SIFFROR Sverige AB
I denna dataskyddspolicy finns information om bland annat hur och varför SIFFROR Sverige AB (org. nr.: 556999–2356) (”SIFFROR”) behandlar personuppgifter samt vilka rättigheter de registrerade har.
SIFFROR behandlar personuppgifter i enlighet med EU:s allmänna dataskyddsförordning 2016/697 (the General Data Protection Regulation, härefter kallad ”GDPR”). Denna dataskyddspolicy omfattar all behandling av personuppgifter, i såväl strukturerad som ostrukturerad data. SIFFRORs målsättning är att vidta alla rimliga åtgärder för att skydda behandlade personuppgifter.
I denna dataskyddspolicy används definitioner som överensstämmer med de som finns i GDPR, såsom ”personuppgifter”, ”behandling”, ”registrerad”, ”tillsynsmyndighet”, ”personuppgiftsansvarig”, ”personuppgiftsbiträde” med flera. Var och en av dessa definitioner har samma innebörd som anges i artikel 4 i GDPR. För en fullständig lista och exakta definitioner, vänligen se denna artikel.
Utöver de definitioner som anges i artikel 4 i GDPR används även följande i denna dataskyddspolicy:
Tredjepartstjänster: avser information, tjänster, produkter, system, webbplatser, programvaror, nätverk, databaser och plattformar från tredje part som SIFFRORs webbplats länkar till eller som används som en del av tillhandahållandet av SIFFRORs tjänster eller utförande av avtalat uppdrag (exempelvis Fortnox).
SIFFROR är personuppgiftsansvarig för behandling av personuppgifter som utförs av SIFFROR eller för SIFFRORs räkning, i den mån SIFFROR bestämmer medel och ändamål med behandlingen. Vid sådana fall ansvarar SIFFROR för att behandlingen av personuppgifterna sker i enlighet med GDPR och denna dataskyddspolicy (enligt principen om ansvarsskyldighet).
Med anledning av ingått uppdragsavtal mellan SIFFROR och kund, kan SIFFROR behandla personuppgifter som kunden är personuppgiftsansvarig för, och vid sådana fall sker behandlingen av personuppgifterna för kundens räkning. Då agerar SIFFROR i egenskap av Kundens personuppgiftsbiträde, och kunden är personuppgiftsansvarig för de tillhandahållna personuppgifterna. Behandlingen av personuppgifterna sker i enlighet med kundens instruktioner angivna i personuppgiftsbiträdesavtalet som utgör en bilaga till uppdragsavtalet.
Om inte annat uttryckligen anges, är SIFFROR personuppgiftsansvarig för de behandlingar av personuppgifter som beskrivs i denna dataskyddspolicy.
4.1 Hur SIFFROR får tillgång till personuppgifter
SIFFROR får vanligtvis tillgång till personuppgifter genom att:
4.2 Laglig grund för personuppgiftsbehandlingen
All behandling av personuppgifter som utförs av SIFFROR i egenskap av personuppgiftsansvarig sker med stöd i en laglig grund (enligt principen om lagenlighet, korrekthet och öppenhet). SIFFROR behandlar personuppgifter främst med stöd i någon av följande lagliga grunder:
I vissa fall är det valfritt för den registrerade att ange sina personuppgifter till SIFFROR. Om den registrerade inte gör det, kanske SIFFROR inte kan tillhandahålla den begärda supporten eller hantera ärendet.
Den registrerade kan behöva delge sina personuppgifter för att kunna ingå ett avtal med SIFFROR eller för att SIFFROR ska kunna uppfylla rättsliga eller avtalsenliga förpliktelser. Om inte annat anges kommer den registrerade inte att drabbas av några negativa juridiska konsekvenser om denne inte anger sina personuppgifter till SIFFROR.
Den registrerade har rätt att när som helst återkalla sitt lämnade samtycke och i sådana fall ska behandlingen av personuppgifterna som grundar sig på samtycket upphöra. Detta gäller under förutsättning att personuppgifterna inte längre är nödvändiga att behandla för att SIFFROR ska fullgöra sina skyldigheter enligt avtal eller annan rättslig förpliktelse som framgår av gällande lagstiftning.
När en behandling av personuppgifter sker med stöd i Berättigat intresse som laglig grund, är SIFFRORs bedömning att behandlingen inte utgör något intrång i den registrerades rätt till privatliv och integritet. Detta har SIFFROR kommit fram till, efter att ha gjort en avvägning mellan å ena sidan vad behandlingen i fråga innebär för den registrerades intressen samt rätt till privatliv, och å andra sidan det berättigade intresset till behandlingen i fråga.
SIFFROR har alltid rätt att behandla nödvändiga personuppgifter för att följa gällande lag med stöd i Rättslig förpliktelse som laglig grund för behandlingen, samt rätt att kräva betalning för en förfallen fordran, anmäla en skuld eller skydda sina rättigheter och egendom samt för att förhindra bedrägeri med stöd i Berättigat intresse som laglig grund för behandlingen.
4.3 Vilka kategorier av personuppgifter SIFFROR behandlar
SIFFROR följer principen om uppgiftsminimering genom att inte behandla fler personuppgifter än vad som är nödvändigt för att fullgöra det ändamål de samtalades in för.
Nedan följer en sammanställning av de kategorier av personuppgifter som SIFFROR behandlar i egenskap av personuppgiftsansvarig:
– Identifikationsuppgifter: Förnamn, efternamn, personnummer, profilbild, användarnamn (användar-ID).
– Kontaktuppgifter: Telefonnummer, adress, e-postadress, användarnamn till sociala medier.
– Arbetsrelaterade uppgifter: Arbetsgivare, arbetsställe, arbete, titel.
– Avtalsuppgifter: Avtal som ingåtts med SIFFROR samt relevant avtalsinformation.
– Samtyckesuppgifter: Information om lämnade samtycken, exempelvis avseende direktmarknadsföring eller användning av cookies.
– Ärendeuppgifter: Individers kontakt med SIFFROR i form av exempelvis e-post, chatt, samtal i kundtjänstärenden eller liknande.
