Metall Svanljung & Co AB

Dataskyddspolicy Metall Svanljung & CO AB

Senast reviderad: 2019-02-12

1. Inledning och syfte

I denna dataskyddspolicy finns information om hur Metall Svanljung & CO AB med organisationsnummer 559174-1052 , hanterar och behandlar personuppgifter. Denna policy är skriven och skapad av Digitala Juristerna (www.digitalajuristerna.se). Nedan refereras till ”vi”, ”oss”, ”vår” eller ”våra”, varvid menas Metall Svanljung & CO AB.

Vi köper och säljer metaller som inlämnas till oss från både privatpersoner och företag. Alla som frivilligt lämnar sina personuppgifter till oss kan i detta dokument läsa om hur uppgifterna behandlas och vilka rättigheter de har. Vi förbehåller oss rätten att uppdatera och ändra innehållet i denna policy från tid till annan vid behov. Den senaste versionen av vår Dataskyddspolicy finns alltid tillgänglig för allmänheten på vår hemsida.

Syftet med denna policy är att säkerställa att vi hanterar personuppgifter i enlighet med Dataskyddsförordningen (General Data Protection Regulation – GDPR). Policyn omfattar all behandling av personuppgifter i såväl strukturerad som ostrukturerad data och gäller för både våra kunder, leverantörer och anställda.

2. Begrepp och förkortningar

Personuppgift: Alla uppgifter som hänför sig till en levande fysisk person, som direkt eller indirekt kan knytas till personen. Tex. Namn, adress, personnummer, e-mail, profilbild.

Registrerad: Den fysiska person, som direkt eller indirekt kan identifieras genom personuppgifterna.

Personuppgiftsbehandling: En åtgärd eller kombination av åtgärder beträffande personuppgifter. Exempel: insamling, bokning, registrering, lagring, organisering och strukturering av personuppgifter.

3. Personuppgiftsansvarig

Metall Svanljung & CO AB är personuppgiftsansvarig för behandlingen av personuppgifter och ansvarar för att sådan behandling sker på lagligt sätt och i enlighet med denna policy. Vi ansvarar för att behandlingen av personuppgifter följer denna policy (enligt principen om ansvarsskyldighet), som fastställs minst en (1) gång per år och uppdateras vid behov. Vi överför inga personuppgifter till ett land utanför EU/ESS om inte överföringen uppfyller kraven enligt gällande dataskyddslagstiftning.

Kontaktuppgifter till kontaktperson för personuppgiftsärenden

Namn: Nichlas Svanljung.

Mail: metall@svanljungsmetall.se.

Tel: 076-227 13 40.

Våra skyldigheter

Vi implementerar lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna enligt gällande dataskyddslagstiftning. Vi har även upprättat interna rutiner för att uppfylla våra åtaganden enligt gällande dataskyddslagstiftning.

4. Behandling av personuppgifter

Varför vi behandlar personuppgifter

Personuppgifter lämnas till oss i samband med att en kundrelation inleds och ett avtal ingås, ett uppdrag lämnas eller i övrigt i samband med en kundrelation. Personuppgifter kan även behandlas vid kontakt med leverantörer, samarbetspartners och övriga intressenter.

Vi behandlar personuppgifter för att vi ska kunna leverera vår tjänst till Kunder/Leverantörer och för att vi ska driva, tillhandahålla och underhålla våra tjänster. Vi behöver behandla personuppgifter för att vi ska sköta vår administration och fullgöra ingångna avtal och våra övriga förpliktelser enligt lag, såsom exempelvis att sköta vår bokföring korrekt enligt Bokföringslagen (1999:1078).

Vilka personuppgifter vi behandlar

Vi försöker att arbeta främst genom principen om uppgiftsminimering avseende lagring av personuppgifter, dvs. genom att endast behandla personuppgifter som är nödvändiga, adekvata och relevanta för varje enskilt ändamål. Vi samlar inte medvetet in någon information om barn, eftersom våra tjänster inte är avsedda för personer under 18 år. De vanligaste personuppgifterna vi behandlar enligt principen om ändamålsbegränsning är:

• namn,
• personnummer,
• e-postadress,
• telefonnummer,
• betalnings- och kontouppgifter.

Hur vi samlar in personuppgifter

Mottagandet av personuppgifter sker genom att Kunder/Leverantörer kontaktar oss eller ingår avtal med oss avseende våra tjänster. När vi köper metaller från våra kunder inhämtas personuppgifter genom att vi kontrollerar och behandlar kundens fullständiga namn och personnummer, för att utfärda ett kvitto på köpet. Utöver dessa personuppgifter behöver vi även behandla kontonummer och nödvändiga bankuppgifter, för utbetalning av köpet. Vi sparar alltid en fysiska kopior av utfärdade kvitton i ett låst kassaskåp utom räckhåll för obehöriga. Personuppgifterna behandlas varsamt och delas inte till obehöriga. Om vi vill registrera fler personuppgifter än vad som är nödvändigt, måste vi först fråga om lov och få ett godkännande.

