Gå til hovedinnhold

Personvernerklæring for Gramo

Gramo behandler personopplysninger fordi vi krever inn og betaler ut vederlag på vegne av rettighetshavere til innspilt musikk. I denne erklæringen forklarer vi hvilke opplysninger vi behandler, hvorfor, og hvilke rettigheter du har.

Hvem er behandlingsansvarlig?

Gramo er behandlingsansvarlig for personopplysningene som omfattes av denne erklæringen.

Gramo

Organisasjonsnummer: 971 276 002

Kongens gate 12, 0153 Oslo

E-post: post@gramo.no

Telefon: 22 00 77 77

Hvilke regelverk følger vi?

Vi behandler personopplysninger i tråd med personvernforordningen (GDPR) og personopplysningsloven. I tillegg gir flere særlover oss både rett og plikt til å behandle opplysninger:

  • Åndsverkloven § 21 om vederlag ved offentlig fremføring og overføring til allmennheten av lydopptak.

  • Åndsverkloven § 18 om utøvende kunstneres rett til tilleggsvederlag.

  • Lov om kollektiv forvaltning av opphavsrett mv. (CRM-loven), som gjennomfører CRM-direktivet (2014/26/EU) i norsk rett.

  • Lov om avgift på offentlig fremføring av utøvende kunstneres prestasjoner mv.

  • Ekomloven § 3-15 om informasjonskapsler.

CRM-direktivet artikkel 42 slår fast at personvernregelverket gjelder parallelt med reglene om kollektiv forvaltning. I forarbeidene til CRM-loven (Prop. 53 L (2020–2021)) la departementet til grunn at personvernbelastningen ved å identifisere og lokalisere rettighetshavere er begrenset, sett opp mot formålet om å utbetale vederlag til riktig person.

Hvorfor behandler vi personopplysninger om deg?

Vi krever inn vederlag fra dem som bruker innspilt musikk i Norge, og betaler det ut til dem som har rettigheter til musikken. For å kunne gjøre dette må vi behandle visse personopplysninger.

Konkret bruker vi personopplysninger til å:

  • kreve inn vederlag fra dem som bruker innspilt musikk

  • identifisere deg som rettighetshaver og betale ut vederlag du har krav på

  • rapportere utbetalinger til skattemyndighetene

  • dokumentere at vi forvalter rettigheter og vederlag riktig

  • forebygge og avdekke svindel og andre straffbare handlinger

  • gi deg informasjon om medlemskap, utbetalinger og årsmøte, samt generell medlems- og kundeservice

På hvilket rettslig grunnlag behandler vi opplysningene?

Hvilket rettslig grunnlag som gjelder, avhenger av formålet med behandlingen.

Rettslig forpliktelse (GDPR artikkel 6 nr. 1 bokstav c)

Vi har en lovpålagt plikt til å forvalte vederlagsrettigheter etter åndsverkloven og CRM-loven. Dette omfatter blant annet plikten etter CRM-loven § 22 til å identifisere og lokalisere rettighetshavere som har krav på vederlag.

Avtale (GDPR artikkel 6 nr. 1 bokstav b)

For deg som har et medlems- eller kundeforhold til Gramo, behandler vi opplysninger som er nødvendige for å oppfylle avtalen med deg, eller for å forberede en slik avtale.

Berettiget interesse (GDPR artikkel 6 nr. 1 bokstav f)

For å yte informasjonstjenester og generell medlems- og kundeservice behandler vi enkelte opplysninger på grunnlag av berettiget interesse.

Samtykke (GDPR artikkel 6 nr. 1 bokstav a)

Vi ber om samtykke når vi behandler opplysninger som ikke har annet grunnlag. Det gjelder for eksempel påmelding til nyhetsbrev, bruk av fotografi i markedsføring og ikke-nødvendige informasjonskapsler. Du kan når som helst trekke samtykket tilbake.

Behandling av fødselsnummer

Vi behandler fødselsnummer for å sikre korrekt identifikasjon av deg som rettighetshaver, slik at vederlag og skattetrekk blir riktig. Behandlingen har hjemmel i personopplysningsloven § 12.

Hvilke personopplysninger behandler vi om deg?

Hvilke opplysninger vi behandler, avhenger av hvilken relasjon du har til Gramo.

