Dataskyddspolicy

SIFFROR Sverige AB

1. INLEDNING & SYFTE

1.1. I denna Dataskyddspolicy finns information om hur SIFFROR Sverige AB (Org. nr.: 556999–2356) (”SIFFROR”), hanterar och behandlar personuppgifter samt vilka rättigheter de Registrerade har. I detta dokument kan alla som lämnar personuppgifter till SIFFROR läsa om hur SIFFROR behandlar personuppgifter.

1.2. Syftet med denna Dataskyddspolicy är att säkerställa att SIFFROR hanterar personuppgifter i enlighet med Dataskyddsförordningen (General Data Protection Regulation – GDPR) (enligt principen om ansvarsskyldighet). Dataskyddspolicyn omfattar all behandling av personuppgifter, i såväl strukturerad som ostrukturerad data. SIFFROR:s målsättning är att vidta alla rimliga åtgärder för att skydda behandlade personuppgifter.

1.3. Denna Dataskyddspolicy uppdateras vid behov och genomgås årligen av SIFFROR. Den senaste versionen finns alltid tillgänglig för allmänheten på webbplatsen www.siffror.se.

1.4. Dataskyddspolicyn efterföljs av ett Personuppgiftsbiträdesavtal (Klausul 10), genom vilket SIFFROR, i egenskap av Personuppgiftsbiträde, får rätt att behandla personuppgifter som blir lämnade av andra Personuppgiftsansvariga, exempelvis Kunder, för att SIFFROR ska kunna tillhandahålla avtalad tjänst.

1.5. Personuppgiftsbiträdesavtalet utgör en bilaga till det Uppdragsavtal som ingås mellan SIFFROR och Kund avseende SIFFROR:s tjänster. Genom att ingå avtal med SIFFROR avseende de tjänster SIFFROR erbjuder, godkänner Kunden bestämmelserna i Personuppgiftsbiträdesavtalet.

1.6. Genom att ingå avtal med SIFFROR avseende de tjänster SIFFROR erbjuder, eller genom att kontakta SIFFROR, godkänns bestämmelserna i denna Dataskyddspolicy.


2. DEFINITIONER

Personuppgift: Med personuppgifter avses varje upplysning som avser en identifierad eller identifierbar fysisk person. Avgörande är att uppgiften, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person. Typiska personuppgifter är personnummer, namn och adress. Bilder på och ljudupptagningar av individer som behandlas i dator kan vara personuppgifter även om inga namn nämns. Uppgifter hänförliga till ett företag, såsom firma, organisationsnummer, besöksadress m.fl. utgör inte personuppgifter.

Personuppgiftsbehandling: En åtgärd eller kombination av åtgärder beträffande personuppgifter. Exempelvis insamling, registrering, lagring, organisering, strukturering m.fl.

Registrerad: Den fysiska person som, direkt eller indirekt, kan identifieras genom personuppgifterna.

System: Med System avses bokföringssystemet Fortnox (”Systemet”), genom vilket SIFFROR arbetar och tillhandahåller sina redovisningstjänster.


3.PERSONUPPGIFTSANSVARIG

3.1. Den som registrerar personuppgifter i Systemet är Personuppgiftsansvarig för de registrerade personuppgifterna och ska följa GDPR i sin personuppgiftsbehandling samt villkoren i denna Dataskyddspolicy.

3.2. Med anledning av ingått avtal mellan SIFFROR och Kund, kan SIFFROR behandla personuppgifter som Kunden är personuppgiftsansvarig för. I sådana fall är SIFFROR att betrakta som Personuppgiftsbiträde åt Kunden, och Kunden är Personuppgiftsansvarig för lämnade personuppgifter.

3.3. SIFFROR är Personuppgiftsansvarig för behandlingen av de personuppgifter som lämnas till SIFFROR och ansvarar för att sådan behandling sker på lagligt sätt och i enlighet med denna Dataskyddspolicy (enligt principen om ansvarsskyldighet).

