PERSONUPPGIFTSPOLICY KOMMUNIKATIONSBYRÅER
PERSONUPPGIFTSPOLICY KOMMUNIKATIONSBYRÅER
Regi Research & Strategi AB (org. nr. 556388-6653) (”Regi”) arbetar med researchbaserad analys och rådgivning för kvalitetssäkring och affärsutveckling av våra kunders verksamhet. Som ett led i vår verksamhet behandlar vi personuppgifter. Regi värnar om integriteten hos alla som vi kommer i kontakt med. All behandling sker i enlighet med denna policy och de uppställda kraven i dataskyddsförordningen (GDPR) och kompletterande nationell lagstiftning.
1. Personuppgiftsansvarig
Regi Research & Strategi AB (org. nr. 556388-6533, Regi Research & Strategi AB, c/o Xx 00, Xxxxxxxxxxx 00, 000 00, Xxxxxxxxx) agerar både personuppgiftsansvarig och personuppgiftsbiträde i vår verksamhet. Förenklat beror skillnaden mellan dessa roller på situationer där vi behandlar personuppgifter för eget ändamål, då vi är personuppgiftsansvarig, och för annans räkning då vi är personuppgiftsbiträden. Mer om denna distinktion finner du nedan i redogörelserna för respektive typ av personuppgiftsbehandling vi genomför inom vår verksamhet.
2. Beskrivning av vår personuppgiftsbehandling
Vår behandling skiljer sig till viss grad inom vårt affärsområde. Nedan kan du läsa om behandlingen vi gör specifikt för varje område bestående av dess respektive syften och rättsliga grunder som vi stödjer den på, typer av uppgifter samt varaktigheten av behandlingen.
2.1 Genomförandet av branschanalyser
2.1.1 Vad för personuppbehandling genomför vi?
Regi genomför kvalitets- och branschstudier avseende kommunikationsbyråernas syn på sin egen bransch och analyser av byråernas kunders syn på relationen med sina respektive kommunikationsbyråer.
För att undersöka kommunikationsbyråernas syn på branschen tar Regi kontakt med personer med ledande befattningar på olika kommunikationsbyråer och personer som köper in kommunikationstjänster. Regi är i denna del personuppgiftsansvarig för behandlingen och syftet är att genomföra branschstudier. Kontaktuppgifterna inhämtas från öppna källor såsom byråernas webbplatser. De behandlade personuppgifterna kan bestå av: namn, befattning på visst företag, mailadress till arbete, telefonnummer till arbete samt individualiserade länkar för enkätsvar.
För att analysera inköpare av kommunikationstjänsters syn på relationen med sina respektive byråer mottar Regi listor från byråerna innehållande kundnamn och kontaktperson för respektive kund. Den behandling som Regi gör avseende dessa personuppgifter sker på uppdrag av kommunikationsbyråer, vilket innebär att Regi agerar personuppgiftsbiträde åt kommunikationsbyråer som är personuppgiftsansvariga. Syftet med behandlingen är att genomföra kvalitetsstudier för kommunikationsbyråer. Behandlingen består i att respondenterna (det vill säga kunderna till kommunikationsbyråerna) blir kontaktade och ombeds svara på frågor via enkäter som nås via en individualiserad länk samt genom telefonintervju. Resultaten sammanställs senare som underlag för att ta fram Xxxxx analyser och kan även kompletteras med telefonintervjuer, SMS samt en specialenkät. Kommunikationsbyråerna tar inte del av resultaten som är hänförliga till respektive kund. De behandlade personuppgifterna kan bestå av: namn, befattning på visst företag, mailadress till arbete, telefonnummer till arbete samt individualiserade länkar för enkätsvar.
