Information om behandling av personuppgifter i rollen som personuppgiftsbiträde

1. Inledning

Dataskydd är viktigt för oss, och vi lägger stor vikt vid att hantera personuppgifter på ett ansvarsfullt sätt. I denna dataskyddspolicy beskriver vi hur Time Care (hädanefter “Time Care”, “vi”, “oss” eller “vår”) behandlar personuppgifter i rollen som personuppgiftsbiträde och IT-leverantör till personuppgiftsansvariga kunder (hädanefter “kunden”, “kunder”, “du”, “dig” eller “din”) inom privat och offentlig sektor som upphandlar och använder våra tjänster och produkter. I policyn beskriver vi särskilt de organisatoriska och tekniska skyddsåtgärder som Time Care har infört för att skydda personuppgifter, i enlighet med EU’s allmänna dataskyddsförordning (GDPR) och nationella lagar om dataskydd.

Nästan all information som vi hanterar på uppdrag av våra kunder härrör från anställningsförhållanden avseende kunders personal. Den information som följer av ett sådant förhållande kan vara känslig och bör därför hanteras med särskild omsorg. Vi har åtagit oss att reglera integriteten i enlighet därmed. Vi följer och respekterar den personliga integriteten i tjänster och produkter och arbetar kontinuerligt med att förbättra system för integritetshantering och processer för att hantera framtida utmaningar kring integritet.

Utöver denna policy, anger avtal inklusive personuppgiftsbiträdesavtal, vilken typ av behandling som ska utföras för kunden samt personuppgiftsbiträdets (Time Cares) och personuppgiftsansvariges (kundens) skyldigheter. Time Cares standardversion av personuppgiftsbiträdesavtal bygger på Sveriges Kommuner och Regioners (“SKR”) mall för personuppgiftsbiträdesavtal.

2. Ändamål med personuppgiftsbehandlingen

Ändamålet med Time Cares behandling av personuppgifter är att för kundens räkning kunna tillhandahålla en komplett driftplattform för Time Cares produkter inklusive integration mot andra leverantörers system i form av en molntjänst. De personuppgifter som lagras och behandlas framgår beskrivningen för respektive applikation samt i specifikation till personuppgiftsbiträdesavtalet. Molntjänsten ger kunden tillgång till ett system för administrering av sin personals schema och vakanshantering. Personalregister underhålls i kundens personaladministrativa system och kan exporteras till schemasystemet. Ändamålet är vidare att bistå kunden med support vilket innebär att personuppgiftsbehandlingen är relaterad till supportärenden.

3. Ansvar och styrning av dataskyddsarbetet inom Time Care

Ett dataskyddsombud har utsetts inom den koncern som Time Care tillhör. Dataskyddsombudet ska agera som huvudkontakt för alla dataskyddsrelaterade frågeställningar samt för rapportering av incidenter till personuppgiftsansvariga och/eller dataskyddsmyndigheter. Utöver detta övervakar dataskyddsombudet efterlevnaden av GDPR, bland annat medverkar dataskyddsombudet vid konsekvensbedömningar avseende dataskydd samt ger intern vägledning och utbildning.

4. Behörighet och sekretess

Åtkomst till personuppgifter tillhörande kunden ges endast för sådana personer som arbetar under Time Care’s ledning och som behöver åtkomsten för att utföra sina arbetsuppgifter.

Time Care säkerställer att personal med behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet.

5. Tekniska och organisatoriska säkerhetsåtgärder

Time Care åtar sig att vid behandling av personuppgifter för kunds räkning vidta alla tekniska och organisatoriska säkerhetsåtgärder i enlighet med kraven på informationssäkerhet som beskrivs i dataskyddsförordningens artikel 32 i GDPR. Time Care säkerställer fortlöpande att den tekniska och organisatoriska säkerheten i samband med personuppgiftsbehandlingen medför en lämplig nivå av konfidentialitet, integritet, tillgänglighet och motståndskraft.

Time Care omfattas av det certifikat för ledningssystemet ISO27001 (certificate no: 143704-2013-AIS-GBR-UKAS) avseende informationssäkerhet som innehas av moderbolaget Allocate Software Ltd. Certifieringen innebär att Time Care uppfyller krav på att bedriva ett systematiskt informationssäkerhetsarbete, bland annat vad gäller informationsklassning, och att det finns säkerhetsrutiner för informationsutveckling, drift, personal m.m. Time Care har också upprättat en policy för användning av krypteringslösningar.

Tekniska och organisatoriska säkerhetsåtgärder framgår även, utöver kraven i ISO-certifieringen och i krypteringspolicyn samt i de instruktioner som lämnas av kunden, av Time Cares IT-säkerhetspolicy, bland annat vad gäller konfidentialitet, behörighet och informationsklassning. Denna IT-säkerhetspolicy kan göras tillgänglig för dig som kund, tillsammans med beskrivningar av införda säkerhetskontroller för det system som Time Care tillhandahåller samt annan information som du som kund skäligen begär angående Time Cares säkerhetsrutiner.

Här nedan följer några konkreta exempel på säkerhetsåtgärder som Time Care vidtar:

• Time Care åtar sig att, utöver de krav som har uppställts internt genom ISO-certifiering och i IT-säkerhetspolicy, att uppfylla de krav som kunden ställer på informationsklassning samt redovisa status för dessa på begäran.
• Kryptering och pseudonymisering.
  • Support. Time Care tillhandahåller support via koncernens ärendehanteringssystem. När kund registrerar ett ärende i detta system är det Time Cares rekommendation att inga personuppgifter offentliggörs via ex. skärmklipp i klartext. Vissa typer av ärenden kräver dock att Time Care kan behöva ta del av kunddata. Uppladdning av filer till det system som Time Care tillhandahåller görs över krypterat protokoll på SFTP, där varje kund skapar sin egen unika krypteringsnyckel. Endast den publika delen av denna unika krypteringsnyckel kommuniceras av kunden till Time Care. Time Care tillämpar kraven för den senaste tekniska nivån. Härmed stöds vid skrivande 2048 bitars RSA nycklar varför denna nivå av säkerhet rekommenderas av Time Care för skapande av den unika krypteringsnyckeln. Enbart anställd personal hos Time Care tar del av den publika delen av nyckeln.

