Personvernerklæring

1. Grunnleggende informasjon

Musikalfabrikken ønsker at du skal føle deg trygg på at de opplysningene som blir gitt til oss blir håndtert på en sikker og konfidensiell måte. Retningslinjene som følger gir utfyllende informasjon om hvilke personopplysninger som samles inn, hvordan de samles inn og lagres, hvem de deles med, samt hvilke rettigheter du har dersom dine personopplysninger er lagret hos oss. Musikalfabrikken og Break A Leg AS regnes som likeverdig ansvarlig for behandlingen av de personopplysningene som samles inn når du besøker organisasjonens nettsider og benytter deg av de tjenestene som tilbys her inne. Musikalfabrikken og Break A Leg AS omtales heretter som Behandlingsansvarlig. Opplysningene blir behandlet i tråd med personopplysningsloven.

2. Hvilke opplysninger som samles inn og formålet med behandlingen av disse

2.1. Medlemsskap
Ved innmelding i Musikalfabrikken innhenter vi navn, adresse, telefonnummer, fødselsdato og e-postadresse til medlemmet og/eller til vedkommendes foresatte. Disse opplysningene gir grunnlag for å opprette medlemslister, dele inn medlemmene i aldersdifferensierte øvingsgrupper, føre fravær, fakturere medlemskontingent og for øvrig gi et tilstrekkelig melemstilbud med god informasjonsflyt. Innhentingen av de nevnte opplysningene er dessuten et lovkrav fra Barne- og likestillingsdepartementet (BLD), og Studieforbundet Kultur og Tradisjon dersom kurset gir rett til kursstøtte etter Voksenopplæringsloven. Personopplysningene benyttes også til å rapportere på antall medlemmer for å motta tilskudd til drift av organisasjonen. Musikalfabrikken er for øvrig et et lokallag av landsorganisasjonen Frilynt Norge (Frilynt), og som medlem hos oss er du derfor samtidig medlem av Frilynt. Klikk her for å lese Frilynts personvernerklæring.
Rettslig grunnlag: Denne behandlingen er nødvendig for å kunne oppfylle en avtale.

2.2. Påmelding til kurs og arrangement
Ved påmelding til kurs innhenter vi navn, adresse, telefonnummer, fødselsdato og e-postadresse til medlemmet og/eller til vedkommendes foresatte. Disse personopplysningene blir brukt til å administrere kurset/arrangementet, herunder fakturering av kursavgift. Innhentingen av de nevnte opplysningene er dessuten et lovkrav fra BLD, og Studieforbundet Kultur og Tradisjon dersom kurset gir rett til kursstøtte etter Voksenopplæringsloven. Vi innhenter egne samtykker for å kartlegge interesse og ønske om å motta invitasjon til nye arrangementer. et lovkrav fra BLD, og Studieforbundet Kultur og Tradisjon dersom kurset gir rett til kursstøtte etter Voksenopplæringsloven.
Rettslig grunnlag: Denne behandlingen er nødvendig for å kunne oppfylle en avtale.

2.3. Regnskap og bokføring
Personopplysningene du blir bedt om å oppgi ved innmelding behandles videre i regnskaps- og bokføringsøyemed.
Rettslig grunnlag: Denne behandlingen er nødvendig for å kunne oppfylle en rettslig plikt.

2.4. Besvare henvendelser
For å kunne besvare henvendelser sendt via kontaktskjemaet må du oppgi navn og e-postadresse. Øvrige opplysninger er frivillig å oppgi med mindre du ønsker å bli medlem av organisasjonen (se punkt 2.1.). Du kan også ta kontakt direkte til post(att)musikalfabrikken.no dersom du ønsker det. Husk at alle virksomheter er sårbare for datatyveri. Du bør derfor ikke sende sensitivt innhold per e-post. Om vi mottar en slik e-post, behandler vi den i henhold til innhold og sletter den straks. 
Rettslig grunnlag: Opplysningene som oppgis i denne sammenheng kan kun baseres på samtykke. Ved å sende en forespørsel til Musikalfabrikken gir du samtykke til at Behandlingsansvarlig kan behandle de personopplysningene som oppgis til dette formålet.

