Personvernpolicy

Sist oppdatert: 2018-07-12

1 Inledning

 

2.1 Bakgrunn

Memira behandler personopplysninger i samsvar med EUs datavernforordning (GDPR, General Data Protection Regulation).

For at det skal være tillatt å behandle personopplysninger, må det foreligge et gyldig grunnlag for behandling i henhold til datavernforordningen, et såkalt rettslig grunnlag. Denne personvernpolicyen beskriver hvordan Memira («Memira», «vi», «oss») oppfyller de forpliktelsene som følger av datavernforordningen.

Personvernpolicyen beskriver hvordan Memira samler inn og behandler personopplysninger. Policyen beskriver formålet med behandlingen, hvor lenge behandlingen skjer, hvordan informasjonen blir brukt, og hvem opplysningene kan gjøres tilgjengelige for. I tillegg blir det beskrevet hvordan din informasjon blir beskyttet, hvilke rettigheter du har når det gjelder dine personopplysninger, og hvordan du kan ta kontakt med oss. Ved spørsmål om Memiras personvern kan du alltid ta kontakt med oss ved å sende en e-postmelding til [dataskyddsombud@memira.se].

1.2 Grunnleggende begreper

I datavernforordningen blir følgende begreper brukt, og betydningen og anvendelsen av dem gjelder også for denne personvernpolicyen.

Personopplysninger: enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en online-identifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet.

Behandling: enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring.

Behandlingsansvarlig: en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes; når formålet med og midlene for behandlingen er fastsatt i unionsretten eller i medlemsstatenes nasjonale rett, kan den behandlingsansvarlige, eller de særlige kriteriene for utpeking av vedkommende, fastsettes i unionsretten eller i medlemsstatenes nasjonale rett.

Databehandler: en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige.

Tredjepart: enhver annen fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ enn den registrerte, den behandlingsansvarlige, databehandleren og de personer som under den behandlingsansvarlige eller databehandlerens direkte myndighet har fullmakt til å behandle personopplysninger.

Brudd på personopplysningssikkerheten: et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet.

1.3 Endring av personvernpolicyen

Memira forbeholder seg rett til å endre denne personvernpolicyen. Hvis policyen blir endret, vil du bli informert dersom endringen påvirker behandlingen av dine personopplysninger. Den nyeste versjonen av Memiras personvernpolicy er alltid tilgjengelig på www.memira.no

Øverst på første side av denne policyen ser du datoen for den siste oppdateringen.

2 Memiras behandling av personopplysninger

2.1 Behandlingsansvarlig og personvernombud

Memira Holding AB (org.-nummer: 556684-0079) er behandlingsansvarlig og har ansvar for behandlingen av dine personopplysninger hos Memira. Det innebærer at Memira er ansvarlig for at dine opplysninger blir behandlet på en korrekt og sikker måte i samsvar med gjeldende lovgivning. Memira kan eventuelt utlevere personopplysninger til samarbeidspartnere (databehandlere), men de har da ikke rett til å behandle opplysningene for andre formål enn Memira og kun i henhold til Memiras uttrykkelige instrukser. Memiras kontaktopplysninger finner du til sist i denne personvernpolicyen.

Memira har utpekt et personvernombud («personvernombudet»). Personvernombudet har blant annet i oppgave å overvåke at Memiras behandling av personopplysninger er i samsvar med gjeldende lovgivning. Personvernombudets kontaktopplysninger er [dataskyddsombud@memira.se].

2.1 Rettslig grunnlag – avtale, rettslig forpliktelse, samtykke eller interesseavveining

Det er flere ulike rettslige grunnlag som gir Memira rett til å behandle dine personopplysninger. Å oppfylle en avtale som er inngått med deg, er et rettslig grunnlag. Andre rettslige grunnlag er å innfri en rettslig forpliktelse, for eksempel i henhold til pasientjournalloven eller bokføringsloven, innhenting av samtykke eller gjennom en interesseavveining.

Dersom Memira har innhentet samtykke fra deg, kan du når som helst helt eller delvis trekke tilbake samtykket.