Alla kunddatabaser som laddas upp på SFTP bör vara pseudonymiserade av kund, vilket rekommenderas av Time Care till kunden i separata instruktioner. I de fall kunden har laddat upp data i klartext så pseudonymiserar Time Care databasen för att sedan tillgängliggöra den för behörig anställd personal för vidare bearbetning. Åtkomst för Time Cares personal till pseudonymiserat kunddata sker på en server inom Sverige och sådan åtkomst ges enbart till av koncernen utpekade arbetsstationer via koncernens krypterade nätverk. I de särskilda fall då opseudonymiserad data erfordras inhämtas separat medgivande ifrån kunden.

• Cloud. För de kunder som har valt Time Care som driftsleverantör så krypteras samtliga uppgifter i Time Cares kunddatabaser. Krypteringen är en säkerhetsåtgärd i förhållande till underleverantörer och utländska myndigheter. För supporthantering gällande Cloud-lösningar gäller vad som ovan nämnts om pseudonymisering och kryptering avseende support.

• All inloggning till Time Care’s system sker genom användning av lösenord med hög säkerhet.
• Behörighet. Endast behörig personal hos Time Care har åtkomst till system och personuppgifter som tillhör den Personuppgiftsansvarige.
• IT-infrastruktur. Den molntjänst som Time Care tillhandahåller vilar på infrastruktur inom ramen för “Allocate Cloud”. De omfattande tekniska och organisatoriska åtgärder som vidtas i förhållande till kunddata finns dokumenterade i en policy för “Tekniska och organisatoriska åtgärder”. Policyn finns publicerad på Time Care’s Kundportal eller kan begäras ut separat av dig som kund.
• Time Care utför systemövervakning, händelseloggning och relaterade granskningsprocesser för att proaktivt dokumentera användaråtkomst och systemaktivitet. Vidtagna förändringar avseende support sker i Time Care’s kundportal. I loggarna framgår (i) vilka åtgärder som har vidtagits med uppgifter om en registrerad person, (ii) vid vilken tidpunkt som åtgärderna har vidtagits, samt (iii) användarens och den registrerades identitet.
• Time Care har tydliga instruktioner för behandling av personuppgifter i fritextfält och tillhandahåller även en teknisk lösning (script) för att identifiera eventuellt förekommande personuppgifter i fritextfält. Kunden uppmanas uttryckligen av Time Care i separat lämnade instruktioner att inte skriva in personuppgifter i fritextfält. Gallring av personuppgifter som förekommer i fritextfält ansvarar kunden själv för.
• Radering av uppgifter tillhörande kunden sker enligt vad som framgår av Personuppgiftsbiträdesavtalet samt enligt de instruktioner som lämnas av kunden i specifikation till Personuppgiftsbiträdesavtalet. Kunden har vidare möjlighet att inom ramen för systemet själv radera personuppgifter. Eventuella kopior av kundens uppgifter som behandlas i samband med felsökning av Time Care på uppdrag av kunden raderas senast 3 månader efter avslutat ärende. 

6. Revision och tillsyn

Time Care utför kontinuerligt granskningar av säkerheten för IT-miljön och de fysiska datacenter som används för att behandla personuppgifter som tillhör dig som kund.

Time Care åtar sig att i enlighet med kraven i GDPR bereda kunden och/eller tillsynsmyndighet, eller annan myndighet som har laglig rätt till det, möjlighet att göra tillsyn enligt myndighetens begäran i enlighet med vid var tid gällande dataskyddslagstiftning.

7. Anlitande av underbiträden

För att fullgöra avtalet med dig som kund anlitar Time Care andra IT-leverantörer, s k underbiträden. Utöver företag som ingår i den koncern som Time Care tillhör kan även underbiträden utanför koncernen anlitas. Då ett underbiträde anlitas för behandling av personuppgifter för Time Care’s kunders räkning, blir underbiträdet även personuppgiftsbiträde. Avtalet mellan Time Care och dess kunder inkluderar en generell skriftlig auktorisation för Time Care att anlita underbiträden. Vilka underbiträden som anlitas anges i en bilaga till personuppgiftsbiträdesavtalet samt att kunden får information via Time Cares webbplats https://www.allocatesoftware.se/personuppgiftsbitraden/ vid eventuellt anlitande av nytt underbiträde under avtalsperioden. Vid eventuella uppdateringar på Time Cares webbplats så meddelas kunden detta via Time Cares Kundportal.

Time Care anlitar bara sådana underbiträden som kan ge erforderliga garantier för att genomföra lämpliga tekniska och organisatoriska åtgärder enligt de krav som anges i GDPR. Time Care ansvarar fullt ut för underbiträdets behandling gentemot kunden. Vid anlitande av underbiträden ska Time Care säkerställa genom skriftligt avtal att underbiträdet endast får åtkomst till personuppgifter för att leverera de tjänster som Time Care har anlitat underbiträdet för.

8. Överföring av personuppgifter till tredje land

Time Care har som utgångspunkt att endast behandla personuppgifter inom EU/EES. I vissa fall kan, som en del av Time Cares fullgörande av tjänster som levereras enligt avtal med kund, personuppgifter relaterade till användning av molntjänster samt supportärenden komma att föras över till Time Cares underbiträden inom och utanför EU/EES. Sådan överföring sker dock i mycket begränsad omfattning.