För att vi på Regi ska kunna erbjuda våra tjänster till kommunikationsbyråer behandlas personuppgifter tillhörande kontaktpersoner på byråerna, vilket gäller både för byråer som vi redan har en kundrelation med och även presumtiva kunder. Gällande uppgifter från kunder behandlas det med syftet att
upprätthålla kundrelationen. Uppgifter avseende presumtiva kunder hämtar vi in från öppna källor och syftet är att kunna marknadsföra Regis tjänster. De behandlade personuppgifterna kan bestå av: namn, befattning på visst företag, mailadress till arbete, telefonnummer till arbete samt fakturareferenser.
2.1.2 Vad för rättsliga grunder stöder vi behandlingen på?
När det gäller branschanalyser stöder Regi behandlingen på en intresseavvägning. I denna del uppmärksammar Xxxx att vi har ett berättigat intresse av att analysera trender för den bransch som våra kunder verkar inom. Regi bedömer att den registrerades intressen eller grundläggande rättigheter och friheter inte väger tyngre än detta berättigade intresse. Regi uppmärksammar särskilt i denna del att samtliga registrerade personer har publicerade kontaktuppgifter i öppna källor och att det rör sig om B2B-relationer.
När det gäller analys av köparna av kommunikationstjänsters syn på relationen med sina respektive kommunikationsbyråer sker behandlingen av personuppgifterna på kommunikationsbyråernas vägnar, vilket innebär att kommunikationsbyråerna är personuppgiftsansvariga för behandlingen. Inom ramen för analysen behandlar kommunikationsbyråerna personuppgifter tillhörande köparna med exempelvis inhämtat samtycke eller berättigat intresse som rättslig grund. Behandlingen sker i syftet att Xxxx senare ska genomföra en analys av kundrelationen och därefter lagra svaren under en period av två år av backup-skäl. Gällande Regis behandling av personuppgifter tillhörande kontaktpersoner på kommunikationsbyråer som är våra kunder måste den behandlingen ske för att upprätthålla nödvändig kontakt med kunden, till exempel avseende fakturering. I denna del stöder vi därför vår behandling på att den är nödvändig för att fullgöra det som följer av våra kundavtal. Därtill kan vissa uppgifter, särskilt faktureringsmaterial som utgör räkenskapsinformation, lagras för att efterleva de rättsliga förpliktelser som åvilar Regi.
För den behandling som sker av kontaktuppgifter från kommunikationsbyråer som vi bedömer vara presumtiva kunder stöder vi denna behandling på en intresseavvägning. I denna del gör Regi bedömningen att vi har ett berättigat intresse av att bedriva marknadsföring. Regi bedömer att den registrerades intressen eller grundläggande rättigheter och friheter inte väger tyngre än detta berättigade intresse. Regi uppmärksammar särskilt i denna del att samtliga registrerade personer har publicerade kontaktuppgifter i öppna källor och att det rör sig om B2B-relationer.
2.1.3 Vilka är mottagare av personuppgifterna?
Regi säljer inte några personuppgifter vidare till tredje part. Vissa uppgifter kan däremot komma att lagras hos våra IT-leverantörer som tillhandahåller plattform för enkäthantering, CRM-system, mailhantering samt backup av våra system. Därtill sker även telefonintervjuer med hjälp av en samarbetspartner baserat på uppgifter som tillhandahålls och sedan återlämnas till Regi. Samtliga mottagare omfattas av så kallade personuppgiftsbiträdesavtal för att vi ska kunna säkerställa att dina uppgifter hanteras på ett korrekt och säkert sätt.
2.1.4 Lagringstider
Kontaktuppgifter till respondenter raderas efter att Regi inhämtat svaren som krävs för varje undersökning. Kontaktuppgifter och andra uppgifter som kan förekomma i enkätsvar lagras i två år, det vill säga både svar från kommunikationsbyråernas kunder och de svar som förekommer i branschundersökningarna. Kontaktuppgifter till de respondenter som behandlas inom ramen för branschundersökningarna lagras så länge Regi har ett berättigat intresse att behandla dessa uppgifter, behandlingen avslutas dock om den registrerade motsätter sig fortsatt behandling. Innan varje studie startar erhåller dessa registrerade mailutskick vari det finns möjlighet att avböja fortsatt behandling.