– Enhetsuppgifter: Uppgifter som samlas in via cookies på SIFFRORs webbplats med stöd i besökarens samtycke, såsom uppgifter om dator, surfplatta eller telefon som används vid besök av SIFFRORs webbplats, IP-nummer, tidszon, operativsystem, språkinställningar, skärmupplösning samt andra uppgifter som tillhandahålls via cookies.
– Finansiella uppgifter: Betalnings- och kontouppgifter, löneuppgifter.
– Övriga personuppgifter: Personuppgifter som blir lämnade till SIFFROR av registrerade, kunder och andra personuppgiftsansvariga exempelvis vid kontakt med SIFFROR, ansökan om att arbeta hos SIFFROR m.m.
4.4 Specifika behandlingsaktiviteter
SIFFROR behandlar bara personuppgifter för särskilda, uttryckligt angivna och berättigade ändamål (enligt principen om ändamålsbegränsning). Nedan kan du läsa mer om laglig grund och ändamål med behandlingen av personuppgifterna.
4.4.1 Vid besök av SIFFRORs webbplats:
Webbplatsen www.siffror.se använder cookies. Användningen av icke-nödvändiga cookies sker enbart om besökaren lämnar sitt samtycke till det. Besökaren kan när som helst återkalla sitt lämnade samtycke (utan att detta påverkar lagligheten av behandlingen som utförts med stöd i samtycket innan det blev återkallat). Laglig grund för ovan angiven behandling: Samtycke.
Mer information om hur cookies används finns att läsa i cookiepolicyn som finns publicerad på webbplatsen (www.siffror.se/cookiepolicy).
4.4.2 När SIFFROR får kontakt med den registrerade via e-post, kontaktformulär, telefon eller sociala medier:
SIFFROR kan komma i kontakt med registrerade via e-post, telefon eller sociala medier. Registrerade har även möjlighet att skicka meddelanden till SIFFROR genom tillämpliga kontaktformulär på SIFFRORs webbplats.
Vid dessa typer av interaktioner får SIFFROR tillgång till de personuppgifter som den registrerade tillhandahåller. Dessa kan inkludera följande kategorier av personuppgifter: förnamn, efternamn, telefonnummer, e-postadress, användarnamn till sociala medier, innehållet i meddelandet samt andra relevanta uppgifter.
SIFFRORs behandling av personuppgifterna är enligt SIFFRORs bedömning berättigad, då den möjliggör för SIFFROR att identifiera vem kommunikationen sker med och är nödvändig för att upprätthålla kontakten i berörda ärenden. Vidare bedömer SIFFROR att denna behandling är nödvändig för att tillgodose sitt berättigade intresse och att den registrerades grundläggande rättigheter och friheter inte kränks av behandlingen.
Laglig grund för behandlingen av personuppgifterna: Berättigat intresse.
4.4.3 När ett avtal ingås och vid fullgörande av avtalet
SIFFROR ingår olika avtal inom sin verksamhet, bland annat uppdragsavtal med kunder avseende de tjänster SIFFROR tillhandahåller. När kunden är en företagskund, behandlar SIFFROR följande personuppgifter tillhörande företagskundens representant (såsom firmatecknare och/eller kontaktperson) i samband med att SIFFROR ingår avtalet och vid fullgörandet av avtalet:
SIFFROR samlar och behandlar personuppgifter i samband med att avtal ingås och vid fullgörandet av avtalet för flera syften, bland annat följande:
4.4.4 Publicering av kundrecensioner
SIFFROR värdesätter feedback från sina kunder och strävar efter att dela deras upplevelser av SIFFRORs tjänster. För att ge en transparent och pålitlig bild till potentiella kunder kan SIFFROR publicera kundrecensioner på sin webbplats och i sociala medier. Dessa recensioner kan innehålla följande information: Kundens eller dennes representants fullständiga namn och profilbild om den tillhandahålls.
Recensioner används av SIFFROR för att:
Publiceringen av kundrecensioner sker med stöd av SIFFRORs berättigade intresse som laglig grund. Detta innebär att SIFFROR bedömer att deras intresse av att visa upp kunders erfarenheter och öka transparensen kring tjänsterna väger tyngre än eventuella integritetsintrång som publiceringen kan innebära för den registrerade.
4.4.5 SIFFRORs mejlutskick
SIFFROR skickar löpande e-postmeddelanden till sina aktuella kunder, till den e-postadress som har angivits av kunden. SIFFROR behandlar kundens förnamn, efternamn och e-postadress i samband med mejlutskicken. Behandlingen sker med stöd i SIFFRORs berättigade intresse att informera om viktiga händelser och annan relevant information och nödvändig kommunikation.
Om kunden inte önskar ta emot e-postutskick om erbjudanden och annan marknadsföring kan kunden meddela SIFFROR detta. Det är viktigt att notera att även om kunden väljer att avsäga sig marknadsföringsmejl, kan de fortfarande komma att få e-postmeddelanden som innehåller viktig information avseende uppdraget eller annan relevant information och nödvändig kommunikation.
5.1 Vart personuppgifterna lagras
SIFFROR strävar efter att lagra samtliga personuppgifter inom Europeiska unionen (EU) eller Europeiska ekonomiska samarbetsområdet (EES) (enligt principen om integritet och konfidentialitet). I vissa fall kan dock personuppgifter behöva överföras och behandlas utanför EU/EES. I dessa fall säkerställer SIFFROR att överföringen sker i enlighet med GDPR och att en adekvat skyddsnivå upprätthålls för behandlingen av personuppgifterna i varje överföring av personuppgifter.
5.2 Hur länge personuppgifterna sparas
SIFFROR behandlar personuppgifter så länge som det är nödvändigt för att uppfylla de ändamål för vilka de samlades in, inklusive för att uppfylla eventuella rättsliga, redovisnings- eller rapporteringskrav.
Den exakta varaktigheten av lagringsperioden beror på vilken typ av personuppgifter och för vilket ändamål de samlades in.
Informationen kan sparas under viss tid för säkerhetskopiering, arkivering, revision, eller för att på annat sätt behålla och förbättra SIFFRORs tjänster.
Personuppgifter som inte längre får lagras, gallras (raderas eller anonymiseras) därför med jämna mellanrum enligt SIFFRORs interna gallringsrutiner (i enlighet med principen om lagringsminimering). Uppföljning och utvärdering av SIFFROR hantering av personuppgifter sker också årligen.