 

4. KONTAKTPERSON FÖR PERSONUPPGIFTSÄRENDEN

SIFFROR:s kontaktperson för personuppgiftsärenden:

Namn: Caroline Ahlf

E-post: caroline@siffror.se

Tel: +46(0)736140341

 

5. BEHANDLING AV PERSONUPPGIFTER

Rättslig grund för personuppgiftsbehandlingen

5.1. För att behandla personuppgifter krävs så kallad rättslig grund (enligt principen om lagenlighet, korrekthet och öppenhet). Den rättsliga grunden SIFFROR främst grundar personuppgiftsbehandling på är Avtal. Denna rättsliga grund ger SIFFROR rätt att behandla personuppgifter för att kunna fullgöra ingått avtal med Kunder.

5.2. När SIFFROR har en rättslig förpliktelse att behandla personuppgifter, exempelvis enligt Bokföringslagen (1999:1078), behandlas och lagras endast nödvändiga personuppgifter för att SIFFROR ska uppfylla sina rättsliga förpliktelser (enligt principen om lagringsminimering). Personuppgifter som är en del av nödvändigt bokföringsunderlag lagras så länge som Bokföringslagen (1999:1078) kräver det.

5.3 Rättslig grund till behandling av personuppgifter kan i vissa fall även bli grundat på Intresseavvägning. Exempelvis kan SIFFROR behandla personuppgifter som framkommer i orderbekräftelser, för att marknadsföra sina tjänster. Känsliga uppgifter behandlas dock aldrig med stöd av intresseavvägning.

5.4 Rättlig grund till behandling föreligger även om den Registrerade samtycker till personuppgiftsbehandlingen, genom ett frivilligt aktivt godkännande. Samtycke kan inhämtas genom att låta personerna fylla i uttryckliga samtyckesklausuler i de fall behandlingen grundas på samtycke som rättslig grund. Exempelvis lämnas ett aktivt samtycke när SIFFROR blir kontaktad via kontaktformuläret på webbplatsen, genom att personen måste kryssa i en ruta för godkännande. De Registrerade har rätt att när som helst återkalla ett lämnat samtycke och i sådana fall ska behandlingen av personuppgifterna upphöra. Detta gäller under förutsättning att personuppgifterna inte längre är nödvändiga för att SIFFROR ska fullgöra sina skyldigheter enligt avtal eller annan rättslig förpliktelse som framgår av gällande lagstiftning.

5.5. SIFFROR har alltid rätt att behandla nödvändiga personuppgifter för att följa gällande lag, kräva betalning för en förfallen fordran, anmäla en skuld eller skydda sina rättigheter och egendom samt för att förhindra bedrägeri (genom intresseavvägning på grund av berättigat intresse).

Vilka personuppgifter SIFFROR behandlar

5.6. SIFFROR försöker arbeta främst genom principen om uppgiftsminimering avseende lagring av personuppgifter. Detta innebär att SIFFROR strävar efter att enbart behandla personuppgifter som är nödvändiga, adekvata och relevanta för varje enskilt ändamål (enligt principen om ändamålsbegränsning och uppgiftsminimering). Om SIFFROR vill registrera fler personuppgifter än vad som är nödvändigt, måste SIFFROR få samtycke till behandlingen från den Registrerade. Motsvarande gäller även för Kunders lagring av personuppgifter i Systemet.

5.7. De vanligaste personuppgifterna SIFFROR behandlar är följande: namn, personnummer, telefonnummer, adressuppgifter, e-postadress, betalnings- och kontouppgifter samt personuppgifter som Kunder och andra Personuppgiftsansvariga registrerar och lämnar till SIFFROR direkt eller genom Systemet, sk. användargenererat innehåll.

Varför SIFFROR behandlar personuppgifter

5.8. Personuppgiftsansvariga får bara samla in personuppgifter för särskilda, uttryckligt angivna och berättigade ändamål (enligt principen om ändamålsbegränsning).

5.9. Personuppgifter behandlas främst för att SIFFROR ska fullfölja förpliktelser enligt avtal, hantera beställningar och för att möjliggöra kontakt med Kunder, leverantörer, samarbetspartners och övriga intressenter. Personuppgifter behandlas också för att kunna leverera beställda tjänster samt för att driva och tillhandahålla tjänsterna (Rättslig grund: Avtal).

5.10. SIFFROR behöver även behandla personuppgifter för att erbjuda en god service, exempelvis vad gäller marknadsföring, uppföljning och information. SIFFROR kan också behandla personuppgifter för att utföra kund- och marknadsanalyser, för statistiska ändamål. De Registrerade har alltid rätt att skriftligen motsätta sig att SIFFROR använder personuppgifter för direktmarknadsföring (Rättslig grund: Intresseavvägning med stöd i berättigat intresse).

