Integritetspolicy
Inledning
I denna integritetspolicy kan du läsa om hur Setly Sweden AB med org. nr: 559060-9045 (nedan kallad “Bolaget” och refererad till som “vi”, “vår”, “oss”) behandlar Personuppgifter. Hänvisningar till “du”, “dig”, “din” avser den Registrerade person vars Personuppgifter vi Behandlar.
Här har vi sammanställt information om bland annat varför Personuppgifterna blir Behandlade och vart de blir lagrade. Vi beskriver också vem de blir delade till, vilka rättigheter de Registrerade har enligt GDPR samt övrig information om vår Behandling av Personuppgifter. Denna integritetspolicy omfattar samtliga typer av Personuppgifter, i både strukturerade och ostrukturerade data.
Definitioner
Följande begrepp som förekommer i denna Integritetspolicy ska ha nedan angiven innebörd, både när de uttrycks i plural och singular:
Webbplatsen: https://setly.com/
Kund: Avser fysisk eller juridisk person som ingår ett avtal med Setly Sweden AB avseende Setly Sweden AB:s tjänster.
Tjänster: Avser de tjänster Setly Sweden AB vid var tid tillhandahåller.
Personuppgifter: Alla uppgifter som, direkt eller indirekt, ensamt eller tillsammans med andra uppgifter, kan bli kopplade till en identifierad eller identifierbar fysisk levande person, är Personuppgifter enligt GDPR. Vanliga exempel på Personuppgifter är: namn, telefonnummer, adress, e-postadress, användar-ID, kontokortsnummer, registreringsnummer på ett fordon, IP-adress m.m.
Registrerad: Den person som kan bli identifierad genom Personuppgifterna.
Behandling: Behandling av Personuppgifter kan ske på olika sätt. Allt som sker med Personuppgifter, automatiserat eller på annat sätt, är en form av Behandling. Behandling kan ske genom en enskild åtgärd eller genom kombination med olika åtgärder. Exempel på vanliga Behandlingar av Personuppgifter är lagring, radering, delning, inläsning, registrering, kopiering, insamling, organisering, användning, justering, förstöring m.m.
Personuppgiftsansvarig: Den som bestämmer ändamålet med en viss Behandling av Personuppgifter och hur Behandlingen ska gå till, är enligt GDPR att anse som Personuppgiftsansvarig. Fysiska personer, juridiska personer, myndigheter, institutioner eller andra organ kan vara Personuppgiftsansvariga.
Personuppgiftsbiträde: Den som Behandlar Personuppgifter för en Personuppgiftsansvariges räkning, enligt den ansvariges instruktioner, är enligt GDPR att anse som Personuppgiftsbiträde.
Tredje part: Tredje part innebär någon annan än, den Personuppgiftsansvarige (och de personer som är behöriga att Behandla Personuppgifterna), Registrerade eller Personuppgiftsbiträdet (och de personer som är behöriga att Behandla Personuppgifterna). Tredje part kan vara en juridisk person eller en fysisk person, institution, myndighet eller annat organ.
GDPR: Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på Behandling av Personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
SCC: Kommissionens genomförandebeslut (EU) 2021/914 av den 4 juni 2021 om standardavtalsklausuler för överföring av Personuppgifter till tredjeländer i enlighet med Europaparlamentets och rådets förordning (EU) 2016/679, eller senare uppdaterad version.
Eventuella andra GDPR-relaterade begrepp som inte definieras här ska ha samma innebörd i denna integritetspolicy som anges i artikel 4 i GDPR.
Vem är ansvarig för Behandlingen av Personuppgifterna?
Vår Behandling av dina Personuppgifter sker i enlighet med GDPR (och SCC vid tillämpliga fall) samt de grundläggande dataskyddsprinciperna.
Setly Sweden AB är Personuppgiftsansvarig för all Behandling av Personuppgifter som utförs av oss eller för vår räkning, och vi ansvarar för Behandling av dessa i den mån vi bestämmer medel och ändamål för Behandlingen (enligt principen om ansvarsskyldighet). Exempelvis agerar Setly Sweden AB i egenskap av Personuppgiftsansvariga när Bolaget registrerar Kunden som en kund i de system vi använder inom ramen för verksamheten eller när Setly Sweden AB hanterar Kundens uppgifter inklusive eventuella Personuppgifter för att fullgöra åtaganden enligt kundavtalet, genomföra fakturering för Tjänsten m.m.
I vissa fall agerar Setly Sweden AB i egenskap vi Personuppgiftsbiträde för Kunden, som är den Personuppgiftsansvarige. Exempelvis Behandlar Setly Sweden AB Personuppgifter för Kundens räkning och i enlighet med Kundens instruktioner, när en Kund anlitar Setly Sweden AB som sin redovisningsbyrå för att Setly Sweden AB ska sköta Kundens bokföring/redovisning/fakturering m.m. Behandlingen av Personuppgifter som Setly Sweden AB utför i egenskap av Personuppgiftsbiträde, regleras närmare i ett Personuppgiftsbiträdesavtal som har ingåtts med Kunden.
