Introduktion

Highlights Integritetspolicy 2018-05-25

Introduktion

Highlights Eduacational Services of Sweden AB, organisationsnummer 556641-5757 (Bolaget)

bedriver utbildning och utveckling av personal hos sina kunder. Kunder är företag, organisationer och vissa typer av skolor för vuxna. Utbildningarna bedrivs både i fysiskt såväl som digitalt format.

Nedan Integritetspolicy (Policyn) redogör för vilka kategorier av personuppgifter Bolaget behandlar, för vilka ändamål vi behandlar dem och vilken laglig grund behandlingen stödjer sig på. Vi redogör också för vilka som kan ha åtkomst till och behandlar uppgifterna, principerna för gallring. vilka tredje parter bolaget kan komma att dela personuppgifterna med, var personuppgifterna behandlas samt dina rättigheter som registrerad i form av rätt till information, rättelse och radering m.m..

Det kan hända att vi emellanåt behöver uppdatera eller ändra Policyn. Den senaste versionen av Policyn hittar du alltid på vår hemsida.

Vi hoppas att denna Policy besvarar dina frågor kring vårt bolags och insamling, användning och utlämning samt skyddet för dina personuppgifter. Om du har ytterligare frågor eller funderingar är du varmt välkommen att kontakta oss via e-post till xxxx@xxxxxxxxxx.xx

Policyn gäller från och med den 25 maj 2018.

Bolagets styrelse och VD ansvarar för att Policyn efterföljs samt revideras enligt regelverk.

Policyn bygger på riktlinjer från x.xx. från Bolagsverket, Datainspektionen och xxx.xxxxxx.xxx

Innehållsförteckning.

1. Personuppgifter och personuppgiftsbehandling

1.1 Bolagets behandling av personuppgifter

1.2 Principer för behandling av personuppgifter.

1.3 Personuppgiftsförteckning. 2. Kundregister och E-post.

2.1Kontaktperson hos potentiell och befintlig kund

2.2 E-post

3.Seminarier och utbildningar 3.1Person & Grupputvecklingsverktyg 3.2Digitala utbildningar

4.Behandling av personnummer 5.Direktmarknadsföring

6.Skyddet för dina personuppgifter 7.Platsen för behandling av personuppgifter 8.Dina rättigheter som registrerad.

8.1 Rätten till tillgång

8.2 Rätten till rättelse

8.3 Rätten till radering

8.4 Rätten till begränsning av behandling. 8.5Rätten till dataportabilitet

8.6 Å̊terkallelse av samtycke

8.7 Rätten att lämna in klagomål 9. Bolagets underkonsulter. 10.Överföringar utanför EU/EES

11.Hemsida och användning av cookies.

1.Personuppgifter och personuppgiftsbehandling

1.1 Bolagets behandling av personuppgifter

Med ”personuppgifter” avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Det kan därmed röra sig om uppgifter såsom namn, e-postadresser eller telefonnummer men även uppgifter såsom foton eller IP-adresser kan omfattas om informationen kan kopplas till en fysisk person. Med ”personuppgiftsbehandling” avses varje åtgärd eller kombinationer av åtgärder beträffande personuppgifter, oavsett om åtgärden är automatiserad eller inte. Exempel på förekommande behandlingar är insamling, registrering, organisering, strukturering, lagring, utlämning genom överföring och radering.

1.2 Principer

Bolagets principer för behandling av personuppgifter.

• Vi samlar in och hantera endast personuppgifter om det är tillåtet.

• Vi Informerar de personer vars uppgifter du samlar in. Det kan vara uppgifter om exempelvis kunder, leverantörer och anställda.

• Vi bestämmer i förväg vad personuppgifterna ska användas till och använder inte uppgifterna för något annat syfte.

• Vi samlar inte in fler personuppgifter än vad som behövs. ¨

• Vi ser till att personuppgifterna är korrekta och uppdaterade.

• Vi raderar personuppgifter som inte längre behövs.

• Vi skyddar uppgifterna från otillåten användning och obehörig åtkomst.