Personuppgifter avseende kunder lagras under hela tiden det föreligger ett kundförhållande och upphör endast efter det. Gällande kontaktuppgifter till presumtiva kunder lagras det framtill kontakt etableras (vilket sker inom en månad) och behandlingen upphör om inget intresse av Regis tjänster finns.
Uppgifterna kan dock fortsättningsvis behandlas i markandsföringssyften bestående av mailutskick och inbjudningar till evenemang. Denna behandling beskrivs i avsnitt 2.2 nedan.
Xxxxxxx till följd av gällande rättsliga förpliktelser sker så länge som är nödvändigt för att uppfylla den rättsliga förplikten i fråga.
2.2 Genomförande av evenemang och xxxxxxxxxxx riktade till våra kunder och presumtiva kunder
2.2.1 Vad för personuppgiftsbehandling genomför vi?
Regi genomför olika evenemang, såsom seminarier, workshop, prisutdelningar med mera, riktade till våra kunder och presumtiva kunder. Syftena med behandlingen är att genomföra evenemang för att föra en dialog med branschen, uppmärksamma särskilda händelser, marknadsföra våra tjänster och liknande. Evenemangen ska därtill planeras och fotografier därifrån kan i vissa fall användas i marknadsföringssyften.
Regi skickar även utskick per e-post avseende vår verksamhet i marknadsföringssyfte. Mailadresserna kommer delvis från våra kundlistor, men även från listor med presumtiva kunder där vi själva letat fram informationen bland öppna källor samt mailadresser sparade från när någon besökt våra evenemang. Det finns alltid en möjlighet, vilket alltid framgår i varje mailutskick, att motsätta sig fortsatt behandling varpå mailutskicken direkt kommer upphöra automatiskt och personuppgifterna i fråga raderas från vårt CRM-system, det vill säga inte längre behandlas i marknadsföringssyften.
2.2.2 Vad för rättsliga grunder stöder vi behandlingen på?
För att genomföra Xxxxx olika evenemang underlättar det för oss om vi har namn och kontaktuppgifter för att planera och administrera evenemangen. Denna behandling stöder vi på en intresseavvägning där det nämnda utgör ett berättigat intresse för Regi och som inte väger över de registrerades intressen. I detta sammanhang påpekar Regi särskilt att samtliga registrerade har uttryckt en vilja att närvara på evenemangen. Gällande fotografering på våra evenemang görs detta i begränsad omfattning och för de fall ansikten framträder sker det endast med den fotograferades vetskap. Behandlingen av fotografier stöder Xxxx på en intresseavvägning där vi bedömer att den registrerades intressen eller grundläggande rättigheter och friheter inte väger tyngre än Xxxxx berättigade intresse av marknadsföring. Regi bedömer att den registrerades intressen eller grundläggande rättigheter och friheter inte väger tyngre än detta berättigade intresse. I denna del uppmärksammar Xxxx särskilt att det alltid finns möjlighet att avstå från fotografering och att de sammanhang som bilderna kan förekomma i inte är av någon känslig karaktär, utan endast olika former av branschsammanhang. Därtill rör det sig även om B2B-relationer.
Gällande den behandling som sker för våra mailutskick stöder vi den på en intresseavvägning. I denna del gör Regi bedömningen att vi har ett berättigat intresse av att bedriva marknadsföring. Regi bedömer att detta berättigade intresse väger tyngre än det möjliga intrång som kan uppstå till följd av den behandlingen i de registrerade personernas rätt till skydd för sin integritet. Regi uppmärksammar särskilt i denna del att det alltid är enkelt att avböja fortsatta utskick och att uppgifterna då raderas avseende fortsatt behandling i marknadsföringssyften. Därtill rör det sig om behandling B2B och samtliga registrerade är aktiva inom de affärsområden som Regi verkar inom.
