Personvernpolicy (NO)/
Privacy policy (EN)

Versjon 1.0 / Version 1.0

Norsk
English

Introduksjon


Vi er opptatt av å beskytte personvernet ditt og å legge til rette for at du kan ivareta rettighetene dine etter personvernlovgivningen.

I denne personvernerklæringen forklarer vi derfor hvordan vi — Helsekompaniet AS (Helsekompaniet) — behandler personopplysninger om deg når du bruker mobilapplikasjonen vår, KOOR ("appen"), hvilke personvernrettigheter du har som bruker, hvordan vi beskytter dataene dine, og så videre.

Vi behandler alltid personopplysningene dine i samsvar med gjeldende norsk
personvernlovgivning, inkludert EUs personvernforordning (GDPR).


Definisjoner


For at personvernerklæringen vår skal være tilgjengelig og enkel å forstå, forklarer vi først noen viktige begreper som er brukt i erklæringen:

  • Personopplysninger: All informasjon som kan knyttes til deg som enkeltperson, enten du er trener eller kunde, og enten tilknytningen er direkte (f.eks. navn, bilde og fødselsdato) eller indirekte (f.eks. bruker-ID eller treningstimer).
  • Behandling: Alt vi gjør med personopplysningene dine, for eksempel innsamling, lagring, endring, deling, pseudonymisering eller sletting.
  • Behandlingsansvarlig: Den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes — i dette tilfellet er det Helsekompaniet AS som er behandlingsansvarlig.
  • Databehandler: En virksomhet som behandler personopplysninger på vegne av den Helsekompaniet, for eksempel leverandører av skylagringstjenester eller betalingsløsninger.
  • Rettslig grunnlag: Det juridiske grunnlaget som gir oss lov til å behandle personopplysningene dine etter personvernlovgivningen. All behandling av personopplysninger må ha et slikt grunnlag. For appen vår er de mest aktuelle grunnlagene disse:
    • avtale (når vi må behandle opplysninger for å oppfylle avtalen med deg)
    • samtykke (når du aktivt har godtatt behandlingen)
    • rettslig forpliktelse (når loven krever at vi behandler opplysningene)
    • berettiget interesse (når vi har en saklig grunn som veier tyngre enn personvernulempene for deg)
    • For særlige kategorier av personopplysninger (se def. under), som helseopplysninger fra treningsjournalen din, gjelder det strengere krav enn det som er angitt over. For slike personopplysninger må vi ha både et vanlig rettslig grunnlag (se over) og et særskilt grunnlag, hvor det mest aktuelle er ditt uttrykkelige samtykke.
  • Særlige kategorier av personopplysninger: Sensitive personopplysninger som krever ekstra beskyttelse, som helseopplysninger. I appen kan det være aktuelt å registrere informasjon om helsen din, for eksempel kan det registreres slik informasjon i treningsjournalen, men bare dersom du selv ønsker det og samtykker uttrykkelig til det.
  • Den registrerte: Personen som personopplysningene handler om eller kan knyttes til — i dette tilfellet er det deg som bruker appen, enten det er som personlig trener eller som kunde.

Behandligsansvarlig

Helsekompaniet AS (org.nr. 934043677) er behandlingsansvarlig for personopplysningene som samles inn og behandles i appen.

Kontaktinformasjonen vår er:

Hvordan vi behandler personopplysninger

Vi behandler personopplysninger om deg i følgende tilfeller:

FAGPERSONER:

  • Når du oppretter en brukerkonto som fagperson
  • Når du legger inn og oppdaterer profilen din
  • Når du bruker lokaliseringstjenester for å være synlig for mulige kunder
  • Når du kommuniserer med kundene dine ved hjelp av appen
  • Når du oppretter og lagrer treningsplaner og journaler for kundene dine
  • Når du mottar betalinger
  • Når du administrerer timeplan og tilgjengelighet
  • Når du sender ernæringsplaner til kunder
  • Når du logger inn og bruker appen
  • Når du endrer innstillinger eller preferanser i appen

