Personvernerklæring

1. Innledning

Denne Personvernerklæringen forklarer hvordan Optimas Organisasjonspsykologi AS ("Optimas", "vi") samler inn og bruker personopplysninger gjennom OnlineJTI-plattformen. Den gjelder Praktikere, Respondenter og besøkende på onlinejti.com.

Vi behandler personopplysninger i tråd med personvernforordningen (EU) 2016/679 (GDPR), personopplysningsloven og gjeldende nasjonale regler i EØS. Vår interne Databeskyttelsespolicy (DPP-001) angir de tekniske og organisatoriske tiltakene bak denne erklæringen og er tilgjengelig på forespørsel.

Hvis du bare ønsker en kort oppsummering: vi samler inn det som er nødvendig for å levere Kartleggingen og Rapportene; vi lagrer data i Tyskland; vi deler data kun med underdatabehandlerne som er listet i seksjon 8; du kan eksportere og slette personopplysningene dine når som helst.

2. Vår rolle: behandlingsansvarlig og databehandler

OnlineJTI har to ulike brukertyper, og vår rolle etter GDPR avhenger av datatypen:

Respondentens kartleggingsdata: Praktikerens organisasjon er behandlingsansvarlig. Optimas behandler dataene på vegne av Praktikeren som databehandler etter en databehandleravtale.
Praktikerkontoer, fakturering, plattformtelemetri: Optimas er behandlingsansvarlig.
Offentlig nettside og markedsføringskommunikasjon: Optimas er behandlingsansvarlig.

Hvis du er Respondent og ønsker å utøve rettigheter over kartleggingsdataene dine (for eksempel innsyn eller sletting), vennligst kontakt Praktikeren din først; du kan også kontakte oss direkte med kontaktinformasjonen i seksjon 18, så videreformidler vi forespørselen ved behov.

3. Personopplysninger vi samler inn

Hva vi samler inn avhenger av hvordan du bruker Tjenesten.

Fra Praktikere

navn, e-post, telefonnummer (valgfritt), foretrukket språk, profilbilde (valgfritt);
organisasjonen, Distributøren og teamet du tilhører, og rollen din innenfor dem;
JTI-sertifiseringsstatus;
påloggingsdetaljer (passord lagret som saltet bcrypt-hash) og autentiseringstokens;
kredittsaldo, kjøpshistorikk og fakturaer;
fritekstnotater, teamkontekstinformasjon og chatmeldinger du sender til AI-funksjoner;
logger over aktivitet i plattformen, IP-adresse og nettlesermetadata for sikkerhet og misbruksforebygging;
kommunikasjon du sender oss via e-post, in-app-meldinger og brukerstøttehenvendelser.

Fra Respondenter

navn, e-post og (valgfritt) alder, kjønn, yrke, utdanningsnivå, språk;
dine 56 svar på JTI-spørreskjemaet (hvert lagret som A eller B), beregnet personlighetstype og de åtte dimensjonsskårene (E/I, S/N, T/F, J/P);
tidspunktet du fullførte Kartleggingen og siste gang dataene dine ble lest;
eventuelle refleksjonssvar, journalnotater eller chatmeldinger du sender til AI-funksjoner i kurs- eller coachingmoduler;
eventuell teamtilhørighet valgt av Praktikeren din;
leveringskvitteringer for e-post eller SMS vi sender deg (uten meldingsinnhold etter levering).

Fra besøkende på onlinejti.com

nødvendige informasjonskapsler for økt, sikkerhet og språkpreferanse (se vår Cookie-erklæring);
tjenerlogger (IP, nettleser, henvisende side) i den perioden som er nødvendig for sikker drift.

Vi samler ikke inn særlige kategorier av personopplysninger (som helse, religion eller politisk oppfatning) i betydningen GDPR artikkel 9. JTI-personlighetsresultater er ikke artikkel 9-data, men vi behandler dem som sensitive og begrenser tilgangen tilsvarende.

4. Hvordan vi bruker personopplysninger

Vi bruker personopplysninger for å:

levere Tjenesten: invitere Respondenter, score Kartleggingen, generere Rapporter, levere kurs- og coachinginnhold;
administrere Praktikerkontoer, saldoer og fakturering;
kommunisere med deg om Kartlegginger, Rapporter, kontoendringer og sikkerhetsmeldinger;
drifte AI-funksjoner (typeinnsikter, teamanalyse, kurscoach) ved å sende nødvendig input til våre AI-underdatabehandlere som beskrevet i seksjon 7;
sikre Tjenesten mot svindel, misbruk, kontoovertakelser og uforholdsmessig belastning;
forbedre Tjenesten gjennom aggregert og anonymisert statistikk;
oppfylle rettslige forpliktelser, herunder skatte-, regnskaps- og varslingsplikt ved hendelser;
sende markedsføringse-poster til Praktikere som har samtykket (Respondenter mottar ikke markedsføring).

