Inledning
Inledning
I denna integritetspolicy finns information om hur personuppgifter blir behandlade av Aerius Ventilation AB med organisationsnummer 559201–4889 (nedan kallad ”Aerius” och refererad till som "vi", "vår", "oss"). Hänvisningar till "du", "dig", "din" avser den registrerade personen, vars personuppgifter vi behandlar.
Denna integritetspolicy omfattar samtliga typer av personuppgifter, både i strukturerade och ostrukturerade data, oavsett varifrån eller hur personuppgifterna blivit insamlade. Nedan kan du läsa om hur vi behandlar dina personuppgifter som vi får tillgång till när du ingår ett avtal med oss, kontaktar oss eller när vi på annat sätt kommer i kontakt med dig.
All behandling av personuppgifter sker varsamt, i enlighet med GDPR (samt SCC om nödvändigt) och vi delar inte personuppgifterna med obehöriga personer.
Innehållet i denna integritetspolicy kan komma att uppdateras från tid till annan, utan föregående meddelande om detta. Exempelvis om det är nödvändigt för att förtydliga något, på grund av ändrad eller nytillkommen lagstiftning eller om vår behandling av personuppgifter förändras. Den senaste versionen finns alltid publicerad på vår webbplats som är tillgänglig för allmänheten. Du ansvarar själv för att läsa igenom innehållet i denna integritetspolicy samt hålla dig uppdaterad om eventuella ändringar.
Definitioner
Webbplatsen: xxxxxx.xx.
Kund: avser fysisk eller juridisk person som anlitar Aerius eller köper de tjänster/produkter som AERIUS vid var tid tillhandahåller.
Tredje part: avser annan än Kund eller Aerius.
GDPR: Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Samtliga referenser i dessa villkor till begreppen "personuppgifter", "behandling" (av personuppgifter), "registrerad", "personuppgiftsincident", "tillsynsmyndighet" och andra GDPR-relaterade begrepp som inte definieras här ska ha samma innebörd i denna integritetspolicy som anges i artikel 4 i GDPR.
SCC: Kommissionens genomförandebeslut (EU) 2021/914 av den 4 juni 2021 om standardavtalsklausuler för överföring av personuppgifter till tredjeländer i enlighet med Europaparlamentets och rådets förordning (EU) 2016/679, eller senare uppdaterad version.
Personuppgiftsansvarig
Aerius är personuppgiftsansvarig för all behandling av personuppgifter som utförs av oss eller för vår räkning, och vi ansvarar för att behandlingen av personuppgifterna sker i enlighet med GDPR (enligt principen om ansvarsskyldighet).
Kategorier av personuppgifter som vi behandlar
I enlighet med principen om uppgiftsminimering behandlar vi enbart personuppgifter som är adekvata, nödvändiga och relevanta för att uppfylla de ändamål som de blev insamlade för.
Vi behandlar främst nedan angivna kategorier av personuppgifter som vi kan få tillgång till när du kontaktar oss, ingår ett avtal med oss eller i övrigt i samband med utförande av våra tjänster eller ett uppdrag som vi har blivit anlitade att utföra:
• Identifikationsuppgifter: förnamn, efternamn, personnummer eller motsvarande.
• Kontaktuppgifter: telefonnummer, e-postadress, adress.
• Övriga personuppgifter: eventuella personuppgifter som blir lämnade till oss, exempelvis sådana som blir inkluderade i ett meddelande som du skickar eller på annat sätt delger till oss.
Ändamål med behandlingen av personuppgifter och rättslig grund
I enlighet med principen om ändamålsbegränsning behandlar vi enbart personuppgifter för särskilda, uttryckligt angivna och berättigade ändamål. Vidare är varje behandling rättsligt grundad och därmed laglig, i enlighet med bestämmelserna i GDPR.
Nedan kan du läsa mer om rättslig grund och ändamål med behandlingen av personuppgifterna.
