Personuppgifter och integritet

Den 25 maj 2018 trädde den nya dataskyddsförordningen (GDPR) i kraft i hela EU och ersätter personuppgiftslagen (PUL). Syftet med förordningen är att stärka det personliga integritetsskyddet, skapa enhetliga regler, möta teknikens förändringar samt underlätta handel inom EU.

GITO värnar om din personliga integritet och eftersträvar alltid en hög nivå av dataskydd. Det är viktigt att du, oavsett om du är kund, anställd eller har någon annan relation med GITO, kan känna dig trygg med hur vi hanterar dina personuppgifter, och därför vill vi förklara hur vi samlar in och behandlar din personliga information samt dina rättigheter relaterat till behandlingen. Du är alltid välkommen att kontakta oss vid eventuella frågor.

Vad är en personuppgift och vad är behandling av personuppgifter?

Personuppgifter är all slags information som direkt eller indirekt kan hänföras till en fysisk person. Till exempel kan bilder som behandlas i dator vara personuppgifter även om inga namn nämns. Krypterade uppgifter och olika slags elektroniska identiteter (till exempel IP-nummer) är personuppgifter ifall de kan kopplas till fysiska personer. Behandling av personuppgifter är allt som sker med personuppgifterna. Exempel på vanliga behandlingar är insamling, registrering, organisering, strukturering, lagring, bearbetning, överföring och radering.

Vilka personuppgifter samlar vi in om dig och varför?

Vi kan komma att behandla följande personuppgifter om dig:
Namn, adress, telefonnummer, mejladress, personnummer, kundnummer,
köp- och användargenererad data, uppgifter som framkommer i korrespondens och meddelanden med dig, cookies, sessionscookie, mätarnummer och -ställning, mätar-id, anläggnings-id, fakturainformation, kontonummer, fastighetsadress, förbrukning.

För anställda och konsulter kan även uppgifter som anställningsnummer, civilstånd, foto, referenser (CV), medlemskap i fackförening, hälsoinformation, information i samband med kompetenskartläggning och utvecklingssamtal och ekonomisk information komma att behandlas.

Syftena med att behandla dina personuppgifter kan exempelvis vara:

  • Upprätthålla kundrelationen, exempelvis genom kunddialog, kundservice, uppföljning och återkoppling.
  • Hantera beställningar, intresseanmälningar, bokningar, avtal och köp och övriga ärenden.
  • Fakturering och betalningar.
  • Kontroll av inloggad identitet.
  • Erbjuda marknadsföring samt hantera tävlingar och nyhetsbrev. Utskick av riktade nyheter och information, marknadsföring via olika kanaler samt administration av tävlingar där kunden valt att delta.
  • Statistik, forskning.
  • Insamling, lagring, presentation och analys av mätaruppgifter.
  • Förbättra kundupplevelsen genom att utvärdera, utveckla och förbättra våra tjänster, produkter och system.

De rättsliga grunderna för vår behandling av personuppgifter är i första hand gällande lagstiftning och tillhörande föreskrifter (till exempel Arkivlagen, Ellagen och Bokföringslagen), fullgörande av avtal och intresseavvägning. Intresseavvägning innebär att värdet av att behandla uppgiften överstiger skyddsintresset. I vissa fall baseras behandlingen på samtycke.

Dina rättigheter

Rätt till tillgång

Vi är alltid öppna och transparenta med hur vi behandlar dina personuppgifter och ifall du vill få en djupare insikt i vilka personuppgifter vi behandlar om just dig kan du begära att få tillgång till uppgifterna.

Tänk på att ifall vi mottar en begäran om tillgång kan vi komma att fråga om ytterligare uppgifter för att säkerställa en effektiv hantering av din begäran och att informationen lämnas till rätt person.

Om dina personuppgifter behandlas kommer du få skriftlig information om:

  • vilka kategorier av uppgifter om dig som behandlas
  • varifrån uppgifterna är hämtade
  • ändamålen med behandlingen
  • till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut
  • förekomsten av automatiserade beslutsfattande, inbegripen profilering
  • om personuppgifterna överförs till tredje land (ett land utanför EU/EES-samarbetet)
    om möjligt den förutsedda perioden som personuppgifter kommer att lagras eller de kriterier som används för att fastställa denna period
  • rätten att inge klagomål till en tillsynsmyndighet

Information ska normalt lämnas inom en månad från det att du gjorde din ansökan. Denna period får vid behov förlängas med ytterligare två månader, med beaktande av hur komplicerad begäran är och antalet inkomna begäranden. Vi kommer att informera dig om så är fallet.

