DATASKYDDSPOLICY

SIFFROR Sverige AB

1. INLEDNING

I denna dataskyddspolicy finns information om bland annat hur och varför SIFFROR Sverige AB (org. nr.: 556999–2356) (”SIFFROR”) behandlar personuppgifter samt vilka rättigheter de registrerade har.

SIFFROR behandlar personuppgifter i enlighet med EU:s allmänna dataskyddsförordning 2016/697 (the General Data Protection Regulation, härefter kallad ”GDPR”). Denna dataskyddspolicy omfattar all behandling av personuppgifter, i såväl strukturerad som ostrukturerad data. SIFFRORs målsättning är att vidta alla rimliga åtgärder för att skydda behandlade personuppgifter.

 

 

2. DEFINITIONER

I denna dataskyddspolicy används definitioner som överensstämmer med de som finns i GDPR, såsom ”personuppgifter”, ”behandling”, ”registrerad”, ”tillsynsmyndighet”, ”personuppgiftsansvarig”, ”personuppgiftsbiträde” med flera. Var och en av dessa definitioner har samma innebörd som anges i artikel 4 i GDPR. För en fullständig lista och exakta definitioner, vänligen se denna artikel.

Utöver de definitioner som anges i artikel 4 i GDPR används även följande i denna dataskyddspolicy:

Tredjepartstjänster: avser information, tjänster, produkter, system, webbplatser, programvaror, nätverk, databaser och plattformar från tredje part som SIFFRORs webbplats länkar till eller som används som en del av tillhandahållandet av SIFFRORs tjänster eller utförande av avtalat uppdrag (exempelvis Fortnox).

 

 

3. PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

SIFFROR är personuppgiftsansvarig för behandling av personuppgifter som utförs av SIFFROR eller för SIFFRORs räkning, i den mån SIFFROR bestämmer medel och ändamål med behandlingen. Vid sådana fall ansvarar SIFFROR för att behandlingen av personuppgifterna sker i enlighet med GDPR och denna dataskyddspolicy (enligt principen om ansvarsskyldighet).

Med anledning av ingått uppdragsavtal mellan SIFFROR och kund, kan SIFFROR behandla personuppgifter som kunden är personuppgiftsansvarig för, och vid sådana fall sker behandlingen av personuppgifterna för kundens räkning. Då agerar SIFFROR i egenskap av Kundens personuppgiftsbiträde, och kunden är personuppgiftsansvarig för de tillhandahållna personuppgifterna. Behandlingen av personuppgifterna sker i enlighet med kundens instruktioner angivna i personuppgiftsbiträdesavtalet som utgör en bilaga till uppdragsavtalet.

Om inte annat uttryckligen anges, är SIFFROR personuppgiftsansvarig för de behandlingar av personuppgifter som beskrivs i denna dataskyddspolicy.

 

 

4. BEHANDLING AV PERSONUPPGIFTER

4.1 Hur SIFFROR får tillgång till personuppgifter

SIFFROR får vanligtvis tillgång till personuppgifter genom att:

  1. någon tar kontakt med SIFFROR via e-post, telefon eller kontaktformulär på webbplatsen,
  2. SIFFROR ingår ett avtal med den registrerade eller en tredje part,
  3. SIFFROR hämtar personuppgifter från offentliga register,
  4. någon besöker SIFFRORs webbplats.

4.2 Laglig grund för personuppgiftsbehandlingen

All behandling av personuppgifter som utförs av SIFFROR i egenskap av personuppgiftsansvarig sker med stöd i en laglig grund (enligt principen om lagenlighet, korrekthet och öppenhet). SIFFROR behandlar personuppgifter främst med stöd i någon av följande lagliga grunder:

  • Samtycke: Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål (artikel 6.1.a GDPR).
  • Avtal: Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås (artikel 6.1.b GDPR).
  • Rättslig förpliktelse: Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar SIFFROR (artikel 6.1.c GDPR).
  • Berättigat intresse: Behandlingen är nödvändig för ändamål som rör SIFFRORs eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter (artikel 6.1.f GDPR).

I vissa fall är det valfritt för den registrerade att ange sina personuppgifter till SIFFROR. Om den registrerade inte gör det, kanske SIFFROR inte kan tillhandahålla den begärda supporten eller hantera ärendet.

Den registrerade kan behöva delge sina personuppgifter för att kunna ingå ett avtal med SIFFROR eller för att SIFFROR ska kunna uppfylla rättsliga eller avtalsenliga förpliktelser. Om inte annat anges kommer den registrerade inte att drabbas av några negativa juridiska konsekvenser om denne inte anger sina personuppgifter till SIFFROR.

Den registrerade har rätt att när som helst återkalla sitt lämnade samtycke och i sådana fall ska behandlingen av personuppgifterna som grundar sig på samtycket upphöra. Detta gäller under förutsättning att personuppgifterna inte längre är nödvändiga att behandla för att SIFFROR ska fullgöra sina skyldigheter enligt avtal eller annan rättslig förpliktelse som framgår av gällande lagstiftning.

När en behandling av personuppgifter sker med stöd i Berättigat intresse som laglig grund, är SIFFRORs bedömning att behandlingen inte utgör något intrång i den registrerades rätt till privatliv och integritet. Detta har SIFFROR kommit fram till, efter att ha gjort en avvägning mellan å ena sidan vad behandlingen i fråga innebär för den registrerades intressen samt rätt till privatliv, och å andra sidan det berättigade intresset till behandlingen i fråga.

SIFFROR har alltid rätt att behandla nödvändiga personuppgifter för att följa gällande lag med stöd i Rättslig förpliktelse som laglig grund för behandlingen, samt rätt att kräva betalning för en förfallen fordran, anmäla en skuld eller skydda sina rättigheter och egendom samt för att förhindra bedrägeri med stöd i Berättigat intresse som laglig grund för behandlingen.

4.3 Vilka kategorier av personuppgifter SIFFROR behandlar

SIFFROR följer principen om uppgiftsminimering genom att inte behandla fler personuppgifter än vad som är nödvändigt för att fullgöra det ändamål de samtalades in för.

Nedan följer en sammanställning av de kategorier av personuppgifter som SIFFROR behandlar i egenskap av personuppgiftsansvarig:

– Identifikationsuppgifter: Förnamn, efternamn, personnummer, profilbild, användarnamn (användar-ID).

– Kontaktuppgifter: Telefonnummer, adress, e-postadress, användarnamn till sociala medier.

– Arbetsrelaterade uppgifter:  Arbetsgivare, arbetsställe, arbete, titel.

– Avtalsuppgifter: Avtal som ingåtts med SIFFROR samt relevant avtalsinformation.

– Samtyckesuppgifter: Information om lämnade samtycken, exempelvis avseende direktmarknadsföring eller användning av cookies.

– Ärendeuppgifter: Individers kontakt med SIFFROR i form av exempelvis e-post, chatt, samtal i kundtjänstärenden eller liknande.

– Enhetsuppgifter: Uppgifter som samlas in via cookies på SIFFRORs webbplats med stöd i besökarens samtycke, såsom uppgifter om dator, surfplatta eller telefon som används vid besök av SIFFRORs webbplats, IP-nummer, tidszon, operativsystem, språkinställningar, skärmupplösning samt andra uppgifter som tillhandahålls via cookies.

– Finansiella uppgifter: Betalnings- och kontouppgifter, löneuppgifter.

– Övriga personuppgifter: Personuppgifter som blir lämnade till SIFFROR av registrerade, kunder och andra personuppgiftsansvariga exempelvis vid kontakt med SIFFROR, ansökan om att arbeta hos SIFFROR m.m.