SIFFROR kan även radera personuppgifter på den registrerades begäran, under förutsättning att SIFFROR inte behöver behandla personuppgifterna i fråga för att uppfylla sina avtalsenliga eller rättsliga skyldigheter.
I händelse av ett krav riktas mot SIFFROR, kan SIFFROR behålla personuppgifterna fram till utgången av den lagstadgade preskriptionstiden. På samma sätt, i händelse av en pågående tvist, kommer relevanta personuppgifter att lagras tills tvisten har lösts.
För att driva SIFFRORs verksamhet effektivt kan det krävas att SIFFROR delar personuppgifter med utvalda företag eller för att uppfylla tillämplig lagstiftning, inklusive social-, arbets- eller skattelagstiftning. All SIFFRORs eventuella delning av personuppgifter sker i enlighet med gällande dataskyddslagar och förordningar.
Nedan följer exempel på aktörer som personuppgifter kan bli delade till:
Nödvändig information kan delas till myndigheter, såsom polis och skattemyndigheter, om SIFFROR är rättsligt skyldiga att göra det eller om det krävs för att SIFFROR ska uppfylla sina rättsliga förpliktelser. Laglig grund för dessa behandlingar: Rättslig förpliktelse.
Vidare kan SIFFROR dela personuppgifter till myndigheter för att förhindra, upptäcka eller utreda brottslig verksamhet, i syfte att skydda SIFFRORs berättigade intressen och säkerhet. Laglig grund för dessa behandlingar: Berättigat intresse.
SIFFROR delar personuppgifter internt inom organisationen. Detta innebär att SIFFRORs medarbetare kan ha tillgång till personuppgifter för att utföra sina arbetsuppgifter på ett effektivt sätt.
Intern delning av personuppgifter inom SIFFROR kan ske i följande sammanhang:
SIFFROR säkerställer att all intern delning av personuppgifter sker på ett säkert sätt och endast med de medarbetare som behöver tillgång till informationen för att utföra sina arbetsuppgifter.
Dessutom utbildar SIFFROR sina medarbetare regelbundet i dataskyddsfrågor för att säkerställa att de förstår vikten av att skydda personuppgifter och följa gällande lagar och regler.
Laglig grund för dessa behandlingar är: SIFFRORs berättigade intresse.
SIFFROR kan även dela personuppgifter med sina leverantörer och samarbetspartners, inklusive personuppgiftsbiträden, för att:
Exempel på underbiträden som SIFFROR anlitar är leverantörer av servrar, boksluts- och skatteprogram, fildelningsystem m.fl.
SIFFROR ingår personuppgiftsbiträdesavtal med sina personuppgiftsbiträden för att säkerställa korrekt behandling och säkerhet enligt GDPR.
Laglig grund för dessa behandlingar: Berättigat intresse.
SIFFROR kan komma att dela personuppgifter till juridiska rådgivare, banker, revisor och andra samarbetspartners enligt gällande dataskyddalagstiftning om det görs för att SIFFROR ska uppfylla sitt berättigade intresse.
I samband med eller under förhandlingar om en överföring av SIFFRORs tillgångar, fusion, försäljning, finansiering eller förvärv av hela eller delar av verksamheten, kan personuppgifter lämnas ut till den potentiella köparen eller säljaren som är involverad i sådana transaktioner, inklusive deras medarbetare/leverantörer.
Laglig grund för dessa behandlingar: Berättigat intresse.
SIFFROR har upprättat olika interna riktlinjer och rutiner för att säkerställa en säker personuppgiftsbehandling. SIFFROR arbetar även enligt dataskyddsprinciperna och säkerställer att samtliga medarbetare är medvetna om principerna, genom att de finns dokumenterade i interna rutiner.
SIFFROR implementerar olika lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna och för att säkerställa att behandlingen sker i enlighet med GDPR. SIFFROR har dessutom vidtagit flera säkerhetsåtgärder för att skydda mot missbruk, förlust och förändringar av behandlade personuppgifter (enligt principen om integritet och konfidentialitet). Bland annat genom att interna register och användarkonton till Tredjepartstjänster är lösenordskyddade, som även genomgår regelbundna lösenordsbyten. Dessutom finns utarbetade rutiner för medarbetare med tillgång till databaser och Tredjepartstjänster innehållande personuppgifter, för att skydda uppgifterna.
8.1. Nedan följer en sammanfattning av de rättigheter registrerade har enligt GDPR:
Rätt till information: Den registrerade har rätt att få information om SIFFRORs insamling och användning av dennes personuppgifter. Detta inkluderar information om ändamålen med behandlingen, vilka kategorier av personuppgifter som berörs och eventuella Tredje parter som personuppgifterna kan komma att delas med.
Rätt till tillgång: Den registrerade har rätt att få tillgång till sina personuppgifter som innehas av SIFFROR. Den registrerade kan begära information om behandlingen av sina personuppgifter, få en kopia av personuppgifterna i ett maskinläsbart format (förutsatt att det inte finns något tillämpligt undantag från rätten till tillgång) och informeras om de skyddsåtgärder som finns för gränsöverskridande överföringar. Detta innebär dock inte att den registrerade har rätt att få de handlingar som innehåller de behandlade personuppgifterna.
Rätt till rättelse: Den registrerade har rätt att begära rättelse av felaktiga eller ofullständiga personuppgifter om sig själv som SIFFROR behandlar. Om SIFFROR behandlar personuppgifter om den registrerade som är felaktiga eller ofullständiga kommer SIFFROR, på den registrerades begäran eller på eget initiativ, att komplettera, korrigera eller radera personuppgifterna i fråga. Om den registrerade begär att personuppgifterna korrigeras, ska SIFFROR informera alla mottagare av dessa uppgifter om korrigeringen, förutsatt att detta är möjligt eller inte för betungande för SIFFROR. Den registrerade har även rätt att få veta vilka som har mottagit dennes personuppgifter.