Hvis du er musiker, artist eller annen rettighetshaver

Vi behandler følgende opplysninger om deg:

  • navn, og eventuelt artistnavn eller pseudonym

  • fødselsnummer, fødselsdato og kjønn

  • adresse, e-postadresse og telefonnummer

  • statsborgerskap, fødselsland og bostedsland

  • bankopplysninger

  • rolle i innspillingen, for eksempel utøver eller produsent

  • instrument og relasjon til band, orkester eller kor

  • medlemskap i norske og utenlandske medlemsorganisasjoner og søsterorganisasjoner

  • innspillinger du har rettigheter til

  • IPN (International Performer Number), som er det internasjonale identifikasjonsnummeret for utøvere

  • TIN (Tax Identification Number), som er identifikasjonsnummer for skatteformål

  • fotografi, hvis du har gitt oss det, eller har samtykket til at vi kan bruke bilder av deg, for eksempel fra arrangementer og årsmøte

Hvis du har arvet rettigheter, registrerer vi også dødsår for den du arver etter.

Det er viktig at du holder opplysningene oppdaterte, slik at vi kan betale ut vederlag du har krav på.

Hvis du representerer en virksomhet som bruker innspilt musikk

Vi behandler følgende opplysninger om virksomheten og deg som kontaktperson:

  • organisasjonsnummer og virksomhetens navn

  • postadresse og besøksadresse

  • bransje

  • navn, e-postadresse og telefonnummer til kontaktperson(er)

  • opplysninger om kundelokalet, slik som størrelse, åpningstider og andre parametere som har betydning for vederlagstariffen

  • informasjon om bruk av musikk, slik som avspillinger av bakgrunnsmusikk og fremtredende musikk

Disse opplysningene bruker vi til å beregne riktig vederlag og sende faktura.

Hvis du har meldt deg på nyhetsbrevet vårt

Vi behandler e-postadressen din og hvilken type nyhetsbrev du har valgt å motta.

Hvis du også er medlem, lagrer vi navn og opplysninger om medlemskapet ditt, slik at vi kan tilpasse innholdet til deg.

Vi deler ikke adresselisten med andre. Du kan når som helst melde deg av nyhetsbrevet via lenken nederst i hvert nyhetsbrev.

Selv om du melder deg av det generelle nyhetsbrevet, vil vi fortsette å informere deg som medlem om forhold som angår medlemskapet ditt, for eksempel rettigheter, utbetalinger, Min Side og årsmøte.

Hvis du besøker nettsidene våre

Vi samler inn opplysninger om hvordan nettsidene brukes ved hjelp av informasjonskapsler. Se eget punkt om dette nedenfor.

Hvor henter vi opplysningene fra?

Vi henter personopplysninger fra flere kilder:

  • Direkte fra deg, for eksempel når du melder deg inn i Gramo, fyller ut en Gramo-liste, logger inn på Min Side eller kontakter oss.

  • Fra offentlige registre, for eksempel Skatteetaten, Statens personadresseregister og Brønnøysundregistrene.

  • Fra kommersielle oppslagsverk, for eksempel regnskapsinformasjon og opplysninger om nyetableringer.

  • Fra banker og opplysningsforetak, der det er nødvendig for utbetaling og identifikasjon.

  • Fra nasjonale og internasjonale samarbeidspartnere, særlig andre kollektive forvaltningsorganisasjoner og SCAPR (Societies’ Council for the Collective Management of Performers’ Rights), som forvalter de internasjonale databasene VRDB og IPD.

Hvem deler vi opplysninger med?

For å forvalte rettighetene dine og oppfylle pliktene våre etter loven, må vi i visse tilfeller dele opplysninger med andre. Vi deler bare det som er nødvendig for formålet.

Andre kollektive forvaltningsorganisasjoner

Vi utveksler opplysninger med søsterorganisasjoner i andre land, slik at du får vederlag også når musikken din spilles utenfor Norge. Utvekslingen skjer enten direkte eller via SCAPR sine internasjonale databaser:

  • VRDB (Virtual Recording Database), en database over innspillinger.

  • IPD (International Performer Database), en database over utøvere som angir hvilken organisasjon som representerer den enkelte.

IPN-nummeret ditt kan også deles med aktører utenfor SCAPR-fellesskapet, slik som plateselskap, distributører og andre samarbeidspartnere i musikkbransjen. Dette gjøres for å sikre korrekt identifikasjon av deg gjennom hele kjeden fra innspilling til utbetaling. Når vi deler opplysninger med aktører utenfor SCAPR, er det begrenset til IPN-nummeret.