Kategorier av Personuppgifter som vi Behandlar
I enlighet med principen om uppgiftsminimering Behandlar vi enbart Personuppgifter som är adekvata, nödvändiga och relevanta för att uppfylla de ändamål som de blev insamlade för.
Vi Behandlar främst nedan angivna kategorier av Personuppgifter som vi kan få tillgång till när du kontaktar oss, ingår ett avtal med oss eller i övrigt i samband med utförande av våra tjänster:
- Identifikationsuppgifter: förnamn, efternamn, personnummer eller motsvarande.
- Kontaktuppgifter: telefonnummer, e-postadress, adress, användar-ID till sociala medier.
- Övriga Personuppgifter: eventuella övriga Personuppgifter som blir lämnade till oss, exempelvis sådana som blir inkluderade i ett meddelande som skickas till oss.
Ändamål och laglig grund för vår Behandlingen av Personuppgifter
I enlighet med principen om ändamålsbegränsning Behandlar vi enbart Personuppgifter för särskilda, uttryckligt angivna och berättigade ändamål. Dessutom är varje Behandling rättsligt grundad och laglig i enlighet med bestämmelserna i GDPR. Nedan kan du läsa mer om laglig grund och ändamål med Behandlingen av Personuppgifterna.
- När du besöker vår webbplats:
Vår webbplats använder cookies. Vi kan få information om besökares användning av webbplatsen via bland annat webbanalys- och/eller trafikmätningsleverantörer genom cookies. Användningen av icke-nödvändiga cookies sker enbart om du lämnar ditt samtycke till det. Du kan när som helst återkalla ett lämnat samtycke (utan att detta påverkar lagligheten av Behandlingen som utförts med stöd i samtycket innan det blev återkallat). Dessutom kan du själv hantera lagringen av cookies via din webbläsares inställningar. Laglig grund för Behandlingen: Samtycke. Du kan läsa mer information om hur vi använder cookies på Webbplatsen i vår cookiepolicy: https://setly.com/policies/cookie-policy/.
- När vi får kontakt via e-post, telefon, sociala medier eller kontaktformulär:
Vi kan kontakta dig, och du kan kontakta oss, via e-post, telefon eller sociala medier och vid sådana fall får vi tillgång till dina Personuppgifter som framgår i samband med sådan kontakt. Exempelvis kan vi få tillgång till följande Personuppgifter: förnamn, efternamn, telefonnummer, e-postadress, användar-ID från sociala medier (om tillämpligt) och andra uppgifter som du lämnar till oss. Dessa uppgifter Behandlas av oss för att vi ska kunna veta vem vi pratar med och för att hålla kontakten i ärendet. Laglig grund för Behandlingen: Berättigat intresse.
Du kan även kontakta oss genom att skicka ett medlande till oss via kontaktformuläret på Webbplatsen. Då får vi tillgång till följande Personuppgifter som tillhör dig: förnamn, efternamn, telefonnummer, e-postadress, och de uppgifter som du inkluderar i meddelandet. Dessa uppgifter Behandlas av oss för att vi ska kunna veta vem vi pratar med och för att besvara meddelandet. Innan meddelandet skickas till oss, lämnar du ditt aktiva samtycke till att vår Behandling av dina Personuppgifter sker i enlighet med denna integritetspolicy, genom att kryssa i en kryssruta för godkännande. Laglig grund för Behandlingen: Samtycke.
- När du ingår ett avtal med oss:
Vi Behandlar Personuppgifter som tillhör Kundens kontaktperson och/eller firmatecknare för att kunna fullgöra avtalet avseende våra Tjänster. Personuppgifter som vi Behandlar tillhörande Kundens kontaktperson och/eller firmatecknare avser bland annat: förnamn, efternamn, telefonnummer, e-postadress, arbetsgivare. Laglig grund för Behandlingen: Avtal.
Vi Behandlar och lagrar våra fakturor och annat som utgör vårt bokföringsunderlag som vi är skyldiga att Behandla och lagra enligt gällande lagstiftning, såsom bokföringslagen (1999:1078). Bokföringsunderlag och verifikationer kan i vissa fall innehålla Personuppgifter, såsom kontaktuppgifter till Kundens kontaktperson och/eller firmatecknare. Sådant lagras i minst sju (7) år eller så länge som lagen kräver det. Laglig grund för Behandlingen: Rättslig förpliktelse.
