Integritetspolicy

Vilka är vi?


Ange namn och kontaktuppgifter till den personuppgiftsansvarige. Detta kommer vanligtvis att vara ditt företag eller du, om du är enskild näringsidkare. I tillämpliga fall bör du inkludera identiteten och kontaktuppgifterna för den registeransvariges representant och/eller dataskyddsombudet.

Vilken information samlar vi in?


Ange vilka typer av personlig information du samlar in, t.ex. namn, adresser, användarnamn etc. Du bör inkludera specifik information om:
hur du samlar in data (t.ex. när en användare registrerar sig, köper eller använder dina tjänster, fyller i ett kontaktformulär, registrerar sig för ett nyhetsbrev, etc)
vilken specifik data du samlar in genom var och en av datainsamlingsmetoderna
om du samlar in data från tredje part måste du ange kategorier av data och källa
om du behandlar känsliga personuppgifter eller ekonomisk information, och hur du hanterar detta



Du kanske vill förse användaren med relevanta definitioner i relation till personuppgifter och känsliga personuppgifter.



Hur använder vi personlig information?


Beskriv i detalj alla tjänste- och affärsrelaterade ändamål för vilka du kommer att behandla data. Detta kan till exempel inkludera saker som:
personalisering av innehåll, affärsinformation eller användarupplevelse
kontouppsättning och administration
leverera marknadsföring och evenemangskommunikation
genomföra undersökningar och undersökningar
interna forsknings- och utvecklingsändamål
tillhandahålla varor och tjänster
juridiska skyldigheter (t.ex. förhindrande av bedrägeri)
uppfylla kraven på internrevision



Observera att denna lista inte är uttömmande. Du kommer att behöva registrera alla ändamål för vilka du behandlar personuppgifter.



Vilken rättslig grund har vi för att behandla dina personuppgifter?


Beskriv de relevanta behandlingsvillkoren som finns i GDPR. Det finns sex möjliga rättsliga grunder:
samtycke
avtal
legitima intressen
vitala intressen
offentlig uppgift
rättslig skyldighet



Ge detaljerad information om alla skäl som gäller din behandling och varför. Om du förlitar dig på samtycke, förklara hur individer kan dra tillbaka och hantera sitt samtycke. Om du förlitar dig på legitima intressen, förklara tydligt vad dessa är.



Om du behandlar personuppgifter av särskild kategori måste du uppfylla minst ett av de sex behandlingsvillkoren, samt ytterligare krav för behandling enligt GDPR. Ge information om alla ytterligare grunder som gäller.



När delar vi personuppgifter?


Förklara att du kommer att behandla personuppgifter konfidentiellt och beskriv omständigheterna när du kan avslöja eller dela dem. T.ex. när det är nödvändigt för att tillhandahålla dina tjänster eller bedriva din affärsverksamhet, som beskrivs i dina syften för bearbetning. Du bör ge information om:
hur du kommer att dela data
vilka skyddsåtgärder du kommer att ha på plats
vilka parter du får dela uppgifterna med och varför

Var lagrar och behandlar vi personuppgifter?


Om tillämpligt, förklara om du avser att lagra och behandla data utanför den registrerades hemland. Beskriv de steg du kommer att vidta för att säkerställa att uppgifterna behandlas i enlighet med din integritetspolicy och tillämplig lag i det land där uppgifterna finns.

Om du överför data utanför Europeiska ekonomiska samarbetsområdet, beskriv de åtgärder du kommer att vidta för att tillhandahålla en lämplig nivå av dataintegritetsskydd. T.ex. avtalsklausuler, dataöverföringsavtal m.m.

Hur skyddar vi personuppgifter?


Beskriv din inställning till datasäkerhet och de tekniker och procedurer du använder för att skydda personlig information. Dessa kan till exempel vara åtgärder:
för att skydda data mot oavsiktlig förlust
för att förhindra obehörig åtkomst, användning, förstörelse eller avslöjande
för att säkerställa affärskontinuitet och katastrofåterställning
för att begränsa tillgången till personlig information
att genomföra integritetskonsekvensbedömningar i enlighet med lagen och din affärspolicy
att utbilda personal och entreprenörer i datasäkerhet
att hantera tredje parts risker, genom användning av kontrakt och säkerhetsgranskningar



Observera att denna lista inte är uttömmande. Du bör registrera alla mekanismer du litar på för att skydda personuppgifter. Du bör också ange om din organisation följer vissa accepterade standarder eller regulatoriska krav.



Hur länge sparar vi dina personuppgifter?


Ge specifik information om hur länge du kommer att behålla informationen i förhållande till varje behandlingsändamål. GDPR kräver att du inte lagrar data längre än vad som rimligen är nödvändigt. Inkludera information om dina data eller registerlagringsscheman, eller länka till ytterligare resurser där dessa publiceras.



Om du inte kan ange en specifik period måste du ange de kriterier du kommer att tillämpa för att avgöra hur länge du ska behålla uppgifterna (t.ex. lokala lagar, avtalsförpliktelser, etc)



Du bör också beskriva hur du säkert gör dig av med data när du inte längre behöver den.



Dina rättigheter i förhållande till personuppgifter


Enligt GDPR måste du respektera registrerades rätt att få tillgång till och kontrollera sina personuppgifter. I ditt integritetsmeddelande måste du beskriva deras rättigheter med avseende på:
tillgång till personlig information
rättelse och radering
återkallande av samtycke (om data behandlas på villkor av samtycke)
dataportabilitet
begränsning av behandlingen och invändning
lämna in ett klagomål till informationsnämndens kontor

Du bör förklara hur individer kan utöva sina rättigheter och hur du planerar att svara på förfrågningar om ämnesdata. Ange om några relevanta undantag kan gälla och ange eventuella förfaranden för identitetsverifiering som du kan lita på.

Inkludera detaljer om omständigheterna där den registrerades rättigheter kan begränsas, t.ex. om uppfyllande av den registrerades begäran kan avslöja personuppgifter om en annan person, eller om du ombeds att radera uppgifter som du är skyldig att behålla enligt lag.

Användning av automatiskt beslutsfattande och profilering


Där du använder profilering eller annat automatiserat beslutsfattande måste du uppge detta i din integritetspolicy. I sådana fall måste du lämna information om förekomsten av automatiserat beslutsfattande, tillsammans med information om logiken som är involverad och den sannolika betydelsen och konsekvenserna av behandlingen av individen.

Hur kontaktar man oss?


Förklara hur den registrerade kan ta kontakt om de har frågor eller funderingar om din sekretesspraxis, deras personliga information eller om de vill lämna in ett klagomål. Beskriv alla sätt på vilka de kan kontakta dig – t.ex. online, via e-post eller post.



Om tillämpligt kan du även inkludera information om:



Användning av cookies och annan teknik


Du kan inkludera en länk till ytterligare information, eller beskriva i policyn om du avser att ställa in och använda cookies, spårning och liknande tekniker för att lagra och hantera användarpreferenser på din webbplats, annonsera, aktivera innehåll eller på annat sätt analysera användar- och användningsdata. Ge information om vilka typer av cookies och tekniker du använder, varför du använder dem och hur en individ kan kontrollera och hantera dem.



Länka till andra webbplatser/tredje parts innehåll
Om du länkar till externa webbplatser och resurser från din webbplats, var specifik om huruvida detta utgör stöd och om du tar något ansvar för innehållet (eller informationen på) någon länkad webbplats.



Du kanske vill överväga att lägga till andra valfria klausuler till din integritetspolicy, beroende på ditt företags omständigheter.