FOR ENKELTPERSONER:

  • Når du oppretter en brukerkonto som kunde
  • Når du søker etter og kontakter fagpersoner
  • Når du bestiller og betaler for treningstimer eller tjenester
  • Når du deler treningsdata og helseinformasjon med treneren din
  • Når du fører ernæringsdagbok
  • Når du bruker lokaliseringstjenester for å finne trenere i nærheten
  • Når du kommuniserer med din personlige trener
  • Når du mottar og bekrefter treningsplaner
  • Når du ser på treningshistorikken og treningsfremgangen din
  • Når du logger inn og bruker appen
  • Når du endrer innstillinger eller preferanser i appen

AUTOMATISERT BEHANDLING:

  • Når appen lagrer teknisk informasjon om enheten din og hvordan du bruker
    appen
  • Når appen genererer påminnelser om treningstimer
  • Når appen oppdaterer treningshistorikken din
  • Når appen behandler betalinger og genererer kvitteringer
  • Når appen synkroniserer kalenderen din med avtalte treningstimer

VED SÆRLIGE HENDELSER:

  • Når du kontakter kundeservice
  • Når du rapporterer problemer eller feil i appen
  • Når du ber om innsyn i personopplysningene dine
  • Når du trekker tilbake et samtykke
  • Når du sletter kontoen din

All behandling skjer i samsvar med gjeldende personvernlovgivning og basert på definerte rettslige grunnlag som beskrevet i denne personvernerklæringen.

Vi har en IT-driftsmodell som innebærer bruk av eksterne leverandører til drift og vedlikehold av noen av funksjonene i appen. Dette kan for eksempel være betalingsløsningen og stedstjenester. All infrastruktur og alle data er lokalisert innenfor EU/EØS eller i land eller hos mottakere som er godkjent av EU-kommisjonen.

Vi behandler følgende personopplysningskategorier

OM DEG SOM FAGPERSON

  • Grunnleggende kontaktinformasjon (som navn, e-postadresse, telefonnummer)
  • Profesjonell informasjon (kvalifikasjoner, relevant erfaring, spesialiseringer)
  • Geografisk plassering (for å muliggjøre "inn trener i nærheten"-funksjonen)
  • Betalingsinformasjon
  • Timeplan og tilgjengelighet
  • Kommunikasjonsinformasjon med kunder gjennom appen, inkludert innholdet i en-til-en-kommunikasjon med kunde og såkalte «metadata» som f.eks. dato og tidspunkt for kommunikasjonen og andre nødvendige tekniske data
  • Journalføring og treningsplaner for kunder

OM DEG SOM ENKELTPERSON

  • Grunnleggende kontaktinformasjon (som navn, e-postadresse, telefonnummer)
  • Geografisk plassering (valgfritt, for å finne trenere i nærheten)
  • Betalingsinformasjon
  • Treningshistorikk og -aktivitet
  • Ernæringsinformasjon og -dagbok
  • Helseinformasjon som registreres i journal
  • Kommunikasjonsinformasjon med personlig trener, inkludert innholdet i en-til-en-kommunikasjon med trener og såkalte «metadata» som f.eks. dato og tidspunkt for kommunikasjonen og andre nødvendige tekniske data
  • Bookinghistorikk og planlagte timer

OM TREDJEPERSONER

Det kan også hende at vi behandler personopplysninger om tredjepersoner som ikke selv er brukere av appen. Dette kan skje i følgende tilfeller:

  • Når fagperson eller enkeltpersoner omtaler andre personer i kommunikasjon seg imellom
  • Ved deling av bilder eller videoer hvor andre personer er synlige
  • Referanser til tredjepersoner i treningsjournal eller personlige notater

Helsekompaniet sørger for å sikre slike opplysninger, men vi gjør oppmerksom på at brukerne selv har et ansvar for at all behandling av personopplysninger om tredjepersoner skjer i samsvar med gjeldende personvernregler. Omtale av tredjepersoners sensitive forhold, som informasjon om helse, seksuelle forhold eller religion, er i utgangspunktet ikke tillatt.

