Contract
1. INLEDNING
1.1. I denna Integritetspolicy finns information om hur och varför Xxxxxxxx Xxxx OÜ med organisationsnummer 14584039 (Adress: Sepaja tn 6, 155 51 Tallinn) (Nedan hänvisat till ”Vi” eller ”Oss”) behandlar och hanterar personuppgifter och vilka rättigheter de registrerade har enligt GDPR. Denna integritetspolicy gäller för alla som lämnar sina personuppgifter till oss i samband med att vi bli kontaktade, när någon nyttjar våra tjänster, blir anlitad eller anställd av oss eller på annat sätt har kontakt med oss.
1.2. Denna Integritetspolicy har upprättats för att säkerställa att vi hanterar personuppgifter i enlighet med EU:s Dataskyddsförordning (General Data Protection Regulation – ”GDPR”) (enligt principen om ansvarsskyldighet) och våra interna policys och rutiner för hantering av personuppgifter. Integritetspolicyn omfattar all behandling av personuppgifter, i såväl strukturerad som ostrukturerad data. Vi är enbart personuppgiftsansvariga för den behandling som utförs av oss eller för vår räkning enligt GDPR (enligt principen om ansvarsskyldighet).
1.3. Vi uppdaterar denna Integritetspolicy vid behov och genomgår innehållet minst en gång per år för att säkerställa att informationen är uppdaterad och korrekt samt i enlighet med vår behandling av personuppgifter. Den senaste versionen finns alltid tillgänglig för allmänheten på denna webbplats.
1.4. Genom att kontakta oss och/eller ingå avtal med oss avseende de tjänster som vi erbjuder, kan personuppgifter komma att bli behandlade av oss i enlighet med bestämmelserna i denna Integritetspolicy och GDPR.
1.5. Detta avtal är skrivet på svenska och därefter översatt till finska. Vid bristande överensstämmelse mellan innebörden av begrepp eller liknande, har det svenska avtalet företräde.
2. DEFINITIONER
2.1. Begrepp och definitioner som framgår i denna Integritetspolicy ska ha motsvarande betydelse som i GDPR. Detta innebär bland annat följande:
Personuppgift: Varje upplysning som avser en identifierad eller identifierbar fysisk person. Exempel på vanliga personuppgifter är namn, personnummer, bostadsadress, telefonnummer och e-postadress. Uppgifter hänförliga till en juridisk person utgör inte personuppgifter (Exempelvis organisationsnummer, besöksadress m.fl.).
Personuppgiftsbehandling: En åtgärd eller kombination av åtgärder beträffande personuppgifter. Exempelvis insamling, registrering, lagring, organisering, strukturering m.fl.
Registrerad: Den fysiska person som, direkt eller indirekt, kan identifieras genom personuppgifterna.
3. Personuppgiftsansvarig
3.1. Xxxxxxxx Xxxx OÜ med organisationsnummer 14584039 är personuppgiftsansvarig för den behandling som utförs av oss eller för vår räkning och ansvarar för att behandlingen sker i enlighet med denna Integritetspolicy och GDPR (enligt principen om ansvarsskyldighet).
4. Vilka kategorier av personuppgifter vi behandlar
4.1. Vi strävar efter ett högt dataskydd, genom att vi implementerar olika tekniska och organisatoriska säkerhetsåtgärder för att säkerställa ett adekvat skydd för de personuppgifter som vi behandlar och ansvariga över i enlighet med GDPR.
4.2. Enligt GDPR och principen om uppgiftsminimering, strävar vi efter att enbart behandla personuppgifter som är nödvändiga, adekvata och relevanta för varje enskilt ändamål. Vi får enbart tillgång till de personuppgifter som blir lämnade till oss och vi samlar inte själva in fler personuppgifter. Vi får tillgång till personuppgifter genom att vi blir kontaktade via våra webbplatsers kontaktformulär, e-postadresser eller telefonnummer.
4.3. Vi behandlar främst följande kategorier av personuppgifter:
− Kontaktuppgifter, exempelvis: adress, telefonnummer och e-postadress.