2.6. Informasjonskapsler/cookies
Musikalfabrikken benytter informasjonskapsler (cookies) for å kunne måle trafikk og tilpasse innholdet og brukervennligheten her inne. En informasjonskapsel er en tekstfil som lagres i nettleseren din slik at nettstedet du besøker husker hvordan du har benyttet deg av sidene. I den sammenheng innhentes din IP-adresse, samt informasjon om hvilke sider du har besøkt, dato og tidspunkt for besøket, hvor du befinner deg rent geografisk og hva slags enhet du har benyttet (altså  mobil, desktop eller nettbrett). Ingen av de nevnte opplysningene kan spores direkte til deg som privatperson, men regnes likevel som personopplysninger.

Rettslig grunnlag: Bruk av informasjonskapsler er basert på samtykke. Du vil derfor bli bedt om å bekrefte at du har lest og forstått dette via en dialogboks som dukker opp på siden når du besøker den. Du står imidlertid fritt til å administrere innstillingene for bruk av informasjonskapsler i din nettleser. For mer informasjon, klikk her.

Les mer om hvilke informasjonskapsler som benyttes, deres varighet og formål her:
- Nettsideleverandørens bruk av informasjonskaspler
- Google Analytics bruk av informasjonskapsler

3. Bilder og videopptak

I forbindelse med øvelser og forestillingsperioder vil det bli tatt bilder og videopptak av medlemmene, gjerne i kombinasjon med deling av navn. Først og fremst gjør vi dette for at medlemmene våre skal ha glede av å se seg selv i sosiale medier, på nettsidene våre samt i programhefter og på plakater. Bilder og videoopptak vil naturligvis også bli benyttet i markedsføringsøymed.
Rettslig grunnlag: Bruk av bilder og videoopptak kan kun baseres på samtykke. Ved innmelding i Musikalfabrikken får du mulighet til å velge om du samtykker eller ikke samtykker i at Behandlingsansvarlig kan behandle bilder og videoopptak til dette formålet.

4. Hvordan opplysningene innhentes

Behandlingsansvarlig innhenter personopplysninger gjennom kommunikasjon via nettstedets kontaktskjema, pr. e-post eller over telefon. Det er også mulig å kommunisere personopplysninger via organisasjonens Facebook-side dersom du ønsker det. Bilder og videopptak blir ofte tatt av Behandlingsansvarlig, en av våre pedagoger, eller eksterne fagfolk innen film og foto.

5. Hvordan opplysningene lagres og hvem de deles med

5.1. Medlemsregister
Behandlingsansvarlig benytter det elektroniske medlemsregisteret StyreWeb som eies og drives av Effektus AS. Medlemsregisteret inneholder navn, adresse, telefonnummer, fødselsdato og e-postadresse på alle medlemmer samt deres foresatt(e). I tillegg oppbevares informasjon knyttet til fakturering og betaling av medlemskontingenten. I den sammenheng vil de foresattes personopplysninger være viktige for å oppfylle de plikter som fremkommer av bokføringsloven.  Effektus AS og Behandlingsansvarlig har inngått en databehandleravtale der Effektus plikter å behandle personopplysninger i tråd med Personopplysningsloven og -forskriften. Databehandleravtalen med StyreWeb/Effektus AS ligger lagret i StyreWeb.

5.2. Kontaktskjema og direktesendt e-post
Samtlige personopplysninger som innhentes gjennom våre kontaktskjemaer eller via direktesendt e-post lagres i våre innbokser som driftes av og deles med G Suite (Google LLC). Kontaktskjemaene eies og driftes av Squarespace.

