Integritet och säkerhet
Välkommen till vår integritets- och säkerhetssida! Här har vi sammanställt all information som är viktigt för dig att veta kring integritet och säkerhet i kontakt med Eurosec Aktiebolag.
Bakgrund
Vi på Eurosec Aktiebolag, org. nr 556385-7027 (”Företaget” eller ”vi”) värnar om din integritet och säkerhet. GDPR, den nya lagen för behandling av personuppgifter, ställer högre krav på öppenhet och därför finns den här sidan för dig för att du ska veta vad vi gör i behandlingen av personuppgifter. Det finns ett antal områden som tillsammans ger dig helheten över hur vi ser på integriteten och säkerheten, både för dig som varit i kontakt med eller är kund till Företaget. Dessa har vi delat in i ett antal avsnitt som kan komma att uppdateras och fyllas på med mer information framöver.
GDPR
GDPR står för General Data Protection Regulation och är en ny dataskyddsförordning från EU som kommer bli en lag i alla EU:s medlemsländer från 25 maj 2018. GDPR kommer ersätta den nuvarande lagen Personuppgiftslagen (PUL). Lagen är till för att skydda individers integritet och avser att modernisera, harmonisera och förstärka skyddet inom EU.
Inom varje EU-medlemsland finns en tillsynsmyndigheten som kommer kontrollera detta. I Sverige heter denna myndighet Integritetskyddsmyndigheten, tidigare Datainspektionen. På deras hemsida finns mer information och hjälp att ta del. https://www.datainspektionen.se/dataskyddsreformen/
Behandling av personuppgifter
Lagen handlar om hur personuppgifter behandlas, vilket är två viktiga begrepp att förstå. Personuppgifter kan förklaras som varje upplysning som avser en identifierad eller identifierbar enskild person (även kallad registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras, särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer, eller till en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. Behandling av dessa uppgifter innebär att en person genomför en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej. Exempel på sådan behandling är insamling, strukturering, lagring, bearbetning, spridning eller radering.
Känsliga personuppgifter
Det finns en speciell kategori av personuppgifter som lagen tar upp och som personuppgiftsansvarig behöver vara extra uppmärksam på, det är känsliga personuppgifter. Exempel på känsliga personuppgifter är uppgifter som avslöjar etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter om hälsa och sexualliv. Utgångspunkten är att det är förbjudet att behandla dessa personuppgifter, men det finns ett antal undantag. I Sverige pågår en utredning kring dessa uppgifter och de ser över att ta fram en kompletterande svensk lagstiftning. Läs mer om känsliga personuppgifter här.
Personuppgiftsansvarig och personuppgiftsbiträde
I behandlingen av personuppgifter finns det framförallt två roller att känna till och beroende på rollen så finns det olika ansvarsområden. Den personuppgiftsansvariga (PuA) är den som enligt lagen har det yttersta ansvaret för behandlingen och bestämmer ändamål och medlen. Den personuppgiftsansvarige ska se till att lagen följs, ska informera de personer vars personuppgifter behandlas och ska säkerhetsställa den personuppgiftsbiträdes efterlevnad. Personuppgiftsbiträdet (PuB) behandlar personuppgifterna för den personuppgiftsansvariges räkning och har ansvar för de tekniska och organisatoriska säkerhetsåtgärderna.
Ansvarig och biträde för uppgifter i Företagets tjänster
All behandling av personuppgifter i programmen är du som kund personuppgiftsansvarig för. Företaget är personuppgiftsbiträde och vidtar tekniska och organisatoriska säkerhetsåtgärder för att du ska känna dig trygg med att dina insamlade personuppgifter ska behandlas säkert och enligt lagen. Företaget tekniska och organisatoriska åtgärder finns beskrivet under Säkerhet.
Företaget som personuppgiftsansvarig
All behandling av personuppgifter om dig som kund, användare eller deltagare på våra event är vi personuppgiftsansvariga över när du beställer Företagets tjänster, kontaktar oss eller anmäler dig till någon av våra event. Vad vi gör, eller inte gör, med dina personuppgifter har vi beskrivit i vår Integritetspolicy.
Grundläggande principer i GDPR
Lagen bygger på 7 grundläggande principer:
- Laglighet, korrekthet och öppenhet
- Ändamålsbegränsning
- Uppgiftsminimering
- Korrekthet
- Lagringsminimering
- Integritet och konfidentialitet
- Ansvarsskyldighet
Vad de grundläggande principerna innebär kan du läsa om på Integritetsskyddsmyndighetens hemsida.