• Vi dokumenterar hur vi hanterar av personuppgifte

1.3 Personuppgiftsförteckning. Bolagets förteckning innehåller:

• Kontaktuppgifter till den som är ansvarig för hanteringen av personuppgifterna på bolaget.

• Vad uppgifterna används till (till exempel kundregister)

• Vilka kategorier av personer och uppgifter som förekommer (till exempel anställda eller kunder)

• Tidsgräns för borttagning av uppgifter.

• Om uppgifterna överförs till ett annat land eller annan organisation ska information finnas om det

• Beskrivning av säkerhetsåtgärder som används vid behandling,

2.Kundregister och E-post.

2.1 Kontaktperson hos potentiell och befintlig kund

Att upprätta affärsrelationer med kunder för att kunna utveckla bolagets tjänster och produkter, utgör en viktig del av bolagets kärnverksamhet. I syfte att kunna kontakta dig i egenskap av potentiell och befintlig kundkontakt gällande bolagets tjänster och produkter samt marknadsaktiviteter samlar bolaget in dina personuppgifter. Dessa samlas antingen in via interna nätverk eller från tredje part, såsom offentliga register eller sociala medier, och lagras i bolagets system med målet att bolaget ska kunna upprätta och bibehålla en affärsrelation med dig och att bolaget ska kunna bjuda in dig till marknadsaktiviteter.

Behandlingen av dessa personuppgifter stödjer sig på bolagets berättigade intresse av att kunna upprätta och bibehålla affärsrelationer samt att kunna utveckla sina tjänster och produkter

Bolaget har som rutin att varje medarbetare eller underkonsult som jobbar under Bolagets varumärke, som via telefon eller digital kanal inlett kontakt med dig och där du under samtalet visat intresse för att skapa eller utforska en vidare relation med dotterbolaget, följer upp med ett e-postmeddelande innehållande en länk till denna Policy. I de Bolaget initierat den första kontakten genom ett e- postmeddelande alltid en hänvisning till Policyn för att du som registrerad ska få nödvändig information om behandlingen av dina personuppgifter.

Dina personuppgifter sparas Bolagets plattformar

för marknadsutskick i kommunikations- och informationssyfte. Bolaget kommer endast att göra sådana utskick som bedöms vara relevanta för din yrkesroll. För varje utskick kommer du att ges möjlighet till avregistrering.

I de fall då Bolaget fått kontakt med dig och du

avböjer att skapa eller utforska en vidare relation kommer personuppgifterna i affärssystemet att markeras med en notering om att inte återuppta kontakten. Vi kommer även att upphöra med att delge dig marknadsutskick.

Gallring

Bolaget kommer att behandla dina personuppgifter till dess att de inte längre behövs för att uppfylla ovan nämnda ändamål eller till dess du begär att inte längre finnas registrerad hos bolaget.

Personuppgifterna kommer i sådant fall att raderas utan onödigt dröjsmål. Om en affärsrelation inte har utvecklats inom ett år från det.

Bolaget använder Hubspot som CRM-system. Hubspot har gjort anpassningar av sin plattform som följer GDPR.

De personuppgifter som Bolaget kan behandla för ovan ändamål är:

• För- och Efternamn

• Kontaktuppgifter såsom e-postadress, telefonnummer, yrkestitel och arbetsplatsadress

• Uppgift om tidigare arbetsgivare (i det fall du varit kund tidigare)

• Korrespondens mellan dig och bolaget

• Teknisk information om hur du har interagerat med bolaget

• Uppgifter om kostpreferens (i samband med föreläsningar, events etc.)

2.2 E-post

• Vi skickar aldrig känsliga personuppgifter via e-post, till exempel uppgifter om någons hälsa, religiösa åskådning eller politiska åsikter.

• Vi undviker även att skicka andra integritetskänsliga uppgifter som exempelvis lönebesked via e-post.

• Vi för över personuppgifter till andra system och raderar mejlet.

• I vårt kontaktformulär på webben som genererar ett mejl till bolaget finns en ruta för aktiv acceptans av lagring av den informationen.

• Vi har en tydlig tidsgräns för hur länge vi sparar e-post och raderar mejlen efter det.

