Integritetspolicy / GDPR
Inledning och syfte
Syftet med denna policy är att säkerställa att Runes AB hanterar personuppgifter i enlighet med EUs dataskyddsförordning (General Data Protection Regulation – GDPR). Policyn omfattar alla behandlingar där personuppgifter hanteras och omfattar såväl strukturerad som ostrukturerad data.
Denna policy är förankrad hos alla våra medarbetare.
Tillämpning och revidering
Policyn ska fastställas av styrelsen minst en gång per år och uppdateras vid behov.
VD är ansvarig för att hålla i processen kring årlig uppdatering av policyn till följd av nya och förändrade regelverk.
Denna policy är tillämplig för företagets styrelseledamöter, VD, medarbetare samt uppdragstagare som berörs av vår verksamhet.
Organisation och ansvar
Runes AB, 559278-5033, Stenvägen 1, 361 31 Emmaboda, är personuppgiftsansvarig för behandling av personuppgifter inom företaget. Styrelsen har det övergripande ansvaret för innehållet i denna policy samt att den implementeras och efterlevs av verksamheten.
Alla medarbetare ansvarar för att de agerar i enlighet med denna policy och vad den vill säkerställa.
Begrepp och förkortningar
Personuppgifter
En personuppgift är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Tex kan bilder och ljudupptagningar som behandlas i dator vara personuppgifter även om inga namn nämns.
Registrerad
Den som en personuppgift avser, det vill säga den fysiska person som direkt eller indirekt kan identifieras genom personuppgifterna i ett register.
Personuppgiftsbehandling
En åtgärd eller kombination av åtgärder beträffande personuppgifter – oberoende av om de utförs automatiserat eller ej – såsom insamling, registrering, organisering och strukturering.
Personuppgiftsbiträde
Personuppgiftsbiträde är den som behandlar personuppgifter för en personuppgiftsansvarigs räkning. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvariges organisation. Ett personuppgiftsbiträde kan vara en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ.
Begrepp och förkortningar
- Varje personuppgiftsbehandling ska ske enligt följande principer:
- Laglighet
- Ändamålsbegränsning
- Uppgiftsminimering
- Korrekthet
- Lagringsminimering
- Integritet och konfidentialitet
- Vi lutar oss mot regeln i GDPR att vi har grund för personuppgiftsbehandling när personuppgiftsbehandlingen är nödvändig för att fullgöra ett avtal med den registrerade. Vanligtvis kommer uppgifterna direkt från dig och insamlas i samband med att du anmäler dig som kund. Vi får också vissa uppgifter när du genomgår sedvanlig kreditprövning hos oss. Vi sparar bara den information som behövs för att leverera varor och sköta fakturering och bokföring samt för att kunna informera om erbjudanden. De personuppgifter vi hanterar är personnummer, namn, adressuppgifter, kontaktuppgifter, ekonomiska uppgifter om bland annat inkomst och eventuella betalningsanmärkningar (i syfte att genomföra kreditbedömning).
- Runes AB bedriver kameraövervakning av drivmedelsanläggningar i syfte att förebygga och utreda brott. Bevakningen omfattar områden på våra drivmedels- och tvättanläggningar så som vid pumpar, betalterminaler och tvätt. Runes AB har som syfte att endast lagra videomaterial så länge vi bedömer att eventuellt brott kan upptäckas och överlämnas till brottsbekämpande myndighet. Endast i undantagsfall lagras inspelat material i mer än 2 månader. Laglig grund är de bemyndiganden som följer av kameraövervakningslagen.
- Kortkunders transaktionsbeteende kan som både privat- och företagskund komma att analyseras, på ett sätt som motsvarar profilering, i syfte att förhindra bedrägerier gentemot dig som kund samt Runes AB. Behandlingen är nödvändig för att tillgodose vårt och ditt berättigade intresse av att skydda dina, andras och våra tillgångar.
- Personuppgifter för den som är anställd eller företrädare på ett företag som är leverantör till Runes AB kan förekomma i olika behandlingar som vi utför. Personuppgifterna kommer som regel från dig. Behandlingen sker med stöd av vårt berättigade intresse av att kunna administrera den avtalsrelation som finns med våra leverantörer.
- För mailhantering internt och externt har vi infört regler som skall säkerställa att personuppgifter i mail hanteras i enlighet med GDPR.
- Vi lagrar inte personuppgifter längre än nödvändigt med hänsyn till ändamålen med behandlingen. Vi genomför därför regelbundna gallringar bland lagrade personuppgifter och tar bort de uppgifter som inte längre behövs efter det att kundrelationen upphört. Vi kan dock behöva lagra personuppgifterna efter det att kundrelationen upphört, bland annat för att administrera eventuella garantier och reklamationsfrister, hantera rättsliga krav som kan tänkas riktas mot oss eller för att marknadsföra tjänster och skicka erbjudanden som vi tror kan vara av intresse för t.ex. våra f.d. kunder. Undantagsvis sparas därför personuppgifter viss tid efter kundförhållandets upphörande eller tills att personen invänt mot direktmarknadsföring.
