Dataskyddspolicy
1. Inledning
1.1 I dessa allmänna villkor hänvisas till ”vi”, ”oss”, ”vår” eller ”våra” vilket avser ”Hisskompetens” och här finns information om hur vi bland annat hanterar och behandlar personuppgifter samt vilka rättigheter de registrerade har enligt EU:s dataskyddsförordning (General Data Protection Regulation – ”GDPR”).
1.2 Syftet med denna dataskyddspolicy är att säkerställa att vi hanterar personuppgifter i enlighet med GDPR. Denna dataskyddspolicy omfattar alla behandlingar där personuppgifter blir hanterade, i både strukturerad och ostrukturerad data.
1.3 Innehållet i denna dataskyddspolicy blir uppdaterad vid behov och vi går igenom innehållet minst en gång per år för att säkerställa att informationen är i enlighet med vår behandling av personuppgifter. Den senaste versionen finns alltid tillgänglig för allmänheten på denna webbplats.
1.4 Genom att kontakta oss och/eller ingå avtal med oss avseende de tjänster som vi erbjuder, kan personuppgifter komma att bli behandlade enligt bestämmelserna i denna dataskyddspolicy.
2. Definitioner
Personuppgift: Varje upplysning som avser en identifierad eller identifierbar fysisk person. Exempel på vanliga personuppgifter är personnummer, namn, adress, telefonnummer och e-postadress. Uppgifter hänförliga till en juridisk person, såsom firma, organisationsnummer, besöksadress m.fl. utgör inte personuppgifter.
Personuppgiftsbehandling: En åtgärd eller kombination av åtgärder beträffande personuppgifter. Exempelvis insamling, registrering, lagring, organisering, strukturering m.fl.
Registrerad: Den fysiska person som, direkt eller indirekt, kan bli identifierad genom personuppgifterna.
Systemen: De system vi använder vid utövande av sina tjänster som vi vid var tid tillhandahåller.
3. Personuppgiftsansvarig och kontaktperson
3.1 Vi ansvarar för att behandlingen sker i enlighet med denna dataskyddspolicy och GDPR (enligt principen om ansvarsskyldighet).
3.2 Vi iakttar sekretess när det gäller våra Klienter och våra uppdrag. Dessutom värnar vi om din integritet och behandlar personuppgifter enligt EU:s dataskyddsförordning (”GDPR”). Robin Plato är personuppgiftsansvarig och kontaktperson för personuppgiftsärenden och har följande e-postadress: robin@hisskompetens.se.
4. Rättslig grund för behandling av personuppgifter
4.1 För att behandla personuppgifter krävs så kallad rättslig grund (enligt principen om lagenlighet, korrekthet och öppenhet). Vi grundar behandlingen av personuppgifter på främst fyra rättsliga grunder: Avtal, Samtycke, Intresseavvägning och Rättslig förpliktelse. Nedan följer en beskrivning av de rättsliga grunderna och ändamålet med vår behandling av personuppgifter:
Avtal
4.2 Den rättsliga grunden vi främst grundar personuppgiftsbehandling på är Avtal. Denna rättsliga grund ger oss rätt att behandla personuppgifter för att kunna fullgöra avtalsenliga förpliktelser. Exempelvis behöver vi i vissa fall behandla Klientens personuppgifter för att uppfylla våra avtalsenliga förpliktelser.
Samtycke
4.3 Vi kan behandla personuppgifter om den registrerade personen har lämnat sitt uttryckliga samtycke till behandlingen ifråga, genom ett aktivt lämnat godkännande. Exempelvis kan det ske genom att den registrerade aktivt kryssar i en ruta för godkännande av behandlingen av personuppgifterna i samband med att vi blir kontaktade via kontaktformulär som finns på vår webbplats. Ett lämnat samtycke kan när som helst bli återkallat av den registrerade och då ska behandlingen upphöra. Detta gäller dock under förutsättning att personuppgifterna ifråga inte är nödvändiga för oss att behandla, exempelvis för att vi ska fullgöra våra skyldigheter enligt avtal eller rättslig förpliktelse som framgår av gällande lag eller enligt myndighetskrav.
Intresseavvägning
4.4 I vissa fall kan behandling av personuppgifter ske med stöd i den rättsliga grunden Intresseavvägning. Vi kan använda denna grund för bland annat direktmarknadsföring av våra tjänster, genom att använda personuppgifter som framkommer på exempelvis fakturor eller i orderbekräftelser. Känsliga personuppgifter blir dock aldrig behandlade med stöd i denna rättsliga grund. Den registrerade har rätt att motsätta sig behandling av personuppgifter vid direktmarknadsföring, och då ska behandlingen upphöra. Vi kan dessutom, genom intresseavvägning på grund av berättigat intresse, behandla personuppgifter för att exempelvis kräva betalning för en förfallen fordran, anmäla en skuld eller skydda sina rättigheter och egendom samt för att förhindra bedrägeri.