5.11. SIFFROR behandlar även personuppgifter för att kunna sköta nödvändiga administrativa ärenden och uppfylla rättsliga förpliktelser enligt lag, exempelvis lagenliga skyldigheter enligt Bokföringslagen (1999:1078) (Rättslig grund: Rättsliga förpliktelser).

Hur SIFFROR samlar in personuppgifter

5.12. Mottagandet av personuppgifter sker vanligtvis genom att SIFFROR ingår avtal med Kunder avseende SIFFROR:s tjänster, Kunder registrerar uppgifter i Systemet, SIFFROR blir kontaktad via e-post, telefon eller kontaktformulär på webbplatsen. Samtliga personuppgifter behandlas varsamt och delas inte till obehöriga.

5.13. SIFFROR kan även få tillgång till personuppgifter genom uppgifter som:

  • Kunder/personer tillhandahåller SIFFROR direkt i egenskap av personuppgiftsansvarig
  • Registreras vid besök av SIFFROR hemsida
  • SIFFROR får från offentliga register
  • SIFFROR får i samband med anmälan till SIFFROR nyhetsbrev

Vart personuppgifterna lagras

5.14. SIFFROR strävar efter att lagra samtliga personuppgifter i Sverige och inom EU, i svenska servrar och system (enligt principen om integritet och konfidentialitet). I de fall personuppgifter blir lagrade i ett land utanför EU, ska SIFFROR se till att sådan lagringsplats följer bestämmelserna i gällande dataskyddslagstiftning. Eventuella fysiska dokument, exempelvis avtal eller kvitton, lagras utom räckhåll för obehöriga.

5.15. SIFFROR:s utgångspunkt är att inte lämna ut personuppgifter till tredje man utan samtycke från den Registrerade eller om det inte är nödvändigt för att SIFFROR ska uppfylla sina rättsliga eller avtalsenliga förpliktelser. Exempelvis kan SIFFROR behöva dela personuppgifter till den revisor som den Registrerade har anlitat.

5.16. SIFFROR arbetar med vissa underleverantörer i sin verksamhet och kan komma att dela personuppgifter med sådana underbiträden, exempelvis bank, affärssystem, mailleverantör m.fl. Mer information om detta finns att läsa under Klausul 9, ”Underbiträden”.

Hur länge personuppgifterna sparas

5.17. Personuppgifter får inte lagras under längre tid än vad som är nödvändigt för att uppfylla de ändamål för vilka de samlades in för. Personuppgifter som inte längre får lagras, gallras (raderas) därför med jämna mellanrum, minst årligen (enligt principen om lagringsminimering). Uppföljning och utvärdering av SIFFROR hantering av personuppgifter sker också årligen.

5.18. SIFFROR sparar personuppgifter så länge de behövs och är nödvändiga, för att fullgöra de ändamål som uppgifterna samlades in för. Uppgifterna kan komma att sparas under en längre tid om det behövs för att SIFFROR ska följa gällande lagstiftning. Informationen kan sparas under viss tid för säkerhetskopiering, arkivering, revision, eller för att på annat sätt behålla och förbättra SIFFROR:s tjänster.

 

6. SÄKERHETSÅTGÄRDER

6.1. SIFFROR har utvecklat olika säkerhetssystem med fokus på de Registrerades integritet och systemen skyddar mot intrång, förstöring och andra förändringar som kan innebära en risk för integriteten (enligt principen om integritet och konfidentialitet).

6.2. SIFFROR har upprättat interna rutiner för att säkerställa en säker personuppgiftsbehandling. SIFFROR arbetar enligt dataskyddsprinciperna och säkerställer att samtliga medarbetare är medvetna om principerna, genom att de finns dokumenterade i interna rutiner.

6.3. SIFFROR implementerar lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna och för att säkerställa att behandlingen sker enligt gällande dataskyddslagstiftning. SIFFROR har vidtagit flera säkerhetsåtgärder för att skydda mot missbruk, förlust och förändringar av behandlade personuppgifter (enligt principen om integritet och konfidentialitet). Bland annat genom att interna register och system är lösenordskyddade, som även genomgår regelbundna lösenordsbyten flera gånger per år. Dessutom finns utarbetade rutiner för medarbetare med tillgång till SIFFROR:s databaser innehållande personuppgifter, för att skydda uppgifterna.