• Exempel på begränsade situationer som personuppgifter kan överföras till länder utanför EU/EES

Vid följande situationer kan överföring av personuppgifter till länder utanför EU/EES ske:

• För felsökningssyfte i molntjänster och för supportärenden kan avidentifierat data skickas till av koncernen anställd supportpersonal i tredje land
• Leverans av molntjänster hanteras huvudsakligen av personal etablerade i Sverige. För att säkra kontinuerlig drift och tillgänglighet för den Personuppgiftsansvarige kan, för det fall svensk personal är otillgänglig, t ex under extraordinära omständigheter, anställda hos underbiträden med behörighet och relevant kompetens anlitas i länder etablerade utanför EU/EES.
• För vissa supportärenden i Time Cares molnbaserade supportsystem (“Kundportalen”) kan Time Care och dess underbiträden inom koncernen, i sällsynta fall, behöva anlita underbiträde utanför EU/EES.
  • Laglig grund för överföring till länder utanför EU/EES

EU-domstolen meddelade den 16 juli 2020 dom i det uppmärksammade Schrems II-målet (C-311/18), vilket innebär att Privacy Shield inte längre är laglig grund för överföring av personuppgifter till USA. EU standardavtalsklausuler är dock fortsatt giltiga men ytterligare säkerhetsåtgärder kan komma att behöva vidtas för att säkerställa en tillräcklig skyddsnivå. Time Care har med anledning av denna dom granskat de överföringar som sker och säkerställt att tillräckliga och lämpliga säkerhetsåtgärder finns på plats.

All överföring av personuppgifter till s.k. tredje land, dvs till länder utanför EU/EES, regleras av EU’s standardavtalsklausuler i enlighet med artikel 46.2(c) eller bindande företagsbestämmelser i enlighet med artikel 47. Samtliga överföringar underkastas härmed tillämpliga säkerhetsåtgärder enligt beskrivningen i Artikel 46 i GDPR. De tillämpliga säkerhetsåtgärder som bland annat beskrivs under punkten 5 samt 8.1 och som är aktuella att tillämpas är kryptering, pseudonymisering samt begränsning av uppgifter som överförs till länder utanför EU/EES. Time Care gör bedömningen att dessa skyddsåtgärder innebär ett tillhandahållande av en skyddsnivå som är väsentligen likvärdig med den som garanteras inom EU genom GDPR.

• Laglig grund för överföring av personuppgifter till Storbritannien med anledning av Brexit

Sedan den 1 februari 2020 är Storbritannien inte längre medlem i EU. Under en övergångsperiod som pågick fram till 31 december 2020 gällde GDPR i Storbritannien. EU och Storbritannien ingick den 24 december 2020 ett avtal som föreskriver att alla överföringar av personuppgifter aktörer som omfattas av den allmänna dataskyddsförordningen och enheter i Storbritannien inte ska betraktas som överföringar till tredjeland i enlighet med bestämmelserna i kapitel V i GDPR. Överenskommelsen härom gäller till och med den 30 juni 2021. Om inget avtal mellan Storbritannien och EU avseende dataskyddsarbete har upprättats innan den 30 juni 2021 kommer Storbritannien att betraktas som ett tredje land. Om så inträffar kommer Time Care att tillämpa EU’s standardavtalsklausuler i enlighet med kapitel V i GDPR för att säkra laglig grund för överföring. Storbritannien, som tidigare medlem av EU, har en lång tradition av att tillämpa rådande europeisk dataskyddslagstiftning, och i Storbritannien pågår därför nu ett arbete med att upprätta en brittisk upplaga av GDPR (“UK GDPR”) tillsammans med en uppdaterad nationell brittisk dataskyddslagstiftning (“UK Data Protection Act”). Den brittiske dataskyddsmyndigheten (“ICO”) har publicerat gedigen information om sitt arbete med att anpassa sin dataskyddslagstiftning till GDPR:

https://ico.org.uk/media/for-organisations/documents/brexit/2617110/information-rights-and-brexit-faqs-v2_3.pdf

• Har du frågor angående Time Cares dataskydd?

Har du några frågor om Time Cares behandling av personuppgifter, vänligen kontakta Frederick Lind på Time Care AB på e-postadress: [email protected]. Du kan också skriva till oss på postadress: Time Care AB, Att: GDPR, Box 30077, 104 25 Stockholm.

Vem är RLDatix?

RLDatix bedriver verksamhet över hela världen genom dotterbolag och affärspartner. På RLDatix är vi angelägna om integritet och öppenhet i vår informationshantering. Detta integritetsmeddelande beskriver hur vi samlar in, lämnar ut och behandlar personuppgifter som samlas in online via våra webbplatser och tjänster som tillhandahålls.

När du har kontakt med något av koncernbolagen är bolaget som anges i Bilaga A personuppgiftsansvarig när det gäller dina personuppgifter.

Om inte annat anges avser hänvisningar till ”vi”, ”vår” eller ”oss” nedan det bolag som är personuppgiftsansvarig när det gäller dina personuppgifter.

Vad är detta meddelande?

Vi kan komma att samla in uppgifter (definieras nedan) om dig, och vi åtar oss att skydda dessa personuppgifter och din integritet. I detta meddelande redogör vi för hur vi samlar in, använder och skyddar dina personuppgifter.

De centrala principerna integritet, transparens, öppenhet och respekt för individens rättigheter utgör delar av detta meddelande som gäller för alla våra affärsenheter globalt. Detta integritetsmeddelande gäller endast för uppgifter som ligger inom vår kapacitet som personuppgiftsansvarig.

Omfattas inte av detta meddelande. Detta integritetsmeddelande gäller inte för arbetssökande och kandidater som ansöker om anställning hos oss via vår jobbansökningsportal eller för våra anställda och icke-anställda arbetstagare vars personuppgifter omfattas av andra integritetspolicyer som tillhandahålls till sådana personer i samband med deras anställning eller arbetsförhållande med något RLDatix koncernbolag.

Detta meddelande gäller ej där RLDatix behandlar personuppgifter för en klients räkning och i enlighet med dennes instruktioner som en del av Avtal eller affärsrelationer.

Varför behöver vi det här meddelandet?