TONO

Gramo og TONO har et samarbeid om felles innkreving av vederlag for bakgrunnsmusikk. Det kan derfor være nødvendig å dele opplysninger om musikkbrukere med TONO.

Fond for utøvende kunstnere (FFUK)

Vi krever inn avgift etter lov om avgift på offentlig fremføring av utøvende kunstneres prestasjoner mv. på vegne av FFUK, og deler opplysninger med fondet der det er nødvendig.

Offentlige myndigheter

Vi rapporterer utbetalinger til Skatteetaten i tråd med rapporteringsplikten vår. Vi deler også opplysninger med andre myndigheter når vi er pålagt det ved lov, for eksempel ved pålegg fra politi eller domstol.

Norske medlemsorganisasjoner

Vi deler navn og fødselsnummer eller organisasjonsnummer med medlemsorganisasjoner du er registrert i. Dette gjøres for å kvalitetssikre informasjon og for å kunne avgjøre stemme- og fullmaktsberettigede medlemmer til årsmøtet, jf. vedtektene våre.

Underleverandører og databehandlere

Gramo bruker IT-leverandører og andre underleverandører som behandler personopplysninger på vegne av oss. Vi har inngått databehandleravtaler med disse, slik at opplysningene dine er beskyttet i samsvar med personvernregelverket.

Overføring til land utenfor EU/EØS

Gramo lagrer personopplysninger innenfor EU/EØS-området. Enkelte tjenester leveres av amerikanske leverandører som er sertifisert under EU-US Data Privacy Framework. Hvis vi har behov for å overføre personopplysninger til mottakere utenfor EU/EØS som ikke er omfattet av en adekvansbeslutning fra EU-kommisjonen, gjøres dette på gyldig grunnlag etter personvernforordningen kapittel V.

Hvor lenge lagrer vi opplysningene?

Hovedregelen er at vi sletter eller anonymiserer personopplysninger når formålet med behandlingen er oppfylt.

Rettighetshavere

Vernetiden for innspillinger er 70 år, jf. åndsverkloven § 20. Vi må derfor lagre opplysninger om rettighetshavere minst så lenge innspillingen er vernet, slik at vi kan identifisere medvirkende og unngå feilaktige utbetalinger.

Selv om du melder deg ut av Gramo eller ber om sletting, må vi beholde følgende opplysninger så lenge innspillingen er vernet:

  • navn og eventuelt artistnavn

  • fødselsdato

  • land (statsborgerskap, bostedsland, fødselsland)

  • relasjon til band, orkester eller kor

  • innspillinger

Utbetalingshistorikk

Vi må lagre opplysninger om alle utbetalinger i ti år, for å dokumentere utbetalingene for skattemyndighetene. Dette følger blant annet av bokføringsloven.

Musikkbrukere

Vi sletter kontaktinformasjon om virksomheter som bruker innspilt musikk når vi får melding om at de ikke lenger bruker musikk, eller at foretaket er avviklet.

Nyhetsbrev

Hvis du melder deg av nyhetsbrevet, sletter vi e-postadressen din fra mottakerlisten.

Besøkende på nettsidene

Lagringstid for informasjonskapsler avhenger av det enkelte verktøyet.

Gramo gjennomfører jevnlige automatiske gjennomganger av systemene våre for å sikre at personopplysninger slettes når de ikke lenger er nødvendige.

Hvilke rettigheter har du?

Du har følgende rettigheter etter personvernregelverket:

  • Innsyn: Du kan be om å få vite hvilke opplysninger vi har om deg.

  • Retting: Du kan be oss om å rette opplysninger som er feil eller mangelfulle.

  • Sletting: Du kan be oss om å slette opplysninger der vi ikke har lovhjemmel eller annen grunn til å beholde dem.

  • Begrensning: Du kan be oss om å begrense behandlingen i visse tilfeller.

  • Innsigelse: Du kan protestere på behandling som skjer på grunnlag av berettiget interesse.

  • Dataportabilitet: Du kan be om å få utlevert visse opplysninger i et maskinlesbart format, eller at vi overfører dem til en annen behandlingsansvarlig.

  • Tilbaketrekking av samtykke: Hvis vi behandler opplysninger med grunnlag i samtykke, kan du når som helst trekke samtykket tilbake.