• Vi sparar aldrig mejl med personuppgifter ”för att det kan vara bra att ha”.

• Vi har informerat anställda och underkonsulter om ovan.

3. Seminarier och utbildningar

För att kunna tillhandahålla seminarier och utbildningar, registrera antalet deltagare, trycka upp nödvändig dokumentation och för att kunna göra marknadsföringsutskick, har bolaget ett behov av att behandla deltagarnas personuppgifter.

Behandlingen av dina personuppgifter stödjer sig på bolagets berättigade intresse av att kunna upprätta deltagarlistor m.m. och i övrigt administrera de seminarier och utbildningar som du anmält dig till. Det ligger även i din arbetsgivares intresse att du deltar i de utbildningar du visat intresse för.

Dina personuppgifter som upptagits på en deltagarlista kan komma överföras till externa föreläsare som håller

i utbildningen samt till anlitade tryckerier. Detta sker i förberedande syften, såsom tryck av undervisningsmaterial, intyg och diplom.

Dina personuppgifter kommer att behandlas av bolaget under den aktuella utbildningen och därefter i ett år för marknadsföringsändamål. Bolagets behandling av personuppgifterna kommer dock att upphöra tidigare om du uttryckligen begär det.

De personuppgifter som Bolaget kan behandla för ovan är:

• För- och Efternamn

• Kontaktuppgifter såsom e-postadress, telefonnummer, arbets- platsadress och yrkestitel

• Faktureringsuppgifter

• Anteckningar inför utbildningstillfällen

• Uppgifter om kostpreferens

Dessa uppgifter inhämtas antingen från dig som deltagare eller från kontaktperson hos kund som sköter anmälningar och samordning med dotterbolaget inför varje utbildningstillfälle.

3.1 Person & Grupputvecklingsverktyg

Bolaget använder i dag som en tjänst till sina kunder verktygen Everything DiSC och Five Behaviors bägge ägda och driftade av från Wiley med säte i USA ( Xxxx Xxxxx & Sons Inc)

Xxxxxx Xxxxxxx och Wiley via dotterbolaget Inscape Publishing LLC med säte i Minneapolis finns ett underskrivet tilläggsavtal (Data Processing Addendum) som reglerar att Wiley hanterar uppgifter som behandlas i samband med att ovan verktyg på ett sätt som följer av Bolagets integritetspolicy samt riktlinjerna i GDPR.

En deltagare (fysisk person) och/eller kund kan alltid begära att få se utdrag ur eller hela tilläggsavtalet. I tillägg till detta kan deltagare (fysisk person) och/eller kund begära ett av kunden och Bolaget underskrivet “uppgiftsbehandlingsavtal” (Data processing agreement)

3,2 Digitala utbildningar

För sina digitala utbildningar använder Bolaget Coursio som plattform för driften. Bolaget har säkerställt att Xxxxxx har en integritetspolicy och regelverk som säkerställer kraven enligt GDPR. Coursios policy kan en elev begära från Bolaget alternativt ta del av på Coursios hemsida xxx.xxxxxxx.xxx

4.Behandling av personnummer.

I den mån Bolaget behandlar personnummer kommer detta endast att göras när det är klart motiverat till ändamålet. Vilket är säker identifiering eller annat beaktansvärt skäl.

5.Direktmarknadsföring.

Du har rätt att invända mot att dina personuppgifter används för direktmarknadsföring. Med direktmarknadsföring avses alla typer av uppsökande marknadsföringsåtgärder t.ex. via digitala utskick, e-post och sms. Du har rätt att kostnadsfritt motsätta dig att dina uppgifter används för sådana syften och varje utskick från bolaget i marknadsföringssyfte innehåller en möjlighet till avregistrering.

Om du väljer att avregistrera dig kommer bolaget att göra en notering i våra system om att upphöra med att rikta direktmarknadsföring till dig.

6.Skyddet för dina personuppgifter.

