Gratis mall för integritetspolicy (GDPR)

PERSONUPPGIFTSANSVARIG

PERSONUPPGIFTSANSVARIG

Digitala Lösningar AB är personuppgiftsansvarig för den behandling av personuppgifter som omfattas av denna Policy enligt GDPR Art. 4.7. Personuppgiftsansvarig bestämmer ändamålen och medlen för behandlingen.

VILKA PERSONUPPGIFTER VI SAMLAR IN

Vi samlar in och behandlar följande kategorier av personuppgifter om dig:
1. Identitetsuppgifter (namn, personnummer)
2. Kontaktuppgifter (e-post, telefon, adress)
3. Finansiella uppgifter (betalningsinformation, fakturadata)
4. Tekniska uppgifter (IP-adress, enhetsinformation, webbläsartyp)
5. Användningsdata (surfhistorik, klickdata, sessionsdata)
6. Marknadsföringspreferenser (samtycken, intresseområden)

Personuppgifter samlas in på följande sätt:
(a) Direkt från dig — när du registrerar ett konto, gör en beställning, kontaktar vår kundtjänst, anmäler dig till nyhetsbrev, fyller i formulär eller på annat sätt lämnar uppgifter till oss;
(b) Automatiskt — när du besöker vår webbplats samlas tekniska uppgifter in genom cookies och liknande spårningstekniker (se klausulen om cookies nedan);
(c) Från tredje part — vi kan ta emot uppgifter från betalningsleverantörer, sociala medieplattformar (om du använder social inloggning), offentliga register och våra samarbetspartners.

Vi tillämpar principen om uppgiftsminimering enligt GDPR Art. 5.1(c) och samlar aldrig in fler personuppgifter än vad som är nödvändigt för det angivna ändamålet.

ÄNDAMÅL OCH RÄTTSLIG GRUND

Vi behandlar dina personuppgifter för följande ändamål:
1. Att fullgöra avtal och leverera beställda tjänster
2. Att uppfylla rättsliga förpliktelser (bokföring, skatt, rapportering)
3. Direktmarknadsföring (med samtycke)
4. Analys, statistik och tjänsteförbättring
5. Kundtjänst och support
6. Säkerhet, bedrägeriförebyggande och systemövervakning

Rättslig grund enligt GDPR Art. 6:
(a) Avtal (Art. 6.1 b): Behandling som är nödvändig för att fullgöra ett avtal med dig eller för att vidta åtgärder på begäran av dig innan ett sådant avtal ingås.
(b) Rättslig förpliktelse (Art. 6.1 c): Behandling som krävs för att uppfylla en rättslig förpliktelse (t.ex. Bokföringslagen 1999:1078, Skatteförfarandelagen 2011:1244, Penningtvättslagen 2017:630).
(c) Samtycke (Art. 6.1 a): För marknadsföring och icke-nödvändiga cookies. Samtycket är frivilligt, specifikt, informerat och otvetydigt enligt Art. 7 GDPR. Du kan när som helst återkalla ditt samtycke utan att det påverkar lagligheten av behandlingen före återkallandet.
(d) Berättigat intresse (Art. 6.1 f): För analys, tjänsteförbättring och säkerhet, under förutsättning att våra intressen inte överkörs av dina rättigheter och friheter. Vi genomför intresseavvägning för varje sådan behandling.
(e) Skydd av vitala intressen (Art. 6.1 d) och uppgift av allmänt intresse (Art. 6.1 e) kan undantagsvis utgöra grund i nödsituationer respektive för myndighetsutövning.

Vid behandling av särskilda kategorier av personuppgifter enligt Art. 9 GDPR krävs dessutom särskilt stöd, t.ex. uttryckligt samtycke (Art. 9.2 a) eller annan tillämplig grund i nämnda artikel.

LAGRINGSTID

Vi lagrar dina personuppgifter endast så länge det är nödvändigt för de ändamål de samlades in för, eller så länge det krävs enligt lag. När lagringstiden har löpt ut raderas eller anonymiseras uppgifterna på ett säkert sätt.

Generella lagringstider:

DINA RÄTTIGHETER ENLIGT GDPR

Som registrerad har du omfattande rättigheter enligt GDPR. Du kan utöva dem kostnadsfritt genom att kontakta oss på dataskydd@digitallosningar.se.

Rätt till tillgång (Art. 15): Du har rätt att få besked om huruvida vi behandlar personuppgifter om dig och i så fall få en kopia av uppgifterna samt information om behandlingen.