4.4 Specifika behandlingsaktiviteter

SIFFROR behandlar bara personuppgifter för särskilda, uttryckligt angivna och berättigade ändamål (enligt principen om ändamålsbegränsning). Nedan kan du läsa mer om laglig grund och ändamål med behandlingen av personuppgifterna.

4.4.1 Vid besök av SIFFRORs webbplats:

Webbplatsen www.siffror.se använder cookies. Användningen av icke-nödvändiga cookies sker enbart om besökaren lämnar sitt samtycke till det. Besökaren kan när som helst återkalla sitt lämnade samtycke (utan att detta påverkar lagligheten av behandlingen som utförts med stöd i samtycket innan det blev återkallat). Laglig grund för ovan angiven behandling: Samtycke.

Mer information om hur cookies används finns att läsa i cookiepolicyn som finns publicerad på webbplatsen (www.siffror.se/cookiepolicy).

4.4.2 När SIFFROR får kontakt med den registrerade via e-post, kontaktformulär, telefon eller sociala medier:

SIFFROR kan komma i kontakt med registrerade via e-post, telefon eller sociala medier. Registrerade har även möjlighet att skicka meddelanden till SIFFROR genom tillämpliga kontaktformulär på SIFFRORs webbplats.

Vid dessa typer av interaktioner får SIFFROR tillgång till de personuppgifter som den registrerade tillhandahåller. Dessa kan inkludera följande kategorier av personuppgifter: förnamn, efternamn, telefonnummer, e-postadress, användarnamn till sociala medier, innehållet i meddelandet samt andra relevanta uppgifter.

SIFFRORs behandling av personuppgifterna är enligt SIFFRORs bedömning berättigad, då den möjliggör för SIFFROR att identifiera vem kommunikationen sker med och är nödvändig för att upprätthålla kontakten i berörda ärenden. Vidare bedömer SIFFROR att denna behandling är nödvändig för att tillgodose sitt berättigade intresse och att den registrerades grundläggande rättigheter och friheter inte kränks av behandlingen.

Laglig grund för behandlingen av personuppgifterna: Berättigat intresse.

4.4.3 När ett avtal ingås och vid fullgörande av avtalet

SIFFROR ingår olika avtal inom sin verksamhet, bland annat uppdragsavtal med kunder avseende de tjänster SIFFROR tillhandahåller. När kunden är en företagskund, behandlar SIFFROR följande personuppgifter tillhörande företagskundens representant (såsom firmatecknare och/eller kontaktperson) i samband med att SIFFROR ingår avtalet och vid fullgörandet av avtalet:

  • Förnamn
  • Efternamn
  • E-postadress
  • Telefonnummer
  • Arbetsgivaren (Företagskundens firma och organisationsnummer)

SIFFROR samlar och behandlar personuppgifter i samband med att avtal ingås och vid fullgörandet av avtalet för flera syften, bland annat följande:

  1. Kontroller och riskanalyser: I samband med eller vid antagandet av uppdraget, samlar SIFFROR in och behandlar personuppgifter såsom för- och efternamn, kontaktinformation, personnummer samt eventuella identifieringsdokument tillhörande kundens företrädare och verkliga huvudmän. Detta görs för att följa gällande lagstiftning avseende bland annat kundkännedom (KYC), PEP-kontroll, kontroll av sanktionslistor, riskanalys enligt lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism samt annan relevant reglering som kräver sådan identifiering och kontroll. SIFFROR behåller även relevant dokumentation för dessa ändamål. Laglig grund för dessa behandlingar: Rättslig förpliktelse.
  2. Ingå och fullgöra avtalet: SIFFROR samlar in och behandlar personuppgifter såsom för- och efternamn samt kontaktinformation tillhörande kundens firmatecknare och kontaktpersoner, för att kunna ingå ett avtal, fullfölja sina förpliktelser enligt ingått avtal, hantera beställningar och korrekt uppfylla sina avtalade åtaganden. Laglig grund för dessa behandlingar: Avtal.
  3. Debitering: SIFFROR behandlar de personuppgifter som är nödvändiga för fakturering och betalningshantering. Detta säkerställer en effektiv och korrekt hantering av ekonomiska transaktioner i enlighet med de villkor som överenskommits med kunden. Till exempel faktureras kunder som har anlitat SIFFROR. Vid dessa fall kan SIFFROR inkludera kundens referenspersons för- och efternamn på fakturan, för att tydliggöra vem inom kundens organisation som ansvarar för beställningen av uppdraget. Laglig grund för dessa behandlingar: Avtal.
  4. Kommunikation: Personuppgifter behandlas också av SIFFROR för att effektivt kunna kommunicera med avtalsparten och dess representanter, för att bland annat tillhandahålla information om SIFFRORs tjänster, informera om nyheter och hantera kundtjänstärenden. Laglig grund för dessa behandlingar: Berättigat intresse.
  5. Reklamationer: Vid eventuella reklamationer eller liknande ärenden, behandlas personuppgifter för att SIFFROR ska kunna administrera ärendet samt för att i övrigt tillvarata sina rättigheter och fullgöra sina skyldigheter enligt avtalet i fråga. Laglig grund för ovan angiven behandling: Avtal.
  6. Bokföring: SIFFROR behandlar också personuppgifter som ingår i SIFFRORs egna bokföringsunderlag för att uppfylla kraven enligt Skatteverket och bokföringslagen (SFS 1999:1078). Dessa underlag lagras och behandlas i enlighet med lagens krav. Laglig grund för dessa behandlingar: Rättslig förpliktelse.
  7. Analyser: SIFFROR behandlar även personuppgifter för att erbjuda en god service, exempelvis vad gäller marknadsföring, uppföljning och information. SIFFROR kan också behandla personuppgifter för att utföra kund- och marknadsanalyser, för statistiska ändamål. De registrerade har alltid rätt att skriftligen motsätta sig att SIFFROR använder personuppgifter för direktmarknadsföring. Laglig grund för dessa behandlingar: Berättigat intresse.

4.4.4 Publicering av kundrecensioner

SIFFROR värdesätter feedback från sina kunder och strävar efter att dela deras upplevelser av SIFFRORs tjänster. För att ge en transparent och pålitlig bild till potentiella kunder kan SIFFROR publicera kundrecensioner på sin webbplats och i sociala medier. Dessa recensioner kan innehålla följande information: Kundens eller dennes representants fullständiga namn och profilbild om den tillhandahålls.

Recensioner används av SIFFROR för att:

  • Förbättra sina tjänster genom att lyssna på kundernas synpunkter;
  • Ge potentiella kunder insyn i hur tjänsterna upplevs av andra; och
  • Bygga förtroende och transparens gentemot nuvarande och framtida kunder.

Publiceringen av kundrecensioner sker med stöd av SIFFRORs berättigade intresse som laglig grund. Detta innebär att SIFFROR bedömer att deras intresse av att visa upp kunders erfarenheter och öka transparensen kring tjänsterna väger tyngre än eventuella integritetsintrång som publiceringen kan innebära för den registrerade.

4.4.5 SIFFRORs mejlutskick

SIFFROR skickar löpande e-postmeddelanden till sina aktuella kunder, till den e-postadress som har angivits av kunden. SIFFROR behandlar kundens förnamn, efternamn och e-postadress i samband med mejlutskicken. Behandlingen sker med stöd i SIFFRORs berättigade intresse att informera om viktiga händelser och annan relevant information och nödvändig kommunikation.

Om kunden inte önskar ta emot e-postutskick om erbjudanden och annan marknadsföring kan kunden meddela SIFFROR detta. Det är viktigt att notera att även om kunden väljer att avsäga sig marknadsföringsmejl, kan de fortfarande komma att få e-postmeddelanden som innehåller viktig information avseende uppdraget eller annan relevant information och nödvändig kommunikation.