Rätt till radering: Under vissa omständigheter har den registrerade rätt att få sina personuppgifter raderade. Detta gäller till exempel om uppgifterna inte längre är nödvändiga för det ändamål de samlades in, eller om den registrerade återkallar sitt samtycke och det inte finns någon annan laglig grund för behandlingen. Juridiska skyldigheter kan dock hindra SIFFROR från att omedelbart radera delar av personuppgifterna. Dessa skyldigheter kommer från bokförings- och skattelagstiftning, bank- och penningtvättslagstiftning och eventuellt konsumenträtt. Om den registrerade begär att personuppgifterna raderas, måste SIFFROR informera alla parter som mottagit uppgifterna om raderingen, förutsatt att detta är möjligt eller inte för betungande för SIFFROR.
Rätt till begränsning: Den registrerade har rätt att begränsa behandlingen av sina personuppgifter under vissa förutsättningar. Detta innebär att personuppgifterna endast kan lagras och inte behandlas vidare, eller endast behandlas för specifika och begränsade ändamål. Ett exempel på när denna rättighet gäller är när de personuppgifter som SIFFROR behandlar behöver rättas. Om den registrerade begär att SIFFROR ska korrigera personuppgifterna kan den registrerade också be SIFFROR att begränsa behandlingen av de specifika uppgifterna tills dess att de har blivit korrigerade. SIFFROR kommer att informera den registrerade när begränsningen upphör.
Rätt till dataportabilitet: Den registrerade har rätt att få sina personuppgifter i ett strukturerat, allmänt använt och maskinläsbart format. Den registrerade kan också begära överföring av sina uppgifter till en annan personuppgiftsansvarig, där det är tekniskt möjligt. Denna rätt gäller endast om behandlingen av personuppgifter utförs automatiskt och endast om SIFFRORs behandling sker för att genomföra ett avtal där den registrerade är part i avtalet eller baserat på den registrerades samtycke.
Rätt att invända: Den registrerade har rätt att göra invändningar när dennes personuppgifter blir behandlade efter en intresseavvägning. Om den registrerade gör en invändning enligt denna rättighet ska SIFFROR upphöra med behandlingen, såvida inte SIFFRORs intresse väger tyngre än den registrerades intressen, rättigheter och friheter. Den registrerade har dock alltid rätt att begära att personuppgifterna inte behandlas för direkt marknadsföring. Sådana invändningar kan göras när som helst. Om en invändning görs mot direktmarknadsföring kan personuppgifterna inte längre behandlas för sådana ändamål och SIFFROR kommer att informera den registrerade när personuppgifterna har raderats om den registrerade begär det.
Rätt att inte bli föremål för automatiserat beslutsfattande: Den registrerade har rätt att inte bli föremål för beslut baserade enbart på automatiserad behandling, inklusive profilering, om dessa beslut väsentligt påverkar den registrerade. Undantag gäller om beslutet är nödvändigt för fullgörandet av ett avtal eller är tillåtet enligt lag. Om ett automatiserat beslut har fattats, med eller utan profilering, kan den registrerade begära att det granskas eller bestrids. SIFFROR genomför inga automatiserade beslut, vare sig med eller utan profilering.
8.2. Utövade av rättigheterna
Den registrerade är varmt välkommen att kontakta SIFFROR om denne skulle vilja åberopa någon av ovan angivna rättigheter avseende dennes personuppgifter som SIFFROR behandlar i egenskap av personuppgiftsansvarig. Kontaktuppgifter till SIFFRORs kontaktperson för personuppgiftsärenden framgår i det sista avsnittet av denna dataskyddspolicy.
Det är kostnadsfritt att utöva rättigheterna, under förutsättning att förfrågningarna inte är överdrivna, upprepade eller uppenbart ogrundade. Vid sådana fall har SIFFROR rätt att debitera en rimlig avgift för att hantera begäran eller rätt att neka utförandet av begäran.
Innan SIFFROR hanterar eller svarar på begäran, kan SIFFROR komma att begära kompletterande information från den registrerade om det behövs för att bekräfta dennes identitet.
SIFFROR kommer att informera den registrerade om hanteringen av begäran utan dröjsmål och senast inom en (1) månad efter att SIFFROR mottagit begäran. Om begäran är komplex eller om SIFFROR exempelvis har fått in ett stort antal förfrågningar, kan denna tidsperiod bli förlängd med ytterligare två (2) månader. I sådana fall kommer SIFFROR att meddela den registrerade om förlängningen inom den första månaden efter att begäran mottagits.
Det är viktigt att notera att rättigheterna är föremål för vissa begränsningar och villkor enligt GDPR. Några av rättigheterna gäller enbart i vissa situationer samt bara om det är lagligt och möjligt för SIFFROR att genomföra begäran.
Om SIFFROR inte kan uppfylla begäran på grund av tillämplig lagstiftning eller andra undantag, kommer SIFFROR att meddela den registrerade om detta samt informera om skälen till att begäran inte kan uppfyllas med de begränsningar som följer av lag.
Denna dataskyddspolicy uppdateras vid behov och genomgås årligen av SIFFROR, för att säkerställa att informationen är korrekt och aktuell. Den senaste versionen finns alltid tillgänglig för allmänheten på webbplatsen www.siffror.se/dataskyddspolicy.
Innehållet kan komma att uppdateras vid behov, antingen med eller utan förvarning. SIFFROR kommer att meddela den registrerade om väsentliga ändringar görs, ifall det krävs enligt tillämplig lag.
10.1. SIFFROR
Om den registrerade har några frågor angående innehållet i denna dataskyddspolicy eller SIFFRORs behandling av personuppgifter, eller om den registrerade är missnöjd med SIFFRORs behandling av dennes personuppgifter, är den registrerade välkommen att kontakta SIFFRORs kontaktperson för personuppgiftsärenden:
10.2 Tillsynsmyndighet
Om den registrerade inte är nöjd med hur SIFFROR behandlar dennes personuppgifter har den registrerade också rätt att lämna in ett klagomål till SIFFRORs tillsynsmyndighet, som är den svenska tillsynsmyndigheten:
Observera att beroende på den registrerades bosättningsland finns det olika tillsynsmyndigheter som kan kontaktas angående frågor eller klagomål om behandlingen av personuppgifter. Den registrerade kan hitta information om de olika tillsynsmyndigheterna i EU:s medlemsstater via följande länk:
https://edpb.europa.eu/about-edpb/about-edpb/members_en
I denna dataskyddspolicy finns information om bland annat hur och varför SIFFROR Sverige AB (org. nr.: 556999–2356) (”SIFFROR”) behandlar personuppgifter samt vilka rättigheter de registrerade har.