1) När du besöker vår webbplats:
Webbplatsen använder cookies. Vi kan få information om besökares användning av webbplatsen, enhetsidentifiering, operativsystem, operativversion, enhets-ID, åtkomsttid, konfigurationsinställningar, tidszon, land och annan användarinformation som tillhandahålls via bland annat webbanalys- och/eller trafikmätningsleverantörer genom cookies. Användningen av analytiska cookies och annonscookies sker enbart om du lämnar ditt samtycke till det. Du kan när som helst återkalla ett lämnat samtycke och själv hantera lagringen av cookies via din webbläsares inställningar. Rättslig grund: Samtycke. Information om hur vi använder cookies på Webbplatsen finns att läsa i vår cookiepolicy.
2) När du kontaktar oss via e-post, telefon, sociala medier eller kontaktformulär:
När du kontaktar oss via e-post, telefon eller sociala medier, får vi tillgång till dina personuppgifter som framgår i samband med sådan kontakt. Exempelvis kan vi få tillgång till följande personuppgifter som tillhör dig: förnamn, efternamn, telefonnummer, e-postadress, användar-ID från sociala medier (om tillämpligt) och andra uppgifter som du lämnar till oss. Dessa uppgifter behandlas av oss för att vi ska kunna veta vem vi pratar med och för att hålla kontakten i ärendet. Rättslig grund: Berättigat intresse.
Du kan även kontakta oss genom att skicka ett medlande via det kontaktformulär som finns på Webbplatsen. Då får vi tillgång till följande personuppgifter som tillhör dig: förnamn, efternamn, telefonnummer, e-postadress, och de uppgifter som du inkluderar i meddelandet. Dessa uppgifter behandlas av oss för att vi ska kunna veta
vem vi pratar med och för att besvara meddelandet. Innan meddelandet skickas till oss, lämnar du ditt samtycke till att vi behandlar dina personuppgifter i enlighet med vår Integritetspolicy, genom att du aktivt kryssar i en kryssruta för godkännande. Rättslig grund: Samtycke.
3) När du ingår ett avtal med oss avseende våra tjänster:
Vi behandlar personuppgifter som tillhör dig i egenskap av privatperson, eller kontaktperson och/eller firmatecknare för en juridisk person, för att kunna fullgöra avtalet avseende våra tjänster. Personuppgifter som vi behandlar i dessa fall avser bland annat, men ej uteslutande: förnamn, efternamn, telefonnummer, e-postadress och adress till bostad/arbetsgivare/bostadsrättsförening. Rättslig grund: Avtal.
Bokföringsunderlag: Vi behandlar och lagrar fakturor och annat som utgör bokföringsunderlag i enlighet med vid var tid gällande svensk lagstiftning, såsom bokföringslagen (1999:1078), samt i enlighet med skattemyndighetens anvisningar. Bokföringsunderlag och verifikationer kan i vissa fall innehålla personuppgifter, såsom kundens/företrädarens/referensens namn och kontaktuppgifter. Sådant lagras i minst sju (7) år eller så länge som lagen kräver det. Rättslig grund: Rättslig förpliktelse.
4) När vi har en rättslig förpliktelse att behandla personuppgifter:
Om vi är skyldiga enligt lag, domstols- eller myndighetsbeslut att behandla vissa personuppgifter, sker behandlingen med stöd i Rättslig förpliktelse som rättslig grund. I sådana fall sker behandlingen enbart i den utsträckning det är nödvändigt för att vi ska uppfylla våra rättsliga förpliktelser och då behandlar vi enbart nödvändiga personuppgifter, så länge som lagen kräver det (i enlighet med principen om lagringsminimering).
5) När vi har ett berättigat intresse för en viss behandling:
När en behandling av personuppgifter sker med stöd i Berättigat intresse som rättslig grund, är vår bedömning att behandlingen inte utgör något intrång i den registrerades rätt till privatliv och integritet. Detta har vi kommit fram till, efter att ha gjort en avvägning mellan å ena sidan vad behandlingen ifråga innebär för den registrerades intressen samt rätt till privatliv, och å andra sidan vårt berättigade intresse till behandlingen ifråga. Vi behandlar dock aldrig känsliga personuppgifter med stöd i denna rättsliga grund.