 

 

5. LAGRING AV PERSONUPPGIFTER

5.1 Vart personuppgifterna lagras

SIFFROR strävar efter att lagra samtliga personuppgifter inom Europeiska unionen (EU) eller Europeiska ekonomiska samarbetsområdet (EES) (enligt principen om integritet och konfidentialitet). I vissa fall kan dock personuppgifter behöva överföras och behandlas utanför EU/EES. I dessa fall säkerställer SIFFROR att överföringen sker i enlighet med GDPR och att en adekvat skyddsnivå upprätthålls för behandlingen av personuppgifterna i varje överföring av personuppgifter.

5.2 Hur länge personuppgifterna sparas

SIFFROR behandlar personuppgifter så länge som det är nödvändigt för att uppfylla de ändamål för vilka de samlades in, inklusive för att uppfylla eventuella rättsliga, redovisnings- eller rapporteringskrav.

Den exakta varaktigheten av lagringsperioden beror på vilken typ av personuppgifter och för vilket ändamål de samlades in.

Informationen kan sparas under viss tid för säkerhetskopiering, arkivering, revision, eller för att på annat sätt behålla och förbättra SIFFRORs tjänster.

Personuppgifter som inte längre får lagras, gallras (raderas eller anonymiseras) därför med jämna mellanrum enligt SIFFRORs interna gallringsrutiner (i enlighet med principen om lagringsminimering). Uppföljning och utvärdering av SIFFROR hantering av personuppgifter sker också årligen.

SIFFROR kan även radera personuppgifter på den registrerades begäran, under förutsättning att SIFFROR inte behöver behandla personuppgifterna i fråga för att uppfylla sina avtalsenliga eller rättsliga skyldigheter.

I händelse av ett krav riktas mot SIFFROR, kan SIFFROR behålla personuppgifterna fram till utgången av den lagstadgade preskriptionstiden. På samma sätt, i händelse av en pågående tvist, kommer relevanta personuppgifter att lagras tills tvisten har lösts.

 

 

6. DELNING AV PERSONUPPGIFTER

För att driva SIFFRORs verksamhet effektivt kan det krävas att SIFFROR delar personuppgifter med utvalda företag eller för att uppfylla tillämplig lagstiftning, inklusive social-, arbets- eller skattelagstiftning. All SIFFRORs eventuella delning av personuppgifter sker i enlighet med gällande dataskyddslagar och förordningar.

Nedan följer exempel på aktörer som personuppgifter kan bli delade till:

  • Myndigheter

Nödvändig information kan delas till myndigheter, såsom polis och skattemyndigheter, om SIFFROR är rättsligt skyldiga att göra det eller om det krävs för att SIFFROR ska uppfylla sina rättsliga förpliktelser. Laglig grund för dessa behandlingar: Rättslig förpliktelse.

 

Vidare kan SIFFROR dela personuppgifter till myndigheter för att förhindra, upptäcka eller utreda brottslig verksamhet, i syfte att skydda SIFFRORs berättigade intressen och säkerhet. Laglig grund för dessa behandlingar: Berättigat intresse.

 

  • Intern delning av personuppgifter

SIFFROR delar personuppgifter internt inom organisationen. Detta innebär att SIFFRORs medarbetare kan ha tillgång till personuppgifter för att utföra sina arbetsuppgifter på ett effektivt sätt.

 

Intern delning av personuppgifter inom SIFFROR kan ske i följande sammanhang:

  • Kundservice: För att kunna erbjuda bästa möjliga kundservice kan det vara nödvändigt för SIFFRORs kundtjänstmedarbetare att ha tillgång till relevanta personuppgifter.
  • Administration: För administrativ hantering och för att säkerställa att alla interna processer fungerar smidigt kan medarbetare behöva tillgång till personuppgifter.
  • Teknisk support: SIFFRORs tekniska support kan behöva tillgång till personuppgifter för att kunna felsöka och lösa tekniska problem som kunder och/eller medarbetare kan stöta på.
  • Försäljning och marknadsföring: För att kunna erbjuda och marknadsföra SIFFRORs tjänster på ett relevant sätt kan försäljnings- och marknadsföringsteamet behöva tillgång till vissa personuppgifter.

SIFFROR säkerställer att all intern delning av personuppgifter sker på ett säkert sätt och endast med de medarbetare som behöver tillgång till informationen för att utföra sina arbetsuppgifter.

Dessutom utbildar SIFFROR sina medarbetare regelbundet i dataskyddsfrågor för att säkerställa att de förstår vikten av att skydda personuppgifter och följa gällande lagar och regler.

 

Laglig grund för dessa behandlingar är: SIFFRORs berättigade intresse.

 

  • Leverantörer och samarbetspartners

SIFFROR kan även dela personuppgifter med sina leverantörer och samarbetspartners, inklusive personuppgiftsbiträden, för att:

  • skydda sina intressen;
  • fullgöra ingångna avtal;
  • uppfylla rättsliga förpliktelser;
  • förbättra SIFFRORs tjänster; samt
  • för att upptäcka och förebygga tekniska- eller säkerhetsproblem.

 

Exempel på underbiträden som SIFFROR anlitar är leverantörer av servrar, boksluts- och skatteprogram, fildelningsystem m.fl.

 

SIFFROR ingår personuppgiftsbiträdesavtal med sina personuppgiftsbiträden för att säkerställa korrekt behandling och säkerhet enligt GDPR.

Laglig grund för dessa behandlingar: Berättigat intresse.

  • Andra tredje parter

SIFFROR kan komma att dela personuppgifter till juridiska rådgivare, banker, revisor och andra samarbetspartners enligt gällande dataskyddalagstiftning om det görs för att SIFFROR ska uppfylla sitt berättigade intresse.

I samband med eller under förhandlingar om en överföring av SIFFRORs tillgångar, fusion, försäljning, finansiering eller förvärv av hela eller delar av verksamheten, kan personuppgifter lämnas ut till den potentiella köparen eller säljaren som är involverad i sådana transaktioner, inklusive deras medarbetare/leverantörer.

Laglig grund för dessa behandlingar: Berättigat intresse.

 

 

7. SÄKERHETSÅTGÄRDER

SIFFROR har upprättat olika interna riktlinjer och rutiner för att säkerställa en säker personuppgiftsbehandling. SIFFROR arbetar även enligt dataskyddsprinciperna och säkerställer att samtliga medarbetare är medvetna om principerna, genom att de finns dokumenterade i interna rutiner.

SIFFROR implementerar olika lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna och för att säkerställa att behandlingen sker i enlighet med GDPR. SIFFROR har dessutom vidtagit flera säkerhetsåtgärder för att skydda mot missbruk, förlust och förändringar av behandlade personuppgifter (enligt principen om integritet och konfidentialitet). Bland annat genom att interna register och användarkonton till Tredjepartstjänster är lösenordskyddade, som även genomgår regelbundna lösenordsbyten. Dessutom finns utarbetade rutiner för medarbetare med tillgång till databaser och Tredjepartstjänster innehållande personuppgifter, för att skydda uppgifterna.

 

 

8. DE REGISTRERADES RÄTTIGHETER

8.1. Nedan följer en sammanfattning av de rättigheter registrerade har enligt GDPR:

Rätt till information: Den registrerade har rätt att få information om SIFFRORs insamling och användning av dennes personuppgifter. Detta inkluderar information om ändamålen med behandlingen, vilka kategorier av personuppgifter som berörs och eventuella Tredje parter som personuppgifterna kan komma att delas med.

Rätt till tillgång: Den registrerade har rätt att få tillgång till sina personuppgifter som innehas av SIFFROR. Den registrerade kan begära information om behandlingen av sina personuppgifter, få en kopia av personuppgifterna i ett maskinläsbart format (förutsatt att det inte finns något tillämpligt undantag från rätten till tillgång) och informeras om de skyddsåtgärder som finns för gränsöverskridande överföringar. Detta innebär dock inte att den registrerade har rätt att få de handlingar som innehåller de behandlade personuppgifterna.