Rätt till rättelse (Art. 16): Du har rätt att få felaktiga personuppgifter rättade och att komplettera ofullständiga uppgifter.

Rätt till radering — "rätten att bli glömd" (Art. 17): Du har rätt att få dina personuppgifter raderade om (a) de inte längre behövs för ändamålet, (b) du återkallar ditt samtycke och ingen annan rättslig grund finns, (c) du invänder mot behandlingen och berättigat skäl saknas, (d) uppgifterna behandlats olagligt, eller (e) radering krävs enligt lag.

Rätt till begränsning (Art. 18): Du har rätt att begära att behandlingen begränsas under vissa omständigheter, t.ex. medan vi utreder din invändning.

Rätt till dataportabilitet (Art. 20): Du har rätt att få ut de personuppgifter du lämnat till oss i ett strukturerat, allmänt använt och maskinläsbart format och att överföra dem till en annan personuppgiftsansvarig, när behandlingen grundas på samtycke eller avtal och sker automatiserat.

Rätt att göra invändning (Art. 21): Du har rätt att invända mot behandling som grundas på berättigat intresse eller allmänt intresse. Vid direktmarknadsföring har du alltid en ovillkorlig rätt att invända.

Rätt att återkalla samtycke (Art. 7.3): När behandlingen grundas på samtycke kan du när som helst återkalla det utan att det påverkar lagligheten av tidigare behandling.

Automatiserat beslutsfattande och profilering (Art. 22): Du har rätt att inte bli föremål för beslut som uteslutande grundas på automatiserad behandling, inklusive profilering, som har rättsliga följder eller på liknande sätt i betydande grad påverkar dig. Vi informerar särskilt om sådan behandling om den förekommer, och du har rätt till mänsklig inblandning, att framföra din ståndpunkt och att överklaga beslutet.

Svarstid: Vi besvarar din begäran utan onödigt dröjsmål och senast inom 30 dagar från mottagandet (Art. 12.3). Vid komplicerade eller många begäranden kan tiden förlängas med ytterligare två månader — i sådant fall informerar vi dig inom en månad. Identitetsverifiering sker genom e-postverifiering från den registrerade adressen samt vid behov kompletterande kontrollfrågor för att motverka missbruk.

Rätt att klaga hos tillsynsmyndighet (Art. 77): Du har alltid rätt att lämna klagomål till Integritetsskyddsmyndigheten (IMY), Box 8114, 104 20 Stockholm, e-post: imy@imy.se, www.imy.se. Du har också rätt att väcka talan i domstol enligt Art. 79 GDPR.

COOKIES OCH LIKNANDE SPÅRNINGSTEKNIKER

Vår webbplats använder cookies och liknande tekniker i enlighet med 6 kap. 18 § Lagen (2003:389) om elektronisk kommunikation ("LEK") och GDPR. En cookie är en liten textfil som sparas på din enhet och gör det möjligt för oss att känna igen dig vid återbesök.

Typer av cookies vi använder:
- Nödvändiga cookies (sessionhantering, säkerhet, autentisering) — alltid aktiva och kräver inte samtycke
- Analyscookies (t.ex. Google Analytics, Matomo) — används för att förstå hur besökare använder webbplatsen; kräver samtycke
- Marknadsföringscookies (t.ex. Facebook Pixel, Google Ads) — används för riktad reklam och mätning; kräver samtycke
- Funktionella cookies (språkval, preferenser, inloggningsminne) — förbättrar användarupplevelsen; kräver samtycke

Samtycke: För alla icke-nödvändiga cookies inhämtar vi ditt uttryckliga samtycke via en cookie-banner när du först besöker webbplatsen. Du kan när som helst ändra dina preferenser genom att klicka på "Cookie-inställningar" i sidfoten eller återkalla samtycket via din webbläsares inställningar.

Tredjepartscookies: Vissa cookies sätts av tredje parter som vi samarbetar med. Dessa tredje parter är självständigt personuppgiftsansvariga för sin behandling, och deras egna integritetspolicys gäller. Vi redovisar de huvudsakliga tredjeparterna i klausulen om delning nedan.

Blockering av cookies: Observera att blockering av nödvändiga cookies kan påverka webbplatsens grundläggande funktion. Detaljerad information om varje cookie (namn, syfte, lagringstid, leverantör) finns i vår separata cookie-policy, som nås via länken i cookie-bannern eller i sidfoten.