Rättsliga grunder
I uppfyllnad av principen om laglighet, korrekthet och öppenhet behövs stöd i dataskyddsförordningen för att behandlingen av personuppgifter ska vara tillåten. Dessa rättsliga grunder handlar om att det behövs ett samtycke, avtal, rättslig förpliktelse, grundläggande intressen, allmänt intresse, myndighetsutövning eller intresseavvägning för att få behandla personuppgifter.
Rättslig grund för uppgifter i Företagets tjänster
Vilka rättsliga grunder som finns för behandlingen av personuppgifter i Företagets tjänster måste personuppgiftsansvarig ta reda på och dokumentera. Det kan variera från fall till fall beroende på verksamhet, vilka lagar ni behöver följa, om ni samlar in uppgifter som krävs eller som kan vara bra att ha.
Ostrukturerat material
I PUL har vi i Sverige haft en undantag där vi inte behövt tänka på hur personuppgifter behandlas, detta undantag heter “Missbruksregeln”. Det har inneburit att vi har kunnat haft personuppgifter i så kallat ostrukturerat material, vilket är löptext och fritext som exempelvis dokument, e-post, hemsidor eller anteckningsfält i system. Missbruksregeln försvinner nu i och med GDPR och innebär att det behöver kartläggas vilka personuppgifter som finns i allt ostrukturerat material och hanteras på samma sätt som med strukturerat material.
Säkerhet
Företaget som personuppgiftsbiträde har ansvaret för de tekniska och organisatoriska säkerhetsåtgärderna i och kring Företaget tjänster. Det innebär att vi ska se till att det finns den säkerhet som behövs exempelvis krypterad lagring, behörighetsstyrning, möjlighet att kunna göra registerutdrag och radera personuppgifter. När det inte finns funktioner för att hantera personuppgifterna har vi interna rutiner för detta. De åtgärder som Företaget vidtar beskrivs närmare nedan.
Autentisering och kryptering
All datakommunikation i vår webbplats sker med Secure Sockets Layer (SSL). Företaget använder krypterad kommunikation i form av 256-bitars SSL-kryptering och 2048-bitars publika nycklar från RSA. All datakommunikation till och från Användarens datorer krypteras med SSL, den mest använda Internetstandarden för krypterad kommunikation.
Lagring och backuper
Företaget webbplats driftas på servrar i datahallar som övervakas dygnet runt och det finns alltid personal tillgänglig. Lagringen av data finns på två geografiskt separerade platser i Europa med full redundans och backuper tas dagligen.
Kunskaps- och informationsskydd
Endast ett fåtal nyckelpersoner känner till hur säkerhetssystemet är uppbyggt. All personal är bunden av ett sekretessavtal som förhindrar spridning av data, information, samt kundens eller användarens personuppgifter. Endast behörig personal har tillgång till uppgifterna och behörigheten styrs av Företagets IT-avdelning.
Incidenthantering
I GDPR finns det ett nytt krav vid personuppgiftsincidenter, vilket är att incidenter behöver rapporteras till Integritetsskyddsmyndigheten inom 72 timmar. För att kunna uppfylla de nya skyldigheterna enligt förordningen är det viktigt att ha tillräckliga rutiner på plats för att kunna upptäcka, rapportera och utreda personuppgiftsincidenter.
Incident
Om en incident inträffar kan det innebär att det blir en personuppgiftsincident. Ett problem i Företagets IT miljö som genererar felaktig data eller saknad data kategoriseras som en programrelaterad incident. Skulle denna data innehålla personuppgifter blir det även en personuppgiftsincident. Det kan också bli en personuppgiftsincident om en säkerhetsincident leder till obehörigt röjande av eller obehörig åtkomst till de behandlade personuppgifterna.
Incidentprocess
Företaget har ett incidentteam som sköter nödvändig samordning, kommunikation och ansvar för att bedöma, reagera på och lära sig av incidenter för att minska risken att det sker igen. Beroende på incidentens karaktär och påverkan involveras de personer som krävs för att hantera incidenten. Processen för hanteringen är grunden för flödet som med kompletterande rutiner tydliggör vem som gör vad och hur situationen ska hanteras. Processen är indelad i delprocesserna identifiering av incident, konsekvensanalys, åtgärdsprocess, kommunikation och Root Cause Analysis (RCA).
