Personuppgiftspolicy

Senaste uppdatering 2018-09-27

Den digitala tjänsten EMBRACE ägs och förvaltas av företaget Embrace safety AB (Org.nr: 559081-1898) och har sitt säte i Örebro, Sverige, EU. Förutom att Embrace safety AB tillhandahåller den digitala tjänsten EMBRACE och support/stöd därtill, erbjuder man också utbildning och fortbildning i EMBRACE.

Denna Personuppgiftspolicy gäller för information vi samlar in och sparar om dig som användare av EMBRACE och om dig som användare av www.embrace-safety.se och dels för den digitala tjänsten EMBRACE och den information man där sparar/registrerar och hanterar.

Vi har ett förfarande (revision/testning/riskkonsekvensanalys) för att regelbundet, minst en gång årligen, testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa personuppgiftsbehandlingens säkerhet. Resultatet av dessa tester/revisioner dokumenteras och våra kunder av systemet EMBRACE/de personuppgiftsansvariga kan ta del av dem om de så önskar.

Embrace safety AB har tecknad Ansvarsförsäkring.
 


Personuppgiftspolicy för information om dig som användare av EMBRACE och
om dig som användare av www.embrace-safety.se

Denna del av vår Personuppgiftspolicy gäller för sådana personuppgifter som vi samlar om dig via att du kontaktar oss via www.embrace-safety.se, via e-post eller på något annat sätt och då du beställer en utbildning eller EMBRACE-licens. Vi värnar om din integritet och det är viktigt att du tar del av informationen om hur vi behandlar dina personuppgifter. Kontaktinformation till oss och vårt dataskyddsombud hittar du under ”KONTAKT” på www.embrace-safety.se.

Vi använder information som vi samlar in om våra kunder och användare av två huvudsakliga anledningar:

  • för att tillhandahålla våra tjänster (primärt utbildning i EMBRACE och tillhandahållande av EMBRACE-licenser), dvs. se till att användare och kunder har tillgång till och kan använda våra tjänster,
  • för att kommunicera med våra användare och kunder med anledning av användar-/kundrelationen, vilket inkluderar både administrativ kommunikation som exempelvis återkoppling i ett kundtjänstärende och marknadsföringskommunikation som riktas direkt till dig om det är tillåtet enligt lag.


Personuppgifter som vi samlar in om dig som användare av EMBRACE och om dig som användare av www.embrace-safety.se
Vi samlar in personuppgifter för att våra tjänster ska fungera effektivt och ge dig bästa möjliga service och stöd. Vissa av dessa uppgifter tillhandahåller du direkt till oss, exempelvis när du fyller i ett formulär eller skriver ett e-post vid beställning av en EMBRACE-licens eller EMBRACE-utbildning, registrerar dig för ett nyhetsbrev, eller kontaktar oss för support/stöd. Om du inte lämnar uppgifter som är nödvändiga för att få tillgång till våra tjänster eller en viss funktion, finns det en risk att du inte kommer att kunna använda den specifika tjänsten.

Vilka uppgifter som vi samlar in beror på sammanhanget för dina interaktioner med oss och dina val. Den data vi samlar in om dig kan innefatta följande:

  • Namn och kontaktuppgifter. Vi samlar in ditt för- och efternamn, e-postadress, postadress, telefonnummer, leveransadress och andra liknande kontaktuppgifter.
  • Autentiseringsuppgifter. Vi skapar dina användaruppgifter och behörigheter i EMBRACE men lösenord bestämmer du själv vid första inloggningen (krav dock att det ska vara av en viss längd. etc, dvs. det ska vara ett säkert lösenord).
  • Information för att genomföra transaktioner. Vi samlar in uppgifter som är nödvändiga för att kunna behandla din betalning vid eventuella köp, vilket vanligtvis består av en fakturaadress som du tillhandahåller vid en beställning.
  • Köp-/beställningshistorik. Vi sparar uppgifter om dina köp, tid för köp, av EMBRACE-licenser och utbildningar via www.embrace-safety.se.
  • Loggning i EMBRACE. För dig som är användare av EMBRACE så sparar vi information om dina aktiviteter i EMBRACE, om vilka funktioner du använder etc. Loggningen sker för att kunna identifiera felaktigheter och buggar i EMBRACE men även för att kunna monitorera om t.ex. intrångsförsök görs.
  • Övrigt. Vi samlar också in information som du tillhandahåller oss och innehållet i meddelanden som du skickar till oss, såsom feedback eller frågor till vår support/stödfunktion. När du kontaktar oss, t.ex. för kundsupport genom telefonsamtal kan samtalen övervakas och spelas in för din och vår säkerhet samt för att kontinuerligt utvärdera vårt kundservicebemötande.

