Integritetspolicy Designlight Scandinavian AB
Inledning och syfte
Syftet med denna policy är att säkerställa att Designlight Scandinavian AB, nedan kallat ’’Designlight’’, hanterar personuppgifter i enlighet med EUs dataskyddsförordning (General Data Protection Regulation – GDPR). Denna Integritetspolicy beskriver hur vi samlar in, använder, sparar, lämnar ut och skyddar dina personuppgifter. Policyn omfattar alla behandlingar där personuppgifter hanteras och omfattar såväl strukturerad som ostrukturerad data.
Denna policy är förankrad hos alla våra medarbetare och vi respekterar din personliga integritet.
Tillämpning och revidering
Designlights ledning och styrelse ansvarar för att behandlingen av personuppgifter följer denna policy.
Policyn ska fastställas av ledning och styrelse minst en gång per år och uppdateras vid behov.
Personuppgiftsansvarig är ansvarig för att hålla i processen kring årlig uppdatering av policyn till följd av nya och förändrade regelverk.
Denna policy är tillämplig för Designlights styrelse, VD, medarbetare samt uppdragstagare som berörs av företagets verksamhet.
Organisation och ansvar
VD har det övergripande ansvaret för innehållet i denna policy samt att den implementeras och efterlevs av verksamheten. VD får delegera ansvaret och implementationen till lämplig person på Designlight. VD har delegerat implementering av denna policy till Victoria Bartholomew.
Alla medarbetare ansvarar för att de agerar i enlighet med denna policy och vad den vill säkerställa.
Begrepp och förkortningar
I denna Integritetspolicy används begreppet “personuppgifter” för att beskriva information som direkt eller indirekt kan identifiera en fysisk person.
Begrepp | Betydelse |
Personuppgift | En personuppgift är all information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. |
Registrerad | Den som en personuppgift avser, det vill säga den fysiska person som direkt eller indirekt kan identifieras genom personuppgifterna i ett register. |
Personuppgiftsbehandling | En åtgärd eller kombination av åtgärder beträffande personuppgifter – oberoende av om de utförs automatiserat eller ej – såsom insamling, registrering, organisering och strukturering. |
Personuppgiftsbehandling
Varje personuppgiftsbehandling ska ske enligt följande principer:
- Laglighet
- Ändamålsbegränsning
- Uppgiftsminimering
- Korrekthet
- Lagringsminimering
- Integritet och konfidentialitet
Insamling av personuppgifter
Vi samlar in uppgifter på olika sätt:
- Genom dina kontakter med Designlight, t.ex. när du blir kund, leverantör, affärsförbindelse eller anställd hos oss, eller om du är i kontakt med våra medarbetare i ett ärende som rör våra produkter eller tjänster.
- Genom att inhämta uppgifter från andra externa källor t.ex. personregister eller vid kreditupplysning i de fall där den är nödvändig för att uppfylla ett avtal mellan dig och Designlight.
- Genom att använda cookies på Designlights webbplats. Cookies används för att förbättra besökarens användarupplevelse och för att ge besökaren tillgång till viss funktionalitet. Ytterligare information om cookies, även kallade kakor, hittar du på Post och Telestyrelsens webbplats, www.pts.se.
Användning av personuppgifter
För att vi ska få behandla dina personuppgifter måste det finnas stöd i gällande lagstiftning. Detta innebär att det måste finnas en rättslig grund för behandlingen. För att vår behandling av
dina personuppgifter ska vara laglig, krävs det att behandlingen är nödvändig.
Vi använder insamlade uppgifter för att fullgöra avtalet med dig eller för att fullgöra en för Designlight rättslig förpliktelse.
Behandlingen av dina personuppgifter får också göras efter en intresseavvägning, där Designlights intresse av att utföra en behandling av uppgifter vägs mot ditt intresse av integritetsskydd; eller
sedan du har lämnat samtycke till behandlingen. Ett samtycke lämnas separat och du kan alltid återkalla det genom att kontakta oss.
För att kunna tillhandahålla tjänster och produkter till dig behöver vi behandla dina personuppgifter. Nedan hittar du information om för vilka ändamål vi behandlar dina
personuppgifter, med stöd av vilken rättslig grund och hur länge vi sparar uppgifterna. Tiden som vi sparar dina personuppgifter varierar utifrån vad uppgifterna behövs till. Vi sparar aldrig uppgifter längre än vi behöver för aktuella ändamål och vi sparar aldrig fler uppgifter än vad som krävs för dessa ändamål.
- Tillhandahålla och fullgöra avtal om tjänster och produkter
Designlight behandlar personuppgifter för att kunna tillhandahålla tjänster och produkter till dig, fullgöra avtal och tillvarata våra rättigheter enligt avtalet.