5.3. Påmelding til kurs og arrangementer
Påmelding til kurs og arrangementer foregår via kontaktskjemaene på våre nettsider. Nødvendige personopplysninger havner i vår innboks (e-post) før de lagres i Google Drive (G Suite). Disse opplysningene blir deretter delt med aktuelle instruktører tilknyttet det respektive kurset/arrangementet.

5.4. Medlemsappen Gnist
I medlemsappen Gnist som eies og drives av Effektus AS deles medlemmenes fulle navn innad i de respektive øvingsgruppene. Disse opplysningene vil være synlig for de andre medlemmene i samme gruppe, herunder deres foresatte, samt ovenfor pedagogen som leder gruppen på ukentlig basis. Pedagogene vil dessuten ha tilgang på fullt navn i forbindelse med en fraværsfunksjon som har til hensikt å kunne gi en bedre oversikt over oppmøte samt oppfølging ovenfor foreldre og foresatte.

5.5. Våre instruktører
Våre instrukturer får tilgang på nødvendig kontaktinformasjon som navn, telefonnummer og e-postadresse til medlemmer og/eller deres foresatte for å kunne gi en optimal informasjonsflyt. Det presiseres at instruktørene kun får tilgang på personopplysninger knyttet til sin(e) respektiv(e) øvingsgruppe(r). Vi ønsker også at denne informasjonen skal være tilgjengelig for våre instruktører av sikkerhetsmessige årsaker, i tilfelle det skulle bli behov for å kontakt foreldre/foresatte for eksempel.

5.6. Regnskapsfører
Med hjemmel i bokføringsloven deles personopplysninger og annen relevant dokumentasjon med foretakets autoriserte regnskapsfører i firmaet Økonomibistand. Regnskapsfører har sin egen bruker til Behandlingsansvarliges medlemsregister og fakturaprogram (se punkt 5.1.)

5.7. Utlevering av informasjon til inkassobyrå
Ved utestående betaling vil dine personopplysninger kunne deles med et inkassobyrå, i samsvar med inkassoforskriften.

5.8. Sikkerhet
Administrasjonen i Musikalfabrikken og Break A Leg AS samt deres instruktører har tilgang til ulike nivåer av personopplysninger gjennom datamaskiner og smarttelefoner. Det er utarbeidet interne rutiner for den daglige håndteringen av slike opplysninger for å unngå at de skal komme på avveie. Blant annet krever vi at datamaskiner og smarttelefoner settes i dvale når en forlater arbeidsstedet slik at det er nødvendig med passord for å logge seg på igjen. Administrasjonen til Musikalfabrikken og Break A Leg As bruker dessuten totrinnsverifisering for å kunne logge på nettsider (Squarespace) og e-post (G Suite).

6. Lagringstid og sletting

Innhentede personopplysninger lagres så lenge medlemskapet består. Ved utmelding oppbevares opplysningene fortsatt hos oss frem til du eventuelt ber om sletting. Sletting kan likevel ikke gjennomføres før det har gått fem (5) år, jamfør Særlovgivning fra Barne- og likestillingsdepartementet, BLD, om oppbevaring av personopplysninger, samt bokføringsloven. Etter dette vil Behandlingsansvarlig fysisk slette opplysningene dine.

E-post sendt via en av våre kontaktskjemaer dokumenter at samtykke knyttet til personvern, bruk av videoopptak/fotografering, samt vilkår for medlemskap er lest, forstått og akseptert. Avden grunn vil slike e-post oppbevares så lenge medlemskapet er aktivt. Henvendelser som ikke er av dokumentasjonsverdi slettes omgående etter at e-postens innhold er behandlet.

7. Personvernrutiner for instruktører, midlertidig ansatte og administrativ ledelse

7.1. Personopplysninger
Alle personopplysninger som innhentes i forbindelse med engasjement og midlertidig ansettelser hos Musikalfabrikken og Break A Leg AS lagres elektronisk i vårt personalarkiv. Det er kun daglig leder, koordinator og regnskapsansvarlig som har tilgang til disse opplysningene.