SIFFROR behandlar personuppgifter i enlighet med EU:s allmänna dataskyddsförordning 2016/697 (the General Data Protection Regulation, härefter kallad ”GDPR”). Denna dataskyddspolicy omfattar all behandling av personuppgifter, i såväl strukturerad som ostrukturerad data. SIFFRORs målsättning är att vidta alla rimliga åtgärder för att skydda behandlade personuppgifter.
I denna dataskyddspolicy används definitioner som överensstämmer med de som finns i GDPR, såsom ”personuppgifter”, ”behandling”, ”registrerad”, ”tillsynsmyndighet”, ”personuppgiftsansvarig”, ”personuppgiftsbiträde” med flera. Var och en av dessa definitioner har samma innebörd som anges i artikel 4 i GDPR. För en fullständig lista och exakta definitioner, vänligen se denna artikel.
Utöver de definitioner som anges i artikel 4 i GDPR används även följande i denna dataskyddspolicy:
Tredjepartstjänster: avser information, tjänster, produkter, system, webbplatser, programvaror, nätverk, databaser och plattformar från tredje part som SIFFRORs webbplats länkar till eller som används som en del av tillhandahållandet av SIFFRORs tjänster eller utförande av avtalat uppdrag (exempelvis Fortnox).
SIFFROR är personuppgiftsansvarig för behandling av personuppgifter som utförs av SIFFROR eller för SIFFRORs räkning, i den mån SIFFROR bestämmer medel och ändamål med behandlingen. Vid sådana fall ansvarar SIFFROR för att behandlingen av personuppgifterna sker i enlighet med GDPR och denna dataskyddspolicy (enligt principen om ansvarsskyldighet).
Med anledning av ingått uppdragsavtal mellan SIFFROR och kund, kan SIFFROR behandla personuppgifter som kunden är personuppgiftsansvarig för, och vid sådana fall sker behandlingen av personuppgifterna för kundens räkning. Då agerar SIFFROR i egenskap av Kundens personuppgiftsbiträde, och kunden är personuppgiftsansvarig för de tillhandahållna personuppgifterna. Behandlingen av personuppgifterna sker i enlighet med kundens instruktioner angivna i personuppgiftsbiträdesavtalet som utgör en bilaga till uppdragsavtalet.
Om inte annat uttryckligen anges, är SIFFROR personuppgiftsansvarig för de behandlingar av personuppgifter som beskrivs i denna dataskyddspolicy.
4.1 Hur SIFFROR får tillgång till personuppgifter
SIFFROR får vanligtvis tillgång till personuppgifter genom att:
4.2 Laglig grund för personuppgiftsbehandlingen
All behandling av personuppgifter som utförs av SIFFROR i egenskap av personuppgiftsansvarig sker med stöd i en laglig grund (enligt principen om lagenlighet, korrekthet och öppenhet). SIFFROR behandlar personuppgifter främst med stöd i någon av följande lagliga grunder:
I vissa fall är det valfritt för den registrerade att ange sina personuppgifter till SIFFROR. Om den registrerade inte gör det, kanske SIFFROR inte kan tillhandahålla den begärda supporten eller hantera ärendet.
Den registrerade kan behöva delge sina personuppgifter för att kunna ingå ett avtal med SIFFROR eller för att SIFFROR ska kunna uppfylla rättsliga eller avtalsenliga förpliktelser. Om inte annat anges kommer den registrerade inte att drabbas av några negativa juridiska konsekvenser om denne inte anger sina personuppgifter till SIFFROR.
Den registrerade har rätt att när som helst återkalla sitt lämnade samtycke och i sådana fall ska behandlingen av personuppgifterna som grundar sig på samtycket upphöra. Detta gäller under förutsättning att personuppgifterna inte längre är nödvändiga att behandla för att SIFFROR ska fullgöra sina skyldigheter enligt avtal eller annan rättslig förpliktelse som framgår av gällande lagstiftning.
När en behandling av personuppgifter sker med stöd i Berättigat intresse som laglig grund, är SIFFRORs bedömning att behandlingen inte utgör något intrång i den registrerades rätt till privatliv och integritet. Detta har SIFFROR kommit fram till, efter att ha gjort en avvägning mellan å ena sidan vad behandlingen i fråga innebär för den registrerades intressen samt rätt till privatliv, och å andra sidan det berättigade intresset till behandlingen i fråga.
SIFFROR har alltid rätt att behandla nödvändiga personuppgifter för att följa gällande lag med stöd i Rättslig förpliktelse som laglig grund för behandlingen, samt rätt att kräva betalning för en förfallen fordran, anmäla en skuld eller skydda sina rättigheter och egendom samt för att förhindra bedrägeri med stöd i Berättigat intresse som laglig grund för behandlingen.
4.3 Vilka kategorier av personuppgifter SIFFROR behandlar
SIFFROR följer principen om uppgiftsminimering genom att inte behandla fler personuppgifter än vad som är nödvändigt för att fullgöra det ändamål de samtalades in för.
Nedan följer en sammanställning av de kategorier av personuppgifter som SIFFROR behandlar i egenskap av personuppgiftsansvarig:
– Identifikationsuppgifter: Förnamn, efternamn, personnummer, profilbild, användarnamn (användar-ID).
– Kontaktuppgifter: Telefonnummer, adress, e-postadress, användarnamn till sociala medier.
– Arbetsrelaterade uppgifter: Arbetsgivare, arbetsställe, arbete, titel.
– Avtalsuppgifter: Avtal som ingåtts med SIFFROR samt relevant avtalsinformation.
– Samtyckesuppgifter: Information om lämnade samtycken, exempelvis avseende direktmarknadsföring eller användning av cookies.
– Ärendeuppgifter: Individers kontakt med SIFFROR i form av exempelvis e-post, chatt, samtal i kundtjänstärenden eller liknande.
