1. INLEDNING OCH SYFTE

1.1. I denna Dataskyddspolicy finns information om hur SIFFROR Sverige AB (Org. nr.: 556999–2356) (”SIFFROR”), hanterar och behandlar personuppgifter samt vilka rättigheter de Registrerade har. I detta dokument kan alla som lämnar personuppgifter till SIFFROR läsa om hur SIFFROR behandlar personuppgifter.

1.2. Syftet med denna Dataskyddspolicy är att säkerställa att SIFFROR hanterar personuppgifter i enlighet med EU:s dataskyddsförordning 2016/697 (General Data Protection Regulation, härefter kallad ”GDPR”) (enligt principen om ansvarsskyldighet). Dataskyddspolicyn omfattar all behandling av personuppgifter, i såväl strukturerad som ostrukturerad data. SIFFROR:s målsättning är att vidta alla rimliga åtgärder för att skydda behandlade personuppgifter.

1.3. Denna Dataskyddspolicy uppdateras vid behov och genomgås årligen av SIFFROR. Den senaste versionen finns alltid tillgänglig för allmänheten på webbplatsen www.siffror.se.

2. DEFINITIONER

2.1. Personuppgift: avser alla uppgifter som hänför sig till en levande fysisk person, som direkt eller indirekt kan knytas till personen. Exempelvis: namn, personnummer, e-post, adressuppgifter m.fl. Uppgifter hänförliga till ett företag, såsom firma, organisationsnummer, besöksadress m.fl. utgör inte personuppgifter.

2.2. Personuppgiftsbehandling: avser en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter. Exempelvis insamling, registrering, organisering, strukturering, lagring, bearbetning, ändring, radering m.fl.

2.3. Registrerad: avser den fysiska person som, direkt eller indirekt, kan identifieras genom personuppgifterna.

2.4. Systemet: avser bokföringssystemet Fortnox, genom vilket SIFFROR arbetar och tillhandahåller sina redovisningstjänster.

3. PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

3.1. SIFFROR är personuppgiftsansvarig för behandlingen av personuppgifter som sker av SIFFROR eller för SIFFROR:s räkning och ansvarar för att sådan behandling sker i enlighet med GDPR och denna dataskyddspolicy (enligt principen om ansvarsskyldighet).

3.2. Med anledning av ingått avtal mellan SIFFROR och Kund, kan SIFFROR behandla personuppgifter som Kunden är personuppgiftsansvarig för, för Kundens räkning. I sådana fall är SIFFROR att betrakta som personuppgiftsbiträde åt Kunden, och Kunden är personuppgiftsansvarig för lämnade personuppgifter. Behandlingen av personuppgifterna sker i enlighet med Kundens instruktioner och det personuppgiftsbiträdesavtalet som utgör en bilaga till uppdragsavtalet.

4. BEHANDLING AV PERSONUPPGIFTER

Rättslig grund för personuppgiftsbehandlingen
4.1. För att behandla personuppgifter krävs så kallad rättslig grund (enligt principen om lagenlighet, korrekthet och öppenhet). Den rättsliga grunden SIFFROR främst grundar personuppgiftsbehandling på är Avtal. Denna rättsliga grund ger SIFFROR rätt att behandla personuppgifter för att kunna fullgöra ingått avtal med Kunder.

4.2. När SIFFROR har en rättslig förpliktelse att behandla personuppgifter, exempelvis enligt Bokföringslagen (1999:1078), behandlas och lagras endast nödvändiga personuppgifter för att SIFFROR ska uppfylla sina rättsliga förpliktelser (enligt principen om lagringsminimering). Personuppgifter som är en del av nödvändigt bokföringsunderlag lagras så länge som Bokföringslagen (1999:1078) kräver det.

4.3. Rättslig grund till behandling av personuppgifter kan i vissa fall även bli grundat på Intresseavvägning. Exempelvis kan SIFFROR behandla personuppgifter som framkommer i orderbekräftelser, för att marknadsföra sina tjänster. Känsliga uppgifter behandlas dock aldrig med stöd av intresseavvägning.