Detta meddelande fastställer minimikraven för alla våra verksamheter och anställda avseende sekretess, säkerhet, integritet och skydd av personuppgifter.

Om de lagstiftade eller styrningsskyldigheter som gäller i en jurisdiktion där vi bedriver verksamhet överstiger minimikraven i detta meddelande, framgår sådana ytterligare krav som gäller för den jurisdiktionen i Bilaga B.

Vilka personuppgifter samlar vi in?

Dataskyddsprinciperna innebär att den mängd personuppgifter som samlas in och behandlas ska begränsas till vad som är nödvändigt för det ändamål för vilket personuppgifterna samlades in eller erhölls. Vi kommer endast att samla in och använda personuppgifter om dig som behövs för att tillhandahålla de produkter och tjänster som du har begärt.

Vilka uppgifter vi samlar in beror på vilken typ av relation vi har med dig. Vi kan komma att samla in personuppgifter som rör:

• beteende (aktiviteter, åtgärder, transaktioner som du kan komma att utföra, källor som du besöker, klickströmmar via webbplatser)
• kontaktuppgifter (t.ex. namn, adress, telefonnummer och e-postadress)
• övervakning (information om dina aktiviteter på vår webbplats och din enhet (URL, IP, IMEI, webbläsartyp och version, tidszon, operativsystem och plattform, plats)
• juridik (information som rör rättsliga anspråk som gjorts av dig eller mot dig eller anspråksprocessen)
• försäljning (information som rör försäljning av produkter eller tjänster till dig)
• korrespondens (information som finns i vår korrespondens eller annan kommunikation, inklusive undersökningar med dig om våra produkter, tjänster eller verksamhet)
• särskilda uppgifter (kostkrav om du deltar i ett evenemang som vi anordnar)

Oavsett om vi agerar som personuppgiftsansvarig eller på annat sätt kan vi komma att samla in personuppgifter direkt från dig. Denna information tillhandahålls helt frivilligt och kan tillhandahållas av:

• vår webbplats https://www.rldatix.com;
• vår kundtjänst och idéportal;
• vårt X-konto: https://twitter.com/rldatix;
• vårt Facebook-konto: https://www.facebook.com/rldatix;
• vårt Instagram-konto: RLDatix (@rldatix)  Instagram photos and videos;
• våra LinkedIn-konton: https://www.linkedin.com/company/rldatix/;
• korrespondens med oss via telefon, e-post eller på annat sätt;
• information som du tillhandahåller i samband med evenemang och konferenser som vi kan komma att anordna;
• enkäter och feedback;
• information som du kan tillhandahålla vår chatbot när du besöker vår webbplats.

Barn och ungdomar – kunder, affärspartner och media

• vår webbplats riktar sig uteslutande till potentiella kunder, affärspartner och medierepresentanter
• personer under 16 år bör inte lämna några personuppgifter till oss utan medgivande från sina föräldrar eller vårdnadshavare
• vi begär inte uppgifter från barn och ungdomar som är under sexton år

Varför samlar vi in dina personuppgifter?

Det beror på vilken typ av relation vi har med dig. Till exempel:

• om du är anställd i ett företag som vi har en affärsrelation med kan vi använda dina personuppgifter som en del av våra avtalsförpliktelser och i den löpande affärsverksamheten med ditt företag
• om du använder våra webbplatser kan vi använda de personuppgifter som finns i cookies för att spåra användningen av våra webbplatser
• för att anpassa vår webbplats genom att integrera videoklipp och optimera och öka webbplatsens attraktivitet

Om du kontaktar oss för att göra förfrågningar om våra produkter och tjänster. Vi samlar in ovanstående uppgifter för att kunna tillhandahålla tjänster och produkter till dig, för att informera dig om tjänster och produkter som vi kan komma att tillhandahålla till dig och för att förbättra de tjänster och produkter som vi tillhandahåller. Vår användning av dina uppgifter kan baseras på fullgörandet av ett avtal som du har ingått och som gör det möjligt för oss att tillhandahålla godkända produkter och/eller tjänster till dig.

Vilken är den rättsliga grund som är förknippad med huvudsyftet?

Vi måste ha en rättslig grund för att behandla uppgifter. Det finns flera olika skäl till att vi behandlar uppgifter och därför kan vi använda olika rättsliga grunder. Nedan är exempel på rättsliga grunder som vi använder för att behandla uppgifter:

 

avtal – om vi har ett avtal med dig som du har undertecknat kommer vi att behandla uppgifter i enlighet med avtalets krav

 

rättslig skyldighet – om det finns ett lagstadgat krav på oss att tillhandahålla personuppgifter, kommer vi att uppfylla det kravet

 

berättigat intresse – om vi anser att det finns fördelar för både dig och RLDatix med att behandla dina personuppgifter. Om vi använder syftet berättigat intresse måste vi internt dokumentera en bedömning av varför det ligger i båda parters intresse. Exempel kan omfatta:

• för att analysera vår marknadsföringsstrategi och förbättra och anpassa din kundupplevelse (inklusive för att förbättra rekommendationer som vi ger dig på vår webbplats)
• för att kommunicera med dig
• för att verifiera riktigheten av uppgifter vi har om dig och skapa en bättre insikt om dig som kund
• för att hantera förfrågningar, klagomål eller anspråk.

 

Samtycke – om du uttryckligen samtycker till att vi använder dina uppgifter t.ex. för att skicka marknadsföringsmaterial.

Vem delar vi dina personuppgifter med?

