Integritets- och användarvillkor
Integritets- och användarvillkor
Calluna AB
Syftet med denna sammanställning är att säkerställa att Xxxxxxx AB:s behandling av personuppgifter görs på lagliga skäl och i enlighet med EU-förordningen GDPR:s principer. Samt att vi hanterar våra kunders, anställdas och leverantörers personuppgifter på ett säkert och öppet sätt.
Innehåll
2
3
2.2 Ansvarig för Personuppgiftsfrågor / Privacy Officer (PO) 3
4
3.1 Rättslig grund för bearbetning 4
3.2 Principer för behandling av personuppgifter 4
3.3 Personuppgiftslämnarens rättigheter 5
3.4 Personuppgiftsansvarige och personuppgiftsbiträdets skyldigheter 5
4 Personuppgiftshantering på Calluna AB
6
4.1 Personuppgifter där Xxxxxxx är personuppgiftsansvarig 6
4.2 Vad Calluna använder personuppgifter till 7
4.3 Typer av personuppgifter som Calluna behandlar och för vilka ändamål 7
4.4 Vilka dina personuppgifter kan komma att delas till och varför vi delar dem 8
4.5 E-post och annan ostrukturerad data 8
8
9
1 Introduktion
På samma sätt som samhället i stort har Calluna AB, våra kunder, anställda och leverantörer påverkats av digitalisering och globalisering, vilket har lett till en betydande ökning av användning och spridning av personuppgifter. Digitaliseringen betyder ökade möjligheter, men också ett större behov av skydd för de registrerade personuppgifterna och integriteten. Denna sammanställning av integritets- och användarvillkor beskriver de övergripande principerna som gäller för personuppgiftsbehandling inom Calluna.
Syftet med denna sammanställning är att definiera Calluna AB:s ansvar för att följa dataskyddsförordningen (GDPR).
Målsättningen är att Calluna AB:s behandling av personuppgifter sker på laglig grund och i enlighet med GDPR:s principer för att säkerställa för våra kunder, anställda och leverantörer att vi hanterar deras personuppgifter på ett säkert och konfidentiellt sätt.
All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet räknas enligt personuppgiftslagen som personuppgifter. Även bilder (foton) och ljudupptagningar på individer som behandlas kan vara personuppgifter även om inga namn nämns. Krypterade uppgifter och olika slags elektroniska identiteter, som exempelvis IP- nummer, räknas som personuppgifter om de kan kopplas till fysiska personer.
Den levande person till vilken personuppgifterna gäller. En personuppgiftslämnare definieras som en person som Xxxxxxx AB har någon form av relation med, t.ex. kund, anställd, underkonsult eller annat.
Ett företag, den offentliga myndigheten, byrå eller annat organ som, ensam eller gemensamt med andra, bestämmer syftet och sättet att behandla personliga data.
En fysisk eller juridisk person/företag, offentlig myndighet, institution eller annan som behandlar personuppgifter för den personuppgiftsansvariges räkning.
Alla former av åtgärder med personuppgifter är personuppgiftsbehandling, till exempel insamling, registrering, organisering, strukturering, lagring, bearbetning, ändring, framtagning, läsning, användning, utlämning, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
Omfattningen av denna sammanställning är begränsad till personuppgiftsbehandling som krävs enligt de allmänna uppgifterna Skyddsförordning (GDPR). Detta omfattar Calluna AB, underkonsulter som utför uppgifter på uppdrag av Calluna AB och personuppgiftsbiträden som utför databehandling på uppdrag av Calluna AB.
Utöver de allmänna riktlinjerna nedan måste detaljerade krav i lokala dataskyddslagar, i tillämpliga fall, följas av anställda vid behandling av personuppgifter.
I det fallet Xxxxxxx AB är personuppgiftsbiträde för en extern organisation ska databehandlingen vara gjord i enlighet med dessa integritets- och användarvillkor, om inget annat anges i ett personuppgiftsbiträdesavtal mellan Calluna AB och den personuppgiftsansvarige.
Integritets- och användarvillkoren gäller all personal som utför uppgifter på uppdrag av Xxxxxxx AB avseende behandling av personuppgifter. Det är också avsett att ligga till grund för information till personuppgiftslämnare rörande personuppgiftsbehandling. Det gäller även för personuppgiftsbiträden som utför personuppgifter på uppdrag av Xxxxxxx AB.
2 Roller och ansvar
Personuppgiftsansvarig är alltid ansvarig för behandling av personuppgifter. Personuppgiftsansvarig är alltid den juridiska personen som kontrollerar och beslutar om hantering av personuppgifter.