Formål og rettslig grunnlag for behandling

GJENNOMFØRING AV AVTALEN (GDPR ART. 6 FØRSTE LEDD BOKSTAV B)

  • Administrere kundeforholdet
  • Muliggjøre booking og betaling av treningstimer
  • Tilby kommunikasjon mellom trener og kunde
  • Lagre treningsplaner og ernæringsråd

RETTSLIGE FORPLIKTELSER (GDPR ART. 6 FØRSTE LEDD BOKSTAV C)

  • Oppfylle regnskapsmessige forpliktelser, f.eks. etter bokføringsregelverket
  • Håndtere eventuelle reklamasjoner fra kunder
  • Handtere eventuelle reklamasjoner fra tredjeparter

BERETTIGET INTERESSE (GDPR ART. 6 FØRSTE LEDD BOKSTAV F)

  • Forbedre og videreutvikle tjenesten (pseudonymiserte eller anonymiserte data)
  • Analysere bruksmønstre for å optimalisere funksjonalitet (pseudonymiserte eller anonymiserte data)
  • Sikre teknisk drift og sikkerhet (pseudonymiserte eller anonymiserte data)

SAMTYKKE (GDPR ART. 6 FØRSTE LEDD BOKSTAV A OG ART. 9 ANDRE LEDD
BOKSTAV A)

  • Behandling av helseopplysninger i treningsjournal
  • Innsamling og bruk av lokasjonsinformasjon («finn trener i nærheten»-funksjonen)
  • Deling av treningsresultater med trener

Personvernprinsipper og innebygd personvern

Vi har implementert "innebygd personvern" (Privacy by Design) og følger prinsippet om dataminimering. Dette betyr at:

  • Vi samler kun inn personopplysninger som er nødvendige for å levere tjenesten
  • Alle personverninnstillinger er som standard satt til mest personvernvennlige nivå
  • Lokasjonsdeling er deaktivert som standard og må aktivt slås på av brukerne
  • Brukerne kan selv velge hvilken informasjon de vil dele i ernæringsdagbok og treningslogg
  • All kommunikasjon er kryptert og sikker
  • Data slettes automatisk når formålet med behandlingen er oppfylt
  • Den registrerte er gitt full kontroll over egne data som behandles i medhold av art. 6 og art. 9 (med unntak av personopplysninger som behandles i medhold av art. 6 første ledd bokstav c)

Deling av personopplysninger

Vi deler kun dine personopplysninger når det er nødvendig, i følgende tilfeller:

  • Mellom personlig trener og kunde (innenfor appens rammer)
  • Med betalingstjenesteleverandør for å gjennomføre betalinger
  • Med IT-leverandører (databehandlere) som hjelper oss med drift og vedlikehold av appen
  • Med offentlige myndigheter når vi er rettslig forpliktet til det

Alle databehandlere er underlagt våre databehandleravtaler, som sikrer at personopplysningene dine ikke blir behandlet på annen måte enn det som fremgår av denne erklæringen, og rettighetene dine og personvernet ditt blir ivaretatt i alle ledd.

Overføring til tredjeland

Vi tilstreber å behandle alle personopplysninger innenfor EU/EØS. Hvis overføring til land utenfor EU/EØS er nødvendig, sikrer vi at overføringen skjer i henhold til GDPRs krav, for eksempel gjennom EUs standardkontrakter eller andre godkjente overføringsmekanismer, for eksempel EU-US Data Privacy Framework.