– Enhetsuppgifter: Uppgifter som samlas in via cookies på SIFFRORs webbplats med stöd i besökarens samtycke, såsom uppgifter om dator, surfplatta eller telefon som används vid besök av SIFFRORs webbplats, IP-nummer, tidszon, operativsystem, språkinställningar, skärmupplösning samt andra uppgifter som tillhandahålls via cookies.
– Finansiella uppgifter: Betalnings- och kontouppgifter, löneuppgifter.
– Övriga personuppgifter: Personuppgifter som blir lämnade till SIFFROR av registrerade, kunder och andra personuppgiftsansvariga exempelvis vid kontakt med SIFFROR, ansökan om att arbeta hos SIFFROR m.m.
4.4 Specifika behandlingsaktiviteter
SIFFROR behandlar bara personuppgifter för särskilda, uttryckligt angivna och berättigade ändamål (enligt principen om ändamålsbegränsning). Nedan kan du läsa mer om laglig grund och ändamål med behandlingen av personuppgifterna.
4.4.1 Vid besök av SIFFRORs webbplats:
Webbplatsen www.siffror.se använder cookies. Användningen av icke-nödvändiga cookies sker enbart om besökaren lämnar sitt samtycke till det. Besökaren kan när som helst återkalla sitt lämnade samtycke (utan att detta påverkar lagligheten av behandlingen som utförts med stöd i samtycket innan det blev återkallat). Laglig grund för ovan angiven behandling: Samtycke.
Mer information om hur cookies används finns att läsa i cookiepolicyn som finns publicerad på webbplatsen (www.siffror.se/cookiepolicy).
4.4.2 När SIFFROR får kontakt med den registrerade via e-post, kontaktformulär, telefon eller sociala medier:
SIFFROR kan komma i kontakt med registrerade via e-post, telefon eller sociala medier. Registrerade har även möjlighet att skicka meddelanden till SIFFROR genom tillämpliga kontaktformulär på SIFFRORs webbplats.
Vid dessa typer av interaktioner får SIFFROR tillgång till de personuppgifter som den registrerade tillhandahåller. Dessa kan inkludera följande kategorier av personuppgifter: förnamn, efternamn, telefonnummer, e-postadress, användarnamn till sociala medier, innehållet i meddelandet samt andra relevanta uppgifter.
SIFFRORs behandling av personuppgifterna är enligt SIFFRORs bedömning berättigad, då den möjliggör för SIFFROR att identifiera vem kommunikationen sker med och är nödvändig för att upprätthålla kontakten i berörda ärenden. Vidare bedömer SIFFROR att denna behandling är nödvändig för att tillgodose sitt berättigade intresse och att den registrerades grundläggande rättigheter och friheter inte kränks av behandlingen.
Laglig grund för behandlingen av personuppgifterna: Berättigat intresse.
4.4.3 När ett avtal ingås och vid fullgörande av avtalet
SIFFROR ingår olika avtal inom sin verksamhet, bland annat uppdragsavtal med kunder avseende de tjänster SIFFROR tillhandahåller. När kunden är en företagskund, behandlar SIFFROR följande personuppgifter tillhörande företagskundens representant (såsom firmatecknare och/eller kontaktperson) i samband med att SIFFROR ingår avtalet och vid fullgörandet av avtalet:
SIFFROR samlar och behandlar personuppgifter i samband med att avtal ingås och vid fullgörandet av avtalet för flera syften, bland annat följande:
4.4.4 Publicering av kundrecensioner
SIFFROR värdesätter feedback från sina kunder och strävar efter att dela deras upplevelser av SIFFRORs tjänster. För att ge en transparent och pålitlig bild till potentiella kunder kan SIFFROR publicera kundrecensioner på sin webbplats och i sociala medier. Dessa recensioner kan innehålla följande information: Kundens eller dennes representants fullständiga namn och profilbild om den tillhandahålls.
Recensioner används av SIFFROR för att:
Publiceringen av kundrecensioner sker med stöd av SIFFRORs berättigade intresse som laglig grund. Detta innebär att SIFFROR bedömer att deras intresse av att visa upp kunders erfarenheter och öka transparensen kring tjänsterna väger tyngre än eventuella integritetsintrång som publiceringen kan innebära för den registrerade.
4.4.5 SIFFRORs mejlutskick
SIFFROR skickar löpande e-postmeddelanden till sina aktuella kunder, till den e-postadress som har angivits av kunden. SIFFROR behandlar kundens förnamn, efternamn och e-postadress i samband med mejlutskicken. Behandlingen sker med stöd i SIFFRORs berättigade intresse att informera om viktiga händelser och annan relevant information och nödvändig kommunikation.
Om kunden inte önskar ta emot e-postutskick om erbjudanden och annan marknadsföring kan kunden meddela SIFFROR detta. Det är viktigt att notera att även om kunden väljer att avsäga sig marknadsföringsmejl, kan de fortfarande komma att få e-postmeddelanden som innehåller viktig information avseende uppdraget eller annan relevant information och nödvändig kommunikation.
5.1 Vart personuppgifterna lagras
SIFFROR strävar efter att lagra samtliga personuppgifter inom Europeiska unionen (EU) eller Europeiska ekonomiska samarbetsområdet (EES) (enligt principen om integritet och konfidentialitet). I vissa fall kan dock personuppgifter behöva överföras och behandlas utanför EU/EES. I dessa fall säkerställer SIFFROR att överföringen sker i enlighet med GDPR och att en adekvat skyddsnivå upprätthålls för behandlingen av personuppgifterna i varje överföring av personuppgifter.
5.2 Hur länge personuppgifterna sparas
SIFFROR behandlar personuppgifter så länge som det är nödvändigt för att uppfylla de ändamål för vilka de samlades in, inklusive för att uppfylla eventuella rättsliga, redovisnings- eller rapporteringskrav.
Den exakta varaktigheten av lagringsperioden beror på vilken typ av personuppgifter och för vilket ändamål de samlades in.
Informationen kan sparas under viss tid för säkerhetskopiering, arkivering, revision, eller för att på annat sätt behålla och förbättra SIFFRORs tjänster.
Personuppgifter som inte längre får lagras, gallras (raderas eller anonymiseras) därför med jämna mellanrum enligt SIFFRORs interna gallringsrutiner (i enlighet med principen om lagringsminimering). Uppföljning och utvärdering av SIFFROR hantering av personuppgifter sker också årligen.
