Integritetspolicy
Senast uppdaterad: 2024-01-04
Version 2024:1
Inledning
All personuppgiftsbehandling utförd av GDPR Hero AB (org. nr 559088-5116) (härefter ”GDPR Hero” eller ”oss”) sker i enlighet med gällande dataskyddslagstiftning.
På GDPR Hero värnar vi om din personliga integritet och eftersträvar en hög nivå av dataskydd. I denna integritetspolicy redogör vi för hur vi samlar in och behandlar dina personuppgifter samt beskriver dina rättigheter och hur du kan göra dem gällande.
Kontaktuppgifter
Vid frågor om vår personuppgiftsbehandling, vänligen kontakta oss på:
GDPR Hero AB E-post: info@gdprhero.se
Bankgatan 1a Telefon: 046-27 317 17
223 52 Lund
Personuppgiftsansvarig och personuppgiftsbiträde
Denna integritetspolicy beskriver endast de situationer då GDPR Hero AB agerar personuppgiftsansvarig för vår personuppgiftsbehandling. Detta innebär bland annat behandling av dina uppgifter i samband med frågor som du ställer direkt till oss. För personuppgifter som du fyller i när du utnyttjar GDPR Heros tjänster utgör vi personuppgiftsbiträde och behandlar då endast dessa personuppgifter för din organisations räkning och enligt deras instruktioner, vilket lyder under det personuppgiftsbiträdesavtal vi har ingått och alltså inte redogörs vidare för här i denna policy.
1 Kontaktpersoner hos intressenter & potentiella kunder
1.1 Prenumeration av nyhetsbrev
Detta innefattar alla som kommer i kontakt med oss för att ta del av vårt nyhetsbrev, men som inte är kund hos oss.
Ändamål: Skicka nyhetsbrev med GDPR-releterad information och nyheter.
Kategorier av personuppgifter: E-postadress
Laglig grund: Personuppgiftsbehandlingen stödjer sig på samtycke.
Lagringsperiod: Personuppgifterna inhämtas då den registrerade fyller i formuläret för prenumeration av nyhetsbrev på vår hemsida eller på annat sätt informerar oss om att de vill erhålla vårt nyhetsbrev. Du kan när som helst avregistrera dig från vårt nyhetsbrev genom länken längst ned i respektive nyhetsbrev.
1.2 E-post från potentiella kunder
Ändamål: Syftet är att kunna behandla supportärenden, besvara frågor, skicka ut offerter och ge information om verktyget till potentiella kunder.
Kategorier av personuppgifter: Namn, e-postadress, telefonnummer, företagsnamn och adress
Laglig grund: Personuppgiftsbehandlingen stödjer sig på lagstödet berättigat intresse. Vi har ett intresse att behandla personuppgifter i syfte att tillgodose kundens förfrågningar.
Lagringsperiod: Personuppgifterna inhämtas vid mottagande av e-post och gallras som senast ett (1) år efter att kommunikationen avslutats.
1.3 Chatt med hemsidebesökare
Ändamål: Syftet är att kunna behandla supportärenden och inkommande förfrågningar samt kommunicera med potentiella kunder.
Kategorier av personuppgifter: Namn, e-postadress, företagsnamn, platsinformation, webbläsaversion och operativsystemversion
Laglig grund: Personuppgiftsbehandlingen stödjer sig på lagstödet berättigat intresse. Funktionen är frivillig och chatten kan ske anonymt, men det ligger ofta i användarens och dennes uppdrag/arbetsgivares intresse att identifiera sig för att snabbare hantera ärenden. Vi behandlar enbart de personuppgifter som besökaren lämnar till oss och det är fullt möjligt att vara anonym.
Lagringsperiod: Personuppgifterna inhämtas när en potentiell kund skickar ett meddelande via vår supportchatt till oss och gallras eller anonymiseras ett (1) år efter att kommunikationen avslutats.
1.4 Administration av webinariedeltagare
Webinariedeltagare är du som anmält dig till något av våra webinarier.
Ändamål: Vi hanterar dina personuppgifter för att kunna bjuda in dig till våra webinarier, informera om kommande webinarier, samt skicka påminnelser och länk för att ansluta. När du ansluter till webinariet kan du delta anonymt genom att ange ett alias (mer information finns i mailet med anslutningslänk).
Kategorier av personuppgifter: E-postadress och företag.
Laglig grund: Personuppgiftsbehandlingen stödjer sig på vårt berättigade intresse av att tillhandahålla dig önskat webinarie.
