Integritetspolicy

Denna integritetspolicy beskriver hur Gardfjällslunken behandlar personuppgifter i samband med:

• Gardfjällslunkens anmälningssystem
• Reservkö eller intresselista
• Gardfjällslunken Kids
• Min sida och personliga länkar
• Nyhetsbrev och marknadsföring
• Foto och film från evenemanget
• Vår webbplats och tillhörande digitala tjänster

Gardfjällslunken, organisationsnummer 8025283568, är personuppgiftsansvarig.

Kontakt:
kontakt@gardfjallslunken.se
‍Umevägen 146A, 911 36 Vännäsby

Vi behandlar personuppgifter som är nödvändiga för att administrera loppet och vår kommunikation.

Det kan till exempel vara:

• Namn
• Mejladress
• Telefonnummer
• Startgrupp, klass, födelseår, kön, klubb och ort
• Val kopplade till deltagandet (t.ex. buss, mat, vegetarisk kost, merch)
• Uppgifter om allergier eller andra särskilda behov (frivilligt)
• Kontaktuppgifter till närmast anhörig
• Uppgifter om vårdnadshavare och barn (Kids)
• Uppgifter om reservkö, intresselista, köstatus och personliga länkar
• Ordernummer, betalstatus, betalningsreferens
• Samtycken (t.ex. nyhetsbrev, foto/film)
• Uppgifter om e-post (leverans, öppning, klick)
• Tekniska uppgifter (IP-adress, cookies, session, användaragent, loggar)
• Foto- och videomaterial från evenemanget

Vi samlar normalt inte in personnummer eller postadress i anmälningssystemet.

Vi samlar i första hand in uppgifter direkt från dig när du:

• anmäler dig till loppet, Kids, reservkö eller intresselista
• Använder Min sida eller personliga länkar
• Kontaktar oss
• Anmäler dig till nyhetsbrev
• Deltar i loppet

Vi kan också få uppgifter från:

• Vårdnadshavare (för barn)
• En deltagare som anmäler flera personer
• Närmast anhörig
• Tekniska leverantörer (t.ex. e-post eller drift)
• Betalningsadministration

Om du lämnar uppgifter om någon annan ansvarar du för att du har rätt att göra det.

För att administrera deltagande

(anmälan, startlistor, kö, Min sida, kommunikation)

‍Rättslig grund: avtal

För betalning och bokföring

(betalstatus, avstämning, verifikationer)

‍Rättslig grund: rättslig förpliktelse och avtal

Betalning sker via Swish eller banköverföring. Vi lagrar inte kortuppgifter.

För servicekommunikation

(bekräftelser, statusmejl, praktisk information)

‍Rättslig grund: avtal och berättigat intresse

Vi kan använda teknik som registrerar om e-post öppnas eller länkar klickas för att säkerställa leverans och förbättra kommunikationen.

För nyhetsbrev

Rättslig grund: samtycke

Om du samtycker kan dina uppgifter delas med vår leverantör (t.ex. Mailchimp), som kan behandla uppgifter utanför EU/EES.

För särskilda uppgifter

Om du frivilligt lämnar uppgifter om allergier eller andra särskilda behov behandlar vi dem för att kunna administrera ditt deltagande och ta rimlig hänsyn i samband med arrangemanget.

Rättslig grund: uttryckligt samtycke

Samtycket lämnas genom att du själv väljer att fylla i uppgifterna och skicka in anmälan.

För säkerhet

(skydd mot missbruk, loggning, felsökning)

‍Rättslig grund: berättigat intresse

För statistik och förbättring

(trafik, anmälningar, användning)

‍Rättslig grund: berättigat intresse

För foto och film

Rättslig grund: samtycke eller berättigat intresse

Anmälningssystemet använder automatiserade regler för till exempel:

• kapacitetsstyrning
• reservkö och platstilldelning
• batchsläpp
• tidsfrister och erbjudanden

Dessa baseras på köordning eller administrativa inställningar, inte på personliga egenskaper.

Vi använder inte profilering för marknadsföring.

Åtkomst till funktioner som Min sida, reservstatus och platserbjudanden sker via personliga länkar med unika tokens.