Rättslig förpliktelse
4.5 Personuppgifter kan bli behandlade när vi har en rättslig förpliktelse att göra det. Till exempel kan vi ha en rättslig förpliktelse enligt lagbestämmelserna i Bokföringslagen (1999:1078) att behandla och lagra personuppgifter i enlighet med lagen. När vi behandlar personuppgifter med stöd i denna rättsliga grund, blir enbart nödvändiga personuppgifter behandlade för att vi ska uppfylla våra rättsliga förpliktelser (enligt principen om lagringsminimering). Bokföringsunderlag som innehåller personuppgifter, blir lagrade så länge som Bokföringslagen (1999:1078) kräver det.
5. Vilka personuppgifter vi behandlar
5.1 Vi strävar efter att enbart behandla personuppgifter som är nödvändiga, adekvata och relevanta för varje enskilt ändamål (enligt principen om ändamålsbegränsning och uppgiftsminimering).
5.2 Om vi vill registrera fler personuppgifter än nödvändigt, ska vi inhämta den registrerades föregående godkännande till sådan behandling.
5.3 Vi behandlar främst följande personuppgifter: namn, personnummer, telefonnummer, e-postadress, betalnings- och kontouppgifter samt övriga personuppgifter som Klient tillhandahåller till oss.
6. Hur vi samlar in personuppgifter
6.1 Vi får tillgång till personuppgifter på bland annat följande sätt:
– genom att personuppgifter bli lämnade till oss i samband med att vi blir kontaktade via telefon, e-post eller kontaktformulär från vår webbplats.
– i samband med att avtal ingås med oss samt genom att en registrerad eller personuppgiftsansvarig, exempelvis Klient, lämnar personuppgifter till oss för att vi ska kunna utföra avtalsenliga förpliktelser och tjänsterna.
– från offentliga register, exempelvis www.allabolag.se.
– vi får även tillgång till personuppgifter som blir registrerade vid besök av webbplatsen, exempelvis cookies.
7. Ändamålet med behandlingen av personuppgifterna
7.1 Vi samlar enbart in personuppgifter för särskilda, uttryckligt angivna och berättigade ändamål (enligt principen om ändamålsbegränsning). Personuppgifter blir behandlade av oss främst i syfte att:
– Fullfölja avtalsenliga förpliktelser och tillhandahålla avtalad tjänst
(Rättslig grund: Avtal).
– Möjliggöra kontakt med Klienter, leverantörer, samarbetspartners och övriga intressenter (Rättslig grund: Intresseavvägning med stöd i berättigat intresse).
– Sköta nödvändiga administrativa ärenden och uppfylla rättsliga förpliktelser enligt lag (Rättslig grund: Rättslig förpliktelse).
– Genomföra direktmarknadsföring (Rättslig grund: Intresseavvägning med stöd i berättigat intresse).
– Förbättra tjänsterna och servicen samt erbjuda god service (Rättslig grund: Intresseavvägning med stöd i berättigat intresse).
– Utföra Klient- och marknadsanalyser och ta fram statistik (Rättslig grund: Intresseavvägning med stöd i berättigat intresse).
8. Hur länge personuppgifterna blir lagrade
8.1 Personuppgifter får inte bli lagrade under längre tid än vad som är nödvändigt för att uppfylla de ändamål för vilka de blev insamlade för. Personuppgifter som inte längre får bli lagrade, blir gallrade (raderade) med jämna mellanrum (enligt principen om lagringsminimering). Uppföljning och utvärdering av vår hantering av personuppgifter sker årligen.
8.2 Vi sparar personuppgifter så länge de är nödvändiga, för att fullgöra de ändamål som uppgifterna blev insamlade för. Uppgifterna kan komma att bli sparade under en längre tid om det är nödvändigt för att vi ska följa gällande lagstiftning. Informationen kan bli sparad under viss tid för säkerhetskopiering, arkivering, revision, eller för att på annat sätt behålla och förbättra våra tjänster.
9. Vart personuppgifterna blir lagrade
9.1 Vi strävar efter att lagra samtliga personuppgifter inom EU/EES (enligt principen om integritet och konfidentialitet). I de fall personuppgifter blir lagrade i ett land utanför EU/EES, ska vi se till att sådan lagringsplats följer bestämmelserna i GDPR.