En interesseavveining innebærer at Memiras behandling av dine personoppgaver kun er tillatt dersom Memiras interesse i å behandle personopplysningen anses å veie tyngre enn din interesse i personvern. Vær oppmerksom på at du alltid har rett til å motsette deg en behandling av dine personopplysninger basert på en interesseavveining.

2.2 Personopplysninger som blir lagret og innsamlet

Memira samler inn og lagrer informasjon om deg som du selv gir til Memira. Den informasjonen som samles inn om deg, omfatter både informasjon som du selv har gitt til oss eller til tredjepart, og informasjon som samles inn automatisk når du bruker vår nettside. Disse typene personopplysninger blir lagret og innsamlet:

  • Person- og kontaktinformasjon: Navn, tittel, yrke, kjønn, bruker-ID, fødselsdato, fødselsnummer, adresse, telefon-/mobilnummer, e-postadresse
  • Pasientdata: Journalopplysninger inkludert helseopplysninger (se også punkt 2.1)
  • Betalingsinformasjon: Betalings- og kredittkortinformasjon (kortnummer, CVV-kode og utløpsdato), fakturainformasjon og bankkontonummer
  • Kjøpshistorikk: Informasjon om tidligere kjøp og garanti- og reklamasjonssaker hos Memira.
  • Enhetsinformasjon: IP-adresse, MAC-adresse, cookies eller lignende samt
  • Andre personopplysninger som du velger å gi oss.

2.2.1 Særlige kategorier av personopplysninger

Memira kan komme til å behandle sensitive personopplysninger (såkalt særlige kategorier av personopplysninger) om deg som er pasient hos oss. Sensitive personopplysninger er personopplysninger som lovgiveren har vurdert fortjener et særskilt vern ettersom de av natur er spesielt integritetsinngripende. Hovedregelen er at sensitive personopplysninger ikke skal behandles, men det finnes en del unntak fra forbudet. Helseopplysninger er en type sensitive personopplysninger. Memira må behandle helseopplysninger for å kunne utføre sine tjenester overfor deg som pasient og kunde. Det er unntak fra forbudet for å behandle sensitive personopplysninger i de tilfeller behandlingen er nødvendig av grunner som har sammenheng med ytelse av helsetjenester. Basert på dette har Memira rett til å behandle dine helseopplysninger selv om de er å anse som sensitive personopplysninger. Vi gjør oppmerksom på at behandlingen også må ha et rettslig grunnlag for å være lovlig. (Les mer om rettslig grunnlag nedenfor.)

2.3 Formål og rettslig grunnlag for behandling av personopplysninger

Det viktigste formålet for å behandle dine personopplysninger er for at Memira skal kunne oppfylle våre forpliktelser overfor deg som pasient og kunde, og for å utvikle, opprettholde og kvalitetssikre Memiras prosesser og virksomhet. Her følger en nærmere beskrivelse av våre ulike typer behandlinger av dine personopplysninger og det rettslige grunnlaget som er knyttet til respektive formål.

Kategorier av personopplysningerFormål med behandlingenRettslig grunnlag
• Person- og kontaktinformasjon
• Pasientdata
Å kunne yte våre tjenester og sikre korrekt klinisk behandling og oppfølging på en sikker og formålstjenlig måte.Behandlingen er nødvendig for å oppfylle avtalen med deg, d.v.s. når du gjennomfører en operasjon hos Memira, og for å oppfylle Memiras rettslige forpliktelser.
• Person- og kontaktinformasjon
• Pasientdata
For fakturering og bokføring.Behandlingen er nødvendig for å oppfylle avtalen med deg, d.v.s. når du gjennomfører en operasjon hos Memira, og for å oppfylle Memiras rettslige forpliktelser.
• Person- og kontaktinformasjon
• Pasientdata
Å kunne holde kontakt med deg f.eks. for å svare på spørsmål på e-post eller via kundeservice.Behandlingen er nødvendig for å oppfylle avtalen med deg, d.v.s. når du gjennomfører en operasjon hos Memira.
• Person- og kontaktinformasjon