Følgende opplysninger blir lagret hos oss:

• Navn, adresse, e-post, fødselsdato, personnummer eller organisasjonsnummer og kontonummer
  Rettslig grunnlag: Denne behandlingen er nødvendig for å kunne oppfylle en rettslig plikt.

• Søknader, CV-er og søkerlister til utlyste stillinger
  Rettslig grunnlag: Denne behandlingen er nødvendig for å kunne oppfylle en avtale.

• Opplysninger om lønn og pensjonsvilkår
  Rettslig grunnlag: Denne behandlingen er nødvendig for å kunne oppfylle en avtale.

• Arbeidsavtaler og engasjementskontrakter
  Rettslig grunnlag: Denne behandlingen er nødvendig for å kunne oppfylle en avtale.

• Attester
  Rettslig grunnlag: Denne behandlingen er nødvendig for å kunne oppfylle en avtale.

Alle personopplysninger knyttet til ansettelsesforhold og engasjement blir lagret så lenge vedkommende har et ansettelsesforhold/oppdrag hos Musikalfabrikken eller Break A Leg AS. Personopplysninger knyttet til utbetaling av lønn/honorar vil bli oppbevart i 5 år med hjemmel i bokføringsloven. Etter dette vil opplysningene bli slettet. Attester blir derimot lagret i arkivet til personen den gjelder ber om at attesten blir slettet.

7.2. Administrative verktøy
Administrasjonen i Musikalfabrikken og Break A Leg AS samt deres instruktører har tilgang til ulike nivåer av personopplysninger gjennom datamaskiner og smarttelefoner. Det er utarbeidet interne rutiner for den daglige håndteringen av slike opplysninger for å unngå at slike opplysninger skal komme på avveie.

7.3. Passordbeskyttelse og tilgangskontroll
Alle enheter der det er lagret personopplysninger er passordbeskyttet. Blant annet krever vi at datamaskiner og smarttelefoner settes i dvale når en forlater arbeidsstedet slik at det er nødvendig med passord for å logge seg på igjen.

7.4. Arkiv
Behandlingsansvarlig benytter G Suite business med Google Drive som elektronisk arkiv. Der oppbevares opplysninger og dokumenter som fremgår av punkt 7.1.

7.5. Nettsider
Våre nettsider (www.musikalfabrikken.no) er drevet av Squarespace og krever totrinns verifisering ved innlogging.

7.6. E-post
Behandlingsansvarlig benytter G Suite Business med G-mail som leverandør av e-postplattform og krever totrinns verifisering ved innlogging.

8. Dine rettigheter

Du har rett til innsyn i opplysninger som blir lagret om deg og du kan kreve retting av feilaktige eller ufullstendige opplysninger. Dersom du ønsker det kan du også be om å få opplysninger om deg selv begrenset eller slettet. Mener du at Musikalfabrikken og Break A Leg AS behandler personopplysninger i strid med lovverket kan du rette en klage til Datatilsynet (www.datatilsynet.no). Har du spørsmål eller anmodninger om innsyn i opplysninger vi har lagret om deg kan du rette en henvendelse til post(att)musikalfabrikken.no.

9. Intern gjennomgang og registrering av avvik

Alle personopplysninger håndteres i all hovedsak elektronisk hos Musikalfabriken. Datainnbrudd anses derfor som den største risikoen. Slike innbrudd vil første omgang bli meldt til Datatilsynet og eventuelt også til politiet. Rutinene for behandling av personopplysninger i Musikalfabrikken skal gjennomgås årlig og eventuelle avvik registreres. Opplysninger som kan slettes, skal slettes ved årlig gjennomgang. Ved den årlige gjennomgangen skal også Musikalfabrikkens personvernerklæring revideres.

Denne personvernerklæringen ble sist revidert 18.03.2020