For å bruke rettighetene dine kan du logge inn på Min Side, sende e-post til medlem@gramo.no eller post@gramo.no, eller ringe oss på 22 00 77 77.

Bruker vi automatiserte avgjørelser?

Nei. Gramo bruker ikke automatiserte avgjørelser eller profilering som har rettsvirkning eller tilsvarende betydelig innvirkning på deg, jf. personvernforordningen artikkel 22.

Automatiserte rutiner brukes kun til praktiske formål, for eksempel for å slette opplysninger som ikke lenger er nødvendige.

Hvordan sikrer vi opplysningene?

Vi beskytter personopplysningene dine med tekniske og organisatoriske tiltak. De viktigste er:

  • Kryptert kommunikasjon: Når du bruker tjenestene våre eller logger inn på Min Side, utveksles opplysningene sikkert med kjent kryptografi som TLS.

  • Tofaktorpålogging: Vi bruker tofaktorpålogging der dette er mulig.

  • Sikkert kjernesystem: Kjernesystemet vårt har tilgangsstyring, logging og sikkerhetskopiering i tråd med god praksis.

  • Databehandleravtaler og taushetserklæringer: Vi stiller krav til alle ansatte gjennom taushetserklæringer, og til underleverandører gjennom databehandleravtaler.

  • Plattformen består av løsninger vi drifter selv, og tjenester vi leier hos eksterne leverandører som Amazon Web Services (AWS), Heroku og Microsoft Azure.

Informasjonskapsler (cookies)

Når du besøker nettsidene våre, kan nettleseren lagre små datafiler som kalles informasjonskapsler, ofte kalt cookies. Disse hjelper oss med å gjøre nettstedet bedre og enklere å bruke.

Etter ekomloven § 3-15 må vi ha samtykke fra deg før vi bruker informasjonskapsler som ikke er strengt nødvendige for å levere tjenesten. Samtykket skal være aktivt, frivillig, spesifikt og informert, i tråd med personvernforordningen.

Nødvendige informasjonskapsler

Disse trenger ikke samtykke:

  • Intercom: Brukes for å gi deg informasjon mens du bruker nettsidene, og for å motta og svare på henvendelser du sender inn.

  • Skyra: Brukes for å vise spørreundersøkelser. Det lagres ikke data før du eventuelt velger å svare.

Valgfrie informasjonskapsler (krever samtykke)

  • Google Analytics: Brukes for å analysere trafikk og besøksmønstre.

  • Hotjar: Brukes for å analysere hvordan brukere beveger seg på nettsiden.

Vi bruker ikke informasjonskapsler til reklame eller markedsføring, og vi deler ikke informasjon med andre uten samtykke fra deg.

Hva ser vi på i statistikken?

Hvis du har samtykket til statistikk-cookies, ser vi blant annet på hvilken nettleser og enhet som brukes, hvilket språk nettleseren er satt til, hvilke land nettsidene besøkes fra, hvilke sider og lenker som klikkes på, og hvor besøket kom fra (for eksempel søkemotorer, sosiale medier eller nyhetsbrev).

Noen nettadresser kan inneholde e-postadressen din hvis du er innlogget. Den brukes bare for å vise deg din egen informasjon, og er kun synlig for deg og Gramo.

Endring eller tilbaketrekking av samtykke

Du kan når som helst endre eller trekke tilbake samtykket ditt ved å gå til samtykkeinnstillingene på nettsiden vår.

Endringer i denne erklæringen

Vi kan oppdatere personvernerklæringen ved behov, for eksempel ved endringer i regelverk eller i hvordan vi behandler personopplysninger. Endringer publiseres med oppdatert dato. Ved vesentlige endringer vil vi varsle deg på egnet måte.

Hvordan kan du klage?

Hvis du mener at Gramo behandler personopplysninger i strid med personvernregelverket, kan du klage til Datatilsynet. Du finner informasjon om hvordan du klager på datatilsynet.no.

Før du eventuelt klager, oppfordrer vi deg til å ta kontakt med oss først, slik at vi kan svare på spørsmål eller rette opp eventuelle feil.

Hvordan kan du kontakte oss?

Har du spørsmål om personvern hos Gramo, kan du ta kontakt:

E-post: post@gramo.no

Telefon: 22 00 77 77

Svarte dette på spørsmålet?