• Pasientdata
Å kunne innfri lovbestemte krav, for eksempel pasientdatakrav, bokføringskrav og sikkerhetskrav.Behandlingen er nødvendig for å oppfylle Memiras rettslige forpliktelser.
• Person- og kontaktinformasjon
• Betalingsinformasjon
Å muliggjøre delbetaling eller kreditt. Ved en slik behandling blir dine opplysninger også overført til kredittforetaket (se kjøpsvilkår).Behandlingen er nødvendig for å oppfylle avtalen med deg, d.v.s. når du gjennomfører et kjøp, og for å oppfylle Memiras rettslige forpliktelser.
• Person- og kontaktinformasjon
• Kjøpshistorikk
• Pasientdata
Å håndtere reklamasjons- og garantisaker, samt å håndtere tilpassede bestillinger.Behandlingen er nødvendig for å oppfylle avtalen med deg, d.v.s. når du gjennomfører et kjøp, og for å oppfylle Memiras rettslige forpliktelser.
• Person- og kontaktinformasjonÅ muliggjøre markedsføring, herunder utsendelser av generell karakter på e-post, på SMS og i posten.Behandlingen er nødvendig for Memiras berettigede interesse i å markedsføre sine tjenester overfor deg (interesseavveining).
• Person- og kontaktinformasjon

Å muliggjøre analyse og segmentering for målrettede kampanjer.Behandlingen er nødvendig for Memiras berettigede interesse i å markedsføre sine tjenester overfor deg (interesseavveining).
• Person- og kontaktinformasjon
• Pasientdata
For å utvikle og sikre kvaliteten i virksomheten systematisk og fortløpende behandler Memira dine personopplysninger for statistiske formål. Dette blir blant annet gjort gjennom spørreundersøkelser til kunder for å analysere opplevelsen hos Memira og opplevelsen av resultat av våre produkter og tjenester. I den grad det er mulig i forhold til formålet, blir dine personopplysninger anonymisert når de brukes til statistiske formål.Behandlingen er nødvendig for Memiras berettigede interesse i å forbedre sine tjenester ved å oppnå en sikrere behandling for pasientene og i å tiltrekke flere kunder og øke graden av tilbakevendende kunder (interesseavveining).
• EnhetsinformasjonInnsamling med det formål å utvikle vårt nettsted (www.memira.se) for bedre å tilpasse nettstedet ut fra hvordan det blir brukt.Behandlingen er nødvendig for Memiras berettigede interesse i å forbedre, effektivisere, forenkle og utvikle nettstedet www.memira.se og i den hensikt å tiltrekke flere kunder og øke graden av tilbakevendende kunder (interesseavveining).

3 Overføring av personopplysninger

Memira etterstreber å behandle dine personopplysninger innenfor EU/EØS. Memira overfører ikke dine personopplysninger til land utenfor EU/EØS utover det som er angitt under. Dersom personopplysninger blir overført til et land utenfor EU/EØS, vil Memira treffe tiltak for å sørge for at personopplysningene fortsetter å være beskyttet, og også treffe de tiltak som er påkrevd for å overføre personopplysninger til land utenfor EU/EØS på lovlig måte. I egenskap av behandlingsansvarlig tar Memira ansvar for at det blir opprettet en databehandleravtale med tredjepart dersom personopplysninger blir gjenstand for behandling utenfor Memira, samt for kun å benytte databehandlere som gir tilstrekkelige garantier om at dine personopplysninger blir beskyttet på en passende måte.

Memira utleverer personopplysninger til tredjepart i situasjoner der det er en lovfestet forpliktelse å gjøre det, eller for å oppfylle Memiras forpliktelse overfor deg som kunde. Dine personopplysninger vil ikke bli overført eller solgt til tredjepart for reklameformål. Memira utleverer også dine personopplysninger til tredjepart for oppdatering eller påføring av informasjon fra Folkeregisteret eller andre offentlige registre.