DELNING MED TREDJE PART OCH ÖVERFÖRING

Vi delar dina personuppgifter endast när det är nödvändigt och alltid i enlighet med GDPR. Mottagare kan vara:
(a) Personuppgiftsbiträden — tjänsteleverantörer som behandlar uppgifter för vår räkning enligt skriftligt personuppgiftsbiträdesavtal (DPA) enligt GDPR Art. 28, t.ex. IT-leverantörer, hosting, e-posttjänster, CRM-system och bokföringssystem;
(b) Betalningsleverantörer — för att genomföra och säkra transaktioner (t.ex. kortbetalning, Swish, faktura);
(c) Myndigheter — när vi är skyldiga att lämna ut uppgifter enligt lag (t.ex. till Skatteverket, Polisen, Kronofogdemyndigheten);
(d) Rättsliga rådgivare och revisorer — inom ramen för sedvanlig affärsrådgivning;
(e) Förvärvare vid företagsöverlåtelse — vid försäljning, fusion eller omstrukturering av Företaget, varvid mottagaren blir bunden av minst samma skyddsnivå.

Specifika tredjeparter vi använder:
Google Analytics (USA), Mailchimp (USA), Klarna (Sverige), Stripe (USA), Facebook Pixel (USA)

Vi säljer aldrig dina personuppgifter till tredje part.

Överföring till tredje land (GDPR kap. V, Art. 44–49): Vissa av våra tjänsteleverantörer är baserade utanför EU/EES, främst i USA. Sådan överföring sker endast med lämpliga skyddsåtgärder enligt GDPR, exempelvis:
- EU-kommissionens standardavtalsklausuler (Standard Contractual Clauses, SCC) enligt Art. 46.2 c;
- EU-US Data Privacy Framework (DPF) för certifierade mottagare enligt Art. 45;
- bindande företagsbestämmelser (BCR) enligt Art. 47 där det är tillämpligt;
- kompletterande tekniska och organisatoriska åtgärder efter EU-domstolens Schrems II-dom (C-311/18).

Du har rätt att få en kopia av de skyddsåtgärder som gäller för överföringen genom att kontakta oss.

SÄKERHET I BEHANDLINGEN

Vi vidtar lämpliga tekniska och organisatoriska säkerhetsåtgärder enligt GDPR Art. 32 för att skydda dina personuppgifter mot obehörig åtkomst, ändring, spridning, förlust eller förstöring. Skyddsnivån är anpassad till behandlingens art, omfattning, sammanhang och ändamål samt till den risk som behandlingen kan innebära för fysiska personers rättigheter och friheter.

Våra huvudsakliga säkerhetsåtgärder:
- Kryptering av data vid överföring (SSL/TLS) och vid lagring där så är lämpligt
- Behörighetskontroll och principen om behov-att-veta (minsta nödvändiga åtkomst)
- Regelbunden säkerhetskopiering med återställningstest
- Regelbundna säkerhetsgranskningar, sårbarhetsanalyser och penetrationstester
- Kontinuerlig personalutbildning i dataskydd och informationssäkerhet

Vi granskar och uppdaterar regelbundet våra säkerhetsåtgärder i takt med teknisk utveckling och nya hot. Personuppgiftsbiträden förbinder sig i biträdesavtal att tillämpa minst motsvarande säkerhetsnivå (Art. 28.3 c). Vid omfattande behandling som kan innebära hög risk genomför vi konsekvensbedömning avseende dataskydd (DPIA) enligt Art. 35 GDPR innan behandlingen påbörjas.

PERSONUPPGIFTSINCIDENT

En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av, eller obehörigt röjande av eller obehörig åtkomst till, de personuppgifter som vi behandlar (GDPR Art. 4.12).

Anmälan till tillsynsmyndighet (Art. 33): Om en incident inträffar som innebär en risk för de registrerades rättigheter och friheter anmäler vi detta till Integritetsskyddsmyndigheten (IMY) utan onödigt dröjsmål och senast inom 72 timmar från det att vi fått kännedom om incidenten. Vid försening motiveras denna i anmälan.

Information till dig (Art. 34): Om incidenten sannolikt medför en hög risk för dina fri- och rättigheter informerar vi dig utan onödigt dröjsmål, på ett klart och tydligt språk. Informationen omfattar:
(a) incidentens art;
(b) kontaktuppgifter till vårt dataskyddsombud eller annan kontaktpunkt;
(c) sannolika konsekvenser av incidenten;
(d) de åtgärder vi har vidtagit eller föreslår ska vidtas för att åtgärda och mildra incidenten.