Vi behöver exempelvis kunna identifiera dig som kund, hantera dina beställningar, hantera dina fakturor och betalningar för produkten, kreditupplysning, registervård, felsöka och åtgärda fel, hantera synpunkter och reklamationer av produkter samt säkerställa att våra sändningar når avsedd mottagare.
Rättslig grund: fullgörande av avtal, rättslig förpliktelse.
- Utveckla och förbättra våra tjänster och produkter
Designlight behandlar personuppgifter, såsom att vi gör urval och genomför kundundersökningar, för att utveckla och förbättra vår verksamhet och produkter som vi kan erbjuda dig samt våra processer och metoder.
Rättslig grund: berättigat intresse.
- Tillhandahålla och förbättra service till våra kunder
Designlight behandlar personuppgifter, såsom att vi hanterar ärendehistorik för att kunna tillhandahålla kundservice, för att kunna tillhandahålla vår självservice, och för att ständigt kunna utbilda våra medarbetare samt förbättra vårt arbetssätt för att på så vis alltid kunna erbjuda våra kunder bästa möjliga service.
Rättslig grund: fullgörande av avtal, intresseavvägning. (Designlight har berättigat intresse av att kunna upprätthålla en god kundservice).
- Direktmarknadsföring
Designlight behandlar personuppgifter, exempelvis genom att analysera och bearbeta statistik, för att kunna erbjuda våra kunder relevanta erbjudanden avseende våra produkter och tjänster.
Vi behandlar personuppgifter genom att samla in, spara, bearbeta och analysera.
Marknadsföringen sker via t.ex. brev och e-post.
Rättslig grund: berättigat intresse (kunduppgifter) och samtycke.
- Fullgöra skyldighet enligt lag eller annan författning, myndighetsföreskrift, beslut, begäran eller riktlinjer och för att kunna tillvarata våra intressen
Designlight behandlar personuppgifter för att kunna fullgöra våra skyldigheter enligt lag eller annan författning, myndighetsföreskrift, beslut, begäran eller riktlinjer. Exempelvis sparar vi underlag i enlighet med bokföringslagen och lagen om elektronisk kommunikation.
Rättslig grund: rättslig förpliktelse
Insamling av samtycke
Samtycke till lagring och användning av personuppgifter, i syfte att fullfölja våra åtaganden gällande överenskommelser, avtal eller information, samlas in muntligen eller skriftligen via t.ex. order, förfrågan, visitkort och anställningsavtal.
Samtycke till lagring och användning av personuppgifter i marknadsföringssyfte samlas in via vår hemsida där samtycke begärs i samband med registrering för utskick av nyhetsbrev.
Sparande av personuppgifter
Som huvudregel sparar Designlight personuppgifter för ändamålen som vi angett ovan så länge som personen är kund, leverantör, affärsförbindelse eller anställd hos oss.
Vi kan även komma att spara dessa uppgifter längre för vissa ändamål exempelvis för:
- fakturerings- och betalningsändamål, som en del av bokföringsunderlag eller för att kunna tillvarata våra intressen sparar vi uppgifter i upp till 10 år efter det att underlaget skapades eller så länge som en eventuell tvist pågår.
- att fullgöra skyldighet enligt lag eller annan författning, myndighetsföreskrift, beslut, begäran eller riktlinjer sparar vi kunduppgifter och trafikuppgifter så länge som i lagen anges.
Hantering av begäran om utdrag eller rättning av personuppgifter
I enlighet med gällande lagstiftning finns ett antal rättigheter som innebär att information om och kontroll över egna personuppgifter kan begäras.
Vi kommer att besvara en sådan begäran utan onödigt dröjsmål. Om ytterligare tid skulle krävas eller om vi av någon anledning inte kan tillmötesgå begäran kommer vi att informera berörd person om detta. Vi kan även komma att begära ytterligare information från berörd person om det krävs för att vi ska kunna bekräfta dennes identitet och säkerställa att det inte någon annan som försöker få tillgång till eller kontroll över dessa personuppgifter.
Du har rätt att begära bekräftelse på om vi behandlar personuppgifter om dig och om så är fallet kommer vi att informera dig om hur dina personuppgifter behandlas.
Du har även rätt att få en kopia av de uppgifter som vi behandlar.
Det är viktigt för oss att de personuppgifter som vi har är korrekta. Om uppgifterna är felaktiga har du rätt att vända dig till oss och be om att få uppgifterna rättade.