Dessa fungerar som personlig åtkomstnyckel och ska behandlas som konfidentiella.

Vissa länkar, till exempel för reservplats eller batchsläpp, kan vara tidsbegränsade. Min sida-länkar är i nuläget långlivade och gäller tills de spärras eller roteras av administratör.

Personuppgifter behandlas främst av Gardfjällslunken.

Vi kan dela uppgifter med leverantörer, till exempel:

• Drift och databashosting
• Mejlleverantör (Resend / SendGrid)
• Nyhetsbrevsleverantör (Mailchimp)
• Fil- och bildhantering
• Inbäddat innehåll (t.ex. Strava, YouTube)
• Bokföring och betalningsadministration
• Myndigheter vid lagkrav

Vi säljer inte personuppgifter.

Vissa leverantörer kan behandla uppgifter utanför EU/EES.

I sådana fall säkerställer vi skydd enligt GDPR, till exempel genom:

• adekvat skyddsnivå
• standardavtalsklausuler

Vi sparar personuppgifter så länge det behövs för de ändamål som anges i denna policy, eller så länge vi måste enligt lag.

Som utgångspunkt gäller följande:

• Bokföring: minst 7 år
• Deltagar- och orderuppgifter: normalt upp till 24 månader efter relevant lopp eller säsong
• Reservkö/intresselista: upp till 12 månader
• Kids-uppgifter: upp till 12 månader
• Allergier/närmast anhörig: upp till 12 månader
• Loggar: normalt upp till 12 månader
• Nyhetsbrev: tills samtycke återkallas
• Foto/film: så länge materialet är relevant för dokumentation eller kommunikation

Uppgifter kan i vissa fall sparas längre om det krävs för bokföring, rättsliga skyldigheter, felsökning, säkerhet eller för att hantera ett pågående ärende.

Personliga länkar och åtkomsttokens sparas så länge de behövs för respektive funktion. Vissa tokenlänkar, såsom Min sida-länkar, har i nuläget ingen automatisk tidsutgång utan spärras eller roteras manuellt vid behov.

Vi använder nödvändiga cookies och liknande teknik för:

• Sessionshantering
• Säkerhet
• Funktionalitet

Anmälningssystemet använder även intern mätning av sidvisningar och genomförda anmälningar för statistik och förbättring. Denna mätning bygger på egna loggade händelser och hänvisningsinformation i anmälningssystemet.

Om vi använder inbäddat innehåll, till exempel Strava, kan den leverantören använda egen teknik enligt sin egen policy.

Om vi i framtiden använder icke-nödvändiga cookies eller liknande teknik som kräver samtycke, inhämtas detta innan sådan teknik aktiveras.

Vi fotograferar och filmar under evenemanget för dokumentation och kommunikation.

För ordinarie deltagaranmälan ber vi om samtycke i samband med anmälan. För Gardfjällslunken Kids lämnas val om foto/film av vårdnadshavare i anmälan.

I andra sammanhang, till exempel översiktsbilder från evenemangsområdet, kan behandling även ske med stöd av berättigat intresse.

Du kan kontakta oss om du har frågor, vill invända mot viss användning eller vill att vi prövar om publicerat material kan tas bort.

Du har rätt att:

• Få information
• Få tillgång till uppgifter
• Begära rättelse
• Begära radering
• Begära begränsning
• Invända mot behandling
• Få ut dina uppgifter (dataportabilitet)
• Återkalla samtycke
• Lämna klagomål till IMY

Vi använder tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifter, till exempel:

• Behörighetsstyrning och begränsad åtkomst till administrativa funktioner
• Säkra sessioner och skydd för inloggade användare
• Tvåfaktorsautentisering för administrativa konton
• Förnyad verifiering för särskilt känsliga administrativa åtgärder
• Loggning och spårbarhet för systemhändelser och inloggningar
• Skydd mot automatiserade attacker, till exempel rate limiting och vid behov CAPTCHA
• Säkerhetsheaders och andra skydd i webbapplikationen

kontakt@gardfjallslunken.se
‍Umevägen 146A, 911 36 Vännäsby
Du kan även klaga till Integritetsskyddsmyndigheten (IMY): www.imy.se