Bolaget har vidtagit en rad säkerhetsåtgärder för att tillse att bolagets behandling av personuppgifter sker på ett säkert sätt och för att skydda att de personuppgifter som behandlas mot olovlig tillgång, obehörig behandling och missbruk. T.ex. är tillgången till de system i vilken personuppgifterna lagras begränsad till bolagets anställda och kontrakterade underkonsulter samt tjänsteleverantörer som behöver nå uppgifterna in ramen för sina arbetsuppgifter. Dessa är även informerade om vikten av att säkerheten för personuppgifterna upprätthålls och det har inrättats interna rutiner som x.xx. reglerar användningen av lösenord och arbete som sker utanför kontoret och de olika kontoren och utomlands. Bolaget

övervakar kontinuerligt sina system för att upptäcka eventuella sårbarheter.

7. Platsen för behandling av personuppgifter.

Bolaget avser att behandla personuppgifter inom EU/ESS där bolagets IT - system finns. Det kan dock förekomma att personuppgifter delas med underleverantörer som är etablerade utanför eu/EES och lagrar information i ett land utanför EU/EES.

I sådana fall kommer Bolaget vidta alla rimliga, legala, organisatoriska, tekniska åtgärder för att säkerställa att skyddsnivån är densamma som inom EU/EES. Detta sker genom att EU- kommissionen säkerställer att landet i fråga säkerställer en adekvat skyddsnivå eller användandet av lämpliga skyddsåtgärder såsom standardavtalsklausuler eller godkända uppförandekoder i Bolagets avtal med sådana underleverantörer. Läs mer under punkt 10.

8.Dina rättigheter som registrerad.

Du som registrerad har alltid rätt att göra dina rättigheter gällande mot Xxxxxxx genom att kontakta Bolaget på xxxx@xxxxxxxxxx.xx.

Nedan finns en kortfattad beskrivning av vilka rättigheter du kan göra gällande.

8.1 Rätten till tillgång.

Om du vill få ökad förståelse för vilka personuppgifter vi behandlar om just dig kan du begära tillgång till uppgifterna. Informationen kommer att lämnas i form av ett registerutdrag som anger vilka personuppgifter vi behandlar, för vilket ändamål, var uppgifterna har inhämtats, vilka tredjeparter till vilka uppgifterna har överförts samt hur länge uppgifterna kommer att lagras. Informationen kommer att tillhandahållas i ett elektroniskt format som är allmänt använt om inte annat önskas.

8.2 Rätten till rättelse

Du har rätt till att utan dröjsmål få felaktiga uppgifter rättade. Du har även rätt att komplettera ofullständiga uppgifter.

8.3 Rätten till radering

Du har rätt att begära radering av dina personuppgifter som vi behandlar om dig ifall:

• Personuppgifterna inte längre är nödvändiga för de ändamål för vilka de samlades in eller på annat sätt behandlas.

• Du återkallar ditt samtycke för en behandling som stödjer sig på samtycke och det finns inte någon annan rättslig grund för behandlingen.

• Du invänder mot en behandling som stödjer sig på en intresseavvägning och ditt skäl för invändning väger tyngre än vårt berättigade intresse

• Personuppgifterna behandlas på ett olagligt sätt.

• Personuppgifterna måste raderas till följd av en rättslig förpliktelse som vi har att uppfylla.

För det fall det finns legala skyldigheter som hindrar att vi omedelbart raderar vissa personuppgifter kan vi neka din begäran om radering. Dessa skyldigheter finns t.ex. i bokföringslagstiftningen.

Det är också möjligt att fortsatt behandling är nödvändig för att

vi ska rättsliga anspråk. Skulle det vara så att våra legala skyldigheter hindrar oss från att radera dina uppgifter kommer vi i stället att markera dem så att de inte längre aktivt används i våra system.

Utöver ovanstående rättigheter har du även

rätt till att begära att behandlingen av dina personuppgifter begränsas och att invända mot all behandling av personuppgifter som stödjer sig på en intresseavvägning. Om så sker måste vi påvisa tvingande berättigande skäl som väger tyngre än dina intressen, rättigheter och friheter för att få fortsätta behandlingen

8.4 Rätten till begränsning av behandling.

Du har rätt att begära att behandlingen av dina personuppgifter begränsas om något av nedan alternativ är tillämpligt:

- Du bestrider uppgifterna korrekthet under en tid som ger Bolaget möjlighet att kontrollera om uppgifterna är korrekta.