Vid identifieringen av incident sker en identifiering av vilken typ av incident det är frågan om. I delprocessen Konsekvensanalys sker en analys över omfattningen vilka kunder och användare som påverkas av incidenten och vad konsekvenserna blir. I Åtgärdsprocessen sker bedömning och prioritering av problemet för att säkerhetsställa åtgärdsplan samt verkställandet av åtgärden. Vid en personuppgiftsincident är sammanställning av rapport en aktivitet, där vi utgår ifrån Integritetsskyddsmyndighetens mall som beskriver att vi ska ha med information om:
- Vilken typ av incident det är fråga om
- Vilka kategorier av personer som kan komma att beröras
- Hur många personer det berör
- Vilka konsekvenser incidenten kan få
- Vilka åtgärder man vidtagit för att motverka ev. negativa konsekvenser.
Incident och åtgärder kommuniceras ut till berörda som drabbats. Vid personuppgiftsincident finns anmälan till Integritetsskyddsmyndigheten som en aktivitet i denna delprocess. Efter att åtgärder är genomförda och berörda har blivit informerade genomförs en Root Cause Analysis i syfte att förhindra att problemet uppstår igen.
Integritetspolicy
Det är vår målsättning att följa alla vid var tid gällande lagar och regler för personuppgiftsskydd. Denna policy hjälper dig bl.a. att förstå vilken slags information Företaget samlar in och hur denna används. Genom att godkänna policyn när du lämnat uppgifter så samtycker du till behandling av dina personuppgifter i enlighet med nedan.
Vilka personuppgifter behandlar vi?
Företaget är personuppgiftsansvarigt för behandlingen av dina personuppgifter. Företaget kommer att behandla de personuppgifter som du lämnar eller har lämnat till Företaget i syfte fullfölja dina åtaganden gentemot dig som användare av våra tjänster eller dig som en arbetssökande kandidat. Personuppgifter kan även behandlas för att Företaget ska kunna fullgöra sina förpliktelser enligt lag, förordning eller föreläggande från myndighet. De personuppgifter som Företaget behandlar är krypterade och behandlas enligt nedan. Företaget behandlar de personuppgifter som du självmant lämnat till oss. Exakt vilken typ av personuppgifter detta är beror på vilka uppgifter du valt att registrera.
Hur använder vi dina personuppgifter?
Företaget kan vilja lämna speciella erbjudanden som vi tror kan vara av intresse för dig om våra tjänster eller produkter eller med dessa relaterad information från de företag, myndigheter och organisationer som har ingått avtal med Företaget om (”Tredje Part”). Du kan välja att inte dela din information med Tredje Part när du lämnar din information till oss. Om du samtycker till att vi förser dig med information från oss eller Tredje Part kan du alltid välja bort detta på webbplatsen för Eurosec Aktiebolag(www.eurosec.se) (”Webbplatsen”) vid ett senare tillfälle.
Om hela eller delar av vår verksamhet säljs eller integreras med annan verksamhet kan dina personuppgifter lämnas ut till våra rådgivare, eventuell köpare och dennes rådgivare och lämnas vidare till verksamhetens nya ägare.
Syftet med behandlingen | Rättslig grund för behandlingen | Hur länge sparar vi uppgifterna? |
Förbättra upplevelsen av ditt besök på vår hemsida | Samtycke (cookies) | 1 år |
Din profil på hemsidan | Samtycke | Tills du väljer att ta bort din profil |
Marknadsföring och annonsering | Berättigat intresse (med opt-out) | Opt-out, eller upp till 3 år |
För att administrera ditt köp och leverera varor | Nödvändigt på grund av avtal | 3 år |
Utföra och hantera serviceärende | Nödvändigt på grund av avtal | 3 år |
För felsökning, dataanalys, statistik och motverka missbruk | Berättigat intresse | 3 år |
Bokföring av transaktioner | Rättslig skyldighet | 7 år |
Hur skyddar vi dina personuppgifter?
Alla personuppgifter behandlas i krypterad form hos oss på vår eller våra samarbetspartners servrar inom EU.
När du använder våra tjänster kan du få frågan om du vill lämna vissa personuppgifter till Tredje part. Om du självmant väljer att lämna personuppgifter till Tredje part är denna Tredje part personuppgiftsansvarig för sådana personuppgifter som Tredje part samlar in. Företaget rekommenderar dig att läsa den personuppgiftspolicy som sådan Tredje part tillämpar. Företaget tar inte ansvar för andra aktörers behandling av personuppgifter.