Rätt till rättelse: Den registrerade har rätt att begära rättelse av felaktiga eller ofullständiga personuppgifter om sig själv som SIFFROR behandlar. Om SIFFROR behandlar personuppgifter om den registrerade som är felaktiga eller ofullständiga kommer SIFFROR, på den registrerades begäran eller på eget initiativ, att komplettera, korrigera eller radera personuppgifterna i fråga. Om den registrerade begär att personuppgifterna korrigeras, ska SIFFROR informera alla mottagare av dessa uppgifter om korrigeringen, förutsatt att detta är möjligt eller inte för betungande för SIFFROR. Den registrerade har även rätt att få veta vilka som har mottagit dennes personuppgifter.

Rätt till radering: Under vissa omständigheter har den registrerade rätt att få sina personuppgifter raderade. Detta gäller till exempel om uppgifterna inte längre är nödvändiga för det ändamål de samlades in, eller om den registrerade återkallar sitt samtycke och det inte finns någon annan laglig grund för behandlingen. Juridiska skyldigheter kan dock hindra SIFFROR från att omedelbart radera delar av personuppgifterna. Dessa skyldigheter kommer från bokförings- och skattelagstiftning, bank- och penningtvättslagstiftning och eventuellt konsumenträtt. Om den registrerade begär att personuppgifterna raderas, måste SIFFROR informera alla parter som mottagit uppgifterna om raderingen, förutsatt att detta är möjligt eller inte för betungande för SIFFROR.

Rätt till begränsning: Den registrerade har rätt att begränsa behandlingen av sina personuppgifter under vissa förutsättningar. Detta innebär att personuppgifterna endast kan lagras och inte behandlas vidare, eller endast behandlas för specifika och begränsade ändamål. Ett exempel på när denna rättighet gäller är när de personuppgifter som SIFFROR behandlar behöver rättas. Om den registrerade begär att SIFFROR ska korrigera personuppgifterna kan den registrerade också be SIFFROR att begränsa behandlingen av de specifika uppgifterna tills dess att de har blivit korrigerade. SIFFROR kommer att informera den registrerade när begränsningen upphör.

Rätt till dataportabilitet: Den registrerade har rätt att få sina personuppgifter i ett strukturerat, allmänt använt och maskinläsbart format. Den registrerade kan också begära överföring av sina uppgifter till en annan personuppgiftsansvarig, där det är tekniskt möjligt. Denna rätt gäller endast om behandlingen av personuppgifter utförs automatiskt och endast om SIFFRORs behandling sker för att genomföra ett avtal där den registrerade är part i avtalet eller baserat på den registrerades samtycke.

Rätt att invända: Den registrerade har rätt att göra invändningar när dennes personuppgifter blir behandlade efter en intresseavvägning. Om den registrerade gör en invändning enligt denna rättighet ska SIFFROR upphöra med behandlingen, såvida inte SIFFRORs intresse väger tyngre än den registrerades intressen, rättigheter och friheter. Den registrerade har dock alltid rätt att begära att personuppgifterna inte behandlas för direkt marknadsföring. Sådana invändningar kan göras när som helst. Om en invändning görs mot direktmarknadsföring kan personuppgifterna inte längre behandlas för sådana ändamål och SIFFROR kommer att informera den registrerade när personuppgifterna har raderats om den registrerade begär det.

Rätt att inte bli föremål för automatiserat beslutsfattande: Den registrerade har rätt att inte bli föremål för beslut baserade enbart på automatiserad behandling, inklusive profilering, om dessa beslut väsentligt påverkar den registrerade. Undantag gäller om beslutet är nödvändigt för fullgörandet av ett avtal eller är tillåtet enligt lag. Om ett automatiserat beslut har fattats, med eller utan profilering, kan den registrerade begära att det granskas eller bestrids. SIFFROR genomför inga automatiserade beslut, vare sig med eller utan profilering.

8.2. Utövade av rättigheterna

Den registrerade är varmt välkommen att kontakta SIFFROR om denne skulle vilja åberopa någon av ovan angivna rättigheter avseende dennes personuppgifter som SIFFROR behandlar i egenskap av personuppgiftsansvarig. Kontaktuppgifter till SIFFRORs kontaktperson för personuppgiftsärenden framgår i det sista avsnittet av denna dataskyddspolicy.

Det är kostnadsfritt att utöva rättigheterna, under förutsättning att förfrågningarna inte är överdrivna, upprepade eller uppenbart ogrundade. Vid sådana fall har SIFFROR rätt att debitera en rimlig avgift för att hantera begäran eller rätt att neka utförandet av begäran.

Innan SIFFROR hanterar eller svarar på begäran, kan SIFFROR komma att begära kompletterande information från den registrerade om det behövs för att bekräfta dennes identitet.

SIFFROR kommer att informera den registrerade om hanteringen av begäran utan dröjsmål och senast inom en (1) månad efter att SIFFROR mottagit begäran. Om begäran är komplex eller om SIFFROR exempelvis har fått in ett stort antal förfrågningar, kan denna tidsperiod bli förlängd med ytterligare två (2) månader. I sådana fall kommer SIFFROR att meddela den registrerade om förlängningen inom den första månaden efter att begäran mottagits.

Det är viktigt att notera att rättigheterna är föremål för vissa begränsningar och villkor enligt GDPR. Några av rättigheterna gäller enbart i vissa situationer samt bara om det är lagligt och möjligt för SIFFROR att genomföra begäran.

Om SIFFROR inte kan uppfylla begäran på grund av tillämplig lagstiftning eller andra undantag, kommer SIFFROR att meddela den registrerade om detta samt informera om skälen till att begäran inte kan uppfyllas med de begränsningar som följer av lag.

 

 

9. ÄNDRINGAR

Denna dataskyddspolicy uppdateras vid behov och genomgås årligen av SIFFROR, för att säkerställa att informationen är korrekt och aktuell. Den senaste versionen finns alltid tillgänglig för allmänheten på webbplatsen www.siffror.se/dataskyddspolicy.

Innehållet kan komma att uppdateras vid behov, antingen med eller utan förvarning. SIFFROR kommer att meddela den registrerade om väsentliga ändringar görs, ifall det krävs enligt tillämplig lag.

 

 

10. FRÅGOR ELLER KLAGOMÅL

10.1. SIFFROR

Om den registrerade har några frågor angående innehållet i denna dataskyddspolicy eller SIFFRORs behandling av personuppgifter, eller om den registrerade är missnöjd med SIFFRORs behandling av dennes personuppgifter, är den registrerade välkommen att kontakta SIFFRORs kontaktperson för personuppgiftsärenden:

  • Namn: Caroline Ahlf.
  • E-post: hej@siffror.se.
  • Telefon: +46(0)736140341.

10.2 Tillsynsmyndighet

Om den registrerade inte är nöjd med hur SIFFROR behandlar dennes personuppgifter har den registrerade också rätt att lämna in ett klagomål till SIFFRORs tillsynsmyndighet, som är den svenska tillsynsmyndigheten:

  • Namn: Integritetsskyddsmyndigheten (IMY).
  • E-post: imy@imy.se.
  • Telefon: 08-657 61 00.
  • Postadress: Integritetsskyddsmyndigheten, Box 8114, 104 20 Stockholm.

Observera att beroende på den registrerades bosättningsland finns det olika tillsynsmyndigheter som kan kontaktas angående frågor eller klagomål om behandlingen av personuppgifter. Den registrerade kan hitta information om de olika tillsynsmyndigheterna i EU:s medlemsstater via följande länk:

https://edpb.europa.eu/about-edpb/about-edpb/members_en

1. INLEDNING

I denna dataskyddspolicy finns information om bland annat hur och varför SIFFROR Sverige AB (org. nr.: 556999–2356) (”SIFFROR”) behandlar personuppgifter samt vilka rättigheter de registrerade har.

