Integritetspolicy
Vi värnar om din integritet och säkerhet
Integritetspolicy
Vi på Eurosec Aktiebolag, org. nr 556385-7027 (”Företaget” eller ”vi”) värnar om din integritet och säkerhet. GDPR, den nya lagen för behandling av personuppgifter, ställer högre krav på öppenhet och därför finns den här sidan för dig för att du ska veta vad vi gör i behandlingen av personuppgifter. Det finns ett antal områden som tillsammans ger dig helheten över hur vi ser på integriteten och säkerheten, både för dig som varit i kontakt med eller är kund till Företaget. Dessa har vi delat in i ett antal avsnitt som kan komma att uppdateras och fyllas på med mer information framöver.
Det är vår målsättning att följa alla vid var tid gällande lagar och regler för personuppgiftsskydd. Denna policy hjälper dig bl.a. att förstå vilken slags information vi samlar in och hur denna används. Genom att godkänna policyn när du lämnat uppgifter så samtycker du till behandling av dina personuppgifter i enlighet med nedan.
Vilka personuppgifter behandlar vi?
Företaget är personuppgiftsansvarigt för behandlingen av dina personuppgifter. Företaget kommer att behandla de personuppgifter som du lämnar eller har lämnat till Företaget i syfte fullfölja dina åtaganden gentemot dig som användare av våra tjänster eller dig som en arbetssökande kandidat. Personuppgifter kan även behandlas för att Företaget ska kunna fullgöra sina förpliktelser enligt lag, förordning eller föreläggande från myndighet. De personuppgifter som Företaget behandlar är krypterade och behandlas enligt nedan. Företaget behandlar de personuppgifter som du självmant lämnat till oss. Exakt vilken typ av personuppgifter detta är beror på vilka uppgifter du valt att registrera.
Hur använder vi dina personuppgifter?
Företaget kan vilja lämna speciella erbjudanden som vi tror kan vara av intresse för dig om våra tjänster eller produkter eller med dessa relaterad information från de företag, myndigheter och organisationer som har ingått avtal med Företaget om (”Tredje Part”). Du kan välja att inte dela din information med Tredje Part när du lämnar din information till oss. Om du samtycker till att vi förser dig med information från oss eller Tredje Part kan du alltid välja bort detta på webbplatsen för Eurosec Aktiebolag (www.eurosec.se) (”Webbplatsen”) vid ett senare tillfälle.
Om hela eller delar av vår verksamhet säljs eller integreras med annan verksamhet kan dina personuppgifter lämnas ut till våra rådgivare, eventuell köpare och dennes rådgivare och lämnas vidare till verksamhetens nya ägare.
| Syftet med behandlingen | Rättslig grund för behandlingen | Hur länge sparar vi uppgifterna? |
| Förbättra upplevelsen av ditt besök på vår hemsida | Samtycke (cookies) | 1 år |
| Din profil på hemsidan | Samtycke | Tills du väljer att ta bort din profil |
| Marknadsföring och annonsering | Berättigat intresse (med opt-out) | Opt-out, eller upp till 3 år |
| För att administrera ditt köp och leverera varor | Nödvändigt på grund av avtal | 3 år |
| Utföra och hantera serviceärende | Nödvändigt på grund av avtal | 3 år |
| För felsökning, dataanalys, statistik och motverka missbruk | Berättigat intresse | 3 år |
| Bokföring av transaktioner | Rättslig skyldighet | 7 år |
Hur skyddar vi dina personuppgifter?
Alla personuppgifter behandlas i krypterad form hos oss på vår eller våra samarbetspartners servrar inom EU.
När du använder våra tjänster kan du få frågan om du vill lämna vissa personuppgifter till Tredje part. Om du självmant väljer att lämna personuppgifter till Tredje part är denna Tredje part personuppgiftsansvarig för sådana personuppgifter som Tredje part samlar in. Företaget rekommenderar dig att läsa den personuppgiftspolicy som sådan Tredje part tillämpar. Företaget tar inte ansvar för andra aktörers behandling av personuppgifter.
Hur länge sparas mina personuppgifter?
Om du lämnar dina uppgifter som prospekt eller kund för våra tjänster samt som kandidat för lediga tjänster sparas dina uppgifter så länge det är nödvändigt utifrån krav i lag eller för att fullgöra våra eller våra samarbetsparters åtaganden gentemot dig. Du kan när som helst avregistrera dig som användare. Dina uppgifter sparas oavsett aldrig längre än vad som är tillåtet enligt gällande personuppgiftslagstiftning.
Tillgång till, uppdatering och korrigering av dina personuppgifter
Du har, enligt gällande personuppgiftslagstiftning, rätt att en gång per kalenderår gratis få besked om vilka personuppgifter som behandlas om dig, oavsett hur dessa samlats in. Om du vill ha sådan information ska denne lämna in en skriftlig begäran till Företaget. Begäran ska enligt gällande personuppgiftslagstiftning skickas in underskriven av dig per post till den adress som anges på Webbplatsen. Den kan alltså inte skickas per e-post.