Rättslig grund för personuppgiftsbehandlingen

Det krävs att vi har så kallad ”rättslig grund” för att få behandla personuppgifter, enligt principen om lagenlighet, korrekthet och öppenhet. Rättslig grund inhämtar vi i första hand genom avtal med Kund/Leverantör, vilket ger oss rätt att behandla personuppgifter för att kunna fullgöra avtalet, exempelvis för att genomföra köp och fakturering. Vid behandling i syfte att fullgöra avtal anses Kunden/Leverantören ha förstått och accepterat att behandling av dennes personuppgifter kommer att ske, för att vi ska kunna fullgöra avtalet mellan oss och tillhandahålla vår tjänst.

När vi har en rättslig förpliktelse att behandla personuppgifter, exempelvis enligt bokföringslagen för att vi ska sköta vår fakturering och bokföring korrekt, behandlas och lagras endast nödvändiga personuppgifter för att vi ska uppfylla våra rättsliga förpliktelser.

Rättslig grund kan vi även inhämta med stöd av en så kallad intresseavvägning. Exempelvis kan vi behandla personuppgifter för att kunna skicka erbjudanden om våra tjänster. Vi behandlar dock aldrig känsliga personuppgifter med stöd av intresseavvägning. 

Vi kan även få rättslig grund att behandla personuppgifter genom att Kund/Leverantör frivilligt lämnar ett uttryckligt samtycke (godkännande) till behandlingen. Samtycket kan alltid återkallas genom att skriftligen meddela det till vår kontaktperson för personuppgiftsärenden.

Vart personuppgifterna lagras

Vi strävar efter att samtliga personuppgifter som vi behandlar ska lagras i Sverige, i svenska servrar och system (enligt principen om integritet och konfidentialitet). Fysiska dokument och avtal samt kvitton, lagras i ett låst kassaskåp utom räckhåll för obehöriga. Personuppgifter lagras även hos vår bank, mailleverantör, redovisningsbyrå samt i vårt faktureringssystem.

Uppgifterna får inte lagras under längre tid än vad som är nödvändigt för att uppfylla de ändamål för vilka de samlades in. Personuppgifter som inte längre får lagras, raderas med jämna mellanrum (enligt principen om lagringsminimering). Något som kan påverka lagringstiden är bokföringslagen. Uppföljning och utvärdering av vår hantering av personuppgifter sker årligen.

Hur länge personuppgifterna sparas

Vi sparar personuppgifter så länge de behövs och är nödvändiga, för att fullgöra de ändamål som uppgifterna samlades in för. Uppgifterna kan komma att sparas under en längre tid om det behövs för att vi ska följa gällande lagstiftning. Informationen kan sparas under viss tid för säkerhetskopiering, arkivering, revision, eller för att på annat sätt behålla och förbättra våra tjänster. Personuppgifter om en tidigare Kund/Leverantör, får användas för marknadsföringsändamål under ett (1) års tid efter att relationen har upphört. Gallring av icke längre nödvändiga personuppgifter sker minst en (1) gång per år.

5. De registrerades rättigheter

Alla personer vars personuppgifter vi behandlar, har rätt att kostnadsfritt:

• få tillgång till sina personuppgifter.
• få felaktiga personuppgifter rättade.
• få sina personuppgifter raderade.
• invända mot att personuppgifterna användas för direktmarknadsföring och profilering.

Vänligen kontakta vår kontaktperson för personuppgiftsärenden, om ni vill att något av ovanstående utförs avseende era personuppgifter. Vi skyddar även personuppgifter genom att vi har vidtagit de säkerhetsåtgärder som behövs, både tekniska och organisatoriska, för att säkerställa att behandlingen sker enligt gällande lagstiftning. Vi har upprättat interna rutiner för gallring av personuppgifter, hur de registrerades rättigheter tillgodoses och personuppgiftsincidenter. Vi för även en intern förteckning över personuppgiftsbehandlingen, för att på bästa sätt kunna tillgodose de registrerades rättigheter.

6. Underbiträden

Som en del av leveransen av våra tjänster, använder vi oss av underleverantörer i rollen underbiträden och genom dessa behandlas personuppgifter på uppdrag av oss. Exempel på underleverantörer som vi använder är vår mailleverantör, redovisningsbyrå, bank och faktureringssystem. Detta innebär att vi kan lämna ut personuppgifter till tredje part, som utgörs av våra samarbetspartners och leverantörer, för att fullgöra våra förpliktelser enligt avtal, lagen, krav från myndigheter, för att tillvarata våra rättsliga intressen eller för att upptäcka och förebygga tekniska- eller säkerhetsproblem.

Vi kan dela personuppgifter till ett land utanför EU/EES, om någon av våra underbiträden befinner sig där. Vi säljer aldrig personuppgifter till tredje part utan den registrerades föregående samtycke. Vi säkerställer att våra underbiträden agerar i enlighet med gällande dataskyddslagstiftning och vi kommer att underrätta de registrerade innan väsentliga ändringar av underbiträde sker. En ändring av underbiträde ska dock inte i sig betraktas som ett brott mot ingångna avtal mellan oss och den registrerade.