Memira benytter tredjepart f.eks. ved gjennomføring av kundetilfredshetsundersøkelser eller håndtering av forsikringssaker, noe som innebærer at dine personopplysninger kan bli overført til en tredjepart som leverer slike tjenester.

Dersom du ønsker å betale gjennom delbetaling, videreformidler Memira ditt fødselsnummer til betalings- og kredittforetak som trenger dette til kredittopplysningsformål og for å opprette tilhørende kredittavtale.

De personopplysningene som Memira samler inn om deg gjennom din bruk av Memiras nettsted, kan overføres til IT-leverandør i land utenfor EU/EØS som er vert for, utvikler og gir support til nettstedet www.memira.se, samt til Google i USA, gjennom Google Analytics. Memira har sikret seg at dine rettigheter blir garantert ved overføringen til USA gjennom at Google har sluttet seg til EU-US Privacy Shield. Du finner mer informasjon på www.privacyshield.gov.

4 Dine rettigheter

Når Memira behandler dine personopplysninger, har du visse lovfestede rettigheter som angår dine personopplysninger, og du har anledning til å påvirke Memiras behandling av dine personopplysninger og hva som skal lagres. For å gjøre disse rettighetene gjeldende sender du en skriftlig anmodning som du har undertegnet, til postadressen som er angitt til slutt i denne personvernpolicyen. Du kan også gå inn på denne lenken:  www.memira.no/personvern/

4.1 Rett til informasjon

Denne personvernpolicyen beskriver hvordan dine personopplysninger blir behandlet av Memira, og den er alltid tilgjengelig på www.memira.no . Du skal få denne informasjonen både når opplysninger om deg blir samlet inn, og når du selv ber om det. I tillegg skal du få informasjon i visse tilfeller, for eksempel ved uautorisert datatilgang eller lignende (brudd på personopplysningssikkerheten) og det er risiko for for eksempel identitetstyveri eller bedrageri.

4.2 Rett til innsyn

Du har rett til kostnadsfritt å få innsyn i hvilke av dine personopplysninger som Memira har registrert. Denne informasjonen skal også omfatte informasjon om hvordan disse personopplysningene blir behandlet, hvor personopplysningene er hentet fra, formålene med behandlingen av personopplysningene, hvor lenge de vil bli lagret (eller kriteriene som brukes for å fastsette denne perioden), og til hvilke mottakere personopplysningene er utlevert.

4.3 Rett til korrigering

Du har alltid rett til å ta kontakt med Memira, som behandlingsansvarlig, for å få dine opplysninger korrigert. Det innebærer også at du har rett til å komplettere ufullstendige personopplysninger som er relevante for formålet med behandlingen av personopplysninger. Hvis opplysninger på din anmodning blir korrigert, må Memira sørge for at tredjepart som har fått utlevert dine opplysninger, får informasjon om korrigeringen. Det gjelder likevel ikke hvis det skulle vise seg å være umulig eller innebærer en uforholdsmessig stor innsats.

4.4 Rett til sletting

Du har rett til å be Memira slette opplysningene om deg. Personopplysningene må slettes i følgende tilfeller:

• dersom opplysningene ikke lenger er nødvendige for formålet som de ble samlet inn for
• dersom behandlingen er basert på samtykke fra deg og du trekker tilbake samtykket
• dersom behandlingen skjer med tanke på direkte markedsføring og du motsetter deg at opplysningene blir behandlet
• dersom du motsetter deg behandling av personopplysninger etter en interesseavveining og det ikke foreligger berettigede grunner som veier tyngre enn din interesse
• dersom personopplysningene er blitt behandlet ulovlig
• dersom personopplysningene må slettes for å oppfylle en rettslig forpliktelse

Hvis du ber om at dine opplysninger blir slettet, må Memira også informere dem som Memira har utlevert opplysninger til, om slettingen. Det gjelder likevel ikke hvis det skulle vise seg å være umulig eller innebærer en uforholdsmessig stor innsats. I enkelte tilfeller har Memira plikt til å behandle dine personopplysninger selv om du har bedt om at de skal slettes.