Lagringstid

Vi lagrer dine personopplysninger kun så lenge det er nødvendig for å oppfylle formålet med behandlingen:

  • Kundekonto og profil: Så lenge du har en aktiv konto, opplysningene slettes ved avslutning av konto
  • Betalingsinformasjon: Så lenge som bokførings- og regnskapslovgivningen krever (5 år)
  • Treningshistorikk og journaler: 1 år etter siste aktivitet
  • Kommunikasjon mellom trener og kunde: seks måneder år etter avsluttet kundeforhold
  • Lokasjonsinformasjon: Slettes etter hver økt, med mindre annet er valgt

Dine rettigheter

Som registrert har du følgende rettigheter:

  • Rett til innsyn i personopplysninger vi har om deg
  • Rett til å korrigere uriktige opplysninger om deg
  • Rett til å få slettet dine opplysninger (med visse begrensninger)
  • Rett til å begrense behandlingen av opplysninger om deg
  • Rett til dataportabilitet om data […]
  • Rett til å trekke tilbake samtykket ditt
  • Rett til å motsette deg behandling basert på berettiget interesse
  • Rett til å ikke bli gjort til gjenstand for profilering og automatisertebeslutninger

For å utøve dine rettigheter, ta kontakt med oss på support@helsekompaniet.no, så vil vi svare deg så snart som mulig, og senest innen det har gått tretti dager.

Informasjonssikkerhet

Vi har implementert tekniske og organisatoriske sikkerhetstiltak for å beskytte dine personopplysninger:

  • Kryptering av data både ved lagring og overføring
  • Tilgangskontroll og autentisering – ingen andre enn de som har et legitimt og yrkesmessig behov for det, får tilgang til dine data
  • Regelmessig sikkerhetsoppdatering
  • Rutiner for håndtering av sikkerhetshendelser
  • Opplæring av ansatte i personvern og informasjonssikkerhet

Klagerett

Dersom du mener at vi behandler personopplysningene dine i strid med personvernregelverkets krav, eller du ikke får svar på dine rettighetshenvendelser, kan du klage til Datatilsynet via
https://www.datatilsynet.no/klageskjema_direkte/

Du finner mer informasjon om klager til Datatilsynet på
https://www.datatilsynet.no/om-datatilsynet/kontakt-oss/klage-til-datatilsynet/

Du kan også kontakte Datatilsynets veiledningstjeneste for bistand på
telefonnummer + 47 22 39 69 00.

Endringer i personvernerklæringen

Vi kan oppdatere denne personvernerklæringen ved behov. Ved vesentlige endringer vil vi informere deg gjennom appen eller per e-post. Siste versjon vil alltid være tilgjengelig i appen.

DOKUMENTASJON AV VERSJONSHÅNDTERING

  • Første versjon, Laget norsk og engelsk tekst, 1.0 , 19.01.2025

Introduction


We are committed to protecting your privacy and enabling you to exercise your rights under the
applicable privacy legislation.

In this privacy policy, we — Helsekompaniet AS (“Helsekompaniet”) — explain how we process your
personal data when you use our mobile application, KOOR (the "app"), which privacy rights you have as a user, how we protect your data, and more.

We always process your personal data in accordance with applicable Norwegian privacy
legislation, including the EU General Data Protection Regulation (GDPR).


Definitions


To make our privacy policy accessible and easy to understand, we first explain some important
terms used in the policy:

  • Personal Data: Any information that can be linked to you as an individual, whether you are a trainer or client, and whether the connection is direct (e.g., name, photo and date of birth) or
    indirect (e.g., user ID or training sessions).
  • Processing: Everything we do with your personal data, such as collection, storage, modification, sharing, pseudonymization, or deletion.
  • Data Controller: The entity that determines the purposes and means of processing personal data — in this case, Helsekompaniet AS — is the data controller.
  • Data Processor: An organization that processes personal data on behalf of Helsekompaniet, such as providers of cloud storage services or payment solutions.
  • Legal Basis: The legal grounds that allow us to process your personal data under applicable privacy legislation. All processing of personal data must have such a legal basis. For our app, the most relevant bases are:
    • contract (when we need to process data to fulfill our agreement with you)
    • consent (when you have actively approved the processing)
    • legal obligation (when the law requires us to process the data)
    • legitimate interest (when we have a justified reason that outweighs the privacy
      disadvantages for you)
    • For special categories of personal data (see def. below), such as health information
      from your training journal, stricter requirements apply than those stated above. For
      such personal data, we must have both a regular legal basis (see above) and a specific
      legal basis, where your explicit consent is the most relevant.
  • Special Categories of Personal Data: Sensitive personal data requiring extra protection, such
    as health information. In the app, it may be relevant to record information about your health,
    for example in the training journal, but only if you wish to do so and explicitly consent to it.
  • Data Subject: The person whom the personal data is about or can be linked to — in this case,
    it's you who uses the app, whether as a personal trainer or as a client.