- Personuppgifter avseende företrädare för potentiella kunder tas bort när dialogen med kunden upphört dock senast efter ett år, under förutsättning att ingen kundrelation inletts, eller direkt om personen invänder mot direktmarknadsföring.
- Personuppgifter kan också mer generellt behöva lagras för att säkerställa uppfyllelse av legala skyldigheter, exempelvis avseende bokföring. Om sådan skyldighet föreligger kan personuppgifterna sparas i upp till 7 år.
- När personuppgifter delas med ett personuppgiftsbiträde sker det endast för ändamål som är förenliga med de ändamål för vilka vi har samlat in informationen (t.ex. för att kunna uppfylla våra åtaganden enligt ett avtal eller administrera fakturor). Vi kontrollerar alla personuppgiftsbiträden för att säkerställa att de kan lämna tillräckliga garantier avseende säkerheten och sekretessen för personuppgifter.
- Uppföljning och utvärdering av vår hantering av personuppgifter ska ske minst årligen.
- Eventuella incidenter rörande personuppgifter som vi behandlar ska utan dröjsmål rapporteras till VD. VD ska utan onödigt dröjsmål och senast inom 72 timmar anmäla incidenten till Datainspektionen samt i övrigt vidta nödvändiga åtgärder med anledning av incidenten.
- Våra krav på att personuppgifter hanteras enligt GDPR ska alltid säkerställas vid upphandling och utveckling av IT-lösningar och tjänster, och ska vara en del i kravspecifikationen och eventuella avtal.
- Vi har vidtagit tekniska och organisatoriska åtgärder för att säkerställa en rimlig säkerhetsnivå som är lämplig för att skydda de personuppgifter som behandlas mot oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till de personuppgifter som behandlas.
- Den vars personuppgifter är registrerade hos Runes AB har rätt att begära tillgång till och rättelse av personuppgifter. Om uppgifterna skulle visa sig vara felaktiga, ofullständiga eller på annat sätt irrelevanta åligger det oss att vidta rättelseåtgärder. Du kan även begära radering av dina uppgifter om inte uppgifterna behövs för att uppfylla gällande lag eller ingångna avtal.
- Registrerad som vill ha ett utdrag från Runes AB´s kamerabilder måste kunna ange vilken drivmedelsanläggning, datum och klockslag för besökt anläggning. För att vi ska kunna verifiera att registrerad är den person som finns med på filmen måste registrerad personligen hämta ut denna på anvisad plats och sedan legitimerar sig som den person som lämnat in ansökan om registerutdraget. Materialet sparas på anvisad plats i sju dagar efter att registrerad blivit informerad om detta.
- För personuppgifter som kunden har tillhandahållit har han eller hon rätt att få ut dessa uppgifter på ett strukturerat, allmänt använt och maskinläsbart format. Detta gäller för personuppgifter som behandlas automatiskt och i enlighet med samtycke eller fullgörande av avtal mellan kunden och den personuppgiftsansvarige. Sådan information får överföras till annan personuppgiftsansvarig, om detta är tekniskt genomförbart.
- runes.se använder cookies. En cookie är en liten textfil som sparas på hemsidebesökarens dator. En cookie kan vara antingen en sessionscookie eller en cookie som lagras under längre tid. En sessionscookie försvinner när webbläsaren stängs ner, medan en lagringscookie sparas. Den sparas för att hemsidebesökaren ska kunna använda runes.se som vi har tänkt. Det kan t.ex. handla om att språkval eller andra preferenser sparas för att underlätta för hemsidebesökaren vid nästa besök. Vi använder cookies för att göra användandet av hemsidan lättare, samt för att kunna anpassa användandet efter användaren. Informationen som samlas in genom cookies innehåller dock ingen personlig information utan används för att fastställa besökares mönster gällande användningen av våra webbtjänster. När det gäller beteende på runes.se sparas inte heller IP-adresser i våra databaser. Som hemsidebesökare kan därför informationen om besökaren aldrig kopplas samman med besökarens identitet. runes.se har även cookies för att beräkna och rapportera användarantal och trafik. Vi använder även s.k. tredjepartscookies från Google Analytics för att samla statistik över hur våra besökare använder sidan. Informationen som samlas in och lagras i webbläsare är i anonym form där vi ser hur många besökare vi har, varifrån besökarna kommer och vilka sidor de besöker. Informationen om vilka hemsidor eller länkar besökarna kommer ifrån lagras upp till och med sex månader. Du kan läsa mer om Google Analytics säkerhetspolicy på: www.support.google.com. Kunden kan själv bestämma i vilken utsträckning den ger samtycke till användning av cookies och riktad reklam. Användningen av cookies kan ändras genom webbläsarens inställningar. Om cookies avaktiveras är nödvändigtvis inte alla funktioner på webbplatsen tillgängliga.