Lagringsperiod: Personuppgifterna inhämtas då du fyller i formuläret för anmälan till webinarieserien eller på annat sätt informerar oss om att du vill delta. Du kan när som helst avregistrera dig från vår webinarieserie genom länk längst ned i respektive mail-inbjudan.
2 Nuvarande kunder
2.1 Prenumeration av nyhetsbrev
Ändamål: Skicka nyhetsbrev med GDPR-relaterad information och de senaste nyheterna om GDPR Hero.
Kategorier av personuppgifter: Namn, e-postadress och företagsnamn
Laglig grund: Personuppgiftsbehandlingen stödjer sig på lagstödet berättigat intresse vid första utskick och sedan inhämtas samtycke för fortsatta utskick.
Lagringsperiod: Personuppgifterna inhämtas när kund registrerar sig hos oss och en kontaktperson överlämnar sina kontaktuppgifter. Du kan när som helst avprenumerera dig på vårt nyhetsbrev genom länken längst ned i respektive nyhetsbrev.
2.2 Administration av tjänsten och kundvård
Ändamål: Uppfylla avtalsförpliktelserna, fakturera samt kontakta kundens kontaktperson vid viktiga händelser. Detta kan innebära att vi administrerar ditt konto, skapar inloggningsuppgifter, hanterar kundtjänstärenden etc.
Kategorier av personuppgifter: Namn, e-postadress, telefonnummer, företagsnamn, organisationsnummer och företagsadress
Laglig grund: Personuppgiftsbehandlingen stödjer sig på lagstödet berättigat intresse. Intresset hos GDPR Hero ligger i att tillhandahålla dig våra tjänster och fullgöra våra avtalsförpliktelser till våra kunder.
Lagringsperiod: Personuppgifterna inhämtas när uppgifterna i formuläret ”Skapa konto” på vår hemsida fylls i. Personuppgifterna kommer gallras tio (10) år efter avtalets upphörande i enlighet med preskriptionslag.
2.3 E-post från kunder för supportärenden
Ändamål: Syftet är att kunna behandla kundsupportärenden och kommunicera med nuvarande kunder.
Kategorier av personuppgifter: Namn, e-postadress, inloggningsuppgifter, telefonnummer, företagsnamn och adress
Laglig grund: Personuppgiftsbehandlingen stödjer sig på berättigat intresse, för att upprätthålla avtalet med användarens arbets- eller uppdragsgivare.
Lagringsperiod: Personuppgifterna inhämtas vid mottagande av e-posten och gallras eller anonymiseras tio (10) år efter avtalets upphörande i enlighet med preskriptionslag. Uppgifter som behövs för att uppfylla rättsliga förpliktelser kan sparas längre.
2.4 Supportärenden genom chatt
Ändamål: Syftet är att kunna behandla kundsupportärenden och kommunicera med nuvarande kunder.
Kategorier av personuppgifter: Namn, e-postadress, användarnamn och företagsnamn
Laglig grund: Personuppgiftsbehandlingen stödjer sig på lagstödet berättigat intresse. Det ligger i GDPR Heros intresse att behandla personuppgifterna i chatten för att möjliggöra kommunicering med kund.
Lagringsperiod: Personuppgifterna inhämtas vid varje nytt initierat meddelande via vår supportchatt och gallras eller anonymiseras tio (10) år efter att avtalet har upphört. Uppgifter som behövs för att uppfylla rättsliga förpliktelser kan sparas längre.
2.5 Bokföring och räkenskaper
Ändamål: Syftet är att kunna behandla fakturaunderlag, verifikat och andra räkenskapshandlingar.
Kategorier av personuppgifter: Namn, fakturareferens, företagsuppgifter, fakturaunderlag och räkenskapshandlingar
Laglig grund: Personuppgiftsbehandlingen stödjer sig på lagstödet rättslig förpliktelse. GDPR Hero har en skyldighet att behandla uppgifter i enlighet med lag.
Lagringsperiod: Personuppgifterna inhämtas vid ingående av avtalet och sparas sedan i sju (7) år i enlighet med bokföringslagen.
3 Demodeltagare
3.1 Boka demo-formulär
Ändamål: Kunna tillhandahålla demonstration av verktyget för företag, föreningar och myndigheter. Detta görs genom mottagande av bokningar och utskick av bokningsbekräftelser.
Kategorier av personuppgifter: Namn, e-postadress och företagsnamn
Laglig grund: Personuppgiftsbehandlingen stödjer sig på lagstödet berättigat intresse. Det berättigade intresset ligger i att kunna tillhandahålla demonstration av registerverktyget.
