Juridisk
Personvernerklæring
Sist oppdatert: 22. mai 2026
Denne personvernerklæringen forklarer hvordan MountainControl behandler personopplysninger når du bruker tjenesten. Lorentzen Multiservice (org.nr 931 361 066) leverer MountainControl. Spørsmål rettes til henriklorentzen@hotmail.com.
1. Behandlingsansvarlig
For opplysninger om ansatte og brukere registrert i et anlegg er det anlegget (vår kunde) som er behandlingsansvarlig. MountainControl er databehandler og behandler disse opplysningene på vegne av kunden, i henhold til databehandleravtalen.
For opplysninger vi samler inn om vår direkte kundekontakt (den som oppretter konto, fakturadata o.l.) er vi selv behandlingsansvarlig.
For opplysninger vi samler inn om vår direkte kundekontakt (den som oppretter konto, fakturadata o.l.) er vi selv behandlingsansvarlig.
2. Hvilke opplysninger vi behandler
- Kontoopplysninger: navn, e-postadresse, rolle (driftsleder, heisvakt, admin).
- Driftsdata med persondata: sertifikater og kursstatus, hvem som har utført eller godkjent kontroller og oppgaver.
- Avvik og hendelser: kan inneholde navn på involverte og, i enkelte tilfeller, helseopplysninger (f.eks. ved skade). Slike opplysninger behandles kun i den grad det er nødvendig for sikkerhetsdokumentasjon.
- Teknisk informasjon: innloggingstidspunkt og handlingslogg, av hensyn til sikkerhet og etterprøvbarhet.
3. Hvorfor vi behandler opplysningene (behandlingsgrunnlag)
- Oppfyllelse av avtale (GDPR art. 6 nr. 1 b) — for å levere tjenesten.
- Rettslig forpliktelse / berettiget interesse (art. 6 nr. 1 c og f) — for å dokumentere opplæring, sertifikater og sikkerhetskontroller slik internkontroll- og tilsynsregelverk krever.
- For eventuelle helseopplysninger i avvik er grunnlaget art. 9 nr. 2 b (forpliktelser innenfor arbeidsrett/sikkerhet).
Vi ber normalt ikke om samtykke for ansattdata, fordi behandlingen er nødvendig for arbeidsforholdet og lovpålagt dokumentasjon.
4. Hvor lenge vi lagrer opplysningene
Vi lagrer ikke personopplysninger lenger enn nødvendig. Lagringstid varierer per datatype:
- Brukerkontoer og sertifikater: 60 måneder etter avsluttet arbeidsforhold
- Avvik og daglige sjekklister: 120 måneder (tilsynsplikt)
- Hendelseslogg: 36 måneder
Når en ansatt deaktiveres, anonymiseres identifiserende opplysninger etter utløpt lagringstid.
5. Hvem som har tilgang
Tilgang er begrenset etter rolle, og hvert anlegg ser kun sine egne data. Vårt driftspersonell kan i enkelte tilfeller få tilgang for support og feilretting; slik tilgang logges automatisk i en uforanderlig hendelseslogg. Vi selger aldri personopplysninger.
6. Underleverandører (underdatabehandlere)
Vi bruker følgende leverandører som behandler data på våre vegne. Alle data lagres innenfor EU/EØS:
| Leverandør | Formål | Lagringssted |
|---|---|---|
| Supabase | Database, innlogging, fillagring | Frankfurt (eu-central-1) |
| Netlify | Drift av applikasjonen | EU/EØS |
7. Dine rettigheter
Du har rett til innsyn i, retting av og sletting av dine personopplysninger, samt dataportabilitet og å protestere mot behandling. Henvendelser om ansattdata rettes normalt til arbeidsgiveren (anlegget) som behandlingsansvarlig; vi bistår dem. Kontakt oss på henriklorentzen@hotmail.com. Du kan også klage til Datatilsynet (datatilsynet.no).
8. Sikkerhet
Vi beskytter opplysningene med kryptering under overføring og lagring, rollebasert tilgangsstyring, isolasjon mellom kunder, og en uforanderlig hendelseslogg. Ved brudd på personopplysningssikkerheten varsler vi berørte kunder og om nødvendig Datatilsynet innen 72 timer.
9. Endringer
Vi kan oppdatere denne erklæringen. Vesentlige endringer varsles i tjenesten.