- När du registrerar dig för att ta emot nyhetsbrev från oss:
Du kan välja att ta emot nyhetsbrev från oss genom att lämna ditt frivilliga och aktiva samtycke till att vi Behandlar din e-postadress för det ändamålet. Du kan när som helst säga upp din prenumeration genom att klicka på länken i nyhetsbrevet för att avsluta prenumerationen av nyhetsbreven eller maila oss. Laglig grund för Behandlingen: Samtycke.
- Andra ändamål för vår Behandling av Personuppgifter:
Om vi är skyldiga enligt lag, domstols- eller myndighetsbeslut att Behandla vissa Personuppgifter, sker Behandlingen med stöd i Rättslig förpliktelse som laglig grund. I sådana fall sker Behandlingen enbart i den utsträckning det är nödvändigt för att vi ska uppfylla våra rättsliga förpliktelser och då Behandlar vi enbart nödvändiga Personuppgifter, så länge som lagen kräver det (i enlighet med principen om lagringsminimering).
När en Behandling av Personuppgifter sker med stöd i Berättigat intresse som laglig grund, är vår bedömning att Behandlingen inte utgör något intrång i din rätt till privatliv och integritet. Detta har vi kommit fram till, efter att ha gjort en avvägning mellan å ena sidan vad Behandlingen ifråga innebär för dina intressen samt rätt till privatliv, och å andra sidan vårt berättigade intresse till Behandlingen ifråga. Vi Behandlar dock aldrig känsliga Personuppgifter med stöd i denna rättsliga grund.
Baserat på vårt Berättigade intresse kan vi Behandla Personuppgifter för att:
- skydda våra rättigheter och egendom,
- genomföra direktmarknadsföring av våra tjänster,
- säkerställa den tekniska funktionaliteten av Webbplatsen,
- samla in anonym statistik, resultatmätningar m.m. avseende våra tjänster.
Lagringsplats och lagringstid
Vi strävar efter att lagra samtliga Personuppgifter som vi Behandlar inom EU/EES, i enlighet med principen om integritet och konfidentialitet. Om Personuppgifter blir lagrade i ett land utanför EU/EES, ska vi se till att sådan lagringsplats säkerställer en adekvat skyddsnivå i enlighet med bestämmelserna i GDPR och SCC.
Personuppgifter blir lagrade så länge de är nödvändiga för att fullgöra de ändamål som de blev insamlade för. När Personuppgifterna inte längre behöver vara lagrade för ändamålen, blir de antingen raderade (gallrade) eller anonymiserade, i enlighet med principen om lagringsminimering.
Vi följer interna riktlinjer och skriftliga rutiner avseende gallring och loggföring av gallrade Personuppgifter, för att säkerställa att Behandlingen av Personuppgifterna sker i enlighet med GDPR.
Delning av Personuppgifter
Personuppgifter som vi Behandlar, delas inte med obehöriga personer. Vi kan Personuppgifter till någon annan, exempelvis myndigheter eller Personuppgiftsbiträden som vi anlitar för att uppfylla våra åtaganden enligt avtal samt vid var tid gällande lagstiftning. Nedan följer en kort sammanställning av olika situationer då vi kan dela Personuppgifter som vi Behandlar.
Myndigheter: Vi kan dela Personuppgifter som vi Behandlar om det är nödvändigt för att förebygga, upptäcka, förhindra eller utreda brottslig aktivitet samt för att skydda våra intressen och vår egendom.
Övriga tjänsteleverantörer: Vi anlitar olika tjänsteleverantörer i egenskap av Personuppgiftsbiträden till oss, för att bland annat:
- tillvarata våra rättsliga intressen;
- fullgöra våra avtalsenliga och rättsliga förpliktelser;
- upptäcka och förebygga tekniska-, drifts- eller säkerhetsmässiga problem; samt
- tillhandahålla, förbättra och underhålla Webbplatsen (programvaruunderhåll).
Exempel på tjänsteleverantörer som vi anlitar är: webbutvecklare, dokumenthanteringssystem, underkonsulter för utförande av avtalade Tjänster för vår räkning gentemot Kunden m.m.
Innan vi delar några Personuppgifter till sådana tjänsteleverantörer, ingår vi ett Personuppgiftsbiträdesavtal med dem i enlighet med bestämmelserna i GDPR (alternativt SCC om Personuppgiftsbiträdet befinner sig i ett land utanför EU/EES). Detta sker för att säkerställa en säker och korrekt Behandling av Personuppgifterna.
Tekniska och organisatoriska säkerhetsåtgärder
Vi vidtar och implementerar olika tekniska och organisatoriska säkerhetsåtgärder med fokus på de Registrerades integritet. Åtgärderna avser att skydda mot intrång, missbruk, förlust, förstöring och andra förändringar som kan innebära en risk för integriteten (enligt principen om integritet och konfidentialitet).