Baserat på vårt Berättigade intresse kan vi behandla personuppgifter för att:
• skydda våra rättigheter och egendom,
• genomföra direktmarknadsföring av våra tjänster,
• säkerställa den tekniska funktionaliteten av Webbplatsen,
• samla in statistik, resultatmätningar m.m. avseende våra tjänster.
Lagring m.m.
I enlighet med principen om integritet och konfidentialitet, strävar vi efter att lagra samtliga personuppgifter som vi behandlar inom EU/EES. Om personuppgifter blir lagrade i ett land utanför EU/EES, ska vi se till att sådan lagringsplats säkerställer en adekvat skyddsnivå i enlighet med bestämmelserna i GDPR och SCC.
Personuppgifter blir lagrade så länge de är nödvändiga för att fullgöra de ändamål som de blev insamlade för. När personuppgifterna inte längre behöver vara lagrade för ändamålen, blir de antingen raderade (gallrade) eller anonymiserade (i enlighet med principen om lagringsminimering). Vi följer interna riktlinjer och rutiner avseende gallring och loggföring av gallrade personuppgifter för att säkerställa att behandlingen av personuppgifterna sker i enlighet med GDPR.
Personuppgifter kan förekomma lagrade i vår backup-lagring i upp till tre (3) månader efter att de har raderats manuellt, innan sådana backup-lagrade kopior blir permanent raderade.
De personuppgifter som förekommer i bokföringsunderlag, lagras så länge som bland annat bokföringslagen och/eller Skatteverket kräver det.
Personuppgifter som förekommer i avtalsunderlag lagras inom avtalstiden samt inom eventuellt avtalat garantiåtagande och minst sju (7) år därefter, för att möjliggöra uppföljning. Avtal kan även lagras av oss under så lång tid som följer av garantiåtagande samt övriga avtalsenliga förpliktelser åligger oss efter avtalstidens slut.
Delning av personuppgifter
Vi delar inte personuppgifter som vi behandlar till obehöriga personer. I vissa fall kan vi dock behöva dela personuppgifter till någon annan, exempelvis myndigheter eller personuppgiftsbiträden som vi anlitar inom ramen för vår verksamhet för att uppfylla våra skyldigheter enligt avtal samt vid var tid gällande lagstiftning. Nedan följer en kort sammanställning av olika situationer då vi kan dela personuppgifter som vi behandlar.
Myndigheter: Vi kan dela personuppgifter som vi behandlar till myndighet, om det är nödvändigt för att förebygga, upptäcka, förhindra eller utreda brottslig aktivitet samt för att skydda våra intressen och vår egendom.
Övriga tjänsteleverantörer: Vi anlitar olika tjänsteleverantörer för att bland annat:
- tillvarata våra rättsliga intressen;
- fullgöra våra avtalsenliga och rättsliga förpliktelser;
- upptäcka och förebygga tekniska-, drifts- eller säkerhetsmässiga problem; samt
- tillhandahålla, förbättra och underhålla Webbplatsen (programvaruunderhåll).
Exempel på tjänsteleverantörer som vi anlitar är leverantörer av: Ekonomisystem, Webbutvecklare, Molnlagring för dokument och bilder, CRM-system m.m.
I vissa fall kan vi behöva dela personuppgifter som vi är ansvariga för, till en anlitad tjänsteleverantör för att denne ska behandla personuppgifterna för vår räkning och i enlighet med våra instruktioner. I sådana fall blir sådan tjänsteleverantör ett personuppgiftsbiträde till oss enligt bestämmelserna i GDPR. Innan vi delar några personuppgifter, ingår vi ett personuppgiftsbiträdesavtal med personuppgiftsbiträdet i enlighet med bestämmelserna i GDPR (alternativt SCC om personuppgiftsbiträdet befinner sig i ett land utanför EU/EES). Detta sker för att säkerställa en säker och korrekt behandling av personuppgifterna.
Om du vill veta mer om vilka tjänsteleverantörer vi har anlitat, kan du kontakta vår kontaktperson för personuppgiftsärenden gen montaktuppgifterna som anges längre ned, för att begära en aktuell översikt.