5. Rettslig grunnlag for behandling

Vi behandler personopplysninger på følgende rettslige grunnlag (GDPR artikkel 6):

Oppfyllelse av avtale (artikkel 6 nr. 1 bokstav b) for å levere Tjenesten til Praktikere og Respondenter som har akseptert en invitasjon;
Berettiget interesse (artikkel 6 nr. 1 bokstav f) for sikkerhet, svindelforebygging, misbruksforebygging, intern administrasjon og aggregert produktforbedring; vi har avveid interessen mot dine rettigheter og funnet behandlingen nødvendig og forholdsmessig;
Rettslig forpliktelse (artikkel 6 nr. 1 bokstav c) som regnskap, skatt og varsling av hendelser;
Samtykke (artikkel 6 nr. 1 bokstav a) for markedsføringskommunikasjon og eventuelle valgfrie funksjoner som krever samtykke. Du kan trekke samtykket tilbake når som helst, uten at det påvirker lovligheten av tidligere behandling.

6. Sensitive opplysninger

JTI-resultater beskriver psykologiske preferanser og er ikke helseopplysninger eller andre særlige kategorier etter GDPR artikkel 9. Likevel behandler vi dem som sensitive: tilgang er forbeholdt Praktikeren din og det begrensede antallet ansatte i Optimas som trenger tilgang for støtte- og sikkerhetsformål, og vi anvender prinsippene om dataminimering, lagringsbegrensning og sikkerhet som er beskrevet i denne erklæringen.

7. AI-baserte funksjoner og data sendt til AI-leverandører

OnlineJTI bruker Anthropic (Claude), OpenAI og Groq for å generere teksten i typeinnsikter, teamanalyse og kurscoach. Vi bruker disse leverandørene under signerte databehandleravtaler som inkluderer EUs standardkontraktvilkår for overføring utenfor EØS, og vi instruerer hver leverandør om å ikke lagre input og ikke bruke dem til å trene modellene sine.

Før noen data forlater vår backend, erstattes virkelige navn med øktstabile kodenavn som «Member42». Kodenavnet har bare betydning innenfor økten din, og det gjenopprettes til virkelig navn på vår side før noe vises for deg. AI-leverandøren mottar derfor minimum av nødvendig informasjon for analysen — typisk en typekode og et kodenavn — og ser aldri den virkelige personen bak. Direkte identifikatorer som e-postadresser, og demografiske detaljer som kjønn, alder og yrke, fjernes fullstendig fra data som sendes til AI.

Hva vi sender til AI-leverandører (avhengig av funksjonen du bruker):

din personlighetstype og dimensjonsskårer;
øktstabile kodenavn som «Member42» for teammedlemmene eller respondentene som omtales (aldri deres virkelige navn);
fritekstinnhold du legger inn, slik som notater, teamkontekst, refleksjonssvar og chatmeldinger;
kurs- og modulkontekst som er nødvendig for å besvare spørsmålet ditt.

Hva vi ikke sender:

virkelige navn på Praktikere, respondenter eller teammedlemmer — disse erstattes med øktstabile kodenavn før de sendes;
demografiske detaljer om respondenter, som kjønn, alder eller yrke;
e-postadresser, telefonnummer eller postadresser;
passord, autentiseringstokens eller betalingsdata;
alle dine 56 rå kartleggingssvar;
personnummer eller andre nasjonale ID-nummer.

Alle AI-kall foretas server-til-server fra vår backend; AI-nøkler eksponeres ikke for nettleseren. Samtale- og analysehistorikk lagres i vår egen database så lenge kontoen din er aktiv eller til du sletter en økt, det som inntreffer først.

AI-funksjonene treffer ikke automatiserte avgjørelser med rettslig virkning eller som på tilsvarende måte i betydelig grad påvirker deg, jf. GDPR artikkel 22. En kvalifisert Praktiker er alltid i sløyfen for beslutninger basert på AI-utdata.

8. Underdatabehandlere

Vi benytter følgende underdatabehandlere for å drifte Tjenesten. Hver er bundet av en skriftlig avtale som inkluderer GDPR-konforme vilkår.

