krav til innebygget personvern i våre IT-systemer. Utvidet informasjon om informasjonssikkerheten i Apokus er tilgjengelig på forespørsel.

5. Utlevering av personopplysninger til andre

Opplysningene vil ikke bli utlevert til andre med mindre det foreligger et lovlig grunnlag for slik utlevering. Eksempler på dette vil typisk være at vedkommende har samtykket til det, at utleveringen er nødvendig for å oppfylle en avtale med den registrerte, eller at det foreligger en rettslig forpliktelse til å gi ut informasjon.

Apokus bruker i tillegg databehandlere til å samle inn, lagre eller på annen måte behandle personopplysninger på våre vegne.  Vi benytter oss av følgende databehandlere per i dag:

• Make AS – for utsendelse av nyhetsbrev og opplæringsaktiviteter via e-post
• Checkin AS– for online betaling av Kurskatalogen Apokus:365 og påmelding- og betaling til praktisk vaksinasjonskurs
• Codewise AS – for drift av websider
• Storyboard AS – for å opprette brukerprofiler og administrere tilgang og bruk av e-læringskurs
• Questback AS – for undersøkelser
• AS Apotekernes Hus – for IT-infrastruktur, digitale kommunikasjonsløsninger, filservere og lønns- og regnskapstjenester
• Google Inc. – for analyse av bruk av vår nettside

 

Vi bestreber at all behandling av personopplysninger som vi foretar, skjer innenfor EU/EØS-området.

6. Lagringstid

Apokus behandler personopplysninger så lenge det er nødvendig for formålene personopplysningene ble samlet inn for. Rettslige forpliktelser, for eksempel i regnskaps- og bokføringslovgivningen, kan imidlertid pålegge lengre lagringstid. Tilsvarende kan det være nødvendig å behandle personopplysningene i en lengre periode dersom behandlingen er nødvendig for å ivareta Apokus’ berettigede interesser, herunder å fastsette, gjøre gjeldende eller forsvare rettskrav.

 

Hvor lenge personopplysningene lagres, vil bero på hva slags personopplysninger det er tale om og behovet for lagring. Listen nedenfor viser hvor lenge personopplysninger om registrerte normalt vil bli lagret.

 

• Opplysninger om abonnenter:
  Slettes i utgangspunktet 3 år etter avsluttet abonnement.
  Unntak gjelder for følgende opplysninger:  Fakturaopplysninger slettes 5 år etter regnskapsårets slutt.
• Opplysninger om abonnenter med prøvetilgang:
  Slettes i utgangspunktet 3 år etter avsluttet prøveperiode.
• Opplysninger om deltakere på opplæringsaktiviteter, herunder kursbevis:
  Slettes 5 år etter endt kurs.
• Opplysninger om kontaktperson/ administrator hos kunder med bedriftsinternt e-læringssystem:
  Slettes i utgangspunktet 3 år etter avsluttet abonnement.
  Unntak gjelder for følgende opplysninger:  Fakturaopplysninger slettes 5 år etter regnskapsårets slutt.
• Opplysninger om leverandører og samarbeidspartnere:
  Slettes i utgangspunktet 3 år etter avtaleforholdet/samarbeidet er avsluttet.
  Unntak gjelder for følgende opplysninger:  Fakturaopplysninger slettes 5 år etter regnskapsårets slutt.
• Personopplysninger som inngår i besvarelser fra spørreundersøkelser, intervjuer o.l.
  Slettes i utgangspunktet 10 år etter avsluttet forskningsprosjekt.
• Personopplysninger som inngår i data fra forskningsprosjekter:
  Slettes i henhold til studieprotokollens bestemmelser.
• Opplysninger om stillingssøkere
  Slettes i utgangspunktet etter avsluttet rekrutteringsprosess.
  Ved samtykke fra søkeren lagrer vi CV, søknad, attester og vitnemål i opptil 3 år for bruk i nye, relevante stillingsutlysninger.
• Opplysninger om abonnenter på nyhetsbrev (f.eks. Faglig påfyll)
  Slettet etter avsluttet abonnement.

7. Dine rettigheter

De registrerte har rett til å kreve innsyn, korrigering eller sletting av personopplysningene vi behandler om vedkommende. Videre har de registrerte rett til å kreve at behandlingen begrenses, rette innsigelse mot behandlingen og kreve rett til dataportabilitet. Du kan lese mer om innholdet i disse rettighetene på Datatilsynets nettside: www.datatilsynet.no. Henvendelser skal rettes til daglig leder.

8. Klager

Dersom du mener at vår behandling av personopplysninger ikke stemmer med det vi har beskrevet her, eller at vi på andre måter bryter gjeldende personvernlovgivning kan du klage til oss direkte eller rette en klage til Datatilsynet. Du finner informasjon om hvordan klage til Datatilsynet.