− Identifikationsuppgifter, exempelvis; namn, personnummer och IP-adress.
− Demografiska uppgifter, exempelvis: arbetsställe, arbete och titel.
− Finansiella uppgifter, exempelvis: konton, ägande, transaktioner, krediter, arvoden, skulder och kreditupplysning.
4.4. Vi kan även behandla personuppgifter som vi får av en person i samband med dennes ansökan om anställning eller konsultuppdrag hos oss. Vi kan även behandla uppgifter som är relaterade till våra rättsliga förpliktelser i förhållande till lag och vid förfrågningar från myndigheter.
5. Rättslig grund för behandlingen
5.1. För att behandla personuppgifter krävs så kallad rättslig grund (enligt principen om lagenlighet, korrekthet och öppenhet). Vi grundar behandlingen av personuppgifter på främst fyra rättsliga grunder: Avtal, Samtycke, Intresseavvägning och Rättslig förpliktelse. Nedan följer en beskrivning av de rättsliga grunderna:
5.2. Avtal: Den rättsliga grunden vi främst grundar personuppgiftsbehandling på är Avtal. Denna rättsliga grund ger oss rätt att behandla personuppgifter för att kunna fullgöra våra avtalsenliga förpliktelser. Exempelvis ingår vi avtal med våra kunder avseende våra tjänster och genom avtalet, får vi rätt att behandla nödvändiga personuppgifter för att fullfölja avtalet.
5.3. Samtycke: Vi kan behandla personuppgifter om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen ifråga för specifikt angivna ändamål, genom ett aktivt lämnat godkännande. Exempelvis kan det ske genom att den registrerade aktivt kryssar i en ruta för godkännande av behandlingen av personuppgifterna i samband med att vi blir kontaktade via våra webbplatsers kontaktformulär. Ett lämnat samtycke kan bli återkallat av den registrerade och då ska behandlingen upphöra i den mån det är möjligt och såvida vi inte behöver behandla personuppgifterna för att vi exempelvis ska fullgöra våra skyldigheter enligt avtal eller rättslig förpliktelse som framgår av gällande lag.
5.4. Intresseavvägning: I vissa fall kan vår behandling av personuppgifter ske med stöd i den rättsliga grunden ”Intresseavvägning”. Vi kan använda denna grund för bland annat direktmarknadsföring av våra tjänster. Vi behandlar dock aldrig känsliga personuppgifter med stöd i denna rättsliga grund. Registrerade har rätt att när som helst motsätta sig behandling av personuppgifter vid direktmarknadsföring, och då ska behandlingen upphöra. Vi kan även, med stöd i intresseavvägning på grund av berättigat intresse som rättslig grund, behandla
personuppgifter för att exempelvis kräva betalning för en förfallen fordran, anmäla en skuld eller skydda våra rättigheter och egendom samt för att förhindra bedrägeri och andra brott.
5.5. Rättslig förpliktelse: Vi kan även behandla personuppgifter när vi har en rättslig förpliktelse att göra det. Exempelvis kan vi behandla personuppgifter i enlighet med gällande lagar avseende vår bokföring. Vid behandling av personuppgifter med stöd i denna rättsliga grund, behandlar vi enbart nödvändiga personuppgifter för att vi ska uppfylla våra rättsliga förpliktelser. Personuppgifter blir även lagrade så länge som gällande lagstiftning kräver det, eftersom vi har en rättslig förpliktelse att följa lagens bestämmelser.
6. Ändamål med behandlingen av personuppgifter
6.1. Enligt GDPR och principen om ändamålsbegränsning får vi enbart behandla personuppgifter för särskilda, uttryckligt angivna och berättigade ändamål.
6.2. Ändamål med behandlingen: Vi behandlar dina personuppgifter för att:
− fullfölja avtalsenliga förpliktelser (Rättslig grund: Avtal).
− leverera och tillhandahålla våra tjänster (Rättslig grund: Avtal).
− administrera integration med tredje parts tjänster (Rättslig grund: Avtal).