Data Controller

Helsekompaniet AS, org.no. 934043677, is the data controller for personal data collected and
processed in the app.

Our contact information is:
Email: support@helsekompaniet.no
Address: Fabrikkveien 10, 4033 Stavanger, Norway

How We Process Personal Data

We process personal data about you in the following cases:

For professional users:

  • When you create a user account as a personal trainer
  • When you enter and update your profile
  • When you use location services to be visible to potential clients
  • When you communicate with your clients using the app
  • When you create and store training plans and journals for your clients
  • When you receive payments
  • When you manage your schedule and availability
  • When you send nutrition plans to clients
  • When you log in and use the app
  • When you change settings or preferences in the app

For individual users:

  • When you create a user account as a client
  • When you search for and contact personal trainers
  • When you book and pay for training sessions
  • When you share training data and health information with your trainer
  • When you maintain a nutrition diary
  • When you use location services to find nearby trainers
  • When you communicate with your personal trainer
  • When you receive and confirm training plans
  • When you view your training history and progress
  • When you log in and use the app
  • When you change settings or preferences in the app

Automated Processing:

  • When the app stores technical information about your device and how you use the app
  • When the app generates reminders for training sessions
  • When the app updates your training history
  • When the app processes payments and generates receipts
  • When the app syncs your calendar with scheduled training sessions

Special Events:

  • When you contact customer service
  • When you report problems or errors in the app
  • When you request access to your personal data
  • When you withdraw consent
  • When you delete your account

All processing is carried out in accordance with applicable privacy legislation and based on defined legal bases as described in this privacy policy.

We have an IT operations model that involves using external suppliers for the operation and
maintenance of some app functions. This may include payment solutions and location services. All infrastructure and data are located within the EU/EEA or in countries or with recipients approved by the European Commission.

Categories of personal data we process

About You as a Professional User

  • Basic contact information (such as name, email address, phone number)
  • Professional information (qualifications, relevant experience, specializations)
  • Geographic location (to enable the "find trainer nearby" function)
  • Payment information
  • Schedule and availability
  • Communication information with clients through the app, including the content of one-to-one communication with clients and "metadata" such as date and time of communication and other necessary technical data
  • Client journaling and training plans

About You as an Individual User

  • Basic contact information (such as name, email address, phone number)
  • Geographic location (optional, to find nearby trainers)
  • Payment information
  • Training history and activity
  • Nutrition information and diary
  • Health information recorded in your journal
  • Communication information with professional users, including the content of one-to-one
    communication with trainer and "metadata" such as date and time of communication and other necessary technical data
  • Booking history and scheduled sessions

About Third Parties

We may also process personal data about third parties who are not themselves users of the app.
This may occur in the following cases:

  • When trainer or client mentions other persons in communication between them
  • When registering next of kin
  • When sharing photos or videos where other persons are visible
  • References to third parties in training journals or personal notes

Helsekompaniet ensures the security of such information, but we note that users themselves have a responsibility to ensure that all processing of personal data about third parties complies with applicable privacy rules. Discussion of third parties' sensitive matters, such as information about health, sexual relations, or religion, is not permitted in principle.