2.2 Ansvarig för Personuppgiftsfrågor / Privacy Officer (PO)
Rollens uppgift är att säkerställa tillhandahållande av GDPR i sin organisation. Denna är också skyldig att hålla ett register över alla processer som inbegriper personuppgifter som utförs av organisationen.
Externa leverantörer och liknande där personuppgifter behandlas för Calluna AB:s räkning kallas personuppgiftsbiträden. Ett personuppgiftsbiträde ska utföra uppgifterna som finns specificerade i ett personuppgiftsbiträdesavtal.
Alla anställda är personligen ansvariga för en laglig och korrekt behandling av personuppgifter i deras dagliga arbete. Genom att följa Calluna AB:s styrande dokument rörande personuppgiftsbehandling bidrar medarbetarna till efterlevnad av korrekt personuppgiftsbehandling.
3 Dataskyddskrav
3.1 Rättslig grund för bearbetning
Personuppgifter får endast behandlas om vissa villkor är uppfyllda:
• Om den person till vilken personuppgifterna hänför sig har givit sitt samtycke till behandlingen.
• Behandlingen är nödvändig för utförandet av ett avtal som personen är part i.
• Behandlingen är nödvändig för att Xxxxxxx AB ska uppfylla en laglig skyldighet.
• Behandlingen behövs för att exempelvis skydda eller rädda liv.
• Calluna AB:s legitima intresse att behandla personuppgifter uppväger individens intresse att inte få sina personuppgifter behandlade.
3.2 Principer för behandling av personuppgifter
Laglighet, korrekthet och öppenhet
Vid behandling av personuppgifter inom Calluna AB ska vi säkerställa att behandlingen är laglig, och att vi är transparenta och öppna mot personuppgiftslämnare.
Inom Xxxxxxx AB samlar vi aldrig in och hanterar mer personuppgifter än vad som krävs för att uppfylla uppgifternas ändamål. Det betyder att vi måste fråga oss själva i varje samling av personliga data om det är nödvändigt. Om syftet med databehandlingen har löpt ut måste vi ta bort personuppgifter som inte längre behövs.
Vid insamling av personuppgifter måste vi ha ett tydligt och legitimt syfte med insamlingen och behandlingen. Om ändamålet inte längre är giltigt, måste vi ta bort de personuppgifter som behandlas enligt ändamålet. Om vi vill behandla personuppgifter för ett nytt ändamål får det inte vara oförenligt med det ursprungliga syftet, exempelvis utanför vad den berörda personuppgiftslämnaren rimligen skulle förvänta sig. Vi måste också se till att informera personuppgiftslämnaren om detta och med vilken juridisk grund vi behandlar personuppgifterna.
Personuppgifter måste vara korrekta och aktuella. Personuppgifter som är felaktiga eller ofullständiga bör raderas eller korrigeras.
Personuppgifter ska endast lagras så länge som det är nödvändigt för de ändamål för vilka uppgifterna behandlas, eller enligt vad som krävs enligt gällande lag (exempelvis bokföringslagen). När den tiden har löpt ut ska personuppgifterna raderas permanent på ett säkert sätt. Om vi vill behålla personuppgifter under en längre period än vad som krävs för ändamålet måste vi se till att uppgifterna inte längre kan kopplas ihop med en person, direkt eller indirekt (med anonymisering/pseudonymisering). För personuppgifter som vi mottagit
från en person vi har en kundrelation med, behåller vi dessa under den tidsperiod som utgör praxis bestämd av den nationella dataskyddsmyndigheten.
Integritet och konfidentialitet
Personuppgifterna ska skyddas bland annat mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse. Xxxxxxx AB ska därför vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna.
Xxxxxxx AB ansvarar för att principerna om personuppgiftsbehandling följs när personuppgifter behandlas och ska kunna visa på vilket sätt man följer dem.
3.3 Personuppgiftslämnarens rättigheter
Xxxxxxx AB ska svara på personuppgiftslämnarens önskemål på det sätt som krävs enligt gällande lag eller på annat sätt anses vara rimligt praktiskt och lämpligt i samråd med vår personuppgiftsansvarige.
Öppenhet och information – Personer vars personuppgifter behandlas bör informeras på ett tydligt sätt. Ett sådant meddelande bör vara koncist, enkelt tillgänglig, skrivas i tydligt och enkelt språk och måste innehålla viss specifik Information.
Rätt till information – En individ kan begära att få information om Xxxxxxx AB:s behandling av personuppgifter.
Rätt till rättelse och radering – En individ kan begära att ens personuppgifter ska korrigeras eller raderas.