Ändringar i Integritetspolicy
Företaget förbehåller sig rätten att göra ändringar i denna integritetspolicy när som helst i tiden i den utsträckning ändringarna är nödvändiga för att åtgärda störningar eller för att uppfylla nya legala eller tekniska krav. Alla ändringar av denna Integritetspolicy kommer att publiceras på Webbplatsen.
En ny version av denna integritetspolicy gäller från och med den tidpunkt som anges i den nya versionen av integritetspolicyn och blir gällande gentemot dig när du, efter sådan tidpunkt, använder vår webbplats eller på annat sätt godkänner de uppdaterade villkoren. Den vid var tid gällande integritetspolicyn finns tillgänglig på Webbplatsen.
Nedan hittar du mer information om Säkerhet och Incidenthantering.
Säkerhet
Företaget som personuppgiftsbiträde har ansvaret för de tekniska och organisatoriska säkerhetsåtgärderna i och kring Företaget tjänster. Det innebär att vi ska se till att det finns den säkerhet som behövs exempelvis krypterad lagring, behörighetsstyrning, möjlighet att kunna göra registerutdrag och radera personuppgifter. När det inte finns funktioner för att hantera personuppgifterna har vi interna rutiner för detta. De åtgärder som Företaget vidtar beskrivs närmare nedan.
Autentisering och kryptering
All datakommunikation i vår webbplats sker med Secure Sockets Layer (SSL). Företaget använder krypterad kommunikation i form av 256-bitars SSL-kryptering och 2048-bitars publika nycklar från RSA. All datakommunikation till och från Användarens datorer krypteras med SSL, den mest använda Internetstandarden för krypterad kommunikation.
Lagring och backuper
Företaget webbplats driftas på servrar i datahallar som övervakas dygnet runt och det finns alltid personal tillgänglig. Lagringen av data finns på två geografiskt separerade platser i Europa med full redundans och backuper tas dagligen.
Kunskaps- och informationsskydd
Endast ett fåtal nyckelpersoner känner till hur säkerhetssystemet är uppbyggt. All personal är bunden av ett sekretessavtal som förhindrar spridning av data, information, samt kundens eller användarens personuppgifter. Endast behörig personal har tillgång till uppgifterna och behörigheten styrs av Företagets IT-avdelning.
Incidenthantering
I GDPR finns det ett nytt krav vid personuppgiftsincidenter, vilket är att incidenter behöver rapporteras till Integritetsskyddsmyndigheten inom 72 timmar. För att kunna uppfylla de nya skyldigheterna enligt förordningen är det viktigt att ha tillräckliga rutiner på plats för att kunna upptäcka, rapportera och utreda personuppgiftsincidenter.
Incident
Om en incident inträffar kan det innebär att det blir en personuppgiftsincident. Ett problem i Företagets IT miljö som genererar felaktig data eller saknad data kategoriseras som en programrelaterad incident. Skulle denna data innehålla personuppgifter blir det även en personuppgiftsincident. Det kan också bli en personuppgiftsincident om en säkerhetsincident leder till obehörigt röjande av eller obehörig åtkomst till de behandlade personuppgifterna.
Incidentprocess
Företaget har ett incidentteam som sköter nödvändig samordning, kommunikation och ansvar för att bedöma, reagera på och lära sig av incidenter för att minska risken att det sker igen. Beroende på incidentens karaktär och påverkan involveras de personer som krävs för att hantera incidenten. Processen för hanteringen är grunden för flödet som med kompletterande rutiner tydliggör vem som gör vad och hur situationen ska hanteras. Processen är indelad i delprocesserna identifiering av incident, konsekvensanalys, åtgärdsprocess, kommunikation och Root Cause Analysis (RCA).
Vid identifieringen av incident sker en identifiering av vilken typ av incident det är frågan om. I delprocessen Konsekvensanalys sker en analys över omfattningen vilka kunder och användare som påverkas av incidenten och vad konsekvenserna blir. I Åtgärdsprocessen sker bedömning och prioritering av problemet för att säkerhetsställa åtgärdsplan samt verkställandet av åtgärden. Vid en personuppgiftsincident är sammanställning av rapport en aktivitet, där vi utgår ifrån Integritetsskyddsmyndighetens mall som beskriver att vi ska ha med information om:
- Vilken typ av incident det är fråga om
- Vilka kategorier av personer som kan komma att beröras
- Hur många personer det berör
- Vilka konsekvenser incidenten kan få
- Vilka åtgärder man vidtagit för att motverka ev. negativa konsekvenser.
Incident och åtgärder kommuniceras ut till berörda som drabbats. Vid personuppgiftsincident finns anmälan till Integritetsskyddsmyndigheten som en aktivitet i denna delprocess. Efter att åtgärder är genomförda och berörda har blivit informerade genomförs en Root Cause Analysis i syfte att förhindra att problemet uppstår igen.