Tekniska och organisatoriska säkerhetsåtgärder
I enlighet med principen om integritet och konfidentialitet, vidtar och implementerar vi olika tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna som vi behandlar. Åtgärderna avser att skydda mot intrång, missbruk, förlust, förstöring och andra förändringar som kan innebära en risk för integriteten.
Nedan följer exempel på några säkerhetsåtgärder som vi vidtar och implementerar:
• Det har upprättats interna rutiner med instruktioner avseende behandling av personuppgifter som samtlig personal ska följa. Bland annat intern rutin för gallring av personuppgifter och hantering/dokumentation av personuppgiftsincidenter.
• Interna rutiner, policys och instruktioner genomgås regelbundet, minst årligen samt vid behov, och godkänns av styrelsen i bolaget.
• Personalen har kunskap om hur behandlingen av personuppgifter får ske.
• Kontaktperson för personuppgiftsärenden har utsetts, som även svarar direkt till bolagets högsta ledning.
• Det har upprättats processer för att tilldela, övervaka och kontrollera åtkomsträttigheter avseende åtkomst till databaser, IT-system och delar av IT-infrastrukturen och nätverket.
• De leverantörer och underbiträden som anlitas garanterar en adekvat nivå av teknisk och organisatorisk säkerhet för de tjänster som tillhandahålls och de uppgifter som utförs.
• Samtliga medarbetare har ingått ett sekretessavtal och därmed åtagit sig skyldighet att iaktta sekretess beträffande bland annat personuppgifter som behandlas inom ramen för verksamheten och arbetets utförande.
• Vi följer de sju grundläggande dataskyddsprinciperna vid all behandling av personuppgifter. Principerna finns dokumenterade i interna rutiner, som våra medarbetare har tillgång till och som de följer vid all behandling av personuppgifter som vi är personuppgiftsansvariga över.
Rättigheter enligt GDPR
Om vi behandlar dina personuppgifter, har du enligt GDPR olika rättigheter avseende vår behandling av dina personuppgifter.
Nedan följer de rättigheter som du har enligt GDPR:
- Rätt att få tillgång till dina personuppgifter som vi behandlar.
- Rätt att få felaktiga personuppgifter rättade.
- Rätt att få dina personuppgifter som vi behandlar raderade.
- Rätt att begära begränsning av behandlingen av dina personuppgifter.
- Rätt att flytta dina personuppgifter (dataportabilitet).
- Rätt att få information om personuppgiftsincidenter som rör dina personuppgifter.
- Rätt att invända mot att personuppgifterna används för direktmarknadsföring och profilering.
Vi informerar dig härmed om att några av rättigheterna enbart gäller i vissa situationer samt bara om det är lagligt och möjligt för oss att genomföra din begäran. Du varmt välkommen att kontakta oss via kontaktuppgifterna som framgår nedan, om du skulle vilja åberopa någon av ovan angivna rättigheter avseende dina personuppgifter som vi behandlar.
Personuppgiftsincidenter
Vi följer bestämmelserna i GDPR avseende hantering, anmälning och dokumentation av personuppgiftsincidenter. När det krävs enligt GDPR, kommer vi att anmäla inträffade personuppgiftsincidenter till Integritetsskyddsmyndigheten (IMY) inom 72 timmar, och meddela de registrerade som berörs av inträffad personuppgiftsincident.
Frågor eller klagomål
Om du har frågor eller funderingar, eller är missnöjd över vår behandling av dina personuppgifter, är du alltid välkommen att kontakta oss. Nedan följer våra företagsuppgifter:
Firma: Aerius Ventilation AB Org. nr.: 559033–2366
Postadress: Xxxxxxxxxxxxxxx 0 000 00 Xxxxxxxxx
Vår kontaktperson för personuppgiftsärenden:
Vi har utsett en kontaktperson för personuppgiftsärenden som du kan kontakta om du har frågor avseende vår behandling av personuppgifter.
Namn: Xxxx Xxxxx.
Du har även rätt att kontakta den svenska tillsynsmyndigheten för att lämna klagomål. Namn: Integritetsskyddsmyndigheten (IMY).
Telefon: 00-000 00 00. E-post: xxx@xxx.xx.
Postadress: Integritetsskyddsmyndigheten, Box 8114, 104 20 Stockholm.