SIFFROR behandlar personuppgifter i enlighet med EU:s allmänna dataskyddsförordning 2016/697 (the General Data Protection Regulation, härefter kallad ”GDPR”). Denna dataskyddspolicy omfattar all behandling av personuppgifter, i såväl strukturerad som ostrukturerad data. SIFFRORs målsättning är att vidta alla rimliga åtgärder för att skydda behandlade personuppgifter.

 

 

2. DEFINITIONER

I denna dataskyddspolicy används definitioner som överensstämmer med de som finns i GDPR, såsom ”personuppgifter”, ”behandling”, ”registrerad”, ”tillsynsmyndighet”, ”personuppgiftsansvarig”, ”personuppgiftsbiträde” med flera. Var och en av dessa definitioner har samma innebörd som anges i artikel 4 i GDPR. För en fullständig lista och exakta definitioner, vänligen se denna artikel.

Utöver de definitioner som anges i artikel 4 i GDPR används även följande i denna dataskyddspolicy:

Tredjepartstjänster: avser information, tjänster, produkter, system, webbplatser, programvaror, nätverk, databaser och plattformar från tredje part som SIFFRORs webbplats länkar till eller som används som en del av tillhandahållandet av SIFFRORs tjänster eller utförande av avtalat uppdrag (exempelvis Fortnox).

 

 

3. PERSONUPPGIFTS-ANSVARIG OCH PERSONUPPGIFTSBITRÄDE

SIFFROR är personuppgiftsansvarig för behandling av personuppgifter som utförs av SIFFROR eller för SIFFRORs räkning, i den mån SIFFROR bestämmer medel och ändamål med behandlingen. Vid sådana fall ansvarar SIFFROR för att behandlingen av personuppgifterna sker i enlighet med GDPR och denna dataskyddspolicy (enligt principen om ansvarsskyldighet).

Med anledning av ingått uppdragsavtal mellan SIFFROR och kund, kan SIFFROR behandla personuppgifter som kunden är personuppgiftsansvarig för, och vid sådana fall sker behandlingen av personuppgifterna för kundens räkning. Då agerar SIFFROR i egenskap av Kundens personuppgiftsbiträde, och kunden är personuppgiftsansvarig för de tillhandahållna personuppgifterna. Behandlingen av personuppgifterna sker i enlighet med kundens instruktioner angivna i personuppgiftsbiträdesavtalet som utgör en bilaga till uppdragsavtalet.

Om inte annat uttryckligen anges, är SIFFROR personuppgiftsansvarig för de behandlingar av personuppgifter som beskrivs i denna dataskyddspolicy.

 

 

4. BEHANDLING AV PERSONUPPGIFTER

4.1 Hur SIFFROR får tillgång till personuppgifter

SIFFROR får vanligtvis tillgång till personuppgifter genom att:

  1. någon tar kontakt med SIFFROR via e-post, telefon eller kontaktformulär på webbplatsen,
  2. SIFFROR ingår ett avtal med den registrerade eller en tredje part,
  3. SIFFROR hämtar personuppgifter från offentliga register,
  4. någon besöker SIFFRORs webbplats.

4.2 Laglig grund för personuppgiftsbehandlingen

All behandling av personuppgifter som utförs av SIFFROR i egenskap av personuppgiftsansvarig sker med stöd i en laglig grund (enligt principen om lagenlighet, korrekthet och öppenhet). SIFFROR behandlar personuppgifter främst med stöd i någon av följande lagliga grunder:

  • Samtycke: Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål (artikel 6.1.a GDPR).
  • Avtal: Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås (artikel 6.1.b GDPR).
  • Rättslig förpliktelse: Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar SIFFROR (artikel 6.1.c GDPR).
  • Berättigat intresse: Behandlingen är nödvändig för ändamål som rör SIFFRORs eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter (artikel 6.1.f GDPR).

I vissa fall är det valfritt för den registrerade att ange sina personuppgifter till SIFFROR. Om den registrerade inte gör det, kanske SIFFROR inte kan tillhandahålla den begärda supporten eller hantera ärendet.

Den registrerade kan behöva delge sina personuppgifter för att kunna ingå ett avtal med SIFFROR eller för att SIFFROR ska kunna uppfylla rättsliga eller avtalsenliga förpliktelser. Om inte annat anges kommer den registrerade inte att drabbas av några negativa juridiska konsekvenser om denne inte anger sina personuppgifter till SIFFROR.

Den registrerade har rätt att när som helst återkalla sitt lämnade samtycke och i sådana fall ska behandlingen av personuppgifterna som grundar sig på samtycket upphöra. Detta gäller under förutsättning att personuppgifterna inte längre är nödvändiga att behandla för att SIFFROR ska fullgöra sina skyldigheter enligt avtal eller annan rättslig förpliktelse som framgår av gällande lagstiftning.

När en behandling av personuppgifter sker med stöd i Berättigat intresse som laglig grund, är SIFFRORs bedömning att behandlingen inte utgör något intrång i den registrerades rätt till privatliv och integritet. Detta har SIFFROR kommit fram till, efter att ha gjort en avvägning mellan å ena sidan vad behandlingen i fråga innebär för den registrerades intressen samt rätt till privatliv, och å andra sidan det berättigade intresset till behandlingen i fråga.

SIFFROR har alltid rätt att behandla nödvändiga personuppgifter för att följa gällande lag med stöd i Rättslig förpliktelse som laglig grund för behandlingen, samt rätt att kräva betalning för en förfallen fordran, anmäla en skuld eller skydda sina rättigheter och egendom samt för att förhindra bedrägeri med stöd i Berättigat intresse som laglig grund för behandlingen.

4.3 Vilka kategorier av personuppgifter SIFFROR behandlar

SIFFROR följer principen om uppgiftsminimering genom att inte behandla fler personuppgifter än vad som är nödvändigt för att fullgöra det ändamål de samtalades in för.

Nedan följer en sammanställning av de kategorier av personuppgifter som SIFFROR behandlar i egenskap av personuppgiftsansvarig:

– Identifikationsuppgifter: Förnamn, efternamn, personnummer, profilbild, användarnamn (användar-ID).

– Kontaktuppgifter: Telefonnummer, adress, e-postadress, användarnamn till sociala medier.

– Arbetsrelaterade uppgifter:  Arbetsgivare, arbetsställe, arbete, titel.

– Avtalsuppgifter: Avtal som ingåtts med SIFFROR samt relevant avtalsinformation.

– Samtyckesuppgifter: Information om lämnade samtycken, exempelvis avseende direktmarknadsföring eller användning av cookies.

– Ärendeuppgifter: Individers kontakt med SIFFROR i form av exempelvis e-post, chatt, samtal i kundtjänstärenden eller liknande.

– Enhetsuppgifter: Uppgifter som samlas in via cookies på SIFFRORs webbplats med stöd i besökarens samtycke, såsom uppgifter om dator, surfplatta eller telefon som används vid besök av SIFFRORs webbplats, IP-nummer, tidszon, operativsystem, språkinställningar, skärmupplösning samt andra uppgifter som tillhandahålls via cookies.

– Finansiella uppgifter: Betalnings- och kontouppgifter, löneuppgifter.

– Övriga personuppgifter: Personuppgifter som blir lämnade till SIFFROR av registrerade, kunder och andra personuppgiftsansvariga exempelvis vid kontakt med SIFFROR, ansökan om att arbeta hos SIFFROR m.m.