4.4. Rättlig grund till behandling föreligger även om den registrerade samtycker till personuppgiftsbehandlingen, genom ett frivilligt aktivt godkännande. Samtycke kan inhämtas genom att låta personerna fylla i uttryckliga samtyckesklausuler i de fall behandlingen grundas på samtycke som rättslig grund. Exempelvis lämnas ett aktivt samtycke när SIFFROR blir kontaktad via kontaktformuläret på webbplatsen, genom att personen måste kryssa i en ruta för godkännande. De registrerade har rätt att när som helst återkalla ett lämnat samtycke och i sådana fall ska behandlingen av personuppgifterna upphöra. Detta gäller under förutsättning att personuppgifterna inte längre är nödvändiga för att SIFFROR ska fullgöra sina skyldigheter enligt avtal eller annan rättslig förpliktelse som framgår av gällande lagstiftning.

4.5. SIFFROR har alltid rätt att behandla nödvändiga personuppgifter för att följa gällande lag, kräva betalning för en förfallen fordran, anmäla en skuld eller skydda sina rättigheter och egendom samt för att förhindra bedrägeri (genom intresseavvägning på grund av berättigat intresse).

Vilka personuppgifter SIFFROR behandlar
4.6. SIFFROR försöker arbeta främst genom principen om uppgiftsminimering avseende lagring av personuppgifter. Detta innebär att SIFFROR strävar efter att enbart behandla personuppgifter som är nödvändiga, adekvata och relevanta för varje enskilt ändamål (enligt principen om ändamålsbegränsning och uppgiftsminimering). Om SIFFROR vill registrera fler personuppgifter än vad som är nödvändigt, måste SIFFROR få samtycke till behandlingen från den registrerade. Motsvarande gäller även för Kunder, när Kunden lagrar personuppgifter i systemet.

4.7. Nedan följer en sammanställning av de kategorier av personuppgifter som vi behandlar:
 Identifikationsuppgifter: namn och personnummer.
 Kontaktuppgifter: telefonnummer, adress och e-postadress.
 Demografiska uppgifter: kön, arbetsställe, arbete och titel.
 Finansiella uppgifter: betalnings- och kontouppgifter, transaktioner, skulder.
 Övriga personuppgifter: personuppgifter som blir lämnade till oss av registrerade, Kunder och andra personuppgiftsansvariga, exempelvis vid kontakt med SIFRROR, ansökan om anställning/konsultuppdrag hos SIFFROR samt personuppgifter som Kunder registrerar i systemet (sk. användargenererat innehåll).

Varför SIFFROR behandlar personuppgifter
4.8. Personuppgiftsansvariga får bara samla in personuppgifter för särskilda, uttryckligt angivna och berättigade ändamål (enligt principen om ändamålsbegränsning).

4.9. Personuppgifter behandlas främst för att SIFFROR ska fullfölja förpliktelser enligt avtal, hantera beställningar och för att möjliggöra kontakt med Kunder, leverantörer, samarbetspartners och övriga intressenter. Personuppgifter behandlas också för att kunna leverera beställda tjänster samt för att driva och tillhandahålla tjänsterna (Rättslig grund: Avtal).

4.10. SIFFROR behöver även behandla personuppgifter för att erbjuda en god service, exempelvis vad gäller marknadsföring, uppföljning och information. SIFFROR kan också behandla personuppgifter för att utföra kund- och marknadsanalyser, för statistiska ändamål. De Registrerade har alltid rätt att skriftligen motsätta sig att SIFFROR använder personuppgifter för direktmarknadsföring (Rättslig grund: Intresseavvägning med stöd i berättigat intresse).

