FIntegritetspolicy
Integritetspolicyn gäller från och med 2022-10-14.
1 INLEDNING
1.1 Evira AB, xxx.xx 559252–8995, (”Evira”, ”vi” eller "oss”) tillhandahåller en webbplats (”Webbplatsen”) och en applikation för behandling av patienter med obesitas (”Tjänsten”). Evira är personuppgiftsansvarig för behandlingen av de personuppgifter som kommer oss tillhanda när du använder Webbplatsen eller Tjänsten och ansvarar därmed för att se till att alla personuppgifter behandlas på ett korrekt sätt och i enlighet med tillämpliga dataskyddsregler.
1.2 När du söker vård hos någon vårdgivare genom Webbplatsen eller i Tjänsten (”Vårdgivaren”) är det Vårdgivaren som är personuppgiftsansvarig för den behandling av personuppgifter som sker i syfte att tillhandahålla dig de tjänster som Vårdgivaren erbjuder, t.ex. olika typer av sjukvårdstjänster. I förhållande till dessa Vårdgivare är Evira personuppgiftsbiträde vad gäller behandlingen av personuppgifter för att exempelvis tillhandahålla Tjänsten.
1.3 Den här integritetspolicyn (”Integritetspolicyn”) beskriver hur vi samlar in, behandlar och skyddar personuppgifter när du som Användare besöker Webbplatsen eller använder Tjänsten, samt vilka rättigheter som tillfaller dig när vi behandlar dina personuppgifter.
1.4 Vid frågor gällande vår personuppgiftsbehandling är det alltid möjligt att kontakta oss. Information om våra kontaktuppgifter finns under Kontaktuppgifter nedan.
2 Integritetspolicyns omfattning
2.1 Integritetspolicyn omfattar behandling av personuppgifter för vilka Evira är personuppgiftsansvarig. Integritetspolicyn omfattar alltså inte den behandling av personuppgifter som Evira utför i egenskap av personuppgiftsbiträde, dvs. på uppdrag av Vårdgivaren. Evira är då bundet av de instruktioner för personuppgiftsbehandling som Evira fått av Vårdgivaren. I dessa situationer kommer Xxxxx alltid säkerställa att behandling sker i enlighet med tillämpliga dataskyddsregler och i möjligaste mån i enlighet med denna Integritetspolicy.
2.2 Integritetspolicyn är tillämplig på personer som besöker Webbplatsen (”Webbplatsbesökare”) eller är användare av Tjänsten, vilket omfattar
Webbplatsbesökare, patienter, patienters vårdnadshavare och representanter för vårdgivare (”Användare”).
3 Personuppgifter som behandlas
3.1 Personuppgifter som kan komma att behandlas av Xxxxx
3.1.1 Med personuppgift avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Inom ramen för att Evira ska kunna tillhandahålla Webbplatsen och Tjänsten, kan det förekomma att Evira behandlar personuppgifter som avser t.ex. för- och efternamn, telefonnummer, adress, postnummer, e-postadress, m.m. (”Personuppgifter”).
3.1.2 Evira behandlar Personuppgifter för att kunna exempelvis:
(i) behandla din registrering eller uppsägning av ditt konto i appen för att använda Tjänsten;
(ii) ge behörighet att logga in och använda ditt användarkonto;
(iii) hantera dina val av inställningar i appen för användande av Tjänsten; och
(iv) hjälpa dig med supportärenden och förfrågningar kring din användning av Tjänsten.
3.1.3 Personuppgifterna som behandlas avser:
(i) sådana som laddas upp genom synkronisering av den utrustning vi lånar ut eller annan utrustning som Användare väljer att synkronisera med Tjänsten;
(ii) sådana som samlas in vid användning av Tjänsten, till exempel kraschrapporter;
(iii) annan information som Användare anger i kontakt med oss; och
(iv) uppgifter som samlas in i samband med att en Webbplatsbesökare besöker Webbplatsen.