 

7. DE REGISTRERADES RÄTTIGHETER

7.1. De Registrerade har rätt att kostnadsfritt få tillgång till sina personuppgifter, få felaktiga personuppgifter rättade, flyttade (dataportabilitet), få sina personuppgifter raderade (enligt principen om riktighet) samt rätt att invända mot att personuppgifterna användas för direktmarknadsföring och profilering.

7.2. De Registrerade ska kontakta behörig kontaktperson för personuppgiftsärenden vid önskemål om något av ovanstående.

7.3. De Registrerade har rätt till information om dataintrång. Om det sker ett dataintrång eller liknande (en personuppgiftsincident) eller om det finns risk för till exempel identitetsstöld eller bedrägeri, ska de Registrerade personerna bli informerade om detta. Om ett dataintrång sker måste SIFFROR och Kunden informeras. Vidare ska alla personuppgiftsincidenter anmälas till Datainspektionen inom 72 timmar, från den personuppgiftsansvarige.

 

8. KLAGOMÅL OCH PERSONUPPGIFTSINCIDENTER

8.1. SIFFROR och Kunder ska följa av Datainspektionen fattade beslut och instruktioner om åtgärder för att uppfylla GDPR:s krav på säkerhet. SIFFROR ska tillåta de inspektioner som Datainspektionen eller annan berörd myndighet, kan komma att kräva för upprätthållandet av en korrekt behandling av personuppgifter enligt GDPR. Om en Registrerad har eventuella klagomål på SIFFROR:s behandling av personuppgifter, kan anmälan göras till SIFFROR:s kontaktperson för personuppgiftsärenden eller till Datainspektionen som är tillsynsmyndighet.

8.2. Ett dataintrång eller annan händelse, som innebär att kontrollen över behandlade personuppgifter går förlorad, innebär en personuppgiftsincident. Eventuella personuppgiftsincidenter ska utan dröjsmål bli rapporterade till SIFFROR:s kontaktperson för personuppgiftsärenden. Alla sådana händelser dokumenteras internt och anmäls till Datainspektionen inom 72 timmar.

 

9. UNDERBITRÄDEN

9.1. SIFFROR använder underleverantörer som en del av leveransen av sina tjänster. Dessa underleverantörer agerar i rollen underbiträden och genom dessa kan vissa personuppgifter bli behandlade på uppdrag av SIFFROR. Detta innebär att SIFFROR kan lämna ut personuppgifter till sådant underbiträde, för att fullgöra sina förpliktelser enligt avtal, gällande lagstiftning, krav från myndigheter, för att tillvarata SIFFROR rättsliga intressen eller för att upptäcka och förebygga tekniska- eller säkerhetsproblem.

9.2. SIFFROR kan dela personuppgifter till ett land utanför EU/EES, om någon av SIFFROR underbiträden befinner sig där. SIFFROR överför dock inga personuppgifter till ett land utanför EU/ESS, om inte överföringen uppfyller kraven enligt GDPR. SIFFROR ska underrätta de Registrerade innan ändringar av underbiträden sker som väsentligen påverkar de Registrerade.

9.3. De Registrerade har rätt att när som helst begära en fullständig översikt och mer detaljerad information om vilka underbiträden som är involverade i behandlingen av den Registrerade personuppgifter för att möjliggöra leveransen av SIFFROR:s tjänster.

9.4. Genom att ingå avtal med SIFFROR, accepterar Kunden att SIFFROR använder sig av underbiträden på så sätt som ovan har beskrivits. SIFFROR får därmed rätt att anlita underbiträden för fullgörandet av sina åtaganden enligt lag, avtal, dessa villkor och för att tjänsterna ska kunna tillhandahållas och förbättras. Ett byte av underleverantör under pågående kontraktsperiod utgör inget avtalsbrott.

 

10. PERSONUPPGIFTSBITRÄDESAVTAL

10.1. Med anledning av ingått avtal mellan SIFFROR och Kund, kan SIFFROR behandla personuppgifter som Kunden är personuppgiftsansvarig för. I sådana fall är SIFFROR att betrakta som Personuppgiftsbiträde åt Kunden, och Kunden är Personuppgiftsansvarig för lämnade personuppgifter. SIFFROR får endast behandla personuppgifter på uppdrag av och i enlighet med Kundens instruktioner.