2.2.3 Vilka är mottagare av personuppgifterna?
Regi säljer inte några personuppgifter vidare till tredje part. Vissa uppgifter kan däremot komma att lagras hos våra IT-leverantörer som tillhandahåller CRM-system, mailhantering samt backup av våra system. Samtliga mottagare omfattas av personuppgiftsbiträdesavtal för att vi ska kunna säkerställa att dina uppgifter hanteras på ett korrekt och säkert sätt.
2.2.4 Lagringstider
Kontaktuppgifter lagras i vårt CRM-system så länge vi har rättslig grund att behandla uppgifterna eller tills sådan fortsatt behandling motsätts. I samtliga av våra mailutskick finns det möjlighet att avböja fortsatt behandling.
3. Dina rättigheter som registrerad
Om dina personuppgifter behandlas av Regi är du tillförsäkrad vissa rättigheter som vi beskriver nedan.
3.1 Rätt att begära tillgång till dina lagrade personuppgifter
Som registrerad har du rätt att gratis begära tillgång till dina lagrade personuppgifter. Om begäran dock sker vid upprepade tillfällen äger Xxxx rätt att ta ut en skälig avgift för att administrera din begäran. En begäran kan med fördel ske skriftligen och skickas till oss per post till Regi Research & Strategi AB, c/o Xx 00, Xxxxxxxxxxx 00, 000 00, Xxxxxxxxx eller via e-post till xxxx@xxxx.xx. Regi har rätt att vidta åtgärder för att säkerställa identiteten hos den som begär utdrag.
3.2 Rätt till rättelse
Som registrerad har du rätt att få eventuella felaktiga uppgifter om dig själv rättade. Om du upptäcker att det finns fel i den information vi har registrerat om dig kan du kontakta oss per post till Regi Research & Strategi AB, c/o Xx 00, Xxxxxxxxxxx 00, 000 00, Xxxxxxxxx eller e-post till xxxx@xxxx.xx för att få dina uppgifter rättade.
3.3 Rätt till radering
Som registrerad har du också rätt att i vissa fall kräva att vi raderar samtliga eller några av dina personuppgifter. Det innebär att du till exempel kan invända mot en intresseavvägning vi har gjort eller göra gällande att uppgifterna inte längre är nödvändiga för det ändamål som de har samlats in för.
I den utsträckning det är nödvändigt att fortsätta behandlingen av dina personuppgifter, till exempel att uppfylla våra lagliga skyldigheter, är vi inte skyldiga att ta bort dina personuppgifter. Detta gör att vissa uppgifter kan lagras till dess att vi inte längre är skyldiga att behandla dem.
3.4 Rätt till begränsning
Du har rätt att begära att vår behandling av dina personuppgifter begränsas. En begränsning kan göras av flera anledningar.
- Om du bestrider att personuppgifterna vi behandlar är korrekta kan du begära en begränsad behandling under den tid vi arbetar med att kontrollera huruvida personuppgifterna är korrekta.
- Om du kräver att vi raderar dina uppgifter men vi inte kan tillgodose önskemålet. Det kan till exempel bero på att vi behöver uppgifterna vi har om dig för att kunna fastställa, göra gällande eller försvara rättsliga anspråk. I dessa fall kan du begära begränsad behandling av uppgifterna hos oss.
- Om du har invänt mot en intresseavvägning av berättigat intresse som vi har gjort som rättslig grund för ett ändamål. Då kan du begära begränsad behandling under den tid vi arbetar med att kontrollera huruvida våra berättigade intressen väger tyngre än dina intressen av att få uppgifterna raderade.
För det fall att behandlingen har begränsats enligt någon av situationerna ovan får vi endast, utöver själva lagringen, behandla uppgifterna för att fastställa, göra gällande eller försvara rättsliga anspråk, för att skydda någon annans rättigheter eller för att du har lämnat ditt samtycke.