Genom att ingå avtal med oss, accepterar Kunder/Leverantörer att vi använder oss av underbiträden på så sätt som ovan har beskrivits. Vi får därmed rätt att anlita underleverantörer för fullgörandet av våra åtaganden enligt lag, dessa villkor och för att våra tjänster ska kunna tillhandahållas och förbättras.

7. Klagomål

Eventuella klagomål på vår behandling av personuppgifter kan meddelas till vår kontaktperson för personuppgiftsärenden och till Datainspektionen som är tillsynsmyndighet.

8. Personuppgiftsincidenter

En personuppgiftsincident är exempelvis ett dataintrång eller annan händelse, som innebär att kontrollen över de personuppgifter som vi behandlar förloras. Eventuella incidenter rörande personuppgifter som vi behandlar ska utan dröjsmål rapporteras till vår kontaktperson för personuppgiftsärenden. Alla sådana händelser dokumenteras internt och anmäls till Datainspektionen inom 72 timmar.

9. Personuppgiftsbiträdesavtal

Vi får endast behandla personuppgifter på uppdrag av och i enlighet med Kundens/Leverantörens instruktioner. Vi instrueras härmed att behandla personuppgifter endast i enlighet med gällande lag, för att uppfylla alla förpliktelser enligt avtal mellan oss och på så sätt som anges i detta avtal.

Kunden/Leverantören bekräftar härmed att denne, i egenskap av Personuppgiftsansvarig, vid ingående av avtal med oss avseende våra tjänster:

• behandlar personuppgifter i enlighet med kraven i gällande dataskyddslagstiftning,
• har rättslig grund att behandla och utlämna de aktuella personuppgifterna till oss, inklusive till eventuella underbiträden som vi använder,
• är ensamt ansvarig för riktigheten, integriteten, innehållet, tillförlitligheten och lagenligheten av de personuppgifter som lämnats till oss, 
  
• instämmer i att vår implementering av tekniska och organisatoriska säkerhetsåtgärder är tillräckliga för att skydda de registrerades integritet och personuppgifter,
• inte ska överföra några känsliga personuppgifter till varken oss eller nätbutiken, tex. uppgift om etniskt ursprung, hälsa, sexuell läggning, politiska åsikter, religiös övertygelse m.fl.

Vi ska säkerställa konfidentialitet, integritet och tillgänglighet av personuppgifter enligt gällande dataskyddslagstiftning även efter att avtalsförhållandet mellan oss har upphört.

Vi ska genomföra systematiska, organisatoriska och tekniska åtgärder för
att säkerställa en lämplig säkerhetsnivå, med hänsyn tagen till den senaste tekniken och implementationskostnader i förhållande till den risk som behandlingen innebär och typen av personuppgifter som ska skyddas.

Vi ska bistå Kunder/Leverantörer med lämpliga tekniska och organisatoriska åtgärder, så
långt det är möjligt med hänsyn tagen till
typen av behandling och den informationen som är tillgänglig för oss, för att Kunden/Leverantören ska uppfylla sina skyldigheter enligt gällande dataskyddslagstiftning avseende förfrågningar från registrerade och allmänt dataskydd enligt Dataskyddsförordningen artikel 32-36.

Vi ska göra det möjligt för Kunder/Leverantörer att uppfylla de rättsliga krav som
gäller för information till relevanta dataskyddsmyndigheter och registrerade vid personuppgiftsincidenter. Vi ska, i den utsträckning det är praktiskt möjligt och lagligt, meddela Kund/Leverantör om förfrågningar om utlämnande av personuppgifter som erhållits från en registrerad och om förfrågningar från myndigheter, exempelvis Polisen, om utlämnande av personuppgifter.

Vi får inte utan föregående medgivande från Kund/Leverantör svara direkt på förfrågningar från Registrerade, eller delge innehåll rörande avtalet till myndigheter som Polisen, inklusive personuppgifter, med undantag för vad som är lagstadgat, exempelvis genom domstolsbeslut eller liknande beslut.

Kunden/Leverantören har rätt att genomföra årlig revision av vår personuppgiftshantering och ger oss befogenhet, att av säkerhetsskäl bestämma att revision ska utföras av en neutral tredjepartsrevisor. Kunden/Leverantören står för eventuella kostnader som uppstår i samband med begärda revisioner. Hjälp från oss, som överstiger standardtjänsten som vi tillhandahåller och/eller underleverantörer för att följa gällande dataskyddslagstiftning, kommer att debiteras.

När vårt avtalsförhållande upphör kommer vi att radera samtliga icke nödvändiga personuppgifter som behandlats på uppdrag av Kunden/Leverantören. Vi kan behålla personuppgifter efter att vårt avtalsförhållande har upphört i den utsträckning det krävs enligt lag, med samma typ av tekniska och organisatoriska säkerhetsåtgärder som beskrivs i denna dataskyddspolicy.