Rätt till rättelse

Du kan begära att dina personuppgifter rättas ifall uppgifterna är felaktiga. Inom ramen för det angivna ändamålet har du också rätt att komplettera eventuellt ofullständiga personuppgifter.

Rätt till radering

Du kan begära radering av personuppgifter vi behandlar om dig ifall:
Uppgifterna inte längre är nödvändiga för de ändamål för vilka de har samlats in eller behandlats.

  • Du återkallar det samtycke på vilket behandlingen grundar sig och det inte finns någon annan rättslig grund för behandlingen.
  • Du invänder mot en intresseavvägning vi har gjort baserat på berättigat intresse och ditt skäl för invändning väger tyngre än vårt berättigade intresse.
  • Du invänder mot behandling för direktmarknadsföringsändamål.
  • Personuppgifterna behandlas på ett olagligt sätt.
  • Personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse vi omfattas av.
  • Personuppgifter har samlats in om ett barn (under 13 år) som du har föräldraansvaret för och insamlandet har skett i samband med erbjudande av till exempel sociala medier.

Vi kan ha rätt att neka din begäran om det finns legala skyldigheter som hindrar oss från att omedelbart radera vissa personuppgifter. Dessa skyldigheter kan exempelvis komma från bokförings- och skattelagstiftning, arkivlagstiftning, bank- och penningtvättslagstiftning eller konsumenträttslagstiftning. Rätt att neka din begäran kan också vara nödvändig för att utöva rätten till yttrande- och informationsfrihet eller för att vi ska kunna fastställa, göra gällande eller försvara rättsliga anspråk.

Skulle vi vara förhindrade att tillmötesgå en begäran om radering kommer vi istället att blockera personuppgifterna från att kunna användas till andra syften än det syfte som hindrar den begärda raderingen.

Rätt till begränsning

Du har rätt att begära att vår behandling av dina personuppgifter begränsas. Om du bestrider att personuppgifterna vi behandlar är korrekta kan du begära en begränsad behandling under den tid vi behöver för att kontrollera huruvida personuppgifterna är korrekta. Om vi inte längre behöver personuppgifterna för de fastställda ändamålen, men du däremot behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk, kan du begära begränsad behandling av uppgifterna hos oss. Det innebär att du kan begära att vi inte raderar dina uppgifter.

Om du har invänt mot en intresseavvägning av berättigat intresse som vi har gjort som laglig grund för ett ändamål kan du begära begränsad behandling under den tid vi behöver för att kontrollera huruvida våra berättigade intressen väger tyngre än dina intressen av att få uppgifterna raderade.

Om behandlingen har begränsats enligt någon av situationerna ovan får vi bara, utöver själva lagringen, behandla uppgifterna för att fastställa, göra gällande eller försvara rättsliga anspråk, för att skydda någon annans rättigheter eller om du har lämnat ditt samtycke.

Rätt att göra invändningar mot viss typ av behandling

Du har alltid rätt att slippa direktmarknadsföring och att invända mot all behandling av personuppgifter som bygger på en intresseavvägning. Vi får dock fortsätta att behandla dina uppgifter, trots att du har motsatt dig behandlingen, om vi har tvingande berättigade skäl för behandlingen som överväger ditt integritetsintresse. Du har även möjlighet att invända mot att dina personuppgifter behandlas för de analyser av personuppgifter (så kallad profilering) som utförs för direktmarknadsföringsändamål.

Med direktmarknadsföring avses alla typer av uppsökande marknadsföringsåtgärder (till exempel via post, mejl och sms). Marknadsföringsåtgärder där du som kund aktivt valt att använda en av våra tjänster eller annars sökt upp oss för att få veta mer om våra tjänster räknas inte som direktmarknadsföring.

Tänk på att du alltid har möjlighet att påverka vilka kanaler vi ska använda för utskick och personliga erbjudanden. Exempelvis kan du välja att endast få erbjudanden från oss via mejl, men inte sms. I så fall ska du inte invända mot personuppgiftsbehandlingen som sådan utan istället begränsa våra kommunikationskanaler.