3.2 Eviras behandling av personuppgifter för Vårdgivarens räkning
3.2.1 Känsliga personuppgifter är uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt personuppgifter som rör hälsa eller sexualliv ("Känsliga
Personuppgifter”). Uppgifter om hälsa kan t.ex. vara hälsotillstånd, läkarbesök och behandlingar.
3.2.2 Evira behandlar endast Känsliga Personuppgifter som personuppgiftsbiträde i förhållande till Vårdgivaren, som är personuppgiftsansvarig för sådana Känsliga Personuppgifter. Det är således Vårdgivaren som behandlar exempelvis patientdata och hälsouppgifter i syfte att tillhandahålla hälso- och sjukvård genom Tjänsten och annan nödvändig behandling eller rådgivning inom ramen för Vårdgivarens utövande av vård.
3.2.3 Vårdgivaren är skyldig att behandla Personuppgifter och Känsliga Personuppgifter i enlighet med framförallt Patientdatalagen (2008:355). Vårdgivaren uppdrar åt Evira att behandla Personuppgifter och Känsliga Personuppgifter i syfte att tillhandahålla Tjänsten.
3.2.4 Vårdgivaren uppdrar även åt Evira att utveckla Tjänsten, varigenom Evira kan komma att behandla Personuppgifter och Känsliga Personuppgifter åt Vårdgivaren i syfte att förbättra Vårdgivarens tillhandahållande av vård samt för att utveckla Tjänsten. Denna behandling sker i enlighet med Vårdgivarens lämnande instruktioner till Xxxxx.
3.2.5 Insamlad information om Användarens fysiska hälsotillstånd kan komma att analyseras tillsammans med eventuell kompletterande information som registreras genom formulär eller från klinikpersonal för att skapa en mer heltäckande bild av Användarens hälsotillstånd. Det kan till exempel röra sig om riskbedömning för utveckling av olika relaterade sjukdomar eller en bedömning av vilka interventioner som är mest troliga att leda till långsiktigt hållbara resultat. Denna behandling kan komma att ske av Xxxxx på uppdrag av Vårdgivaren och således i enlighet med Vårdgivarens lämnande instruktioner till Xxxxx.
3.2.6 Avidentifierade uppgifter som inte utgör personuppgifter kan komma att delas av Vårdgivaren med Xxxxx i syfte att utveckla Tjänsterna.
4 Rättslig grund, ändamål med behandlingen och lagring
4.1 I samband med att en Webbplatsbesökare besöker Webbplatsen kan vi komma att behandla information om på vilket sätt du når Webbplatsen, vilket även omfattar information om operativsystem, IP-adress, nätidentifierare och webbplatsuppgifter. Personuppgifterna behandlas för att vi ska kunna förbättra användarupplevelse och för att analysera användningen av Webbplatsen. Personuppgiftsbehandlingen sker mot bakgrund av Eviras berättigade intresse av att analysera användningen av Webbplatsen och utveckla den.
4.2 Vad avser vår behandling av Personuppgifter i samband med att Användare ansluter sig till Tjänsten sker sådan insamling av Personuppgifter för att vi ska kunna fullgöra våra åtaganden mot dig som Användare, dvs. att tillhandahålla Tjänsten. Vi stödjer oss således vid insamlande av Personuppgifter på den rättsliga grunden avseende uppfyllande av avtalsförpliktelse för att behandla Personuppgifter. Om uppgifterna inte lämnas kan vi inte fullgöra våra åtaganden och vi kan då inte tillhandahålla Tjänsten. Användarens Personuppgifter kommer inte lagras längre tid än nödvändigt med hänsyn till ändamålen med behandlingen, vilket som utgångspunkt är under den tiden Tjänsten tillhandahålls till Användaren.
4.3 Vi kan även behandla Personuppgifter för administrering av Tjänsten. Detta innefattar hantering och leverans av Tjänsten, identifikation, hantering av betalning samt hantering av reklamations- och garantiärenden. Denna insamling av Personuppgifter krävs för att vi ska kunna fullgöra våra åtaganden mot Användaren, dvs. att tillhandahålla Tjänsten. Om uppgifterna inte lämnas kan vi inte fullgöra våra åtaganden och vi kan då inte tillhandahålla Tjänsten. Vi lagrar Personuppgifterna för detta ändamål under den tiden vi tillhandahåller Användaren Tjänsten och för en tid om 36 månader därefter i syfte att kunna hantera eventuella reklamations- och garantiärenden.