9.2 Vår utgångspunkt är att inte lämna ut personuppgifter till tredje man utan samtycke från den registrerade eller om det inte är nödvändigt för att vi ska uppfylla våra rättsliga eller avtalsenliga förpliktelser.
9.3 Vi arbetar med underleverantörer i vår verksamhet och kan komma att dela personuppgifter med sådana underbiträden, exempelvis bank, affärssystem, mailleverantör m.fl. Mer information om detta finns att läsa under Klausul 10.
10. Vem personuppgifter kan bli delade till
10.1 Vi kan dela personuppgifter till relevanta myndigheter i samband med tjänstens utförande, vid betalningsförsummelser, avtalsbrott eller om det i annat fall följer av myndighetsbeslut eller lagstiftning.
10.2 Vi arbetar med underleverantörer som en del av leveransen av våra tjänster. Dessa underleverantörer agerar i rollen underbiträden och genom dessa kan vissa personuppgifter bli behandlade på uppdrag av oss. Detta innebär att vi kan lämna ut personuppgifter till sådant underbiträde, för att fullgöra våra förpliktelser enligt avtal, gällande lagstiftning, krav från myndigheter, för att tillvarata våra rättsliga intressen eller för att upptäcka och förebygga tekniska- eller säkerhetsproblem.
10.3 Vi kan dela personuppgifter till ett land utanför EU/EES, om någon av våra underbiträden befinner sig där. Vi överför dock inga personuppgifter till ett land utanför EU/EES, om inte överföringen uppfyller kraven enligt GDPR. Vi ska underrätta de registrerade innan ändringar av underbiträden sker som väsentligen påverkar de registrerade.
10.4 De registrerade har rätt att när som helst begära en fullständig översikt och mer detaljerad information om vilka underbiträden som är involverade i behandlingen av den registrerade personuppgifter.
10.5 Genom att ingå avtal med oss, accepterar Klienten att vi använder oss av underbiträden på så sätt som ovan har blivit beskrivet. Vi får därmed rätt att anlita underbiträden för fullgörandet av vina åtaganden enligt lag, avtal, dessa villkor och för att tjänsterna ska kunna bli förbättrade och tillhandahållna. Ett byte av underleverantör under pågående kontraktsperiod utgör inget avtalsbrott.
11. De registrerades rättigheter
11.1 Registrerade personer har vissa rättigheter vid behandling av dennes personuppgifter. De registrerade personerna har rätt att:
– Få tillgång till sina personuppgifter (registerutdrag) samt rätt att få bekräftelse på och information om behandlingen av personuppgifterna.
– Få felaktiga personuppgifter rättade.
– Begära att personuppgifter blir flyttade från oss till ett annat bolag (dataportabilitet).
– Få personuppgifter borttagna.
– Kräva att behandlingen av personuppgifterna blir begränsade.
– Invända mot behandlingen av personuppgifterna.
– Lämna klagomål till Integritetsskyddsmyndigheten.
– Få information om eventuellt dataintrång samt personuppgiftsincident som rör den registrerades personuppgifter.
11.2 Registrerade ska kontakta vår kontaktperson för personuppgiftsärenden vid önskemål om något av ovanstående. Vissa av rättigheterna gäller dock enbart i vissa situationer och under förutsättning att personuppgifterna inte är nödvändiga för oss att behandla.
12. Säkerhetsåtgärder
12.1 Vi iakttar och tillämpar olika tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna mot intrång, missbruk, förlust, förstöring och andra förändringar som kan innebära en risk för integriteten (enligt principen om integritet och konfidentialitet). Exempelvis genomför vi regelbundna lösenordsbyten avseende lösenordskyddade register och system. Dessutom har vi upprättat olika interna rutiner för att säkerställa att behandlingen av personuppgifter sker i enlighet med GDPR. Vi beaktar även dataskyddsprinciperna vid behandlingen av personuppgifter.
13. Personuppgiftsincidenter och klagomål
13.1 Ett dataintrång eller annan händelse, som innebär att kontrollen över behandlade personuppgifter går förlorad, innebär en personuppgiftsincident. Eventuella personuppgiftsincidenter ska utan dröjsmål bli rapporterade till vår kontaktperson för personuppgiftsärenden. Vi dokumenterar sådana händelser internt och gör anmälan till Integritetsskyddsmyndigheten inom 72 timmar.
13.2 Om en registrerad har eventuella klagomål på vår behandling av personuppgifter, kan anmälan ske till vår kontaktperson för personuppgiftsärenden eller till Integritetsskyddsmyndigheten som är tillsynsmyndighet.