4.11. SIFFROR behandlar även personuppgifter för att kunna sköta nödvändiga administrativa ärenden och uppfylla rättsliga förpliktelser enligt lag, exempelvis lagenliga skyldigheter enligt Bokföringslagen (1999:1078) (Rättslig grund: Rättsliga förpliktelser).

Hur SIFFROR samlar in personuppgifter
4.12. Mottagandet av personuppgifter sker vanligtvis genom att SIFFROR ingår avtal med Kunder avseende SIFFROR:s tjänster, Kunder registrerar uppgifter i Systemet, SIFFROR blir kontaktad via e-post, telefon eller kontaktformulär på webbplatsen. Samtliga personuppgifter behandlas varsamt och delas inte till obehöriga.

4.13. SIFFROR kan även få tillgång till personuppgifter genom uppgifter som:
• en personuppgiftsansvarig tillhandahåller till SIFFROR
• registreras vid besök av SIFFROR hemsida,
• SIFFROR hämtar från offentliga register,
• SIFFROR får i samband med anmälan till SIFFROR:s nyhetsbrev.

Vart personuppgifterna lagras
4.14. SIFFROR strävar efter att lagra samtliga personuppgifter inom EU/EES (enligt principen om integritet och konfidentialitet). I de fall personuppgifter blir lagrade i ett land utanför EU/EES, ska SIFFROR se till att sådan lagringsplats följer bestämmelserna i GDPR. Eventuella fysiska dokument, exempelvis avtal eller kvitton, lagras utom räckhåll för obehöriga.

4.15. SIFFROR:s utgångspunkt är att inte lämna ut personuppgifter till tredje man utan samtycke från den registrerade eller om det inte är nödvändigt för att SIFFROR ska uppfylla sina rättsliga eller avtalsenliga förpliktelser.
Hur länge personuppgifterna sparas

4.16. Personuppgifter får inte lagras under längre tid än vad som är nödvändigt för att uppfylla de ändamål för vilka de samlades in för. Personuppgifter som inte längre får lagras, gallras (raderas) därför med jämna mellanrum, minst årligen (enligt principen om lagringsminimering). Uppföljning och utvärdering av SIFFROR hantering av personuppgifter sker också årligen.

4.17. SIFFROR sparar personuppgifter så länge de behövs och är nödvändiga, för att fullgöra de ändamål som uppgifterna samlades in för. Uppgifterna kan komma att sparas under en längre tid om det behövs för att SIFFROR ska följa gällande lagstiftning. Informationen kan sparas under viss tid för säkerhetskopiering, arkivering, revision, eller för att på annat sätt behålla och förbättra SIFFROR:s tjänster.

5. UNDERBITRÄDEN

5.1. SIFFROR använder underleverantörer som en del av leveransen av sina tjänster. Dessa underleverantörer agerar i rollen underbiträden och genom dessa kan vissa personuppgifter bli behandlade på uppdrag av SIFFROR. Exempel på underbiträden som SIFFROR anlitar är serverleverantör, systemleverantör, mailleverantör, konsulter m.fl. Detta innebär att SIFFROR kan lämna ut personuppgifter till sådant underbiträde, för att fullgöra sina förpliktelser enligt avtal, gällande lagstiftning, krav från myndigheter, för att tillvarata SIFFROR:s rättsliga intressen, förbättra tjänsterna eller för att upptäcka och förebygga tekniska- eller säkerhetsproblem.

5.2. SIFFROR kan dela personuppgifter till ett land utanför EU/EES, om något anlitat underbiträde befinner sig där. SIFFROR överför dock inga personuppgifter till ett land utanför EU/EES, om inte överföringen uppfyller kraven enligt GDPR. SIFFROR ska underrätta de registrerade innan ändringar av underbiträden sker som väsentligen påverkar de registrerade.

5.3. De registrerade har rätt att när som helst begära en fullständig översikt och mer detaljerad information om vilka underbiträden som är involverade i behandlingen av den registrerade personuppgifter för att möjliggöra leveransen av SIFFROR:s tjänster.

