1. Behandlingsansvarlig
BCC Drammen Sande
Org.nr.: 979 254 121
Ansvarlig for bookingsystemet: Vidar Solberg
Telefon: +47 907 85 507
E-post: vidar.solberg@bccds.no
Denne erklæringen gjelder for behandling av personopplysninger i Bolstad Booking, som er et digitalt system for romreservering ved Bolstad-anlegget. Erklæringen er utarbeidet i henhold til EUs personvernforordning (GDPR) og lov om behandling av personopplysninger (personopplysningsloven).
2. Personopplysninger vi behandler
Vi behandler følgende kategorier av personopplysninger:
Brukeropplysninger
- Navn (fornavn, etternavn, visningsnavn)
- E-postadresse
- Telefonnummer
- Organisasjonstilknytning
- Passord (lagres kun som kryptert hash – aldri i klartekst)
- Brukerrolle og kontostatus
- Interne administrative notater (kun synlig for administratorer)
Bookingopplysninger
- Bookingtittel og formål
- Antall deltakere
- Valgt rom og tidspunkt
- Tilknyttet bruker («ansvarlig for booking»)
- Status og godkjenningshistorikk
Brannvernsopplysninger
- Gjennomføringsstatus for brannvernkurs
- Dato for gjennomføring og gyldighetsperiode
Tekniske opplysninger
- Innloggingssesjon (kryptert informasjonskapsel med bruker-ID, e-post og tidsstempel)
- Enhetsinformasjon (nettlesertype / user agent) ved aktivering av push-varsler
- IP-adresse – lagres midlertidig i inntil 1 time for å forebygge brute-force-angrep mot innlogging, og slettes deretter automatisk
- Personlig iCal-kalendertoken (lagres kun som kryptert hash)
3. Formål og rettslig grunnlag
Brukeradministrasjon og booking
Formål: opprette og administrere brukerkonto, håndtere romreservasjoner og tilgangskontroll.
Rettslig grunnlag: oppfyllelse av avtale, jf. GDPR art. 6 nr. 1 bokstav b.
Push-varsler
Formål: sende varsler om bookingbekreftelser, endringer og avlysninger til din enhet.
Rettslig grunnlag: samtykke, jf. GDPR art. 6 nr. 1 bokstav a. Du kan trekke samtykket tilbake ved å deaktivere varsler i innstillingene.
Brannvernoppfølging
Formål: dokumentere at brukere har gjennomført påkrevd brannvernkurs før de kan booke rom som krever dette.
Rettslig grunnlag: berettiget interesse (internkontroll og brannsikkerhet), jf. GDPR art. 6 nr. 1 bokstav f.
Innloggingssikkerhet
Formål: beskytte mot automatiserte innloggingsangrep (brute force).
Rettslig grunnlag: berettiget interesse, jf. GDPR art. 6 nr. 1 bokstav f.
Administrative notater
Formål: intern oppfølging og kommunikasjon mellom administratorer.
Rettslig grunnlag: berettiget interesse, jf. GDPR art. 6 nr. 1 bokstav f.
Vi bruker ikke dine opplysninger til markedsføring.
4. Hvem har tilgang til opplysningene
- Du som bruker har tilgang til dine egne opplysninger via profil-siden
- Bookingadministratorer kan se opplysninger som er nødvendige for å håndtere bookinger
- Systemadministratorer har tilgang til alle brukerdata for driftsformål
- Opplysningene deles ikke med uvedkommende tredjeparter
- Vi selger aldri personopplysninger
5. Databehandlere og overføring utenfor EØS
Vi benytter følgende underleverandører (databehandlere):
- Supabase – databasehosting (PostgreSQL). Data kan behandles utenfor EØS. Supabase er underlagt standardkontraktklausuler (SCCs) i henhold til GDPR art. 46.
- Vercel – hosting av webapplikasjonen. Vercel er et amerikansk selskap og er underlagt SCCs i henhold til GDPR art. 46.