− genomföra uppföljning av våra tjänster med våra Kunder (Rättslig grund: Intresseavvägning med stöd i berättigat intresse).
− genomföra olika typer av analyser, resultatmätningar m.m. avseende våra tjänster (Rättslig grund: Intresseavvägning med stöd i berättigat intresse).
− förbättra våra tjänster, utveckla tjänster och förbättra webbplatsen (Rättslig grund: Intresseavvägning med stöd i berättigat intresse).
− säkerställa den tekniska funktionaliteten på våra webbplatser (Rättslig grund: Intresseavvägning med stöd i berättigat intresse).
− förhindra missbruk och skydda oss själva och andra från missbruk, intrång eller skadegörelse
av våra webbplatser (Rättslig grund: Intresseavvägning med stöd i berättigat intresse).
− förbättra upplevelsen av våra tjänster (Rättslig grund: Intresseavvägning med stöd i berättigat intresse).
− sköta nödvändiga administrativa ärenden och uppfylla rättsliga förpliktelser enligt lag
(Rättslig grund: Rättslig förpliktelse).
6.3. När en viss behandling grundar sig på den rättsliga grunden ”berättigat intresse” har vi gjort och utvärderat en avvägning mellan å ena sidan vårt berättigade intresse och å andra sidan vad behandlingen ifråga innebär för den registrerades intressen samt rätt till privatliv. Vår bedömning är att vårt berättigade intresse inte utgör ett intrång i registrerades rätt till integritet och privatliv, vilket innebär att det inte föreligger hinder för personuppgiftsbehandlingen.
6.4. Vi kan även behandla följande information och personuppgifter genom användning av cookies och liknande teknologi på denna webbplats:
− Information om besökares användning av webbplatsen.
− Teknisk data, vilket kan inkludera den URL genom vilket besökaren får åtkomst till webbplatsen, besökarens IP-adress, unique device-ID, information om nätverks- och datorprestanda, typ av webbläsare, språk och information om identifiering och operativsystem.
− Lokaliseringsuppgifter och användarinformation som tillhandahålls via tredjepartstjänster, exempelvis Google Analytics samt Google Search Console.
6.5. Mer information om användningen av cookies på denna webbplats finns att läsa i Cookiepolicyn.
7. Vart personuppgifterna blir lagrade
7.1. Vi strävar efter att lagra samtliga personuppgifter inom EU (enligt principen om integritet och konfidentialitet). I de fall personuppgifter blir lagrade i ett land utanför EU, ska vi se till att sådan lagringsplats är godkänd i enlighet med bestämmelserna i GDPR.
7.2. Vi tar nödvändiga tekniska och organisatoriska försiktighetsåtgärder som förhindrar förlust, missbruk eller förändring av personuppgifter. Vi lagrar personuppgifter på säkra servrar och miljöer (lösenords- och brandväggsskyddade).
8. Vem personuppgifter kan bli delade till
8.1. Vi behandlar alla personuppgifter varsamt och delar inte personuppgifter med obehöriga. Vår utgångspunkt är att inte lämna ut personuppgifter till någon annan utan föregående godkännande från den registrerade eller om det inte är nödvändigt för att vi ska uppfylla våra rättsliga eller avtalsenliga förpliktelser. Om det följer av lag, myndighetsföreskrift, myndighetsbeslut eller om det är nödvändigt för att vi ska fastställa, utöva eller tillvarata våra rättsliga intressen och förhindra bedrägeri, annan kriminell aktivitet eller för att förebygga skada, kan vi dela personuppgifter som vi behandlar.
8.2. Vi kan lämna ut personuppgifter till någon av våra anställda, tjänstemän, försäkringsgivare, professionella rådgivare, agenter, leverantörer eller underleverantörer om det är nödvändigt för de ändamål och syften som anges i denna Integritetspolicy.