Underdatabehandler	Formål	Plassering	Overføringsgrunnlag
Hetzner Online GmbH	Primær infrastrukturhosting (servere, database)	Tyskland (EU)	Databehandleravtale; ingen overføring utenfor EØS
GitHub (Microsoft)	Kildekode, container-register, CI/CD-logger	USA	Databehandleravtale med EUs standardkontraktvilkår
Resend	Transaksjons-e-post (invitasjoner, resultatvarsler, sikkerhetsmeldinger)	USA	Databehandleravtale med EUs standardkontraktvilkår
Vonage (Ericsson)	SMS-levering (tofaktor, varsler)	EU-behandling	Databehandleravtale
Anthropic	AI-tekstgenerering (Claude)	USA	Databehandleravtale med standardkontraktvilkår; null lagring konfigurert
OpenAI	AI-tekstgenerering	USA	Databehandleravtale med standardkontraktvilkår; null lagring konfigurert
Groq	AI-inferens (reserveleverandør)	USA	Databehandleravtale med standardkontraktvilkår; null lagring konfigurert

Vi gjennomfører aktsomhetsvurdering av hver underdatabehandler før engasjement. Den gjeldende listen er også publisert i vår interne Databeskyttelsespolicy. Vi gir Praktikere rimelig forhåndsvarsel ved vesentlige endringer i listen.

9. Internasjonale dataoverføringer

Primær behandling skjer innenfor EØS (Hetzner, Tyskland). Enkelte underdatabehandlere er etablert i USA. For slike overføringer baserer vi oss på EU-kommisjonens standardkontraktvilkår (SCC) som inngår i den aktuelle databehandleravtalen, supplert med ekstra tekniske tiltak som kryptering under overføring og i hvile der det er nødvendig.

Du kan be om kopi av gjeldende SCC for en bestemt underdatabehandler ved å sende e-post til privacy@onlinejti.com.

10. Lagringstid og anonymisering

Vi oppbevarer personopplysninger kun så lenge det er nødvendig for formålene angitt i denne erklæringen.

Datakategori	Lagringstid	Behandling ved utløp
Kartleggingssvar, beregnet type, skårer	Inntil anonymisering utløses (forespørsel, inaktivitet eller avtaleslutt)	Anonymisering: navn og e-post fjernes; type og skårer beholdes kun for aggregert statistikk
Genererte PDF-rapporter	Inntil anonymisering utløses	Slettes fra alle lagringssteder
Praktikerkontoens data	Avtalens varighet pluss 12 måneder	Deaktivering av konto og dataminimering
System- og sikkerhetslogger	90 dager	Automatisk rotasjon og sletting
Anonymiseringsspor	7 år	Beholdes for etterlevelse; inneholder ingen personopplysninger
Fakturaer og regnskapsmateriale	5 år	Beholdes som krevd av norsk bokføringslov

Vi har automatisert anonymisering basert på inaktivitet av Respondentenes kartleggingsdata. Det er en minste sikkerhetsperiode på 90 dager før noen post kan auto-anonymiseres. Respondenter og Praktikere mottar et varsel før planlagt anonymisering og kan utsette den via en signert lenke.

Du kan også be om umiddelbar sletting av kartleggingsdataene dine når som helst, jf. seksjon 14.

12. Informasjonskapsler og lokal lagring

Vi bruker kun informasjonskapsler og lagring i nettleseren som er nødvendig for å drifte Tjenesten: økt, sikkerhet (CSRF), språk- og temapreferanser, og en handlekurv-ID for Praktikere.

Vi bruker for tiden ikke tredjeparts annonsering eller atferdsanalyse-cookies. Hvis vi tilfører analyser som krever samtykke, vil vi distribuere et samtykkebanner først.

Fullstendige opplysninger, inkludert hvordan du administrerer informasjonskapsler i nettleseren, finner du i vår Cookie-erklæring på /about/cookies.

13. Markedsføringskommunikasjon

Vi sender markedsføringse-poster kun til Praktikere som har samtykket. Hver markedsføringse-post inneholder en avmeldingslenke, og du kan også trekke samtykket ved å kontakte privacy@onlinejti.com.

Respondenter mottar ikke markedsføring. Tjenestee-poster (som invitasjoner og resultatvarsler) sendes på grunnlag av avtaleforholdet og kan ikke avbestilles så lenge du har en aktiv kartleggingsregistrering.

14. Dine rettigheter

Etter GDPR har du følgende rettigheter knyttet til dine personopplysninger. Vi besvarer verifiserte henvendelser innen 30 dager.