4.4 Vi behandlar också Personuppgifter för att kunna fullgöra våra rättsliga förpliktelser vid tillhandahållandet av Tjänsten. Detta omfattar behandlingar som är nödvändig för att kunna uppfylla våra rättsliga förpliktelser enligt lagkrav, domslut eller myndighetsbeslut (t.ex. bokföringslagen). Vi kan komma att lagrar Personuppgifterna för detta ändamål för en tid om upp till 7 år.
4.5 Vi behandlar även Personuppgifter för att kunna hantera serviceärenden. Behandlingen omfattar kommunikation och besvarande av eventuella frågor till kundservice (via telefon, i person eller genom digitala kanaler), identifiering av Användare, samt utredning av eventuella klagomål. Vi har rätt att hantera Personuppgifterna då behandlingen är nödvändig för att tillgodose vårt och Användarens berättigade intresse av att hantera kundserviceärenden. Vi raderar Personuppgifterna efter det att serviceärendet avslutats och Användaren har slutat nyttja Tjänsten.
4.6 Vidare kan vi behandla Personuppgifter för att tillhandahålla Användare information (t.ex. för att informera Användare om vår verksamhet och nyheter i Tjänsten). I det omfattas t.ex. att skicka information via e-post. Det gör vi med de lagliga grunderna samtycke och berättigat intresse. Behandlingen av Personuppgifter är nödvändig för att tillgodose vårt intresse av att tillhandahålla information om våra produkter och tjänster. Vi lagrar Personuppgifterna i ett år från senaste kontakt. Om vi har Användarens samtycke kan vi lagra
Personuppgifterna en längre tid. Användaren har rätt att dra tillbaka ett lämnat samtycke för behandling av Personuppgifter när som helst genom att kontakta Evira med hjälp av kontaktuppgifter i punkten 9 nedan.
4.7 Evira kan komma att under sekretess granska Personuppgifter i syfte att kvalitetssäkra och utveckla vårdupplevelsen samt för att utveckla Eviras behandlingskoncept.
4.8 Evira kan även komma att låta anonymisera Personuppgifter i syfte att utföra, utveckla och förbättra Tjänsten och Webbplatsen under förutsättning att detta är förenligt med tillämpliga dataskyddsregler och övriga bestämmelser i Integritetspolicyn.
4.9 Evira lagrar insamlade Personuppgifter med hjälp av Microsoft Azure i Nederländerna.
5 Mottagare av Personuppgifter och överföring utanför EU/EES
5.1 Evira kan komma att anlita andra oberoende leverantörer för tjänster för behandling av Personuppgifter eller för tjänster då personuppgifter kan tänkas finnas tillgängliga för den oberoende leverantören. Detta kan röra sig om till exempel konsulter för säkerhetsgenomgång av systemet eller för att genomföra forskning och utveckling. Dessa leverantörer kan komma att behandla Personuppgifter eftersom de kan behöva begränsad tillgång till insamlade Personuppgifter. Xxxxx kommer alltid att sträva efter att begränsa sådan tillgång till Personuppgifter och endast dela information som skäligen behövs för att leverantörerna ska kunna göra sitt arbete eller tillhandahålla sina tjänster. Xxxxx kommer även kräva av dessa leverantörer att de:
(i) skyddar Användarens Personuppgifter i enlighet med denna Integritetspolicy; och
(ii) inte använder Användarens Personuppgifter i något annat syfte än att tillhandahålla Tjänsten och Webbplatsen.