Intern rutin: Vi upprätthåller en incidentlogg enligt Art. 33.5 GDPR där samtliga personuppgiftsincidenter dokumenteras oavsett om de anmäls till IMY. Incidenthanteringen omfattar utredning, bedömning, åtgärder, information och uppföljning. Vi genomför regelbundna övningar och utbildningar för att säkerställa att incidenter upptäcks och hanteras snabbt.

ÄNDRINGAR AV DENNA POLICY

Vi kan komma att uppdatera denna Policy från tid till annan, t.ex. vid ändrade lagar, ny praxis från EDPB och IMY, ändrad verksamhet eller införande av nya tjänster. Den senast uppdaterade versionen finns alltid tillgänglig på www.digitallosningar.se.

Väsentliga ändringar — såsom införande av nya ändamål, nya mottagare, ändrad rättslig grund eller förlängda lagringstider — meddelas dig minst 30 dagar i förväg via e-post (om du har lämnat e-postadress) eller genom en tydlig notis på vår webbplats. I vissa fall kan nytt samtycke behöva inhämtas.

Mindre redaktionella ändringar, rättelser eller förtydliganden som inte påverkar omfattningen eller innebörden av behandlingen sker löpande utan förvarning. Vi anger alltid datum för senaste uppdatering i Policyns sidfot.

DATASKYDDSOMBUD

Vi har utsett ett dataskyddsombud (DPO, Data Protection Officer) enligt GDPR Art. 37–39 som är vår kontaktpunkt för dataskyddsfrågor och som övervakar efterlevnaden av GDPR inom vår verksamhet.

Kontaktuppgifter:
Dataskyddsombud: Lisa Andersson
E-post: dpo@digitallosningar.se

Du kan kontakta dataskyddsombudet i alla frågor som rör behandlingen av dina personuppgifter och utövandet av dina rättigheter enligt GDPR. Dataskyddsombudet omfattas av tystnadsplikt avseende fullgörandet av sina arbetsuppgifter enligt Art. 38.5 GDPR.

SOCIALA MEDIER

Vi kan behandla personuppgifter i samband med våra kanaler på sociala medier (t.ex. Facebook, Instagram, LinkedIn, YouTube). När du interagerar med oss på dessa plattformar gäller både denna Policy och plattformens egna villkor och integritetspolicy. Plattformen kan vara gemensamt personuppgiftsansvarig eller självständigt personuppgiftsansvarig beroende på behandlingen.

Vi använder i regel endast anonymiserad statistik från sociala medieplattformar för att utvärdera och förbättra vårt innehåll. Vi delar aldrig kunduppgifter med sociala medieplattformar i marknadsföringssyfte utan ditt uttryckliga samtycke. För riktad annonsering som baseras på listor som vi överför ("custom audiences") inhämtar vi ditt samtycke och tillämpar lämpliga skyddsåtgärder.

BARNS PERSONUPPGIFTER

Våra tjänster riktar sig inte till barn under 13 år (eller under den lägre åldern för informationssamhällets tjänster som tillämpas i Sverige enligt 2 kap. 4 § Dataskyddslagen 2018:218). Vi samlar inte medvetet in personuppgifter från barn under 13 år utan vårdnadshavares samtycke.

Om det kommer till vår kännedom att vi oavsiktligt har samlat in personuppgifter från ett barn under 13 år utan giltigt samtycke från vårdnadshavare, raderar vi uppgifterna utan onödigt dröjsmål. Om du är vårdnadshavare och misstänker att ditt barn har lämnat personuppgifter till oss, kontakta oss på dataskydd@digitallosningar.se så vidtar vi omedelbara åtgärder.

ÖVRIG INFORMATION

Vi genomför regelbundna konsekvensbedömningar (DPIA) enligt GDPR Art. 35 för behandlingar som innebär hög risk för de registrerades fri- och rättigheter.

KONTAKT OCH TILLSYNSMYNDIGHET

Har du frågor om denna Policy eller hur vi behandlar dina personuppgifter är du varmt välkommen att kontakta oss på dataskydd@digitallosningar.se eller per telefon på 08-555 67 89. Vi strävar efter att besvara alla dataskyddsfrågor så snart som möjligt.

Tillsynsmyndighet:
Integritetsskyddsmyndigheten (IMY)
Box 8114, 104 20 Stockholm
E-post: imy@imy.se · Webb: www.imy.se

Du har alltid rätt att lämna klagomål till IMY om du anser att vår behandling av dina personuppgifter strider mot GDPR eller annan tillämplig dataskyddslagstiftning (GDPR Art. 77).