3.5 Rätt att göra invändningar mot viss typ av behandling
Som registrerad har du rätt att när som helst göra invändning mot vår behandling av dina personuppgifter som bygger på en intresseavvägning som laglig grund. En fortsatt behandling av dina personuppgifter kräver att vi visar ett berättigat skäl för den aktuella behandlingen. I annat fall får vi endast behandla uppgifterna för att fastställa, utöva eller försvara rättsliga anspråk.
3.6 Rätt till dataportabilitet
Som registrerad har du rätt att begära att få de uppgifter som rör dig och som du har lämnat till oss överförda till en annan personuppgiftsansvarig (s.k. dataportabilitet). En förutsättning för dataportabilitet är att överföringen är tekniskt möjlig och kan ske automatiserat.
4. Mottagare av personuppgifter
Regi säljer inte några personuppgifter. För närmare information om vem som kan vara mottagare av dina personuppgifter, se beskrivningen för de olika typerna av behandling som vi genomför.
5. Överföringar till tredje land
Behandling av dina personuppgifter sker i huvudsak inom EU/EES och Regi eftersträvar alltid att behandla samtliga personuppgifter inom EU/EES. En del av Regis personuppgiftsbehandling kan dock medföra att personuppgifter överförs utanför EU/EES (så kallade ”tredje länder”). Om någon uppgift lämnar EU/EES genom något av Regis anlitade personuppgiftsunderbiträdens behandling kommer Regi alltid säkra hanteringen genom specifika dataskyddsavtal och/eller personuppgiftsbiträdesavtal med våra anlitade personuppgiftsbiträden. De kunduppgifter som inlämnas av Xxxxx uppdragsgivare inom ramen för Årets Byrå behandlas dock endast inom EU/EES.
Överföringen sker enligt dataskyddsförordningens regler för att upprätthålla lämplig skyddsnivå vid personuppgiftsbehandling. Om personuppgifter överförs till tredje länder sker det i första hand till länder med så kallad adekvat skyddsnivå och inom ramen för ett personuppgiftsbiträdesavtal för att säkerställa att skydd för personuppgifter upprätthålls. I tredje länder som inte omfattas av beslut om adekvat skyddsnivå saknas den skyddsnivå som finns för personuppgifter inom EU/EES. Konsekvensen av detta är framförallt att myndigheter i tredje länder kan få tillgång till personuppgifterna och att möjligheterna att utöva rättigheter i förhållande till sina egna personuppgifter är begränsade. För att skydda personuppgifterna vidtar vi lämpliga skyddsåtgärder i form av att överföringar till tredjeland regleras genom så kallade standardavtalsklausuler som antagits av EU-kommissionen.
Regi strävar också efter att så långt det är möjligt informera dig som registrerad om hur dina personuppgifter överförs till tredje land, vilka risker det innebär och hur dina rättigheter säkerställs. Frågor gällande överföringar av personuppgifter hänvisas till xxxx@xxxx.xx.
6. Automatiserade beslut och profilering
Regi tillämpar inte någon form av automatiserat beslutsfattande eller profilering avseende analys av enkätsvar.
7. Lagringstider
Lagringstiderna anges i beskrivningarna för de olika typer av behandlingar vi genomför (se ovan).
8. Klagomål
Har du frågor eller synpunkter avseende vilka personuppgifter om dig vi behandlar och hur, kan du kontakta oss på xxxx@xxxx.xx, på telefon 00-000 000 00 eller med brev som skickas till c/o Xx 00, Xxxxxxxxxxx 00, 000 00, Xxxxxxxxx.
Du har alltid rätt att inkomma med klagomål till Integritetsskyddsmyndigheten (xxx.xxx.xx, xxx@xxx.xx, 08-657 61 00) gällande vår hantering av personuppgifter.
Denna policy kan komma att uppdaterats. Nuvarande version antogs av Regi den 27-08-2021.