4.4 Specifika behandlingsaktiviteter

SIFFROR behandlar bara personuppgifter för särskilda, uttryckligt angivna och berättigade ändamål (enligt principen om ändamålsbegränsning). Nedan kan du läsa mer om laglig grund och ändamål med behandlingen av personuppgifterna.

4.4.1 Vid besök av SIFFRORs webbplats:

Webbplatsen www.siffror.se använder cookies. Användningen av icke-nödvändiga cookies sker enbart om besökaren lämnar sitt samtycke till det. Besökaren kan när som helst återkalla sitt lämnade samtycke (utan att detta påverkar lagligheten av behandlingen som utförts med stöd i samtycket innan det blev återkallat). Laglig grund för ovan angiven behandling: Samtycke.

Mer information om hur cookies används finns att läsa i cookiepolicyn som finns publicerad på webbplatsen (www.siffror.se/cookiepolicy).

4.4.2 När SIFFROR får kontakt med den registrerade via e-post, kontaktformulär, telefon eller sociala medier:

SIFFROR kan komma i kontakt med registrerade via e-post, telefon eller sociala medier. Registrerade har även möjlighet att skicka meddelanden till SIFFROR genom tillämpliga kontaktformulär på SIFFRORs webbplats.

Vid dessa typer av interaktioner får SIFFROR tillgång till de personuppgifter som den registrerade tillhandahåller. Dessa kan inkludera följande kategorier av personuppgifter: förnamn, efternamn, telefonnummer, e-postadress, användarnamn till sociala medier, innehållet i meddelandet samt andra relevanta uppgifter.

SIFFRORs behandling av personuppgifterna är enligt SIFFRORs bedömning berättigad, då den möjliggör för SIFFROR att identifiera vem kommunikationen sker med och är nödvändig för att upprätthålla kontakten i berörda ärenden. Vidare bedömer SIFFROR att denna behandling är nödvändig för att tillgodose sitt berättigade intresse och att den registrerades grundläggande rättigheter och friheter inte kränks av behandlingen.

Laglig grund för behandlingen av personuppgifterna: Berättigat intresse.

4.4.3 När ett avtal ingås och vid fullgörande av avtalet

SIFFROR ingår olika avtal inom sin verksamhet, bland annat uppdragsavtal med kunder avseende de tjänster SIFFROR tillhandahåller. När kunden är en företagskund, behandlar SIFFROR följande personuppgifter tillhörande företagskundens representant (såsom firmatecknare och/eller kontaktperson) i samband med att SIFFROR ingår avtalet och vid fullgörandet av avtalet:

  • Förnamn
  • Efternamn
  • E-postadress
  • Telefonnummer
  • Arbetsgivaren (Företagskundens firma och organisationsnummer)

SIFFROR samlar och behandlar personuppgifter i samband med att avtal ingås och vid fullgörandet av avtalet för flera syften, bland annat följande:

  1. Kontroller och riskanalyser: I samband med eller vid antagandet av uppdraget, samlar SIFFROR in och behandlar personuppgifter såsom för- och efternamn, kontaktinformation, personnummer samt eventuella identifieringsdokument tillhörande kundens företrädare och verkliga huvudmän. Detta görs för att följa gällande lagstiftning avseende bland annat kundkännedom (KYC), PEP-kontroll, kontroll av sanktionslistor, riskanalys enligt lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism samt annan relevant reglering som kräver sådan identifiering och kontroll. SIFFROR behåller även relevant dokumentation för dessa ändamål. Laglig grund för dessa behandlingar: Rättslig förpliktelse.
  2. Ingå och fullgöra avtalet: SIFFROR samlar in och behandlar personuppgifter såsom för- och efternamn samt kontaktinformation tillhörande kundens firmatecknare och kontaktpersoner, för att kunna ingå ett avtal, fullfölja sina förpliktelser enligt ingått avtal, hantera beställningar och korrekt uppfylla sina avtalade åtaganden. Laglig grund för dessa behandlingar: Avtal.
  3. Debitering: SIFFROR behandlar de personuppgifter som är nödvändiga för fakturering och betalningshantering. Detta säkerställer en effektiv och korrekt hantering av ekonomiska transaktioner i enlighet med de villkor som överenskommits med kunden. Till exempel faktureras kunder som har anlitat SIFFROR. Vid dessa fall kan SIFFROR inkludera kundens referenspersons för- och efternamn på fakturan, för att tydliggöra vem inom kundens organisation som ansvarar för beställningen av uppdraget. Laglig grund för dessa behandlingar: Avtal.
  4. Kommunikation: Personuppgifter behandlas också av SIFFROR för att effektivt kunna kommunicera med avtalsparten och dess representanter, för att bland annat tillhandahålla information om SIFFRORs tjänster, informera om nyheter och hantera kundtjänstärenden. Laglig grund för dessa behandlingar: Berättigat intresse.
  5. Reklamationer: Vid eventuella reklamationer eller liknande ärenden, behandlas personuppgifter för att SIFFROR ska kunna administrera ärendet samt för att i övrigt tillvarata sina rättigheter och fullgöra sina skyldigheter enligt avtalet i fråga. Laglig grund för ovan angiven behandling: Avtal.
  6. Bokföring: SIFFROR behandlar också personuppgifter som ingår i SIFFRORs egna bokföringsunderlag för att uppfylla kraven enligt Skatteverket och bokföringslagen (SFS 1999:1078). Dessa underlag lagras och behandlas i enlighet med lagens krav. Laglig grund för dessa behandlingar: Rättslig förpliktelse.
  7. Analyser: SIFFROR behandlar även personuppgifter för att erbjuda en god service, exempelvis vad gäller marknadsföring, uppföljning och information. SIFFROR kan också behandla personuppgifter för att utföra kund- och marknadsanalyser, för statistiska ändamål. De registrerade har alltid rätt att skriftligen motsätta sig att SIFFROR använder personuppgifter för direktmarknadsföring. Laglig grund för dessa behandlingar: Berättigat intresse.

4.4.4 Publicering av kundrecensioner

SIFFROR värdesätter feedback från sina kunder och strävar efter att dela deras upplevelser av SIFFRORs tjänster. För att ge en transparent och pålitlig bild till potentiella kunder kan SIFFROR publicera kundrecensioner på sin webbplats och i sociala medier. Dessa recensioner kan innehålla följande information: Kundens eller dennes representants fullständiga namn och profilbild om den tillhandahålls.

Recensioner används av SIFFROR för att:

  • Förbättra sina tjänster genom att lyssna på kundernas synpunkter;
  • Ge potentiella kunder insyn i hur tjänsterna upplevs av andra; och
  • Bygga förtroende och transparens gentemot nuvarande och framtida kunder.

Publiceringen av kundrecensioner sker med stöd av SIFFRORs berättigade intresse som laglig grund. Detta innebär att SIFFROR bedömer att deras intresse av att visa upp kunders erfarenheter och öka transparensen kring tjänsterna väger tyngre än eventuella integritetsintrång som publiceringen kan innebära för den registrerade.

4.4.5 SIFFRORs mejlutskick

SIFFROR skickar löpande e-postmeddelanden till sina aktuella kunder, till den e-postadress som har angivits av kunden. SIFFROR behandlar kundens förnamn, efternamn och e-postadress i samband med mejlutskicken. Behandlingen sker med stöd i SIFFRORs berättigade intresse att informera om viktiga händelser och annan relevant information och nödvändig kommunikation.

Om kunden inte önskar ta emot e-postutskick om erbjudanden och annan marknadsföring kan kunden meddela SIFFROR detta. Det är viktigt att notera att även om kunden väljer att avsäga sig marknadsföringsmejl, kan de fortfarande komma att få e-postmeddelanden som innehåller viktig information avseende uppdraget eller annan relevant information och nödvändig kommunikation.