Rätt att göra invändningar – En individ har i vissa fall rätt att invända mot den personuppgiftsansvariges behandling av hans eller hennes personuppgifter. Gäller när personuppgifter behandlas för att utföra en uppgift av allmänt intresse, som ett led i myndighetsutövning eller efter en intresseavvägning.
Rätt att klaga – En individ har rätt att klaga mot Xxxxxxx AB:s behandling av sina Personuppgifter.
Rätt till ersättning – En individ har rätt till skälig ersättning för skada som uppkommit i samband med Xxxxxxx AB:s brister i behandlingen av personuppgifter i enlighet med gällande lagstiftning.
3.4 Personuppgiftsansvarige och personuppgiftsbiträdets skyldigheter
När bearbetningen ska utföras av ett personuppgiftsbiträde på uppdrag av den personuppgiftsansvarige, ska personuppgiftsansvarige endast använda sig av personuppgiftsbiträden som kan lämna tillräckliga garantier för att ha implementerat tillräckligt tekniskt och organisatoriskt skydd, för att kunna möta kraven från GDPR och därmed skydda personuppgiftslämnaren.
Det ska finnas ett rättsligt bindande avtal mellan personuppgiftsansvarige och personuppgiftsbiträdet som uppfyller kraven i dataskyddslagarna och vilken fördelning av ansvar som gjorts mellan parterna avseende personuppgiftsbehandlingen:
Dataskydd genom “privacy by design” – Varje ny tjänst eller affärsprocess som introduceras av Calluna AB och som innebär behandling av personuppgifter bör vara utformad för att ta hänsyn till skyddet av sådana data, till exempel genom att se till att nödvändiga säkerhetsåtgärder är inbyggda i dess design ("privacy by design"). Varje sådan ny tjänst eller affärsprocess ska också utformas för att se till att som standard endast personuppgifter som är nödvändiga för det specifika syftet med behandlingen behandlas ("privacy by default").
Konsekvensbedömning av dataskydd – Där det finns höga risker vid behandling av personuppgifter, i synnerhet när det rör nya teknologier, molntjänster och andra IT-system, bör Calluna AB före en sådan bearbetning genomföra en konsekvensbedömning. Calluna AB ska då följa Datainspektionens riktlinjer om konsekvensbedömning.
Rapportering av personuppgiftsincidenter – Anställda som misstänker att dessa integritets- och användarvillkor eller relevanta dataskyddslagar har brutits ska kontakta Calluna AB:s PO omedelbart för att Calluna AB ska kunna följa lagstadgade anmälningskrav.
Tillhandahållande av personuppgiftslämnarens rättigheter – Som anges i kapitel 3.3 i denna sammanställning.
Säkerhetsåtgärder – En anställd som har tillgång till personuppgifter får endast bearbeta uppgifterna i enlighet med syftet för behandlingen, och får inte dela, distribuera eller på annat sätt avslöja personuppgifterna till en tredje part om de inte instrueras att göra det av
Calluna AB. Lämpliga tekniska och organisatoriska åtgärder bör genomföras för att skydda personuppgifter mot oavsiktlig eller olaglig förstörelse, oavsiktlig dataförlust eller ändring, obehörigt utlämnande eller åtkomst och andra olagliga former av bearbetning. Lämpliga skyddsåtgärder i förhållande till risken ska vidtas.
Överföring av personuppgifter utanför EU, EES och EEA är endast tillåten när den importerande enheten har lämnat tillräckliga garantier för att personuppgifter kommer att skyddas tillräckligt. Detta kan åstadkommas genom att använda en av EU:s standardiserade dataöverföringsavtal.
Information och medvetenhet – Calluna AB ger tillräcklig information till alla anställda, baserad på anställdas roll och ansvar.
4 Personuppgiftshantering på Calluna AB
4.1 Personuppgifter där Xxxxxxx är personuppgiftsansvarig
Uppgifter om våra företagskunder
För att kunna uppfylla avtalet med kund registreras kontaktuppgifter som exempelvis, faktura- och leveransadress. Dessa uppgifter registreras i vårt affärssystem och behandlas i fakturerings- och bokföringssyfte.
Leverantörer & underleverantörer
Eftersom vi själva köper en del tjänster och varor så behandlas personuppgifter om våra leverantörer eller underleverantörer. Detta för att vi ska kunna göra utbetalningar eller ta kontakt på ett eller annat sätt så att de effektivt ska kunna utföra sitt uppdrag eller erbjuda sin produkt eller tjänst.
Vi behandlar personuppgifter i och med att det inkommer jobbansökningar till oss.