- Resend – utsending av transaksjons-e-post (bekreftelser, passordtilbakestilling, e-postverifisering). Resend er et amerikansk selskap og er underlagt SCCs i henhold til GDPR art. 46.
- Nettlesers push-tjeneste (Google FCM / Apple APNS) – videresending av push-varsler til din enhet. Kun kryptert teknisk nyttelast overføres; ingen personidentifiserende opplysninger sendes til disse tjenestene utover enhetens push-endepunkt.
Der opplysninger overføres til land utenfor EØS, er overføringen basert på EUs standardkontraktklausuler (SCCs), jf. GDPR art. 46 nr. 2 bokstav c.
6. Lagringsfrister
- Brukeropplysninger: lagres så lenge kontoen er aktiv. Slettes ved sletting av brukerkonto.
- Bookinghistorikk: lagres inntil 3 år etter at bookingen fant sted, eller inntil brukerkontoen slettes, avhengig av hva som inntreffer sist.
- Brannverndata: lagres så lenge kontoen er aktiv. Slettes ved sletting av brukerkonto.
- Push-abonnementer: lagres inntil du trekker tilbake samtykket (deaktiverer varsler) eller kontoen din slettes.
- iCal-token: lagres inntil tokenet tilbakekalles eller kontoen slettes.
- Innloggingssesjon: 7 dager (standard) eller 90 dager («husk meg»).
- Midlertidige sikkerhetstokens (passordtilbakestilling, e-postverifisering): slettes automatisk etter henholdsvis 1 time og 24 timer.
- IP-adresser for innloggingssikkerhet: slettes automatisk innen 1 time.
7. Sikkerhetstiltak
- Passord lagres som kryptert hash (bcrypt) – aldri i klartekst
- All kommunikasjon skjer over kryptert HTTPS-forbindelse
- Sesjonscookies er merket httpOnly, Secure og SameSite for å hindre uautorisert tilgang
- Innloggingsforsøk begrenses automatisk for å forhindre brute-force-angrep
- Tilgang til personopplysninger er begrenset til autoriserte roller
- iCal-tokens lagres kun som krypterte hashverdier
8. Dine rettigheter
Etter GDPR kapittel III har du følgende rettigheter:
- Innsyn (art. 15): du kan be om innsyn i hvilke opplysninger vi har registrert om deg.
- Retting (art. 16): du kan be om at uriktige eller ufullstendige opplysninger rettes.
- Sletting (art. 17): du kan be om at opplysningene dine slettes («retten til å bli glemt»), med mindre vi har en lovlig plikt til å beholde dem.
- Begrensning (art. 18): du kan i visse tilfeller kreve at behandlingen av dine opplysninger begrenses.
- Dataportabilitet (art. 20): du har rett til å motta dine opplysninger i et strukturert, alminnelig brukt og maskinlesbart format.
- Innsigelse (art. 21): du kan protestere mot behandling som er basert på berettiget interesse.
- Trekke tilbake samtykke: der behandlingen er basert på samtykke (f.eks. push-varsler), kan du når som helst trekke det tilbake uten at det påvirker lovligheten av behandlingen før tilbaketrekkingen.
For å utøve dine rettigheter, ta kontakt med oss på opplysningene under. Vi skal svare innen 30 dager.
9. Klage til Datatilsynet
Dersom du mener vi behandler personopplysningene dine i strid med personopplysningsloven eller GDPR, har du rett til å klage til Datatilsynet:
- Nettside: datatilsynet.no
- E-post: postkasse@datatilsynet.no
- Telefon: 74 07 70 00
10. Kontakt oss
Har du spørsmål om hvordan vi behandler personopplysningene dine, eller ønsker du å utøve en av dine rettigheter, ta kontakt med:
BCC Drammen Sande
Vidar Solberg
Telefon: +47 907 85 507
E-post: vidar.solberg@bccds.no