 

 

5. LAGRING AV PERSONUPPGIFTER

5.1 Vart personuppgifterna lagras

SIFFROR strävar efter att lagra samtliga personuppgifter inom Europeiska unionen (EU) eller Europeiska ekonomiska samarbetsområdet (EES) (enligt principen om integritet och konfidentialitet). I vissa fall kan dock personuppgifter behöva överföras och behandlas utanför EU/EES. I dessa fall säkerställer SIFFROR att överföringen sker i enlighet med GDPR och att en adekvat skyddsnivå upprätthålls för behandlingen av personuppgifterna i varje överföring av personuppgifter.

5.2 Hur länge personuppgifterna sparas

SIFFROR behandlar personuppgifter så länge som det är nödvändigt för att uppfylla de ändamål för vilka de samlades in, inklusive för att uppfylla eventuella rättsliga, redovisnings- eller rapporteringskrav.

Den exakta varaktigheten av lagringsperioden beror på vilken typ av personuppgifter och för vilket ändamål de samlades in.

Informationen kan sparas under viss tid för säkerhetskopiering, arkivering, revision, eller för att på annat sätt behålla och förbättra SIFFRORs tjänster.

Personuppgifter som inte längre får lagras, gallras (raderas eller anonymiseras) därför med jämna mellanrum enligt SIFFRORs interna gallringsrutiner (i enlighet med principen om lagringsminimering). Uppföljning och utvärdering av SIFFROR hantering av personuppgifter sker också årligen.

SIFFROR kan även radera personuppgifter på den registrerades begäran, under förutsättning att SIFFROR inte behöver behandla personuppgifterna i fråga för att uppfylla sina avtalsenliga eller rättsliga skyldigheter.

I händelse av ett krav riktas mot SIFFROR, kan SIFFROR behålla personuppgifterna fram till utgången av den lagstadgade preskriptionstiden. På samma sätt, i händelse av en pågående tvist, kommer relevanta personuppgifter att lagras tills tvisten har lösts.

 

 

6. DELNING AV PERSONUPPGIFTER

För att driva SIFFRORs verksamhet effektivt kan det krävas att SIFFROR delar personuppgifter med utvalda företag eller för att uppfylla tillämplig lagstiftning, inklusive social-, arbets- eller skattelagstiftning. All SIFFRORs eventuella delning av personuppgifter sker i enlighet med gällande dataskyddslagar och förordningar.

Nedan följer exempel på aktörer som personuppgifter kan bli delade till:

  • Myndigheter

Nödvändig information kan delas till myndigheter, såsom polis och skattemyndigheter, om SIFFROR är rättsligt skyldiga att göra det eller om det krävs för att SIFFROR ska uppfylla sina rättsliga förpliktelser. Laglig grund för dessa behandlingar: Rättslig förpliktelse.

 

Vidare kan SIFFROR dela personuppgifter till myndigheter för att förhindra, upptäcka eller utreda brottslig verksamhet, i syfte att skydda SIFFRORs berättigade intressen och säkerhet. Laglig grund för dessa behandlingar: Berättigat intresse.

 

  • Intern delning av personuppgifter

SIFFROR delar personuppgifter internt inom organisationen. Detta innebär att SIFFRORs medarbetare kan ha tillgång till personuppgifter för att utföra sina arbetsuppgifter på ett effektivt sätt.

 

Intern delning av personuppgifter inom SIFFROR kan ske i följande sammanhang:

  • Kundservice: För att kunna erbjuda bästa möjliga kundservice kan det vara nödvändigt för SIFFRORs kundtjänstmedarbetare att ha tillgång till relevanta personuppgifter.
  • Administration: För administrativ hantering och för att säkerställa att alla interna processer fungerar smidigt kan medarbetare behöva tillgång till personuppgifter.
  • Teknisk support: SIFFRORs tekniska support kan behöva tillgång till personuppgifter för att kunna felsöka och lösa tekniska problem som kunder och/eller medarbetare kan stöta på.
  • Försäljning och marknadsföring: För att kunna erbjuda och marknadsföra SIFFRORs tjänster på ett relevant sätt kan försäljnings- och marknadsföringsteamet behöva tillgång till vissa personuppgifter.

SIFFROR säkerställer att all intern delning av personuppgifter sker på ett säkert sätt och endast med de medarbetare som behöver tillgång till informationen för att utföra sina arbetsuppgifter.

Dessutom utbildar SIFFROR sina medarbetare regelbundet i dataskyddsfrågor för att säkerställa att de förstår vikten av att skydda personuppgifter och följa gällande lagar och regler.

 

Laglig grund för dessa behandlingar är: SIFFRORs berättigade intresse.

 

  • Leverantörer och samarbetspartners

SIFFROR kan även dela personuppgifter med sina leverantörer och samarbetspartners, inklusive personuppgiftsbiträden, för att:

  • skydda sina intressen;
  • fullgöra ingångna avtal;
  • uppfylla rättsliga förpliktelser;
  • förbättra SIFFRORs tjänster; samt
  • för att upptäcka och förebygga tekniska- eller säkerhetsproblem.

 

Exempel på underbiträden som SIFFROR anlitar är leverantörer av servrar, boksluts- och skatteprogram, fildelningsystem m.fl.

 

SIFFROR ingår personuppgiftsbiträdesavtal med sina personuppgiftsbiträden för att säkerställa korrekt behandling och säkerhet enligt GDPR.

Laglig grund för dessa behandlingar: Berättigat intresse.

  • Andra tredje parter

SIFFROR kan komma att dela personuppgifter till juridiska rådgivare, banker, revisor och andra samarbetspartners enligt gällande dataskyddalagstiftning om det görs för att SIFFROR ska uppfylla sitt berättigade intresse.

I samband med eller under förhandlingar om en överföring av SIFFRORs tillgångar, fusion, försäljning, finansiering eller förvärv av hela eller delar av verksamheten, kan personuppgifter lämnas ut till den potentiella köparen eller säljaren som är involverad i sådana transaktioner, inklusive deras medarbetare/leverantörer.

Laglig grund för dessa behandlingar: Berättigat intresse.

 

 

7. SÄKERHETSÅTGÄRDER

SIFFROR har upprättat olika interna riktlinjer och rutiner för att säkerställa en säker personuppgiftsbehandling. SIFFROR arbetar även enligt dataskyddsprinciperna och säkerställer att samtliga medarbetare är medvetna om principerna, genom att de finns dokumenterade i interna rutiner.

SIFFROR implementerar olika lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna och för att säkerställa att behandlingen sker i enlighet med GDPR. SIFFROR har dessutom vidtagit flera säkerhetsåtgärder för att skydda mot missbruk, förlust och förändringar av behandlade personuppgifter (enligt principen om integritet och konfidentialitet). Bland annat genom att interna register och användarkonton till Tredjepartstjänster är lösenordskyddade, som även genomgår regelbundna lösenordsbyten. Dessutom finns utarbetade rutiner för medarbetare med tillgång till databaser och Tredjepartstjänster innehållande personuppgifter, för att skydda uppgifterna.

 

 

8. DE REGISTRERADES RÄTTIGHETER

8.1. Nedan följer en sammanfattning av de rättigheter registrerade har enligt GDPR:

Rätt till information: Den registrerade har rätt att få information om SIFFRORs insamling och användning av dennes personuppgifter. Detta inkluderar information om ändamålen med behandlingen, vilka kategorier av personuppgifter som berörs och eventuella Tredje parter som personuppgifterna kan komma att delas med.

Rätt till tillgång: Den registrerade har rätt att få tillgång till sina personuppgifter som innehas av SIFFROR. Den registrerade kan begära information om behandlingen av sina personuppgifter, få en kopia av personuppgifterna i ett maskinläsbart format (förutsatt att det inte finns något tillämpligt undantag från rätten till tillgång) och informeras om de skyddsåtgärder som finns för gränsöverskridande överföringar. Detta innebär dock inte att den registrerade har rätt att få de handlingar som innehåller de behandlade personuppgifterna.