Vi kommer endast att lämna ut eller dela din personliga information i enlighet med tillämpliga lagar och förordningar. Som ett globalt bolag kan vi dela dina uppgifter med andra affärsenheter inom RLDatix. De kan komma att använda dina personuppgifter i samband med produkter och/eller tjänster som kompletterar vårt eget utbud av produkter och/eller tjänster. I vissa fall kan detta omfatta att dina personuppgifter delas med tredje parter såsom:

• Tjänsteleverantörer som anlitas av oss för att hjälpa oss att tillhandahålla tjänster till dig. Sådana tjänsteleverantörer kan omfatta: leverantörer av molnlagring, postföretag, leverantörer av IT-system, revisorer, advokater och marknadsföringsbyråer
• tredjeparts produkt- och tjänsteadministratörer *
• alla medlemmar i vår organisation, vilket omfattar vårt ultimata holdingbolag och dess dotterbolag (från tid till annan) om det är nödvändigt för att tillhandahålla tjänster till dig

* När vi använder en tredjepartsleverantör av tjänster lämnar vi endast ut personuppgifter till dem som är nödvändiga för att de ska kunna tillhandahålla sina tjänster och vi ingår ett avtal med dem som kräver att de håller dina uppgifter säkra och inte använder dem på annat sätt än i enlighet med våra specifika instruktioner.

För information om biträden som RLDatix kan använda för att behandla dina uppgifter, skriv till [email protected].

Hur håller vi dina personuppgifter säkra?

Vi lagrar personuppgifter i säkra databaser och i säkra molnmiljöer.

Vi vidtar lämpliga säkerhetsåtgärder för att skydda personuppgifter mot felaktig användning, manipulation och förlust samt mot obehörig åtkomst, obehörig ändring eller utlämnande.

Vi tar skyddet av personuppgifter och vår systemsäkerhet på största allvar. Alla personuppgifter som samlas in, behandlas eller lagras kommer att omfattas av lämpliga skyddsåtgärder i enlighet med våra skyldigheter avseende dataskydd.

Vi har också utformat och implementerat kontroller för att minimera förlust av eller skada på dina personuppgifter genom mänskliga fel, försumlighet eller illvilligt uppsåt och anlitar interna och externa revisorer för att genomföra regelbundna, oberoende granskningar i hela vår verksamhet för att säkerställa att vår säkerhetskontroll och vår säkerhetsstrategi är effektiva.

Våra medarbetare skyddar också dina personuppgifter när de behandlar dem och genomgår regelbunden utbildning om krav på integritet och dataskydd.

Våra säkerhetskontroller är anpassade till branschstandarder och god praxis, vilket skapar en kontrollmiljö som effektivt hanterar risker avseende dina personuppgifters sekretess, integritet och tillgänglighet.

Allt utbyte av personuppgifter mellan dig och våra webbplatser sker via säkra kanaler för att förhindra att dina uppgifter blir avslöjade.

Vi kommer att tillämpa ytterligare säkerhetskontroller för att skydda känsliga uppgifter om dina matallergier och hälsotillstånd som vi samlar in i samband med evenemang och konferenser som vi kan komma att anordna.

Om vi har gett dig (eller om du har valt) ett lösenord som ger dig tillgång till ett konto, är du ansvarig för att hålla lösenordet hemligt. Vi ber dig att inte dela lösenordet med någon.

Tyvärr är överföringen av information via internet inte helt säker. Trots att vi gör vårt bästa för att skydda dina personuppgifter kan vi inte garantera säkerheten för dina uppgifter som överförs till vår webbplats, och all överföring sker på egen risk. När vi har tagit emot dina personuppgifter inför vi rimliga och lämpliga kontroller för att säkerställa att de förblir skyddade mot oavsiktlig eller olaglig förstörelse, förlust, ändring eller obehörig åtkomst.

Hur länge lagrar vi dina personuppgifter?

Om vi samlar in dina personuppgifter bestäms lagringstiden av ett antal faktorer, däribland det syfte för vilket vi använder uppgifterna och våra skyldigheter enligt andra lagar. Vi behåller inte personuppgifter i ett identifierbart format längre än vad som är nödvändigt.

Vi kan komma att behöva dina personuppgifter för att fastställa, väcka eller försvara rättsliga anspråk. För detta ändamål kommer vi alltid att behålla dina personuppgifter i sju år efter det datum då de inte längre behövs av oss för något av de syften som anges under ”Varför samlar vi in dina personuppgifter?”. De enda undantagen från detta är när:

• lagen kräver att vi lagrar dina personuppgifter under en längre period eller raderar dem tidigare
• du utövar din rätt att få uppgifterna raderade (om det är tillämpligt i en jurisdiktion) och vi behöver inte behålla dem i samband med något av de skäl som är tillåtna eller krävs enligt lagen
• ii vissa fall tillåter lagen oss att behålla dina personuppgifter på obestämd tid förutsatt att vi inför vissa skyddsåtgärder.

Dina rättigheter

Varje jurisdiktion ger enskilda personer vissa lagstadgade rättigheter med avseende på deras personuppgifter. I vissa jurisdiktioner har individer ytterligare rättigheter – dessa beskrivs i Bilaga B.

De rättigheter som vi tillämpar som en del av vårt globala integritetsmeddelande och därmed inom alla jurisdiktioner är följande:

Rätt att lämna in klagomål – Du har rätt att lämna in ett klagomål till oss när som helst om du invänder mot det sätt på vilket vi har använt eller hanterat dina personuppgifter. Om du är missnöjd med vårt svar har du också rätt att eskalera ditt klagomål till den behöriga tillsynsmyndigheten i din jurisdiktion. Mer information kan finnas på den behöriga tillsynsmyndighetens webbplats (se Bilaga C).

Rätt till åtkomst – Alla individer har rätt att få åtkomst till sina personuppgifter som innehas av en organisation. Vanligtvis kostar det inte dig något att få svar på dessa förfrågningar. Om vi anser att begäran är orimlig kan du dock debiteras en avgift för att vi tillhandahåller dig ett register över dina personuppgifter som vi har i vår besittning. Dina personuppgifter kommer vanligtvis att tillhandahållas dig elektroniskt, om inte annat begärs. Om du har begärt att få ett register över dina personuppgifter som vi innehar på elektronisk väg kommer vi att göra vårt bästa för att tillhandahålla uppgifterna i det begärda formatet om vi kan göra det.