Purposes and Legal Basis for Processing

Performance of Contract (GDPR Art. 6(1)(b))

  • Administration of the customer relationship
  • Enable booking and payment of training sessions
  • Provide communication between trainer and client
  • Store training plans and nutrition advice

Legal Obligations (GDPR Art. 6(1)(c))

  • Fulfill accounting obligations, e.g., under bookkeeping regulations
  • Handle any complaints from clients
  • Handle any complaints from third parties

Legitimate Interest (GDPR Art. 6(1)(f))

  • Improve and further develop the service (pseudonymized or anonymized data)
  • Analyze usage patterns to optimize functionality (pseudonymized or anonymized data)
  • Ensure technical operation and security (pseudonymized or anonymized data)

Consent (GDPR Art. 6(1)(a) and Art. 9(2)(a))

  • Processing of health information in training journal
  • Collection and use of location information ("find trainer nearby" function)
  • Sharing training results with trainer

Privacy Principles and Privacy by Design

We have implemented "Privacy by Design" and follow the principle of data minimization. This means:

  • We only collect personal data necessary to deliver the service
  • All privacy settings are set to the most privacy-friendly level by default
  • Location sharing is disabled by default and must be actively enabled by users
  • Users can choose what information they want to share in nutrition diary and training log
  • All communication is encrypted and secure
  • Data is automatically deleted when the purpose of processing is fulfilled
  • The data subject has full control over their own data processed under Art. 6 and Art. 9 (except for personal data processed under Art. 6(1)(c))

Sharing of Personal Data

We only share your personal data when necessary, in the following cases:

  • Between personal trainer and client (within the app's framework)
  • With payment service provider to process payments
  • With IT providers (data processors) who help us operate and maintain the app
  • With public authorities when we are legally obligated to do so

All data processors are subject to our data processing agreements, which ensure that your
personal data is not processed in any way other than what is stated in this policy, and your rights
and privacy are protected at all levels.

Transfer to Third Countries

We strive to process all personal data within the EU/EEA. If transfer to countries outside the
EU/EEA is necessary, we ensure that the transfer takes place in accordance with GDPR
requirements, for example through EU standard contractual clauses or other approved transfer
mechanisms, such as the EU-US Data Privacy Framework.

Storage Period

We store your personal data only as long as necessary to fulfill the purpose of processing:

  • Customer account and profile: As long as you have an active account
  • Payment information: As long as required by accounting and bookkeeping legislation (5 years)
  • Training history and journals: 1 years after last activity
  • Communication between trainer and client: 6 months after end of customer relationship
  • Location information: Deleted after each session unless otherwise selected

Your Rights

As a data subject, you have the following rights:

  • Right to access personal data we have about you
  • Right to correct inaccurate information about you
  • Right to have your information deleted (with certain limitations)
  • Right to restrict the processing of information about you
  • Right to data portability
  • Right to withdraw your consent
  • Right to object to processing based on legitimate interest
  • Right to not be subject to profiling and automated decisions

To exercise your rights, contact us at personvern@helsekompaniet.no, and we will respond as soon as possible, and no later than thirty days.

Information Security

We have implemented technical and organizational security measures to protect your personal
data:

  • Encryption of data both during storage and transfer
  • Access control and authentication — only those with a legitimate and professional need have
    access to your data
  • Regular security updates
  • Security incident handling procedures, including data breach notification to the national Data
    Protection Authority.
  • Employee training in privacy and information security

Right to Lodge a Complaint

If you believe that we are processing your personal data in violation of privacy regulation
requirements, or you do not receive responses to your rights requests, you can complain to the

Norwegian Data Protection Authority via https://www.datatilsynet.no/klageskjema_direkte/
You can find more information about complaints to the Data Protection Authority at
https://www.datatilsynet.no/om-datatilsynet/kontakt-oss/klage-til-datatilsynet/

You can also contact the Data Protection Authority's guidance service for assistance at +47 22 39 69 00.

Changes to the Privacy Policy

We may update this privacy policy as needed. For significant changes, we will inform you through
the app or by email. The latest version will always be available in the app.

Version Control Documentation

  • First version, Created Norwegian and English text, 1.0, 19.01.2025