1.1 Evira använder IT-leverantörer inom EU/EES för drift av Tjänsten och lagring av Personuppgifter. Vid överföring av Personuppgifter till tredje land (d.v.s. ett land utanför EU/EES) vidtar Evira lämpliga åtgärder för att se till att överföring sker i enlighet med gällande dataskyddslagstiftning. Detta innefattar godkända överföringsmekanismer så som EU:s standardavtalsklausuler, beslut om adekvat skyddsnivå samt ytterligare skyddande åtgärder.
6 Rättigheter som registrerad
6.1 Användare äger rätt att:
(i) begära information om vilka personuppgifter vi behandlar om dig samt begära en kopia av dessa (registerutdrag);
(ii) få felaktiga personuppgifter korrigerade och i vissa fall be oss att radera Personuppgifter;
(iii) invända mot att vissa personuppgifter behandlas samt begära att behandlingen av personuppgifter begränsas;
(iv) få de personuppgifter som den lämnat till oss överförda till en annan personuppgiftsansvarig (rätt till dataportabilitet); och
(v) om du är missnöjd med hur vi behandlar deras personuppgifter kan du göra en anmälan till Datainspektionen som är tillsynsmyndighet.
6.2 Användare kan när som helst få ut, radera eller begränsa behandlingen av personuppgifter genom att skicka ett supportmeddelande i Tjänsten. Vänligen notera att om en Användare begär att vi begränsar behandlingen av eller raderar Användares Personuppgifter kan det innebära att vi inte kommer att kunna tillhandahålla Tjänsten.
7 SÄKERHET
7.1 Evira har vidtagit lämpliga tekniska och organisatoriska åtgärder för att skydda Personuppgifter mot förlust, missbruk, obehörig åtkomst, avslöjande, ändring och förstörelse. För att säkerställa att Personuppgifter behandlas på ett säkert och konfidentiellt sätt använder vi oss av branschstandardmässiga teknologier, bland annat TLS och OAuth2, för att begränsa åtkomst till data och skydda mot intrång. All åtkomst till administrations- och klinikkonton med tillgång till användares data kräver autentisering med två-faktor (BankID eller motsvarande lösningar). För mer information avseende Xxxxxx säkerhetsåtgärder vid behandling av Personuppgifter hänvisas till Eviras säkerhetspolicy.
7.2 Eftersom tillgång till Personuppgifterna ges efter inloggning är det viktigt att Användare väljer ett säkert lösenord så att ingen annan kan få tillgång till informationen. Eftersom e-postadress används för kommunikation är det viktigt att Användaren skyddar den med ett säkert lösenord och skyndsamt informerar oss om Användaren blir av med kontrollen över den.
8 Ändring i integritetspolicy
8.1 Evira förbehåller sig rätten att revidera Integritetspolicyn. Datumet för den senaste ändringen anges i början av Integritetspolicyn. Om Evira inför ändringar i Integritetspolicyn kommer vi att publicera dessa ändringar på: xxxx://xxx.xxxxx.xx/xxxxxxxxxxxxxxxxx. Användaren rekommenderas därför att läsa Integritetspolicyn regelbundet för att uppmärksamma eventuella ändringar.
8.2 Om vi ändrar Integritetspolicyn på ett sätt som väsentligt skiljer sig från vad som angavs när Användarens samtycke samlades in, kommer vi att underrätta om dessa förändringar och vid behov inhämta nytt samtycke till vår personuppgiftsbehandling, till exempel genom att visa ett tydligt meddelande i Tjänsten eller genom att skicka e-post. Därför ber vi Användare att se till att läsa alla sådana meddelanden noggrant.
9 Kontaktuppgifter
Vid frågor om Evira Integritetspolicyn eller angående Eviras behandling av Personuppgifter, kontakta:
Evira AB, 559252–8995
Kontaktperson: Xxxxxxx Xxxxxxx
Dataskyddsombud: Xxxxx Xxxxxxx: xxxxxxxxx@xxxxx.xx
Besöksadress: Xxxxxxxxxx 00
114 39 Stockholm
Postadress: Evira AB
C/O Xxxxxxx Xxxxxxx Xxxxxxxxxx 00
114 39 Stockholm
Telefon: x00 (0) 00 000 00 00