Rätt till rättelse – Vi vidtar rimliga åtgärder för att säkerställa att de personuppgifter som vi samlar in och lagrar om dig är korrekta och fullständiga. Om du anser att så inte är fallet har du dock rätt att när som helst begära att vi rättar felaktigheter.

Rätt att avstå från att ta emot direktmarknadsföring/återkallande av samtycke – Du kan när som helst be oss att sluta skicka marknadsföringsmeddelanden till dig. Se nedan för instruktioner om hur du kan göra detta.

Om du vill utöva någon av ovanstående rättigheter eller framföra klagomål om hur RLDatix har hanterat dina personuppgifter, vänligen se Bilaga D för kontaktuppgifter i din jurisdiktion. Under vissa omständigheter kan utövandet av vissa av dessa rättigheter leda till att vi inte kan fortsätta att tillhandahålla dig en viss tjänst och/eller vår affärsrelation med dig. Observera att vi i vissa fall av juridiska skäl kanske inte kan tillmötesgå din begäran. Om vi inte kan tillmötesgå din begäran kommer vi även att informera dig om skälen till detta.

Marknadsföring

Vi kan samla in dina önskemål om att få marknadsföringsinformation direkt från oss via e-post och/eller telefonsamtal på följande sätt:

• om du registrerar dig hos oss online för tjänster, t.ex. en demo
• om du gör en försäljningsförfrågan kan vi kontakta dig med marknadsföringsinformation på de sätt som anges i de meddelanden som du har fått, såvida du inte anger att du föredrar något annat
• om du anmäler dig till ett evenemang eller en konferens.

Den typ av marknadsföring som du kan förvänta dig att få, ifall du samtycker, kan omfatta nyhetsbrev, kampanjerbjudanden, eller inbjudningar till evenemang.

Vi kan kontakta dig med marknadsföringsinformation via post eller telefon eller med riktad reklam som levereras online via sociala medier och plattformar som drivs av andra företag genom att använda dina personuppgifter eller använda dina personuppgifter för att skräddarsy marknadsföring för att förbättra dess relevans.

Om du vill ändra dina marknadsföringspreferenser, vänligen kontakta [email protected] eller alternativt använd det avregistreringsalternativ som anges i marknadsföringskontakten.

Cookies och länkar till andra webbplatser

Liksom många andra webbplatser använder vår webbplats cookies, inklusive Google Analytics, för att få en övergripande bild av besökarnas vanor och besöksvolymer på vår webbplats. ”Cookies” är små bitar information som skickas till din dator eller enhet och lagras på dess hårddisk så att våra webbplatser kan känna igen dig när du besöker dem.

Vår webbplats kan innehålla länkar till andra webbplatser som drivs av andra organisationer, däribland Instagram, X (tidigare känt som Twitter) och Google. Eftersom detta meddelande inte gäller för dessa andra webbplatser, uppmanar vi dig att läsa deras integritetspolicyer. Vi kan inte ansvara för integritetspolicyer och praxis på andra webbplatser, även om du besöker dem via länkar som vi tillhandahåller. Om du har kommit till vår webbplats från en tredje parts webbplats kan vi inte heller ansvara för den integritetspolicy och praxis som gäller för ägare och operatörer av den tredje partens webbplats och rekommenderar att du kontrollerar meddelandet på den tredje partens webbplats.

Det är möjligt att stänga av cookies via inställningarna i din webbläsare. Mer information om hur vi använder cookies och hur du stänger av dem på din enhet finns i vårt Cookies-meddelande.

Integrering

Vissa delar av vår webbplats kan använda videotjänsterna från YouTube och Vimeo.  YouTube och Vimeo använder cookies för att samla in användnings- och användarrelaterad information om ditt besök på vår webbplats. Inga personuppgifter överförs automatiskt till YouTube och Vimeo när du besöker vår webbplats.

Om du vill vara säker på att inga personuppgifter samlas in och behandlas av YouTube och Vimeo ska du inte klicka på de inbäddade videoklippen.

Vi använder karttjänsten Google Maps på vår webbplats för att tillhandahålla vägbeskrivningar till våra kontor. När du besöker vår webbplats där Google Maps-kartan är integrerad, laddar din webbläsare Google Maps-karttjänsten i din webbläsares cache för att visa den på vår webbplats.

Vi använder externa teckensnitt från Google Fonts så att din webbläsare laddar de nödvändiga webbteckensnitten i din webbläsares cache för att visa texter och teckensnitt korrekt när du besöker vår webbplats.

För dessa integrationer godkänner du genom att besöka vår webbplats att din webbläsare upprättar en anslutning till respektive server och förser dem med information, inklusive din IP.

Ändringar av detta meddelande

Observera att detta meddelande kommer att ses över och kan komma att ändras från tid till annan. Eventuella ändringar som vi gör i detta meddelande i framtiden kommer att läggas ut på våra webbplatser.

Bilaga A – Bolag

Region/land	Bolag
APAC	Dynama Solutions Inc RLDatix Australia Pty Ltd
Kanada	RLDatix North America Inc
Tyskland	RLDatix Gmbh
MEA	Datix Arabia
Nordmakedonien	Allocate Software Dooel Skopje
Sverige	RLDatix AB
Storbritannien	Allocate Software Limited Datix Limited Dynama Solutions Inc Quality Compliance Systems Cloud9 Software Limited
USA	Allocate Software Inc Datix (USA) Inc Dynama Solutions Inc Porzio Life Sciences LLC iContracts Inc

 

 

 

Bilaga B – Ytterligare BESTÄMMELSER (rättsliga)

För personer bosatta i Australien gäller följande ytterligare rättigheter globalt:

Anonymitet och pseudonym – Personer som har kontakt med oss har möjlighet att vara anonyma eller använda en pseudonym såvida vi inte:

• är skyldiga eller auktoriserade enligt lag eller ett domstolsbeslut att hantera identifierade personer eller
• det är praktiskt omöjligt för oss att kontakta dig om du inte har identifierat dig.