SIFFROR kan även radera personuppgifter på den registrerades begäran, under förutsättning att SIFFROR inte behöver behandla personuppgifterna i fråga för att uppfylla sina avtalsenliga eller rättsliga skyldigheter.
I händelse av ett krav riktas mot SIFFROR, kan SIFFROR behålla personuppgifterna fram till utgången av den lagstadgade preskriptionstiden. På samma sätt, i händelse av en pågående tvist, kommer relevanta personuppgifter att lagras tills tvisten har lösts.
För att driva SIFFRORs verksamhet effektivt kan det krävas att SIFFROR delar personuppgifter med utvalda företag eller för att uppfylla tillämplig lagstiftning, inklusive social-, arbets- eller skattelagstiftning. All SIFFRORs eventuella delning av personuppgifter sker i enlighet med gällande dataskyddslagar och förordningar.
Nedan följer exempel på aktörer som personuppgifter kan bli delade till:
Nödvändig information kan delas till myndigheter, såsom polis och skattemyndigheter, om SIFFROR är rättsligt skyldiga att göra det eller om det krävs för att SIFFROR ska uppfylla sina rättsliga förpliktelser. Laglig grund för dessa behandlingar: Rättslig förpliktelse.
Vidare kan SIFFROR dela personuppgifter till myndigheter för att förhindra, upptäcka eller utreda brottslig verksamhet, i syfte att skydda SIFFRORs berättigade intressen och säkerhet. Laglig grund för dessa behandlingar: Berättigat intresse.
SIFFROR delar personuppgifter internt inom organisationen. Detta innebär att SIFFRORs medarbetare kan ha tillgång till personuppgifter för att utföra sina arbetsuppgifter på ett effektivt sätt.
Intern delning av personuppgifter inom SIFFROR kan ske i följande sammanhang:
SIFFROR säkerställer att all intern delning av personuppgifter sker på ett säkert sätt och endast med de medarbetare som behöver tillgång till informationen för att utföra sina arbetsuppgifter.
Dessutom utbildar SIFFROR sina medarbetare regelbundet i dataskyddsfrågor för att säkerställa att de förstår vikten av att skydda personuppgifter och följa gällande lagar och regler.
Laglig grund för dessa behandlingar är: SIFFRORs berättigade intresse.
SIFFROR kan även dela personuppgifter med sina leverantörer och samarbetspartners, inklusive personuppgiftsbiträden, för att:
Exempel på underbiträden som SIFFROR anlitar är leverantörer av servrar, boksluts- och skatteprogram, fildelningsystem m.fl.
SIFFROR ingår personuppgiftsbiträdesavtal med sina personuppgiftsbiträden för att säkerställa korrekt behandling och säkerhet enligt GDPR.
Laglig grund för dessa behandlingar: Berättigat intresse.
SIFFROR kan komma att dela personuppgifter till juridiska rådgivare, banker, revisor och andra samarbetspartners enligt gällande dataskyddalagstiftning om det görs för att SIFFROR ska uppfylla sitt berättigade intresse.
I samband med eller under förhandlingar om en överföring av SIFFRORs tillgångar, fusion, försäljning, finansiering eller förvärv av hela eller delar av verksamheten, kan personuppgifter lämnas ut till den potentiella köparen eller säljaren som är involverad i sådana transaktioner, inklusive deras medarbetare/leverantörer.
Laglig grund för dessa behandlingar: Berättigat intresse.
SIFFROR har upprättat olika interna riktlinjer och rutiner för att säkerställa en säker personuppgiftsbehandling. SIFFROR arbetar även enligt dataskyddsprinciperna och säkerställer att samtliga medarbetare är medvetna om principerna, genom att de finns dokumenterade i interna rutiner.
SIFFROR implementerar olika lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna och för att säkerställa att behandlingen sker i enlighet med GDPR. SIFFROR har dessutom vidtagit flera säkerhetsåtgärder för att skydda mot missbruk, förlust och förändringar av behandlade personuppgifter (enligt principen om integritet och konfidentialitet). Bland annat genom att interna register och användarkonton till Tredjepartstjänster är lösenordskyddade, som även genomgår regelbundna lösenordsbyten. Dessutom finns utarbetade rutiner för medarbetare med tillgång till databaser och Tredjepartstjänster innehållande personuppgifter, för att skydda uppgifterna.
8.1. Nedan följer en sammanfattning av de rättigheter registrerade har enligt GDPR:
Rätt till information: Den registrerade har rätt att få information om SIFFRORs insamling och användning av dennes personuppgifter. Detta inkluderar information om ändamålen med behandlingen, vilka kategorier av personuppgifter som berörs och eventuella Tredje parter som personuppgifterna kan komma att delas med.
Rätt till tillgång: Den registrerade har rätt att få tillgång till sina personuppgifter som innehas av SIFFROR. Den registrerade kan begära information om behandlingen av sina personuppgifter, få en kopia av personuppgifterna i ett maskinläsbart format (förutsatt att det inte finns något tillämpligt undantag från rätten till tillgång) och informeras om de skyddsåtgärder som finns för gränsöverskridande överföringar. Detta innebär dock inte att den registrerade har rätt att få de handlingar som innehåller de behandlade personuppgifterna.
Rätt till rättelse: Den registrerade har rätt att begära rättelse av felaktiga eller ofullständiga personuppgifter om sig själv som SIFFROR behandlar. Om SIFFROR behandlar personuppgifter om den registrerade som är felaktiga eller ofullständiga kommer SIFFROR, på den registrerades begäran eller på eget initiativ, att komplettera, korrigera eller radera personuppgifterna i fråga. Om den registrerade begär att personuppgifterna korrigeras, ska SIFFROR informera alla mottagare av dessa uppgifter om korrigeringen, förutsatt att detta är möjligt eller inte för betungande för SIFFROR. Den registrerade har även rätt att få veta vilka som har mottagit dennes personuppgifter.