Hur länge sparas mina personuppgifter?
Om du lämnar dina uppgifter som prospekt eller kund för våra tjänster samt som kandidat för lediga tjänster sparas dina uppgifter så länge det är nödvändigt utifrån krav i lag eller för att fullgöra våra eller våra samarbetsparters åtaganden gentemot dig. Du kan när som helst avregistrera dig som användare. Dina uppgifter sparas oavsett aldrig längre än vad som är tillåtet enligt gällande personuppgiftslagstiftning.
Tillgång till, uppdatering och korrigering av dina personuppgifter
Du har, enligt gällande personuppgiftslagstiftning, rätt att en gång per kalenderår gratis få besked om vilka personuppgifter som behandlas om dig, oavsett hur dessa samlats in. Om du vill ha sådan information ska denne lämna in en skriftlig begäran till Företaget. Begäran ska enligt gällande personuppgiftslagstiftning skickas in underskriven av dig per post till den adress som anges på Webbplatsen. Den kan alltså inte skickas per e-post.
Ändringar i Integritetspolicy
Företaget förbehåller sig rätten att göra ändringar i denna integritetspolicy när som helst i tiden i den utsträckning ändringarna är nödvändiga för att åtgärda störningar eller för att uppfylla nya legala eller tekniska krav. Alla ändringar av denna Integritetspolicy kommer att publiceras på Webbplatsen.
En ny version av denna integritetspolicy gäller från och med den tidpunkt som anges i den nya versionen av integritetspolicyn och blir gällande gentemot dig när du, efter sådan tidpunkt, använder vår webbplats eller på annat sätt godkänner de uppdaterade villkoren. Den vid var tid gällande integritetspolicyn finns tillgänglig på Webbplatsen.
Cookies på eurosec.se
Företagets hemsida innehåller så kallade Cookies. Cookies möjliggör att hemsidan kommer ihåg viktig information som gör ditt besök på hemsidan bekvämare.
Vad är cookies och hur använder vi cookies?
Företagets hemsida innehåller så kallade Cookies. Cookies är en liten textfil som placeras på datorn av en webbserver och fungerar som ett ID-kort. Cookies möjliggör att hemsidan kommer ihåg viktig information som gör ditt besök på hemsidan bekvämare. Liksom de flesta andra hemsidor, använder Företaget cookies för att förbättra din internetupplevelse på följande sätt:
- Du har loggat in på webbplatsen och skall därigenom slippa logga in på varje ny sida du besöker.
- Hjälpa dig att hålla reda på vilka varor du lagt i din varukorg.
- Anpassa våra tjänster efter de användarpreferenser du angivit.
- Räkna antalet användare och trafik. Genom att förstå hur webbplatsen används kan vi utveckla och förbättra den.
- Anpassa våra tjänster så att du får reklam som är relevant för dig.
- Samla in och analysera beteendedata baserat på användning av webbplats och tjänster i syfte att förbättra användarupplevelsen och även möjliggöra individanpassad kommunikation och budskap till användaren.
Det finns två typer av cookies och på Företagets webbplats används båda. Den ena typen, som kallas för Permanent Cookie, sparar en fil som ligger kvar på besökarens dator. Den används till exempel för att kunna anpassa en webbplats efter besökarens önskemål, val och intressen samt för statistikuppföljning. Nedan har vi listat alla cookies, deras syfte, vilket domän de tillhör och deras livslängd. Den andra typen kallas Session Cookie. Under tiden en besökare är inne på en webbsida, lagras den temporärt i minnet i besökarens dator. Session Cookies försvinner när du stänger din webbläsare. På Företaget webbplats används också tredjepartscookies för bland annat Google Analytics och Remarketing. Syftet är att förstå hur vår sida används och kunna förbättra den, samt att kunna göra riktad reklam. Om du inte vill ta emot cookies kan du i din webbläsare ändra inställningar för cookies, och du kan även spärra cookies. Observera att om du spärrar cookies kommer du inte kunna använda alla funktioner på Företagets hemsida.
Klicka på följande länkar för att läsa mer om hur du ändrar inställningarna för cookies:
- Inställningar för cookies i Internet Explorer
- Inställningar för cookies i Firefox
- Inställningar för cookies i Chrome
- Inställningar för cookies i Safari
Cookies
Domän | Beskrivning |
---|---|
Eurosec Aktiebolag | Webbplatsfunktionalitet |
Beteende-data | |
Riktad annonsering | |
Albacross | Riktad annonsering |