Lagringsperiod: Personuppgifterna inhämtas när den registrerade fyller i sina personuppgifter i boka demo-formuläret och raderas eller anonymiseras ett (1) år efter att demonstrationen av verktyget har genomförts.
4 Kontaktpersoner hos återförsäljare
4.1 Inkommande förfrågningar genom återförsäljarformulär
Ändamål: Syftet är att kunna behandla inkommande förfrågningar om att bli återförsäljare samt besvara frågor, skicka ut förslag på samarbetesavtal och boka in möten.
Kategorier av personuppgifter: Namn, arbetstitel, e-postadress, telefonnummer och företagsnamn.
Laglig grund: Personuppgiftsbehandlingen stödjer sig på lagstödet berättigat intresse. Vi har ett intresse att behandla personuppgifter i syfte att tillgodose potentiell återförsäljares förfrågningar.
Lagringsperiod: Personuppgifterna inhämtas vid mottagande av e-post eller vid formulärinskick på vår hemsida och gallras som senast ett (1) år efter sista kommunikation om inget samarbete ingicks. Om vi ingått samarbete sparas uppgifterna längre, se behandlingsbeskrivning nedan.
4.2 Kontaktpersoner hos våra återförsäljare
Ändamål: Syftet är att kunna ha en fast kontaktpunkt hos våra kunder, samarbetspartners och återförsäljare, till vilka vi kommunicerar viktig information om våra tjänster.
Kategorier av personuppgifter: Namn, befattning, adress, e-postadess, telefonnummer och företagsuppgifter
Laglig grund: Personuppgiftsbehandlingen stödjer sig på lagstödet berättigat intresse.
Lagringsperiod: Personuppgifterna inhämtas när kontaktpersonen först kommer i kontakt med oss och lagras som längst tio (10) år efter avslutad relation. Uppgifter som behövs för att uppfylla rättsliga förpliktelser kan sparas längre.
5 Arbetssökande och referensperson
5.1 Spontanansökan
Ändamål: Syftet med behandlingen är att kunna ta emot och kommunicera med personer som önskar att arbeta på GDPR Hero.
Kategorier av personuppgifter: Namn, adress, e-postadress, telefonnummer, födelsedatum, meritförteckning, utbildning, kompetens, tidigare arbetsplatser, personligt brev och CV.
Laglig grund: Personuppgiftsbehandlingen stödjer sig på berättigat intresse. GDPR Hero har ett berättigat intresse att behandla dina personuppgifter för din spontana arbetsansökan i syfte att tillgodose dina önskemål.
Lagringsperiod: Personuppgifterna inhämtas när arbetsansökan inkommer och gallras två (2) år efter sista kontakt i enlighet med diskrimineringslagstiftning.
Övriga upplysningar: I detta stadie kommer GDPR Hero inte att efterfråga fler uppgifter. Personnummer och/eller känslig information undanbedes därför.
5.2 Ansökan för utannonserad tjänst
Ändamål: Syftet med behandlingen är att kunna ta emot, besvara och utvärdera arbetsansökningar för en utannonserad tjänst.
Kategorier av personuppgifter: Namn, adress, e-postadress, telefonnummer, födelsedatum, meritförteckning, kompetens, utbildning, tidigare arbetsgivvare, personligt brev och CV.
Laglig grund: Behandlingarna är nödvändiga för att tillgodose vårt berättigade intresse att kunna administrera rekryteringen i syfte att bl.a. kunna bedöma vilken kandidat som bäst uppfyller vår kompetensprofil.
Lagringsperiod: Dokumentation och underlag som krävs för att GDPR Hero ska fullgöra sina skyldigheter enligt diskrimineringslagstiftning sparas i två (2) år.
Övriga upplysningar: I detta stadie kommer GDPR Hero inte att efterfråga fler uppgifter. Personnummer och/eller känslig information undanbedes därför.
5.3 Inhämta omdöme från referensperson till arbetssökande
Referensperson är du om en person som har sökt en tjänst hos oss har uppgett dig som referens i samband med en rekryteringsprocess. Vi samlar in dina personuppgifter från kandidaten.
Ändamål:
Syftet med behandlingen är att kunna ta kontakt med angiven referensperson som tidigare arbetat ihop med den arbetssökande eller på annat sätt kan uttala sig om dennes kompetens, personlighet och arbetslivserfarenhet (inhämta omdöme).
Kategorier av personuppgifter:
- Namn
- Kontaktuppgifter
- Företag/organisation
Laglig grund:
Behandlingarna är nödvändiga för att tillgodose vårt berättigade intresse av att kontakta dig i syfte att inhämta omdöme om kandidat i samband med rekryteringsprocess.