10.2. SIFFROR instrueras härmed att behandla personuppgifter i enlighet med gällande lag, för att uppfylla alla förpliktelser enligt avtal med Kunden och på så sätt som anges i denna Dataskyddspolicy. Kunden bekräftar härmed, i egenskap av Personuppgiftsansvarig, att denne:

  • behandlar personuppgifter i enlighet med kraven i gällande dataskyddslagstiftning,
  • har rättslig grund att behandla och utlämna de aktuella personuppgifterna till SIFFROR, inklusive till eventuella underbiträden och underleverantörer som SIFFROR arbetar med,
  • är ensamt ansvarig för riktigheten, integriteten, innehållet, tillförlitligheten och lagenligheten av de personuppgifter som lämnats till SIFFROR,
  • instämmer i att SIFFROR implementering av tekniska och organisatoriska säkerhetsåtgärder är tillräckliga för att skydda de registrerades integritet och personuppgifter,
  • inte ska överföra några icke nödvändigs känsliga personuppgifter till varken SIFFROR eller SIFFROR:s underbiträden eller underleverantörer, tex. uppgift om etniskt ursprung, hälsa, sexuell läggning, politiska åsikter, religiös övertygelse m.fl.

10.3. Alla Personuppgifter och/eller material som innehåller Personuppgifter som lämnas till SIFFROR från Kunden för fullgörande av avtalet, ska på Kundens begäran inom skälig tid återlämnas till Kunden.

10.4. SIFFROR ska bistå Kunden med lämpliga tekniska och organisatoriska åtgärder, så långt det är möjligt med hänsyn tagen till typen av behandling och den information som är tillgänglig för SIFFROR, för att Kunden ska uppfylla sina skyldigheter enligt gällande dataskyddslagstiftning avseende förfrågningar från Registrerade och allmänt dataskydd enligt Dataskyddsförordningen artikel 32–36.

10.5. SIFFROR ska även göra det möjligt för Kunden att uppfylla de rättsliga krav som gäller avseende information till relevanta dataskyddsmyndigheter och Registrerade vid personuppgiftsincidenter.

10.6. SIFFROR ska, i den utsträckning det är praktiskt möjligt och lagligt, meddela Kunden om förfrågningar om utlämnande av personuppgifter som erhållits från en Registrerad och om förfrågningar från myndigheter. SIFFROR får inte till tredje man röja eller på annat sätt utnyttja personuppgifter eller i övrigt vad SIFFROR fått veta om enskildas personliga förhållanden, yrkesmässiga eller andra affärsmässiga förhållanden. Ej heller för annan än Datainspektionen eller annan behörig myndighet yppa eller på annat sätt röja de instruktionerna eller anvisningar som SIFFROR fått av Kunden i anledning av avtalet mellan SIFFROR och Kunden.

10.7. SIFFROR får inte utan föregående medgivande från Kunden svara direkt på förfrågningar från andra Registrerade, ellerdelge innehåll rörande avtalet till myndigheter, inklusive personuppgifter, med undantag för vad som är lagstadgat, exempelvis genom domstolsbeslut.

10.8. Kunden har rätt att genomföra årlig revision av SIFFROR personuppgiftshantering och ger SIFFROR befogenhet, att av säkerhetsskäl bestämma att revision ska utföras av en neutral tredjepartsrevisor. Kunden står för eventuella kostnader som uppstår i samband med begärda revisioner. Hjälp från SIFFROR, som överstiger standardtjänsten som SIFFROR tillhandahåller och/eller underleverantörer för att följa gällande dataskyddslagstiftning, kommer att debiteras.

10.9. SIFFROR ska säkerställa konfidentialitet, integritet och tillgänglighet av personuppgifter enligt gällande dataskyddslagstiftning även efter att avtalsförhållandet mellan SIFFROR och Kunden har upphört. När avtalsförhållandet mellan SIFFROR och Kunden upphör, kommer SIFFROR att radera samtliga icke nödvändiga personuppgifter som behandlats på uppdrag av Kunden. SIFFROR kan behålla personuppgifter efter att avtalsförhållande har upphört i den utsträckning det krävs enligt lag, med samma typ av tekniska och organisatoriska säkerhetsåtgärder som beskrivs i denna Dataskyddspolicy.