Notera att om du begär att vi inte ska kontakta dig genom e-post kommer vi att behålla en kopia av den e-postadressen i vår spärrlista för utskick för att se till att du inte får del av oönskade e-postutskick i framtiden.

Säkerhet och regelefterlevnad
Vi använder uppgifter för att skydda våra produkters, tjänsters och kunders säkerhet för att upptäcka och förhindra bedrägeri, exempelvis dubbelutnyttjande av erbjudanden, för att lösa tvister och verkställa våra avtal. Vi använder uppgifter för att efterleva tillämplig lagstiftning såsom bokföringslagen. Notera att vi kan komma att radera innehåll som du publicerat via exempelvis en kommentarsfunktion om det bryter mot våra användarvillkor för en specifik tjänst.

Kommunikation
Vi behandlar personuppgifter för att kommunicera med dig. Exempelvis kan vi kontakta dig per e-post, telefon, eller på andra sätt för att informera dig om när en EMBRACE-licens är på väg att upphöra, meddela dig när uppdateringar eller utbildningar är tillgängliga återkoppla till dig i ett supportärende, informera dig om att du måste vidta en åtgärd för att hålla ditt konto aktivt, leverera ett nyhetsbrev som ingår i din prenumeration eller som du har anmält intresse för, och informera om erbjudanden som kan vara av intresse för dig.

Övriga ändamål
Om vi planerar att använda personuppgifter för ett nytt syfte, utöver vad som beskrivs i denna policy, kommer du att bli informerad om sådan användning innan, eller i samband med att personuppgifterna samlas in och vi kommer att be om din tillåtelse eller, där det krävs, ditt samtycke. Alternativt så kommer vi att be om din tillåtelse och/eller samtycke efter sådan insamling skett, men innan att vi skulle använda dina personuppgifter för ett nytt syfte.

Vi delar inte dina personuppgifter med någon annan
Vi delar inte dina personuppgifter med någon annan förutom när vi anser att det är nödvändigt för att:

  1. följa lagen eller rättslig process och ge ut information till polis och andra behöriga myndigheter,
  2. skydda våra kunder, exempelvis för att förhindra bedrägeriförsök
  3. hantera och upprätthålla säkerheten för våra produkter, däribland att förhindra eller stoppa en attack på våra system eller nätverk,
  4. skydda rättigheter eller egendom som tillhör Embrace safety AB, inklusive verkställa de villkor som styr din användning av våra tjänster. Om det är nödvändigt överlåter vi ärendet till polismyndigheten för fortsatt handläggning.

Dina individuella rättigheter
Det är viktigt att du förstår vilka rättigheter du har gällande behandling av dina personuppgifter, vilket vi informerar om nedan. Kontaktinformation om var du kan vända dig för att ta tillvara någon av dina rättigheter hittar du under ”KONTAKT” på www.embrace-safety.se.

Du har följande rättigheter:

  • Om behandling av personuppgifter baseras på ditt samtycke, har du rätt att när som helst återkalla samtycket för framtida behandling av dina personuppgifter.
  • Du har rätt att kostnadsfritt begära tillgång till samt åtkomst till kopia av dina personuppgifter (s k registerutdrag), begära rättelse av felaktiga uppgifter och, under vissa omständigheter, begära att dina personuppgifter raderas.
  • Du har rätt att kräva att vi begränsar behandlingen av dina personuppgifter under tiden det åligger oss att utreda eventuella invändningar från dig eller om vi saknar rättslig grund för att få fortsätta behandla men du inte vill att uppgifterna ska raderas eller om vi inte längre behöver uppgifterna men du behöver dem för att kunna göra din rätt gällande
  • Du har i vissa fall en rätt till dataportabilitet, dvs att få ut personuppgifter som tillhandahållits genom dig, i ett strukturerat, allmänt använt och maskinläsbart format samt att kunna överföra dessa till annan personuppgiftsansvarig i de fall där vår rätt att behandla dina personuppgifter grundar sig antingen på ditt samtycke eller fullgörande av ett avtal med dig.
  • Du har rätt att i vissa fall göra invändning mot användning av dina personuppgifter med följd att vi eventuellt måste upphöra med behandlingen om vi inte kan visa tvingande berättigade skäl som överväger intresset att inte få personuppgifterna behandlade,
  • Du har rätt att när som helst invända mot direktmarknadsföring med följd av vi inte längre får fortsätta använda uppgifterna för det ändamålet,
  • Du har rätt att framföra klagomål hos en dataskyddsmyndighet. Datainspektionen är den myndighet i Sverige som utövar tillsyn över hur vi som företag följer lagstiftningen.