Lagringsperiod:
Personuppgifterna kommer hanteras under aktuell och pågående rekryteringsprocess och sedan sparas i två (2) år för att kunna bemöta eventuella rättsliga anspråk.
6 Sociala medier
Dina personuppgifter kan komma att behandlas på olika sociala medier som vi använder oss av i det fall du kontaktar oss via dessa. Bland annat Facebook, Instagram och LinkedIn.
6.1 Kontakt med GDPR Hero genom sociala medier
Ändamål: Syftet med behandlingen är att kunna ta emot och kommunicera med såväl befintliga kunder som intressenter, återförsäljare, arbetssökande och andra personer som är intresserade av GDPR Hero.
Kategorier av personuppgifter: Namn och e-postadress.
Laglig grund: Personuppgiftsbehandlingen stödjer sig på berättigat intresse. GDPR Hero har ett berättigat intresse av att behandla dina personuppgifter för att kunna bemöta dina frågor på bästa sätt.
Lagringsperiod: För det fall uppgifterna behövs för ett påbörjat ärende, exempelvis en rekrytering eller en förfrågan i samband med våra tjänster, blir lagringsperioden för GDPR Heros del den tid som uppgifterna behövs för respektive fortsatt syfte. I vissa fall är vi sedan gemensamt personuppgiftsansvariga för insamlingen med de sociala medier som tillhandahåller plattformen, och där kan de i vissa fall och för sina egna syften fortsatt behandla dina uppgifter enligt det (användar)avtal du har med dem. Vi rekommenderar att du ser över dessa användaravtal eller kontaktar oss direkt över mail eller på chatten på vår hemsida om du är orolig för hur de annars behandlar dina uppgifter.
7 Statistiska undersökningar och test på vår hemsida
GDPR Hero strävar efter att öka kunskapen kring GDPR och skapa tekniska lösningar för att förenkla och effektivisera manuella moment i så stor utsträckning som möjligt inom juridiken. Helt enkelt att hjälpa så många organisationer som möjligt att dra nytta av ny teknologi för att lösa juridiska utmaningar. För att i så stor utsträckning som möjligt styra våra insatser och resurser till områden där utmaningarna upplevs som störst, skickar vi ibland ut undersökningar till dataskyddsombud, dataskyddsansvariga eller andra nyckelpersoner (ja eller faktiskt till vilken roll som helst där vi av någon anledning misstänker att en gemensam utmaning finns). Vi samlar då in kontaktuppgifter genom offentliga register, genom att annonsera möjligheten att delta på sociala medier, eller med hjälp av kontaktuppgifter vi finner på er organisations hemsida, för att i så stor grad som möjligt finna just de som har det största intresset, tillsammans med oss, för att finna nya sätt att lösa dessa utmaningar. Vi hoppas att ni delar vår bedömning om detta berättigade intresse, men tveka inte att ställa frågor om upplägget eller kontakta oss om ni inte vill delta – så ser vi så klart till att inte involvera er om ni inte vill.
7.1 Deltagare i undersökningar och tester
Ändamål: Syftet med behandlingen är att skicka ut frågor och administrera undersökningar eller tävlingar i syfte att bättre förstå organisationers utmaningar under GDPR.
Kategorier av personuppgifter: Namn, e-postadress och titel.
Laglig grund: Personuppgiftsbehandlingen stödjer sig på berättigat intresse.
Lagringsperiod: Uppgifterna behandlas endast den tid de behövs för att skicka ut inbjudan och eventuella påminnelser. De raderas sedan och efterföljande information förblir anonym statistik.
8 Vem lämnar vi dina personuppgifter till
Dina uppgifter behandlas som utgångspunkt endast av oss. För viss behandling av personuppgifter, som sker med hjälp av underleverantörer eller samarbetspartners, behöver vi dela dina uppgifter. Med det menar vi att de får ta del av dina uppgifter men får endast hantera dem enligt vår instruktion (personuppgiftsbiträdesavtal).
Vi delar uppgifter med leverantörer av följande typer av system (mottagare):
- Mailprogram
- Filhanteringsleverantör
- E-post automatiseringsverktyg
- Ekonomiprogram
- Videomötesprogram
9 Överföring av dina personuppgifter utanför EU/EES
I de fall GDPR Hero använder, eller kommer att använda, underleverantörer eller samarbetar med partners som är etablerade utanför EU/EES-området ansvarar vi för att säkerställa att dessa aktörer kan garantera en säkerhetsnivå motsvarande den som upprätthålls inom EU.