Nedan följer exempel på några säkerhetsåtgärder som vi vidtar och implementerar:
- Det har upprättats interna rutiner med instruktioner avseende Behandling av Personuppgifter som samtlig personal ska följa. Bland annat intern rutin för gallring av Personuppgifter och hantering/dokumentation av Personuppgiftsincidenter.
- Interna rutiner, policys och instruktioner genomgås regelbundet, minst årligen samt vid behov.
- Kontaktperson för Personuppgiftsärenden har utsetts, som även svarar direkt till bolagets högsta ledning.
- Personalen har kunskap om hur Behandlingen av Personuppgifter får ske.
- Åtkomst till databaser, IT-system och delar av IT-infrastrukturen och nätverket kräver lösenord.
- De leverantörer och underbiträden som anlitas garanterar en adekvat nivå av teknisk och organisatorisk säkerhet för de tjänster som tillhandahålls och de uppgifter som utförs.
- Samtliga medarbetare har åtagit sig skyldighet att iaktta sekretess beträffande bland annat Personuppgifter som Behandlas inom ramen för verksamheten och arbetets utförande.
- Vi följer de sju grundläggande dataskyddsprinciperna vid all Behandling av Personuppgifter. Principerna finns dokumenterade i interna rutiner, som våra medarbetare har tillgång till och som de följer vid all Behandling av Personuppgifter som vi är Personuppgiftsansvariga över.
Registrerades rättigheter enligt GDPR
Om vi Behandlar dina Personuppgifter, har du enligt GDPR olika rättigheter avseende vår Behandling av dina Personuppgifter.
Du har under vissa förutsättningar rätt att:
- få tillgång till dina Personuppgifter.
- få felaktiga Personuppgifter rättade.
- begära begränsning av vår Behandling av dina Personuppgifter.
- få dina Personuppgifter raderade.
- flytta dina Personuppgifter (dataportabilitet).
- få information om Personuppgiftsincidenter som rör dina Personuppgifter.
- invända mot att Personuppgifterna används för direktmarknadsföring och profilering.
Vi informerar dig härmed om att några av rättigheterna enbart gäller i vissa situationer samt bara om det är lagligt och möjligt för oss att genomföra din begäran.
Du varmt välkommen att kontakta oss via kontaktuppgifterna som framgår nedan, om du skulle vilja åberopa någon av ovan angivna rättigheter avseende dina Personuppgifter som vi Behandlar.
Inträffade Personuppgiftsincidenter
Enligt GDPR innebär en Personuppgiftsincident en säkerhetsincident som orsakat att Behandlade Personuppgifter blivit förstörda, gått förlorade, blivit ändrade eller kommit obehörig person tillhanda. En incident kan se avsiktligt eller oavsiktligt, exempelvis genom oaktsamhet eller på grund av brott (dataintrång m.m.).
Tillsynsmyndigheter är oberoende offentliga myndigheter. Varje land inom EU har utsett var sin tillsynsmyndighet för att hantera GDPR-relaterade ärenden. I Sverige är det Integritetsskyddsmyndigheten (IMY) som är tillsynsmyndigheten.
Vi följer bestämmelserna i GDPR avseende hantering, anmälning och dokumentation av Personuppgiftsincidenter. När det krävs enligt GDPR, kommer vi att anmäla inträffade Personuppgiftsincidenter till IMY inom 72 timmar, och meddela de Registrerade som berörs av inträffad Personuppgiftsincident.
Ändringar
Innehållet i denna integritetspolicy kan komma att uppdateras från tid till annan, utan föregående meddelande om detta. Exempelvis om det är nödvändigt för att förtydliga något, på grund av ändrad eller nytillkommen lagstiftning eller om vår Behandling av Personuppgifter förändras.
Den senaste versionen finns alltid publicerad på vår webbplats som är tillgänglig för allmänheten. Du ansvarar själv för att läsa igenom innehållet i denna integritetspolicy samt hålla dig uppdaterad om eventuella ändringar.
Frågor eller klagomål
Om du har frågor eller funderingar, eller är missnöjd över vår Behandling av dina Personuppgifter, är du alltid välkommen att kontakta oss. Nedan följer våra företags- och kontaktuppgifter
Firma: Setly Sweden AB
Org. nr.: 559060-9045
E-post: info@setly.com
Postadress: David Bagares gata 7, 114 32 Stockholm
Vår kontaktperson för Personuppgiftsärenden:
Vi har utsett en kontaktperson för Personuppgiftsärenden som du kan kontakta om du har frågor avseende vår Behandling av Personuppgifter.
Namn: Caroline Hassel
E-post: caroline.hassel@setly.com
Du har även rätt att kontakta den svenska tillsynsmyndigheten för att lämna klagomål.
Namn: Integritetsskyddsmyndigheten (IMY).
Telefon: 08-657 61 00.
E-post: imy@imy.se.
Postadress: Integritetsskyddsmyndigheten, Box 8114, 104 20 Stockholm.