När vi bearbetar dina personuppgifter gör vi det på behovsbasis, för att kunna tillhandahålla de tjänster som du använder, driva vår verksamhet, uppfylla våra avtalsenliga och lagliga skyldigheter, skydda våra system och kunder eller uppfylla andra berättigade intressen enligt beskrivning ovan. Utövandet av dina rättigheter är kostnadsfritt. Vi besvarar begäran om dina rättigheter och förfrågningar om åtkomst eller borttagning av dina personuppgifter inom 30 dagar som utgångspunkt. Åtgärderna vidtas inom rimlig tid som beroende på omständigheterna kan vara upp till 3 månader. Vi förbehåller oss rätten att vid orimlig eller uppenbart ogrundad invändning eller begäran ta ut en rimlig avgift för åtgärden alternativt inte vidta någon åtgärd.

Säkerhet för dina personuppgifter
Vi använder en rad säkerhetstekniker och säkerhetsmetoder för att skydda dina personuppgifter från oönskad åtkomst, användning och utlämnande. Till exempel lagras personuppgifter som du anger på datorsystem som har begränsad åtkomst och finns i skyddade lokaler. Vid överföring av känsliga data (exempelvis kreditkortsnummer och lösenord) via Internet, skyddar vi dessa uppgifter med kryptering. I de fall vi använder underleverantörer utför vi kontinuerligt revison av dessa för att säkerställa att behandlingen sker i enlighet med denna policy och våra säkerhetsrutiner.

Var vi sparar och behandlar personuppgifter
Vår personuppgiftsbehandling sker inom EU/EES, inkluderat insamling, lagring, förstöring, mm.

Hur vi sparar dina personuppgifter
Vi sparar personuppgifter så länge det är nödvändigt för de anledningar som de används till, till exempel så länge det krävs för att vi ska kunna tillhandahålla våra tjänster, för att bibehålla och förbättra befintliga tjänsters prestanda, skicka nödvändig kommunikation och marknadskommunikation, bedriva utveckling av våra tjänster och uppfylla våra skyldigheter enligt lag. Eftersom behoven kan variera för olika typer av data och för olika typer av tjänster, produkter och sammanhang, varierar perioden vi sparar uppgifterna.

De kriterier som avgör hur länge personuppgifterna kommer att sparas är:

  • vilken anledning använder vi uppgifterna, dvs använder vi uppgifterna för att uppfylla lagkrav så sparas de längre tid än exempelvis kontaktinformation för direktmarknadsföring,
  • vilken typ av uppgifter det rör sig om, dvs en känslig uppgift om exempelvis matallergi sparas kortare tid än exempelvis kontaktinformation,
  • hur uppgiften sparas, dvs uppgifter som inte är pseudonymiserade sparas kortare tid än om de är pseudonymiserade,
  • vilken relation har vi till dig, dvs om du är en befintlig, före detta eller potentiell användare/kund eller om du besöker oss utan att vara inloggad.

Vi har rätt att använda dina kontaktuppgifter för direktmarknadsföring under tiden vi har ett användar- eller kundförhållande och en viss tid efter vår användar- eller kundrelation har avslutats så länge du inte invänt mot det. Vi sparar dina uppgifter i tre år efter tjänsten avslutats. Vi kan komma att kontakta potentiella kunder via telefon för att marknadsföra våra tjänster och produkter. Om du väljer att inte inleda ett kundförhållande med oss så sparar vi kontaktuppgifterna upp till tre månader från kontakttillfället.