Rätt till radering: Under vissa omständigheter har den registrerade rätt att få sina personuppgifter raderade. Detta gäller till exempel om uppgifterna inte längre är nödvändiga för det ändamål de samlades in, eller om den registrerade återkallar sitt samtycke och det inte finns någon annan laglig grund för behandlingen. Juridiska skyldigheter kan dock hindra SIFFROR från att omedelbart radera delar av personuppgifterna. Dessa skyldigheter kommer från bokförings- och skattelagstiftning, bank- och penningtvättslagstiftning och eventuellt konsumenträtt. Om den registrerade begär att personuppgifterna raderas, måste SIFFROR informera alla parter som mottagit uppgifterna om raderingen, förutsatt att detta är möjligt eller inte för betungande för SIFFROR.
Rätt till begränsning: Den registrerade har rätt att begränsa behandlingen av sina personuppgifter under vissa förutsättningar. Detta innebär att personuppgifterna endast kan lagras och inte behandlas vidare, eller endast behandlas för specifika och begränsade ändamål. Ett exempel på när denna rättighet gäller är när de personuppgifter som SIFFROR behandlar behöver rättas. Om den registrerade begär att SIFFROR ska korrigera personuppgifterna kan den registrerade också be SIFFROR att begränsa behandlingen av de specifika uppgifterna tills dess att de har blivit korrigerade. SIFFROR kommer att informera den registrerade när begränsningen upphör.
Rätt till dataportabilitet: Den registrerade har rätt att få sina personuppgifter i ett strukturerat, allmänt använt och maskinläsbart format. Den registrerade kan också begära överföring av sina uppgifter till en annan personuppgiftsansvarig, där det är tekniskt möjligt. Denna rätt gäller endast om behandlingen av personuppgifter utförs automatiskt och endast om SIFFRORs behandling sker för att genomföra ett avtal där den registrerade är part i avtalet eller baserat på den registrerades samtycke.
Rätt att invända: Den registrerade har rätt att göra invändningar när dennes personuppgifter blir behandlade efter en intresseavvägning. Om den registrerade gör en invändning enligt denna rättighet ska SIFFROR upphöra med behandlingen, såvida inte SIFFRORs intresse väger tyngre än den registrerades intressen, rättigheter och friheter. Den registrerade har dock alltid rätt att begära att personuppgifterna inte behandlas för direkt marknadsföring. Sådana invändningar kan göras när som helst. Om en invändning görs mot direktmarknadsföring kan personuppgifterna inte längre behandlas för sådana ändamål och SIFFROR kommer att informera den registrerade när personuppgifterna har raderats om den registrerade begär det.
Rätt att inte bli föremål för automatiserat beslutsfattande: Den registrerade har rätt att inte bli föremål för beslut baserade enbart på automatiserad behandling, inklusive profilering, om dessa beslut väsentligt påverkar den registrerade. Undantag gäller om beslutet är nödvändigt för fullgörandet av ett avtal eller är tillåtet enligt lag. Om ett automatiserat beslut har fattats, med eller utan profilering, kan den registrerade begära att det granskas eller bestrids. SIFFROR genomför inga automatiserade beslut, vare sig med eller utan profilering.
8.2. Utövade av rättigheterna
Den registrerade är varmt välkommen att kontakta SIFFROR om denne skulle vilja åberopa någon av ovan angivna rättigheter avseende dennes personuppgifter som SIFFROR behandlar i egenskap av personuppgiftsansvarig. Kontaktuppgifter till SIFFRORs kontaktperson för personuppgiftsärenden framgår i det sista avsnittet av denna dataskyddspolicy.
Det är kostnadsfritt att utöva rättigheterna, under förutsättning att förfrågningarna inte är överdrivna, upprepade eller uppenbart ogrundade. Vid sådana fall har SIFFROR rätt att debitera en rimlig avgift för att hantera begäran eller rätt att neka utförandet av begäran.
Innan SIFFROR hanterar eller svarar på begäran, kan SIFFROR komma att begära kompletterande information från den registrerade om det behövs för att bekräfta dennes identitet.
SIFFROR kommer att informera den registrerade om hanteringen av begäran utan dröjsmål och senast inom en (1) månad efter att SIFFROR mottagit begäran. Om begäran är komplex eller om SIFFROR exempelvis har fått in ett stort antal förfrågningar, kan denna tidsperiod bli förlängd med ytterligare två (2) månader. I sådana fall kommer SIFFROR att meddela den registrerade om förlängningen inom den första månaden efter att begäran mottagits.
Det är viktigt att notera att rättigheterna är föremål för vissa begränsningar och villkor enligt GDPR. Några av rättigheterna gäller enbart i vissa situationer samt bara om det är lagligt och möjligt för SIFFROR att genomföra begäran.
Om SIFFROR inte kan uppfylla begäran på grund av tillämplig lagstiftning eller andra undantag, kommer SIFFROR att meddela den registrerade om detta samt informera om skälen till att begäran inte kan uppfyllas med de begränsningar som följer av lag.
Denna dataskyddspolicy uppdateras vid behov och genomgås årligen av SIFFROR, för att säkerställa att informationen är korrekt och aktuell. Den senaste versionen finns alltid tillgänglig för allmänheten på webbplatsen www.siffror.se/dataskyddspolicy.
Innehållet kan komma att uppdateras vid behov, antingen med eller utan förvarning. SIFFROR kommer att meddela den registrerade om väsentliga ändringar görs, ifall det krävs enligt tillämplig lag.
10.1. SIFFROR
Om den registrerade har några frågor angående innehållet i denna dataskyddspolicy eller SIFFRORs behandling av personuppgifter, eller om den registrerade är missnöjd med SIFFRORs behandling av dennes personuppgifter, är den registrerade välkommen att kontakta SIFFRORs kontaktperson för personuppgiftsärenden:
10.2 Tillsynsmyndighet
Om den registrerade inte är nöjd med hur SIFFROR behandlar dennes personuppgifter har den registrerade också rätt att lämna in ett klagomål till SIFFRORs tillsynsmyndighet, som är den svenska tillsynsmyndigheten:
Observera att beroende på den registrerades bosättningsland finns det olika tillsynsmyndigheter som kan kontaktas angående frågor eller klagomål om behandlingen av personuppgifter. Den registrerade kan hitta information om de olika tillsynsmyndigheterna i EU:s medlemsstater via följande länk:
https://edpb.europa.eu/about-edpb/about-edpb/members_en