4.2 Vad Calluna använder personuppgifter till
När vi bearbetar personuppgifter gör vi det med samtycke, avtalsförhållande, laglig skyldighet eller på behovsbasis, i syfte att kunna driva vår verksamhet, uppfylla våra avtalsenliga och juridiska skyldigheter, skydda våra system eller uppfylla andra berättigade intressen.
Fullgöra förpliktelser som uppdragsgivare
För att Xxxxxxx AB ska kunna fullgöra sina förpliktelser som uppdragsgivare och för att säkerställa en säker och effektiv administration är det nödvändigt för Xxxxxxx AB att samla in, behandla och lagra personuppgifter. Endast personuppgifter som har ett samband med uppdraget behandlas.
Vi använder uppgifter för att ge support- och stödtjänster till dig så att du kan utnyttja våra tjänster.
4.3 Typer av personuppgifter som Calluna behandlar och för vilka ändamål
Vi använder inte uppgifter till annat ändamål än vad som står beskrivet i denna sammanställning. De data vi behandlar kan innefatta följande:
Vi samlar in för- och efternamn, e-postadress, postadress, telefonnummer, leveransuppgifter och andra liknande kontaktuppgifter. Dessa uppgifter behandlas för att vi ska kunna fullgöra avtal med våra kunder.
Personnummer och betalningsinformation
För att kunna uppfylla våra avtal med leverantörer, underleverantörer och kunder behöver vi samla in betalningsinformation.
Det kan innefatta även information om operativsystem, också IP-adress, enhets-id, nationella inställningar och språkinställningar.
Vi samlar in information som du tillhandahåller oss och innehållet i meddelanden som du skickar till oss, såsom förfrågningar, feedback, frågor och information du lämnar för våra uppdrag och kundsupport.
Vi behandlar i regel ingen känslig information.
4.4 Vilka dina personuppgifter kan komma att delas till och varför vi delar dem
I de fall där vi delar information om dig med andra har vi sett till att dessa företag följer våra krav för dataskydd och de är inte tillåtna att använda personuppgifter de tar emot för något annat syfte än vad som avtalats.
Det kan ibland vara nödvändigt för oss att dela din information med externa bolag för att underlätta vår verksamhet, leverera våra tjänster samt fullgöra våra skyldigheter. Det kan exempelvis handla om system- och molnleverantörer vi använder oss av för att föra vårt arbete framåt. Dessa får dock inte gå och titta i våra data utan explicit tillåtelse.
4.5 E-post och annan ostrukturerad data
Calluna AB har en intern rutin för IT-användande som omfattar behandling av personuppgifter i e-post och annan ostrukturerad data. För det första måste vi ha en rättslig grund för att hantera e-post. Calluna AB kan likt andra företag och privata organisationer därför som regel behandla personuppgifter i inkommande e-post med stöd av en intresseavvägning och/eller för att fullgöra ett avtalsförhållande. Xxxxxxx säger också att Xxxxxxx AB ska inte använda e-post för systematisk hantering av personuppgifter, samt att gallring rutinmässigt ska ske.
Slutligen kan vi komma att behöva lämna ut eller spara dina uppgifter när vi anser att det är nödvändigt för att:
• Följa lagen eller rättslig process och ge ut information till polis och andra behöriga myndigheter.
• Skydda våra kunder, exempelvis för att förhindra skräppost eller bedrägeriförsök, eller för att underlätta förhindrande av dödsfall eller allvarlig skada.
• Hantera och upprätthålla säkerheten för våra tjänster, däribland att förhindra eller stoppa en attack på våra system eller nätverk.
• Skydda rättigheter eller egendom som tillhör Calluna AB, inklusive verkställa de villkor som styr användning av tjänsterna, men om vi får information om att någon använder våra tjänster för att handla med stulen immateriell eller fysisk egendom som tillhör Calluna AB kommer vi inte att själva undersöka en kunds privata innehåll, utan vi kan då överlåta ärendet till en polismyndighet.
5 Kontakta oss
Om du har en fråga om vad som gäller för dina personuppgifter, begäran om registerutdrag, ett klagomål eller en fråga till vår PO, kontaktar du oss genom: xxxxxxxxxxxxxxx@xxxxxxx.xx.
Klagomål kan lämnas till Datainspektionen.
6 Uppföljning
Calluna AB kommer att göra objektiva interna revisioner av dessa integritets- och användarvillkor, inklusive dataskydd på periodisk bas. VD på Xxxxxxx AB ansvarar för övergripande övervakning och genomförande av villkoren i denna sammanställning. PO ansvarar för Calluna AB:s dagliga överensstämmelse med dessa integritets- och användarvillkor samt dataskyddslagar.