Du har även rätt att begära att uppgifter läggs till om något saknas, om tillägget är relevant med hänsyn till ändamålet med behandlingen. Vi kommer att underrätta dem, till vilka vi har lämnat ut dina uppgifter, att rättelse har skett. Vi kommer även att på din begäran informera dig om till vem eller vilka som information om rättelse har lämnats ut.
Hantering av rensning och radering av personuppgifter
Du har rätt att kontakta oss för att begära att dina personuppgifter raderas:
- Om uppgifterna inte längre behövs för de ändamål som de samlades in för;
- Om behandlingen grundar sig enbart på ditt samtycke och du återkallar samtycket;
- Om behandlingen sker för direktmarknadsföring och du motsätter dig att uppgifterna behandlas;
- Om du motsätter dig personuppgiftsbehandling som sker efter en intresseavvägning och det inte finns berättigade skäl som väger tyngre än ditt intresse;
- Om behandlingen av dina uppgifter inte har följt gällande rätt; eller
- Om radering krävs för att uppfylla en rättslig skyldighet.
I vissa fall kan vi dock inte tillmötesgå en begäran om radering t.ex. om vi är skyldiga enligt lag att spara uppgifterna. Om radering sker kommer vi att underrätta dem, till vilka vi har lämnat ut dina uppgifter att radering har skett. Vi kommer även att på din begäran informera dig om till vem eller vilka som information om radering har lämnats ut.
Du har alltid rätt att när som helst invända mot att dina uppgifter används för direktmarknadsföring. Det gör du genom att kontakta oss på Designlight. Om du gör en sådan invändning kommer vi inte längre att behandla uppgifterna för det ändamålet;
Du har även rätt att invända mot att vi behandlar dina uppgifter med stöd av en intresseavvägning. Om vi inte kan visa att det finns tvingande berättigade skäl för behandlingen som väger tyngre än dina skäl ska behandlingen upphöra.
Du har rätt att höra av dig till oss och begära att behandlingen av dina personuppgifter begränsas och att uppgifterna då enbart ska lagras av oss i följande situationer:
- Under den tid det tar för oss att kontrollera om personuppgifterna är korrekta, om du bestrider personuppgifternas korrekthet;
- Om behandlingen är olaglig och du motsätter dig att uppgifterna raderas och istället vill att vi begränsar användningen av dessa;
- Om du, trots att vi inte behöver uppgifterna längre, vill att vi behåller dem för att du ska kunna använda dessa för att fastställa, göra gällande eller försvara rättsligt anspråk; eller
- I väntan på kontroll av vems berättigade skäl, dina eller våra, som väger tyngst om du har gjort en invändning mot behandlingen.
I vissa fall kan vi dock inte tillmötesgå en begäran om begränsning t.ex. om uppgifterna behövs för att vi ska kunna försvara våra rättigheter eller skydda någon annan persons rättigheter. Om begränsning sker kommer vi att underrätta dem, till vilka vi har lämnat ut dina uppgifter, att begränsning har skett. Vi kommer även att på din begäran informera dig om till vem eller vilka som information om begränsning har lämnats ut.
Skydd av personuppgifter
Vi använder fysiska, tekniska och organisatoriska säkerhetsåtgärder, i förhållande till mängd och känslighet av personuppgifter. Dessa åtgärders syfte är att förhindra obehörig behandling, inklusive men inte begränsat till
obehörig åtkomst, tillägnande och användning av, förlust, radering eller skada på användarens personuppgifter.
Några av de säkerhetsåtgärder som vi använder är brandväggar, antivirus, kryptering av data, behörighetskontroller, lås, användarnamn och lösenord (auktorisationskrav och behörighetsstyrning).
Biträdesavtal är tecknade i de fall en tredje part är involverad i lagring av personuppgifter.
Vi arbetar kontinuerligt efter noggranna rutiner vad gäller säkerhet, lagring och backup och det är mycket viktigt att endast den eller de som hanterar vissa uppgifter har tillgång till dem.
Sekretess och integritet är en viktig och självklar del av vår organisation.
Uppföljning och utvärdering av vår hantering av personuppgifter ska ske minst årligen. Våra krav på att personuppgifter hanteras enligt GDPR ska alltid säkerställas vid upphandling och utveckling av IT-lösning och tjänster, och ska vara en del i kravspecifikationen och eventuella avtal.
Hantering av incident rörande personuppgifter
Eventuella incidenter rörande personuppgifter som vi behandlar ska utan dröjsmål rapporteras till personuppgiftsansvarig.
Personuppgiftsansvarig ska utan dröjsmål och senast inom 72 timmar efter vetskap om intrång anmäla incidenten till Datainspektionen samt i övrigt vidta nödvändiga åtgärder med anledning av incidenten.