För att säkerställa ett tillräckligt skydd för dina personuppgifter vid överföring till länder utanför EU/EES när ett beslut om adekvat skyddsnivå från EU-kommissionen saknas har GDPR Hero i tillämpliga fall ingått avtal med respektive mottagare av personuppgifter innehållandes standardavtalsklausuler beslutade och godkända av EU-kommissionen, inklusive men inte begränsat till de standardklausuler som har beslutats genom kommissionens beslut (EU) 2021/914.
GDPR Hero vidtar därutöver, när skyddsnivån i mottagarlandet inte kan anses likvärdig med den inom EU/EES, ytterligare skyddsåtgärder såsom exempelvis pseudonymisering, IP-anonymisering och kryptering. Tveka inte att kontakta oss om du vill ha mer information om vårt arbete för att säkra upp överföringar av personuppgifter.
10 Dina rättigheter
Du som har lämnat dina personuppgifter till oss har möjlighet att utnyttja dina rättigheter enligt nedanstående av oss kostnadsfritt genom att kontakta oss. Får vi in en sådan begäran kan vi behöva säkerställa din identitet med lämpliga säkerhetsåtgärder i syfte att hindra obehöriga från att få tillgång till dina personuppgifter. Vi kommer att besvara din begäran utan dröjsmål men senast inom en (1) månad efter det att din begäran var oss tillhanda. Du har rätt till nedanstående rättigheter:
a) Rätt till tillgång
Du har rätt att begära tillgång till och besked om vilka kategorier av personuppgifter som behandlas om dig. Informationen är lättbegriplig och utlämnas kostnadsfritt i elektronisk form.
b) Rätt till rättelse
Du har rätt att begära rättelse av dina personuppgifter om de är ofullständiga eller på annat sätt felaktiga.
c) Rätt till radering
Du har rätt att begära att dina uppgifter raderas om behandlingen grundar sig på samtycke eller behandlats på ett olagligt sätt. Radering gäller dock inte de uppgifter som GDPR Hero genom lagkrav är skyldiga att bevara.
d) Rätt till begränsning
Du har rätt att begära att vi tillfälligt begränsar behandlingen av dina personuppgifter. Begränsningen av personuppgifter skulle t.ex. vara aktuellt:
i. under den tid det tar oss att kontrollera att dina uppgifter är korrekta;
ii. under den tid det tar oss att kontrollera om vårt berättigade intresse av en behandling väger tyngre än dina intressen och grundläggande rättigheter;
iii. för att du ska kunna fastställa, göra gällande eller försvara rättsliga anspråk;
iv. om behandlingen är olaglig men du vill att behandlingen ska begränsas istället för att raderas.
e) Rätt till invändning
Du har rätt att invända mot behandling av personuppgifter som baseras på vårt berättigade intresse. Om du gör en sådan invändning, tar GDPR Hero din invändning och gör en helhetsbedömning mellan våra berättigade intressen och dina fri- och rättigheter.
f) Rätt till dataportabilitet
Du har rätt att få ut dina personuppgifter i ett strukturerat, allmänt använt och maskinläsbart format för de personuppgifter som grundar sig på samtycke eller avtal och som du själv har tillhandahållit oss. Du har även rätt att begära att vi överför dina personuppgifter direkt till en annan personuppgiftsansvarig.
11 Kontaktuppgifter till Integritetsskyddsmyndigheten (IMY)
Vi ber dig att alltid kontakta oss först för att ge oss chansen att avhjälpa eventuella missförstånd eller felaktigheter från vår sida när det gäller behandling av dina personuppgifter. Du har dock alltid rätt att vända dig till ansvarig tillsynsmyndighet för klagomål om du anser att vi inte uppfyller de krav som ställs på oss. Integritetsskyddsmyndigheten (Datainspektionen bytte namn 1 januari 2021) är ansvarig tillsynsmyndighet för behandling av personuppgifter i Sverige och du kan komma i kontakt med dem här.
12 Ändring av integritetspolicy
GDPR Hero kan vid behov ändra sin integritetspolicy. Uppdateringarna kommer publiceras på vår hemsida. Om materiella ändringar i integritetspolicyn sker kommer vi att skicka ut ett mail om detta i god tid på förhand. Vi informerar även om vår personuppgiftsbehandling i våra formulär och andra kanaler som vi tar del av personuppgifter i.
13. Versionshistorik
Ver. 2023:2 Förtydligande av tredjelandsöverföring.
Ver 2024:1 Administrativ korrigering av behandling 1.4 Adminisstration av webinariedeltagare samt fötydligande av vilka parter som kan komma att ta del av dina personuppgifter och hantera dessa enligt vårt instruktion (avsnitt 8).