5.4. Genom att ingå avtal med SIFFROR, accepterar Kunden att SIFFROR använder sig av underbiträden på så sätt som ovan har beskrivits. SIFFROR får därmed rätt att anlita underbiträden för fullgörandet av sina åtaganden enligt lag, avtal, dessa villkor och för att tjänsterna ska kunna tillhandahållas och förbättras. Ett byte av underleverantör under pågående kontraktsperiod utgör inget avtalsbrott.

6. SÄKERHETSÅTGÄRDER

6.1. SIFFROR har upprättat olika interna rutiner för att säkerställa en säker personuppgiftsbehandling. SIFFROR arbetar även enligt dataskyddsprinciperna och säkerställer att samtliga medarbetare är medvetna om principerna, genom att de finns dokumenterade i interna rutiner.

6.2. SIFFROR implementerar olika lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna och för att säkerställa att behandlingen sker enligt GDPR. SIFFROR har dessutom vidtagit flera säkerhetsåtgärder för att skydda mot missbruk, förlust och förändringar av behandlade personuppgifter (enligt principen om integritet och konfidentialitet). Bland annat genom att interna register och system är lösenordskyddade, som även genomgår regelbundna lösenordsbyten flera gånger per år. Dessutom finns utarbetade rutiner för medarbetare med tillgång till SIFFROR:s databaser innehållande personuppgifter, för att skydda uppgifterna.

7. DE REGISTRERADES RÄTTIGHETER

7.1. De registrerade har enligt GDPR rätt att , under vissa förutsättningar, kostnadsfritt rätt att:
– få felaktiga personuppgifter rättade.
– få personuppgifter borttagna.
– invända mot behandlingen av personuppgifterna.
– kräva att behandlingen av personuppgifterna begränsas.
– få ett registerutdrag med information om vilka personuppgifter som behandlas.
– få bekräftelse på och information om behandlingen av den registrerades personuppgifter.
– begära att personuppgifter flyttas (dataportabilitet)
– få information om personuppgiftsincident.
– lämna klagomål till Integritetskyddsmyndigheten.

7.2. De registrerade ska kontakta SIFFROR:s kontaktperson för personuppgiftsärenden vid önskemål om något av ovanstående.

8. KLAGOMÅL

8.1. SIFFROR och Kunder ska följa av Integritetsskyddsmyndigheten fattade beslut och instruktioner om åtgärder för att uppfylla GDPR:s krav på säkerhet. SIFFROR ska tillåta de inspektioner som Integritetsskyddsmyndigheten eller annan berörd myndighet, kan komma att kräva för upprätthållandet av en korrekt behandling av personuppgifter enligt GDPR. Om en Registrerad har eventuella klagomål på SIFFROR:s behandling av personuppgifter, kan anmälan göras till SIFFROR:s kontaktperson för personuppgiftsärenden eller till Integritetsskyddsmyndigheten som är tillsynsmyndighet.

9. PERSONUPPGIFTSINCIDENTER

9.1. Ett dataintrång eller annan händelse, som innebär att kontrollen över behandlade personuppgifter går förlorad, innebär en personuppgiftsincident. Eventuella personuppgiftsincidenter ska utan dröjsmål bli rapporterade till SIFFROR:s kontaktperson för personuppgiftsärenden. Om det inträffar ett dataintrång eller annan personuppgiftsincident, ska de berörda registrerade personerna bli informerade om detta, när det krävs enligt GDPR. Vidare ska den personuppgiftsansvarige anmäla personuppgiftsincidenter till Integritetsskyddsmyndigheten inom 72 timmar, när det krävs enligt GDPR.

10. KONTAKTPERSON FÖR PERSONUPPGIFTSÄRENDEN

SIFFROR:s kontaktperson för personuppgiftsärenden:
Namn: Caroline Ahlf.
E-post: Caroline@siffror.se.
Tel: +46(0)736140341.