- Behandlingen är olaglig och du motsätter dig en radering av

uppgifterna och i stället begär en begränsning av dess användning.

- Bolaget inte längre behöver personuppgifterna för ändamålen med behandlingen men du behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk.

- Du har invänt mot en behandling som stödjer sig på en intresseavvägning och Bolaget kontrollerar om Bolagets berättigade skäl väger tyngre än dina berättigade skäl.

Om behandlingen har begränsats i enlighet med denna punkt får sådana personuppgifter som begränsning av behandling ska ske för, med undantag för lagring, endast behandlas för att fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda tredje parts rättigheter eller skäl som rör ett viktigt allmänintresse för EU eller EU-medlemsstat.

8.5. Rätten till dataportabilitet

I de fall Xxxxxxxx behandling av personuppgifter stödjer sig på ditt samtycke eller fullgörande av avtal har du rätt att begära att de uppgifter som berör dig överförs till annan personuppgiftsansvarig. En förutsättning är dock att överföringen är tekniskt möjlig och att den kan ske automatiserat.

8.6. Återkallelse av samtycke. I de fall Bolagets behandling av dina personuppgifter grundar sig på ditt samtycke har du alltid rätt att när som helst återkalla ditt samtycke. Ett tillbakadragande påverkar inte lagligheten av behandlingen som skett utifrån ditt samtycke, innan detta drogs tillbaka. Om du återkallar ditt samtycke kommer Bolaget inte längre att behandla de personuppgifter som grundar sig på ditt samtycke, såvida Bolaget inte av legala skäl är förpliktigade att fortsätta behandla dem. Skulle det vara så att Bolagets legala skyldigheter hindrar Xxxxxxx från att radera dina uppgifter kommer Bolaget i ställer att markera dem så att de inte längre aktivt används i Bolagets system. Du kan när som helst skicka e-post till xxxx@xxxxxxxxxx.xx för att återkalla ditt samtycke. Bolaget bemöter din begäran så skyndsamt som möjligt.

8.7 Rätten att lämna in klagomål.

Datainspektionen är den myndighet som är ansvarig för att övervaka

tillämpningen av lagstiftningen bland företag som behandlar personuppgifter. Om du anser att Bolaget behandlar dina personuppgifter på ett felaktigt sätt kan du, utöver att kontakta oss via xxxx@xxxxxxxxxx.xx, lämna in ett klagomål hos Datainspektionen.

9. Bolagets underkonsulter.

Bolaget har ett antal primära underkonsulter med ett dokumenterat avtalsförhållande, x.xx. där underkonsulten åtar sig att följa Bolagets integritetspolicy (Policyn) Alla underkonsulter har tagit del av Policyn.

10. Överföringar utanför EU/EES

Bolaget använder i dag som en tjänst till sina kunder verktygen Everything DiSC och Five Behaviors, bägge ägda och driftade av från Wiley med säte i USA (Xxxx Xxxxx & Sons Inc)

Xxxxxx Xxxxxxx och Wiley via dotterbolaget Inscape Publishing LLC med säte i Minneapolis finns ett tilläggsavtal (Data Processing Addendum) som reglerar att Wiley hanterar uppgifter som behandlas i samband med att ovan verktyg på ett sätt som följer av Bolagets integritetspolicy samt riktlinjerna i GDPR. En deltagare (fysisk person) och/eller kund kan begära att få se utdrag ur eller hela tillägsavtalet. I tillägg till detta kan deltagare (fysisk person) och/eller kund begära ett av bägge parter underskrivet “uppgiftsbehandlingsavtal” (Data processing agreement)

11.Hemsida och användning av cookies.

I Bolagets kontaktformulär på dess hemsida som genererar ett mejl till Bolaget finns en ruta för aktiv acceptans av lagring av den informationen.

Bolaget använder cookies på sin hemsida. Ihop med information om detta finns en ruta för besökaren för aktiv acceptens.

Document Metadata

Table of Contents

Introduktion

Document Metadata