Rett til innsyn (artikkel 15) — bekreftelse på at vi behandler dataene dine, og kopi av personopplysningene.
Rett til retting (artikkel 16) — korrigere uriktige eller ufullstendige data. Selve kartleggingssvarene kan ikke endres etter fullføring (det er et datakvalitetskrav i JTI-metoden), men identitetsdata rundt kan rettes av Praktikeren din.
Rett til sletting (artikkel 17) — be om sletting av personopplysningene dine. Vi gjennomfører dette ved anonymisering der identifiserende felt fjernes mens type og skårer beholdes i ikke-identifiserbar form til aggregert statistikk.
Rett til begrensning (artikkel 18) — pause behandlingen i nærmere bestemte tilfeller.
Rett til dataportabilitet (artikkel 20) — motta dataene dine i et strukturert, vanlig brukt og maskinlesbart format. Respondenter kan selv eksportere JSON fra kontosiden.
Rett til å protestere (artikkel 21) — protestere mot behandling basert på berettiget interesse, inkludert profilering.
Rett til å trekke samtykke — når som helst og uten å påvirke lovligheten av tidligere behandling.
Rett til ikke å være underlagt automatiserte avgjørelser med rettslig eller tilsvarende betydelig virkning (artikkel 22) — vi gjennomfører ikke slik avgjørelsestaking.

Selvbetjening

Respondenter kan eksportere dataene sine og be om umiddelbar sletting fra personvern-seksjonen på kontosiden (/account). Slettingen utføres av AnonymizationService og kan ikke angres.

Slik utøver du rettighetene dine

For data knyttet til en Kartlegging, kontakt Praktikeren din først; vedkommende er behandlingsansvarlig. Du kan også kontakte oss direkte på privacy@onlinejti.com, og vi videresender forespørselen til riktig part.

Rett til å klage

Hvis du mener vi ikke har behandlet personopplysningene dine korrekt, kan du klage til en tilsynsmyndighet. Tilsynsmyndighet for Optimas er Datatilsynet, Postboks 458 Sentrum, 0105 Oslo, post@datatilsynet.no, https://www.datatilsynet.no.

15. Sikkerhet

Vi anvender tekniske og organisatoriske tiltak tilpasset risikoen, herunder:

TLS 1.2 eller høyere for all data under overføring;
kryptering i hvile for databaser og sikkerhetskopier;
saltet bcrypt for passordhashing og JWT-basert autentisering;
tofaktorautentisering via SMS for sensitive kontoer;
rollebasert tilgangskontroll og isolasjon mellom Distributørtenanter;
sårbarhetsstyring, oppfølging av avhengigheter og rutinemessig oppdatering;
Hendelseshåndteringsplan med varsel til tilsynsmyndighet innen 72 timer og til berørte brukere uten ugrunnet opphold der loven krever det;
pseudonymisering av personidentifikatorer i AI-rettede data: virkelige navn på Praktikere, respondenter og teammedlemmer erstattes med øktstabile kodenavn før noen data krysser grensen til AI-leverandøren, og demografiske detaljer fjernes helt fra AI-rettede data.

Ingen sikkerhetstiltak er perfekte. Hvis du oppdager en sårbarhet, vennligst meld det til security@onlinejti.com.

16. Barn

Tjenesten er ikke rettet mot barn under 16 år, og vi samler ikke inn personopplysninger fra barn under 16 år bevisst. Hvis du blir oppmerksom på at et barn har gitt oss personopplysninger, vennligst kontakt privacy@onlinejti.com slik at vi kan fjerne dem.

17. Endringer i denne Personvernerklæringen

Vi kan oppdatere denne Personvernerklæringen fra tid til annen. Gjeldende versjon vises øverst på denne siden. Når vi gjør vesentlige endringer, oppdaterer vi versjonsreferansen og ber deg akseptere på nytt i applikasjonen før neste bruk av Tjenesten.

18. Kontakt og tilsynsmyndighet

Optimas Organisasjonspsykologi AS er behandlingsansvarlig for personopplysningene beskrevet i denne erklæringen, med mindre annet er angitt.

Optimas Organisasjonspsykologi AS
Myrdalskogen 435, 5117 Ulset, Norge
Norsk organisasjonsnummer: 979 972 660

Personvern og innsynsbegjæringer: privacy@onlinejti.com
Juridiske henvendelser og databehandleravtaler: legal@onlinejti.com
Sikkerhetshendelser: security@onlinejti.com

Du kan også kontakte Datatilsynet på post@datatilsynet.no.

Spørsmål om disse vilkårene? Logg inn på kontoen din eller kontakt din administrator.