8.3. Vi arbetar med underbiträden som en del av leveransen av våra tjänster som vi tillhandahåller. Genom våra underbiträden dessa kan vissa personuppgifter bli behandlade på uppdrag av oss. Detta innebär att vi kan lämna ut personuppgifter till ett underbiträde, för att fullgöra våra förpliktelser enligt avtal, gällande lagstiftning, krav från myndigheter, för att tillvarata våra rättsliga intressen eller för att upptäcka och förebygga tekniska- eller säkerhetsproblem. Våra underleverantörer får dock enbart behandla personuppgifter enligt våra instruktioner och får inte använda uppgifterna för egna ändamål.
8.4. Vi kan dela personuppgifter till ett land utanför EU/EES, om någon av våra underbiträden befinner sig där. Vi överför dock inga personuppgifter till ett land utanför EU/ESS, om inte överföringen uppfyller kraven enligt GDPR.
8.5. De registrerade har rätt att när som helst begära en fullständig översikt och mer detaljerad information om vilka underbiträden som är involverade i behandlingen av den registrerades personuppgifter.
9. Hur länge personuppgifterna blir lagrade
9.1. Enligt GDPR får personuppgifter inte bli lagrade under längre tid än vad som är nödvändigt för att uppfylla de ändamål för vilka de samlades in för. Vi sparar personuppgifter så länge de behövs och är nödvändiga, för att fullgöra de ändamål som uppgifterna samlades in för. Uppgifterna kan komma att sparas under en längre tid om det är nödvändigt för att vi ska följa gällande lagstiftning. Personuppgifter som inte längre behöver lagras, gallras (raderas) eller anonymiseras med jämna mellanrum (enligt principen om lagringsminimering).
10. De registrerades rättigheter
10.1. Den registrerade har rätt att när som helst, kostnadsfritt en (1) gång per år, begära information om vilka personuppgifter tillhörande den registrerade som vi behandlar (registerutdrag). Den registrerade har även rätt att få felaktiga eller ofullständiga personuppgifter rättade, rätt att begära att vi begränsar behandlingen eller raderar personuppgifter. Om den registrerade begär att vi raderar personuppgifter, kan det ske under förutsättning att vi inte är skyldiga enligt lag att lagra personuppgifterna eller om det inte i övrigt föreligger andra legitima skäl för oss att fortsätta lagringen. Registrerade har även rätt att invända mot behandlingen, återkalla lämnade samtycken till behandling av personuppgifter, begära dataportabilitet av personuppgifter som den registrerade har delat till oss samt rätt att få information om eventuellt dataintrång eller en personuppgiftsincident som rör den registrerades personuppgifter.
10.2. Registrerade ska kontakta vår kontaktperson för personuppgiftsärenden vid önskemål om något av ovanstående. Xxxxxxxx Xxxx XX:s kontaktperson för personuppgiftsärenden:
Namn: Xxxxxxxx Xxxx.
11. Säkerhetsåtgärder
11.1. Vi iakttar och tillämpar olika tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna mot intrång, missbruk, förlust, förstöring och andra förändringar som kan innebära en risk för integriteten (enligt principen om integritet och konfidentialitet). Exempelvis genomför vi regelbundna lösenordsbyten avseende lösenordskyddade register och system minst årligen samt vid behov. Dessutom har vi upprättat olika interna rutiner för att säkerställa att behandlingen av personuppgifter sker i enlighet med GDPR. Vi beaktar även de grundläggande dataskyddsprinciperna enligt GDPR vid vår behandling av personuppgifter.
12. klagomål och Personuppgiftsincidenter
12.1. Vid eventuella klagomål på vår behandling av personuppgifter, kan anmälan göras till vår kontaktperson för personuppgiftsärenden eller till tillsynsmyndigheten i Sverige som för närvarande är Datainspektionen (xxx.xxxxxxxxxxxxxxx.xx).
12.2. Enligt GDPR innebär ett dataintrång eller annan händelse, som innebär att vi förlorar kontrollen över behandlade personuppgifter, en personuppgiftsincident. Eventuella personuppgiftsincidenter ska utan dröjsmål bli rapporterade till vår kontaktperson för personuppgiftsärenden. Vi dokumenterar sådana händelser internt och gör anmälan till behörig tillsynsmyndighet inom 72 timmar.