Om vi inte kan samla in dina personuppgifter – Förutom att vi inte kan tillhandahålla vissa produkter eller tjänster till dig, kan följande också inträffa:

• vi kanske inte kan förse dig med information som du begärt och/eller
• vi kanske inte kan erbjuda dig anställning hos oss.

Hantering av oönskade personuppgifter – I allmänhet registreras merparten av den information som vi tar emot omedelbart och automatiskt (dvs. de flesta dokument som tas emot skannas till en elektronisk bild eller så används onlinesystem).

Om det blir uppenbart att en kommunikation innehåller oönskade personuppgifter som annars inte kan begäras eller användas på ett lagligt sätt, kommer vi att göra rimliga försök att radera, förstöra eller avidentifiera uppgifterna. Om det inte är praktiskt möjligt att göra detta (t.ex. om den oönskade informationen är kombinerad med nödvändig information) kommer uppgifterna att sparas, med förbehåll för de skyddsåtgärder som anges i detta integritetsmeddelande.

Lämna ut dina personuppgifter utanför Australien – Som ett led i att tillhandahålla tjänster till dig och i vår egenskap av tjänsteleverantör kan personuppgifter ibland lagras eller behandlas på platser utanför Australien.

Vi kan lämna ut personuppgifter till företag, tredjepartsleverantörer och tjänsteleverantörer som är belägna utomlands. Detta inkluderar IT-tjänsteleverantörer och andra tredjepartsleverantörer som finns utomlands.

De länder som vi kan lämna ut dina personuppgifter till och som är belägna utanför Australien omfattar vid datumet för detta meddelande Storbritannien, USA och Nordmakedonien.

Kanada

De kanadensiska integritetslagarna föreskriver att RLDatix endast får samla in, använda och lämna ut personuppgifter för ändamål som en rimlig person skulle anse vara lämpliga med hänsyn till omständigheterna. Samtycke krävs för insamling, användning och utlämnande av personuppgifter.  Beroende på hur känsliga personuppgifterna är kan samtycke ges genom att väljas eller väljas bort.

Var och en av de kanadensiska integritetslagarna ger också enskilda personer följande rättigheter:

• rätt till tillgång till personuppgifter som innehas av en organisation, med förbehåll för begränsade undantag
• rätt till rättelse av felaktigheter i/uppdatering av deras personuppgiftsregister
• rätt att återkalla samtycke till användning eller kommunikation av personuppgifter.

MEA

Rätt att bli informerad – Du har rätt att få information om grunden för behandlingen och rätt att inte få dina personuppgifter behandlade för något annat ändamål utan samtycke

Rätt till åtkomst – Du har rätt att få åtkomst till dina personuppgifter, inklusive rätten att granska dem och få en kopia

Rätt till rättelse – Du har rätt att få dina personuppgifter rättade om de är felaktiga eller ofullständiga.

Rätt till förstörelse – du har rätt att begära att personuppgifterna förstörs när de inte längre behövs för det ändamål för vilket de ursprungligen samlades in

För personer bosatta i Storbritannien, Europeiska unionen (EU) samt Nordmakedonien gäller följande ytterligare rättigheter:

Rätt till radering –

(ibland kallad ”rätten att bli bortglömd”). Den allmänna principen som ligger till grund för denna rättighet är att du ska kunna begära att personuppgifter raderas eller tas bort om det inte finns något tvingande skäl för att fortsätta behandla dem.

Rätt att begränsa behandlingen –

Den grundläggande principen bakom denna rättighet är att begränsa behandlingen av personuppgifter om något av följande gäller:

1. du bestrider att personuppgifterna är korrekta, under en period som gör det möjligt för oss att kontrollera att personuppgifterna är korrekta
2. behandlingen är lagstridig och du motsätter dig att personuppgifterna raderas och begär istället att användningen av dem begränsas
3. vi behöver inte längre personuppgifterna för ändamålen med behandlingen, men de krävs av dig för att fastställa, göra gällande eller försvara rättsliga anspråk
4. du har invänt mot behandling i enlighet med artikel 21 (1) i avvaktan på kontroll av huruvida våra berättigade skäl väger tyngre än dina.

Rätt till dataportabilitet –

Du kan få tillgång till och återanvända dina personuppgifter för dina egna syften i olika tjänster genom att du enkelt kan flytta, kopiera eller överföra personuppgifter från en IT-miljö till en annan.

Rätt att återkalla samtycke – om behandlingen grundar sig på samtycke har du rätt att återkalla ditt samtycke till fortsatt användning av dina personuppgifter. Om du återkallar ditt samtycke kan det hända att vi inte kan tillhandahålla vissa produkter och/eller tjänster till dig och/eller upprätthålla en affärsrelation med dig. Om så är fallet kommer vi att berätta det för dig när du ber om att få återkalla ditt samtycke.

Rätt att bli informerad – Du har rätt att få information om vissa frågor som rör behandlingen av dina personuppgifter och att få denna information inom vissa tidsfrister.

Rätt till åtkomst – Du har rätt att få: bekräftelse på att dina personuppgifter behandlas; tillgång till dina personuppgifter

Rätt till rättelse – Du har rätt att få dina personuppgifter rättade om de är felaktiga eller ofullständiga.

Rätt att invända – Den grundläggande principen bakom denna rättighet är att du har rätt att invända mot: behandling som grundar sig på berättigade intressen eller utförande av en uppgift av allmänt intresse/utövning av offentlig befogenhet (inklusive profilering), direktmarknadsföring (inklusive profilering), och behandling för vetenskapliga/historiska forskningsändamål eller statistik.