4.5 Rett til dataportabilitet

Du har rett til dataportabilitet, det vil si en rett til under visse forutsetninger å motta og overføre dine personopplysninger i et strukturert, alminnelig anvendt og maskinlesbart format til en annen behandlingsansvarlig.

4.6 Rett til begrensning av behandling

Under visse omstendigheter kan du be om begrensning av fortsatt behandling av dine personopplysninger og har rett til å protestere mot behandlingen under de forutsetninger som gjeldende personopplysningslovgivning angir (for eksempel hvis du bestrider at personopplysningene er korrekte eller at behandlingen er lovlig).

4.7 Rett til å klage til en tilsynsmyndighet

Hvis du mener at Memira behandler opplysninger om deg i strid med datavernforordningen, har du rett til å klage til Datatilsynet. Datatilsynet går gjennom alle klager og vurderer om de vil følge saken videre. Du har også rett til å klage på vedtak som Datatilsynet gjør.

5 Vern av informasjon

Memiras målsetting er at du alltid skal føle deg trygg når du gir dine personopplysninger til Memira. Memira har derfor truffet tekniske og organisatoriske sikkerhetstiltak for å beskytte dine personopplysninger mot uautorisert tilgang, endring og sletting. Memira vil ikke utlevere dine opplysninger til andre utover det som uttrykkelig følger av denne personvernpolicyen.

For å sikre at personopplysninger blir behandlet på en sikker og konfidensiell måte benytter Memira seg av datanettverk som er sikret mot uautorisert tilgang med blant annet brannmurer og passordbeskyttelse i samsvar med bransjenormen. For å sikre integriteten for de personopplysningene du gir over Internett, kan Memira komme til å bruke krypteringsteknologi når Memira overfører slike personopplysninger over Internett til sine servere. Memira oppdaterer kontinuerlig sine sikkerhetsrutiner, i takt med den teknologiske utviklingen. Memira har dokumenterte rutiner for brukerintegritet, tilgjengeligheten av opplysninger og konfidensialitet med hensyn til gjeldende lovgivning.

6 Lagring og sletting

Memira vil lagre dine personopplysninger bare i den perioden det er nødvendig for å oppfylle de formålene som opplysningene ble samlet inn for, eller så lenge Memira er forpliktet til det ifølge loven, eller for å ivareta Memiras rettslige interesser, f.eks. hvis det pågår en rettsprosess. Deretter vil dine personopplysninger bli slettet.

Dersom din personopplysning er en del av et journaldokument, skal den ifølge pasientjournalloven oppbevares til det av hensyn til helsehjelpens karakter ikke lenger antas å bli bruk for den.

7 Bruk av cookies

Memira bruker cookieslignende teknologier med det formål å tilby visse funksjoner på nettstedet www.memira.se og for å forbedre nettstedet og levere en bedre og mer personlig service. Informasjonen lagres i form av en fil som inneholder kryptert innloggingsdata. Informasjonen brukes til automatisk innlogging og for å huske eventuelle valg av innstillinger på nettstedet. Memira bruker cookies i henhold til Memiras policy for cookies, se https://www.memira.no/kakor-cookies/.

8 Lenker til andre nettsider

På www.memira.no kan det forekommer lenker til eksterne nettsider som Memira ikke har bestemmende innflytelse over. De omfattes ikke av denne personvernpolicyen. Memira tar ikke ansvar for innholdet på de nettsider som har lenker på www.memira.no.

9 Kontakt oss

Har du spørsmål eller kommentarer til personvernpolicyen er du velkommen til å kontakte oss. Ønsker du at vi skal endre eller slette den informasjonen vi har om deg må du sende dette til oss skriftlig da vi ikke kan håndtere personopplysninger via e-post.

(bruk overskriften Personvern)

Memira AS

Adresse: Stationsgatan 20B,

SE-753 40 Uppsala, Sverige

Telefon: 800 22 636

E-post: personvernombud@memira.no

Org.nr: 859 010 172