Rätt till rättelse: Den registrerade har rätt att begära rättelse av felaktiga eller ofullständiga personuppgifter om sig själv som SIFFROR behandlar. Om SIFFROR behandlar personuppgifter om den registrerade som är felaktiga eller ofullständiga kommer SIFFROR, på den registrerades begäran eller på eget initiativ, att komplettera, korrigera eller radera personuppgifterna i fråga. Om den registrerade begär att personuppgifterna korrigeras, ska SIFFROR informera alla mottagare av dessa uppgifter om korrigeringen, förutsatt att detta är möjligt eller inte för betungande för SIFFROR. Den registrerade har även rätt att få veta vilka som har mottagit dennes personuppgifter.

Rätt till radering: Under vissa omständigheter har den registrerade rätt att få sina personuppgifter raderade. Detta gäller till exempel om uppgifterna inte längre är nödvändiga för det ändamål de samlades in, eller om den registrerade återkallar sitt samtycke och det inte finns någon annan laglig grund för behandlingen. Juridiska skyldigheter kan dock hindra SIFFROR från att omedelbart radera delar av personuppgifterna. Dessa skyldigheter kommer från bokförings- och skattelagstiftning, bank- och penningtvättslagstiftning och eventuellt konsumenträtt. Om den registrerade begär att personuppgifterna raderas, måste SIFFROR informera alla parter som mottagit uppgifterna om raderingen, förutsatt att detta är möjligt eller inte för betungande för SIFFROR.

Rätt till begränsning: Den registrerade har rätt att begränsa behandlingen av sina personuppgifter under vissa förutsättningar. Detta innebär att personuppgifterna endast kan lagras och inte behandlas vidare, eller endast behandlas för specifika och begränsade ändamål. Ett exempel på när denna rättighet gäller är när de personuppgifter som SIFFROR behandlar behöver rättas. Om den registrerade begär att SIFFROR ska korrigera personuppgifterna kan den registrerade också be SIFFROR att begränsa behandlingen av de specifika uppgifterna tills dess att de har blivit korrigerade. SIFFROR kommer att informera den registrerade när begränsningen upphör.

Rätt till dataportabilitet: Den registrerade har rätt att få sina personuppgifter i ett strukturerat, allmänt använt och maskinläsbart format. Den registrerade kan också begära överföring av sina uppgifter till en annan personuppgiftsansvarig, där det är tekniskt möjligt. Denna rätt gäller endast om behandlingen av personuppgifter utförs automatiskt och endast om SIFFRORs behandling sker för att genomföra ett avtal där den registrerade är part i avtalet eller baserat på den registrerades samtycke.

Rätt att invända: Den registrerade har rätt att göra invändningar när dennes personuppgifter blir behandlade efter en intresseavvägning. Om den registrerade gör en invändning enligt denna rättighet ska SIFFROR upphöra med behandlingen, såvida inte SIFFRORs intresse väger tyngre än den registrerades intressen, rättigheter och friheter. Den registrerade har dock alltid rätt att begära att personuppgifterna inte behandlas för direkt marknadsföring. Sådana invändningar kan göras när som helst. Om en invändning görs mot direktmarknadsföring kan personuppgifterna inte längre behandlas för sådana ändamål och SIFFROR kommer att informera den registrerade när personuppgifterna har raderats om den registrerade begär det.

Rätt att inte bli föremål för automatiserat beslutsfattande: Den registrerade har rätt att inte bli föremål för beslut baserade enbart på automatiserad behandling, inklusive profilering, om dessa beslut väsentligt påverkar den registrerade. Undantag gäller om beslutet är nödvändigt för fullgörandet av ett avtal eller är tillåtet enligt lag. Om ett automatiserat beslut har fattats, med eller utan profilering, kan den registrerade begära att det granskas eller bestrids. SIFFROR genomför inga automatiserade beslut, vare sig med eller utan profilering.

8.2. Utövade av rättigheterna

Den registrerade är varmt välkommen att kontakta SIFFROR om denne skulle vilja åberopa någon av ovan angivna rättigheter avseende dennes personuppgifter som SIFFROR behandlar i egenskap av personuppgiftsansvarig. Kontaktuppgifter till SIFFRORs kontaktperson för personuppgiftsärenden framgår i det sista avsnittet av denna dataskyddspolicy.

Det är kostnadsfritt att utöva rättigheterna, under förutsättning att förfrågningarna inte är överdrivna, upprepade eller uppenbart ogrundade. Vid sådana fall har SIFFROR rätt att debitera en rimlig avgift för att hantera begäran eller rätt att neka utförandet av begäran.

Innan SIFFROR hanterar eller svarar på begäran, kan SIFFROR komma att begära kompletterande information från den registrerade om det behövs för att bekräfta dennes identitet.

SIFFROR kommer att informera den registrerade om hanteringen av begäran utan dröjsmål och senast inom en (1) månad efter att SIFFROR mottagit begäran. Om begäran är komplex eller om SIFFROR exempelvis har fått in ett stort antal förfrågningar, kan denna tidsperiod bli förlängd med ytterligare två (2) månader. I sådana fall kommer SIFFROR att meddela den registrerade om förlängningen inom den första månaden efter att begäran mottagits.

Det är viktigt att notera att rättigheterna är föremål för vissa begränsningar och villkor enligt GDPR. Några av rättigheterna gäller enbart i vissa situationer samt bara om det är lagligt och möjligt för SIFFROR att genomföra begäran.

Om SIFFROR inte kan uppfylla begäran på grund av tillämplig lagstiftning eller andra undantag, kommer SIFFROR att meddela den registrerade om detta samt informera om skälen till att begäran inte kan uppfyllas med de begränsningar som följer av lag.

 

 

9. ÄNDRINGAR

Denna dataskyddspolicy uppdateras vid behov och genomgås årligen av SIFFROR, för att säkerställa att informationen är korrekt och aktuell. Den senaste versionen finns alltid tillgänglig för allmänheten på webbplatsen www.siffror.se/dataskyddspolicy.

Innehållet kan komma att uppdateras vid behov, antingen med eller utan förvarning. SIFFROR kommer att meddela den registrerade om väsentliga ändringar görs, ifall det krävs enligt tillämplig lag.

 

 

10. FRÅGOR ELLER KLAGOMÅL

10.1. SIFFROR

Om den registrerade har några frågor angående innehållet i denna dataskyddspolicy eller SIFFRORs behandling av personuppgifter, eller om den registrerade är missnöjd med SIFFRORs behandling av dennes personuppgifter, är den registrerade välkommen att kontakta SIFFRORs kontaktperson för personuppgiftsärenden:

  • Namn: Caroline Ahlf.
  • E-post: hej@siffror.se.
  • Telefon: +46(0)736140341.

10.2 Tillsynsmyndighet

Om den registrerade inte är nöjd med hur SIFFROR behandlar dennes personuppgifter har den registrerade också rätt att lämna in ett klagomål till SIFFRORs tillsynsmyndighet, som är den svenska tillsynsmyndigheten:

  • Namn: Integritetsskyddsmyndigheten (IMY).
  • E-post: imy@imy.se.
  • Telefon: 08-657 61 00.
  • Postadress: Integritetsskyddsmyndigheten, Box 8114, 104 20 Stockholm.

Observera att beroende på den registrerades bosättningsland finns det olika tillsynsmyndigheter som kan kontaktas angående frågor eller klagomål om behandlingen av personuppgifter. Den registrerade kan hitta information om de olika tillsynsmyndigheterna i EU:s medlemsstater via följande länk:

https://edpb.europa.eu/about-edpb/about-edpb/members_en