Rättigheter avseende automatiserat beslutsfattande och profilering – Denna rättighet gäller inte under alla omständigheter, men där den gäller ger den dig ett effektivt skydd mot risken att ett potentiellt skadligt beslut fattas enbart på grundval av automatiserade förfaranden, utan mänsklig inblandning, vilket har rättsverkningar som rör dig eller påverkar dig avsevärt

USA

USA har ingen heltäckande federal integritetslagstiftning, men det finns ett stort antal delstatsspecifika integritetslagar. Denna tabell omfattar de lagar som har antagits fram till april 2024. Därför rekommenderar vi att du söker råd från din lokala dataskyddsmyndighet eller kontaktar RLDatix integritetsansvarige.

Beroende på i vilken jurisdiktion du befinner dig kan du ha de rättigheter som anges nedan:

	California Consumer Privacy Act	California Privacy Rights Act	Colorado, Connecticut, Indiana, Montana, New Jersey, Oregon, Tennessee, Texas, Virginia	New Hampshire	Delaware	Iowa	Utah
Rätt till åtkomst	X	X	X	X	X	X	X
Rätt till rättelse		X	X	X	X		X
Rätt till radering	X	X	X	X	X	X	X
Rätt att välja bort viss behandling				X
Rätt att välja bort behandling av känsliga uppgifter		X
Rätt att välja bort behandling för profilering/riktad reklam			X		X		X
Rätt till portabilitet	X	X	X	X	X	X	X
Rätt att välja bort försäljning	X	X	X	X	X	X	X
Rätt att välja känslig databehandling			X	X	X		X
Rätt att motsätta sig automatiserat beslutsfattande		X			X
Rätt att motsätta sig visst automatiserat beslutsfattande			X	X
Privat rätt att väcka talan	begränsad till endast vissa överträdelser	begränsad till endast vissa överträdelser

 

 

 

Bilaga C – Tillsynsmyndighet per jurisdiktion

I denna bilaga finns kontaktuppgifter till de jurisdiktioner där vi är skyldiga att ge dig denna information för att stödja ett klagomål om hur vi har hanterat din information.

Land	Myndighetens namn	Webbplats	Kontaktuppgifter
Australien	Office of the Australian Information Commissioner (OAIC)	www.oaic.gov.au	GPO Box 5218, Sydney NSW 2001, Australien T 1300 363 992 [email protected]
Kanada	Office of the Privacy Commissioner (OPC)	www.priv/gc/ca/EN/	Office of the Privacy Commissioner of Canada 30, Victoria Street Gatineau, Quebec K1A 1H3, Kanada
Tyskland	Tyskland har en dataskyddsmyndighet för var och en av de 16 tyska delstaterna (Länder).	En förteckning över tillsynsmyndigheterna (för den icke-offentliga sektorn) med adress finns på: https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html
MEA	Saudisk data- och AI-myndighet	www.sdaia.gov.sa	Das Unified Call Center – 8001221111 E-post – [email protected] RD04 Al Raidah Digital City, Al Nakhil, Saudi-Arabian Riyadh, Riyadh 12382 Sa.
Nordmakedonien	Personal Data Protection Agency	Agency for Personal Data Protection of North Macedonia – https://azlp.mk/azlp/	Personal Data Protection Agency of North Macedonia   bul. “Goce Delchev” no. 18, (the Macedonian Radio Television MRTV building – floor 14), PO Box 417, 1000 Skopje, Nordmakedonien Telefonnummer: ++ 389 (2)3230 635 ++ 389 (2)3230 617
Nya Zeeland	New Zealand Privacy Commissioner	https://www.privacy.org.nz/	https://www.privacy.org.nz/your-rights/making-a-complaint/complaint-self-assessment/ Eller genom att skriva till New Zealand Privacy Commissioner PO Box 10 094, Wellington 6143, Nya Zeeland
Sverige	Swedish Authority for Privacy Protection	https://www.imy.se/en/	Integritetsskyddsmyndigheten, Box 8114, 104 20 Stockholm, Sverige
Storbritannien	Information Commissioner’s Office	www.ico.org.uk	Wycliffe House, Water Lane Wilmslow, Cheshire SK9 5AF, Storbritannien T +0303 123 1113 (eller +44 1625 545745 från utlandet) 01625 524510
USA	USA har en dataskyddsmyndighet för stater där integritetslagar har antagits	Kalifornien: California Privacy Protection Agency (CPPA) Colorado: Colorado Attorney General Connecticut:  The Connecticut Data Privacy Act Delaware: Delaware Department of Justice – State of Delaware Indiana: Office of the Indiana Chief Data Officer: Indiana Privacy & Data Ethics Program Iowa: Homepage | Iowa Attorney General Montana: dojmt.gov New Jersey:  https://www.jerseyoic.org/resource-room/data-protection/ Oregon: Department of Consumer and Business Services : Department of Consumer & Business Services : State of Oregon, doj.state.or.us Tennessee: Tennessee State Government – TN.gov Texas: Office of the Attorney General (texasattorneygeneral.gov) Utah: Utah Attorney General – Protecting Utah. Protecting You. Virginia: Home (state.va.us)

 

Bilaga D – Integritetsansvariga/kontaktuppgifter

 

 

Jurisdiktion	Integritetsansvarig	Plats	e-post/kontakt
APAC	Vicki Knevett	Level 10, 71 Queens Road Melbourne, 3000 Australien	[email protected]
EU/Storbritannien*	June Lewis	2nd Floor, 1 Church Road Richmond TW9 2QE Storbritannien	[email protected]
MEA	June Lewis	2nd Floor, 1 Church Road Richmond TW9 2QE Storbritannien	[email protected]
MKD	Biljana Volceska Aceska	Arts Center Skopje (Second Building of the Holocaust Museum) 11-ti Mart Br. 2, 1000 Skopje Nordmakedonien	[email protected]
NAM	Pooja Patel	311 South Wacker Drive, Suite 4900 Chicago, Illinois USA 60606	[email protected]
Sverige – RLDatix AB	June Lewis	2nd Floor, 1 Church Road Richmond TW9 2QE Storbritannien	[email protected]
*Platserna inkluderar Irland och Tyskland