Dina personuppgifter sparas längre än vad som angetts ovan i de fall vi är skyldiga att göra det enligt lag, förordning eller myndighetsbeslut eller för att behålla uppgifter som måste behållas i syfte att lösa en tvist eller om du har samtyckt till det. Vi använder dina uppgifter till marknadsföring bara om det är tillåtet enligt lag och du inte har invänt mot det.

Personuppgiftsansvarig

Det är Embrace safety AB som är personuppgiftsansvarig för de ovan beskrivna personuppgifterna om dig. Se närmare kontaktuppgifter på www.embrace-safety.se under ”KONTAKT”.
 


Personuppgiftspolicy för den digitala tjänsten EMBRACE och den information
man där sparar/registrerar och hanterar.

Följande policy/information om personuppgiftshantering är viktig information till de personer och verksamheter som är användare av den digitala tjänsten EMBRACE eller de som planerar att bli det.

Fokus i den digitala tjänsten EMBRACE är på att kartlägga och analysera brottshändelser, otrygghetsskapande händelser och otrygga platser samt att dokumentera och följa upp insatser för att förebygga brott och otrygghet. Fokus är inte alls på att registrera personer eller gärningspersoner utan fokus är på händelser och otrygga platser. EMBRACE möjliggör samverkan mellan verksamheter och delning av information mellan dessa för att skapa gemensamma lokala lägesbilder. I EMBRACE har man möjlighet att spara information om händelser, inklusive brott, på adressnivå. Adresser där det finns boende kan anses vara personuppgifter (om än indirekta och okänsliga sådana). De lagliga grunderna för denna hantering av brott och andra händelser på adressnivå av olika typer av verksamheter, och delning av denna typ av information, tydliggörs i en oberoende rättsutredning om EMBRACE (ta del av rättsutredningen här).

De som är användare/slutkunder av EMBRACE och närmare bestämt deras verksamhet, är Personuppgiftsansvariga för de uppgifter som de tillför till och sparar i EMBRACE. Alltså, varje verksamhet som bidrar med uppgifter till EMBRACE och närmare bestämt med uppgifter/information som kan vara personuppgifter, är personuppgiftsansvariga för dessa uppgifter. Detta innebär att Embrace safety AB är personuppgiftsbiträden till de verksamheter som använder EMBRACE. Detta innebär vidare att Personuppgiftsbiträdesavtal ska upprättas mellan Embrace safety AB och användarens/slutkundens verksamhet. Embrace safety AB behöver alltså skriva denna typ av avtal med alla verksamheter som tillför och sparar information till EMBRACE. Vi använder oss gärna av Sveriges kommuner och landstings (SKL:s) Personuppgiftsbiträdesavtal.

I EMBRACE hanterar vi data på ett säkert sett och i enlighet med GDPR. Vi specificerar alla våra säkerhetsfunktioner för våra användare. Kontakta oss om Du/Din verksamhet vill ta del av detta dokument.

Information om loggning i EMBRACE (loggning krävs enligt GDPR)

I EMBRACE sker loggning av alla förändringar som sker i systemet med information om vem som utfört förändringen, vad som har förändrats och vilken tid förändringen har skett. Loggning av vem som har utfört förändringen sker genom pseudoanonymisering vilket innebär att istället för att logga användarnamn så loggas ett unikt id som vid begäran kan kopplas mot en specifik användare. Känsliga uppgifter, tex. lösenord, loggas inte.

Följande förändringar loggas:

  • Skapande av ny data (information om vad som har skapats)
  • Förändringar av data (information hur data såg ut innan och information om ny data)
  • Radering av data (information om vad som har tagits bort)

Utöver databasloggning sker även loggning av alla anrop mot EMBRACE dvs vad användare försöker utföra och vilken typ av data användaren får tillgång till. Exempelvis loggas inloggningsförsök, lyckade inloggningar, anrop för att få tillgång till data och anrop för att skicka in data. Denna typ av loggning sker även den, på samma sätt som vid loggning av databasförändringar, med information om vilken användare som utför anropet, vad som begärs och när anropet skett.

Loggar lagras i Azure på servrar (två olika platser för att minimera risk) som ligger inom EU via tjänsten Azure Table Storage. Azure Table Storage är skyddat genom 256-bit AES kryptering. Loggen delges inte till någon obehörig eller till land utanför EU.

Loggarna gallras inte utan sparas tillsvidare så länge kunden är avtalad användare av EMBRACE. Vi kan dock på en kunds begäran gallra i loggen.

Loggen kan på begäran exporteras så att kunden (en organisation som använder EMBRACE) kan erhålla den om man så önskar, exempelvis om och när man vill avsluta sin användning av EMBRACE.

Underbiträden

Vi använder oss av underbiträden för vår hantering av personuppgifter i form av företag som står för hårdvara och mjukvara som säkerställer säkerhet, lagring, funktion, etc. Specifik information ges till våra kunder om våra anlitade underbiträden.

Informationsskyldighet och registrerades rättigheter

Eftersom informationen som en verksamhet tillför och sparar i EMBRACE kan vara personuppgifter i form av adresser har respektive verksamhet som använder EMBRACE informationsskyldighet gentemot de vars adresser som kan komma att registreras i EMBRACE. De vars adresser man sparat information om i EMBRACE har också ett antal rättigheter, t.ex. att få reda på vad som finns registrerat, etc. Embrace safety AB vill underlätta för verksamheter som vill använda EMBRACE och har därför tagit fram informationsmallar för detta. Alla våra kunder har full tillgång till dessa dokument. Kontakta oss om Du/Din verksamhet vill ta del av dessa dokument.

Vid händelse av personuppgiftsincident

Vid händelse av personuppgiftsincident meddelar vi som personuppgiftsbiträde den personuppgiftsansvarige utan onödigt dröjsmål, dock inte senare än 24 timmar, från det att vi som underbiträde fått kännedom om personuppgiftsincidenten. Meddelandet ska åtminstone:

  1. beskriva personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs,
  2. förmedla namnet på och kontaktuppgifterna för kontaktpunkter där mer information kan erhållas,
  3. beskriva de sannolika konsekvenserna av personuppgiftsincidenten, och
  4. beskriva de åtgärder som vi som personuppgiftsunderbiträde har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.

 


Dataskyddsombud
Vi (Embrace safety AB) har ett Dataskyddsombud (se kontaktuppgifter på www.embrace-safety.se under ”KONTAKT”) som arbetar för att tillse att personuppgifter i behandlas på ett korrekt och lagligt sätt enligt GDPR och som svarar på frågor om vår personuppgiftsbehandling och våra personuppgiftsrelaterade avtal.
 


Krisorganisation
Vi (Embrace safety AB) har en krisorganisation som aktiveras vid särskild händelse eller misstanke om händelse, exempelvis en faktisk eller misstänkt personuppgiftsincident. Denna organisation leds och koordineras av vårt Dataskyddsombud (se kontaktuppgifter på www.embrace-safety.se under ”KONTAKT”).
 


Ändringar i denna Personuppgiftspolicy
Vi kommer att uppdatera vår Personuppgiftspolicy när det behövs för att återspegla kundfeedback och ändringar i våra tjänster eller när lagstiftning eller riktlinjer förändras eller förnyas. När en policy uppdateras ändras datumet för senaste uppdatering längst upp i policyn.

Om det sker större ändringar i policyn eller i hur vi använder dina personuppgifter, meddelas du via anslag på webbsidan eller e-postmeddelande innan ändringarna träder i kraft där det krävs enligt lag. Läs gärna denna personuppgiftspolicy då och då så håller du dig informerad om hur vi på Embrace safety AB skyddar dina personuppgifter och din integritet.
 


Revision/testning/riskkonsekvensanalys

Vi har ett förfarande (revision/testning/riskkonsekvensanalys) för att regelbundet, minst en gång årligen, testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa personuppgiftsbehandlingens säkerhet. Resultatet av dessa tester/revisioner dokumenteras och våra kunder av systemet EMBRACE/de personuppgiftsansvariga kan ta del av dem om de så önskar.
 


Kontakta oss
Om du har frågor om vad som gäller för dina personuppgifter eller vår personuppgiftshantering i övrigt, ett klagomål, eller en fråga till vårt dataskyddsombud, kontakta oss. Se ”KONTAKT” på www.embrace-safety.se