Rätt till dataportabilitet

Om vår rätt att behandla dina personuppgifter grundar sig antingen på ditt samtycke eller fullgörande av ett avtal med dig har du rätt att begära att få de uppgifter som rör dig och som du har lämnat till oss överförda till en annan personuppgiftsansvarig (s.k. dataportabilitet).

En förutsättning för dataportabilitet är att överföringen är tekniskt möjlig och kan ske automatiserad.

De personuppgifter som du kan få ut eller överförda är de som du har själv lämnat till oss eller som har skapats utifrån ditt nyttjande av våra produkter eller tjänster.

  • Namn
  • Faktureringsadress
  • Personnummer
  • Mätarställningar
  • Förbrukningar

Från vilka källor hämtas personuppgifter?

Utöver de uppgifter du själv lämnar till oss, eller som vi samlar in från dig utifrån dina köp och hur du använder våra tjänster, kan vi också komma att samla in personuppgifter från någon annan (så kallad tredje part).

Var hanteras uppgifterna?

Vi försöker att så långt det är möjligt hantera dina personuppgifter på våra egna servrar. Men det finns tjänster och funktioner där det inte är möjligt, och i de fallen hanteras dina personuppgifter framförallt inom EU/EES. Oavsett i vilket land dina personuppgifter behandlas vidtar vi alla rimliga legala, tekniska och organisatoriska åtgärder för att säkerställa att skyddsnivån är densamma som inom EU/EES.

Hur länge sparas personuppgifterna?

GITO följer regler enligt arkivlagstiftningen om bevarande och gallrar allmänna handlingar i enlighet med gällande gallringsregler och beslut. I övrigt sparas personuppgifter sparas endast så länge de är nödvändiga för de ändamål som de behandlas för.

Vilka kan personuppgifterna delas med?

I de fall det är nödvändigt för att vi ska kunna erbjuda våra tjänster delar vi dina personuppgifter med företag som är så kallade personuppgiftsbiträden för oss. Ett personuppgiftsbiträde är ett företag som behandlar informationen för vår räkning och enligt våra instruktioner. Vi har personuppgiftsbiträden som hjälper oss med:

  • IT-system, drift, support och systemutveckling
  • Fakturering och betallösningar
  • Marknadsföring
  • Logistik/leverans/administration
  • Entreprenader och arbeten för GITOs räkning

När dina personuppgifter delas med personuppgiftsbiträden sker det endast för ändamål som är förenliga med de ändamål för vilka vi har samlat in informationen (till exempel för att kunna uppfylla våra åtaganden enligt köpeavtal). Vi har skriftliga avtal med alla personuppgiftsbiträden genom vilka de garanterar säkerheten för de personuppgifter som behandlas och åtar sig att följa våra säkerhetskrav samt begränsningar och krav avseende internationell överföring av personuppgifter.

Vi delar även dina personuppgifter med vissa företag som är självständigt personuppgiftsansvariga. Att företaget är självständigt personuppgiftsansvarig innebär att det inte är vi som styr hur informationen som lämnas till företaget ska behandlas. Självständiga personuppgiftsansvariga som vi delar dina personuppgifter med är:

  • Statliga myndigheter (polisen, skatteverket eller andra myndigheter) om vi är skyldiga att göra det enligt lag eller vid misstanke om brott.
  • Företag som ombesörjer allmänna varutransporter (logistikföretag och speditörer).
  • Företag som erbjuder betallösningar (kortinlösande företag, banker och andra betaltjänstleverantörer).

När dina personuppgifter delas med ett företag som är självständigt personuppgiftsansvarig gäller det företagets integritetspolicy och personuppgiftshantering.
GITO verkar enligt offentlighetsprincipen. Handlingar som upprättas inom, eller inkommer till, GITO blir som huvudregel allmänna handlingar och som vid en begäran kommer att lämnas ut om uppgifterna inte omfattas av sekretess. Med andra ord kan personuppgifter komma att lämnas ut i enlighet med offentlighetsprincipen. Så länge det inte har en avgörande betydelse för sekretessbedömningen har GITO ingen rätt att efterforska till vem uppgifterna lämnas ut.

Den behandling av personuppgifter som krävs enligt offentlighets- och sekretesslagen, arkivlagstiftningen och förvaltningslagen för en korrekt hantering av myndighetens allmänna handlingar, och som sker med stöd av EU:s dataskyddsförordning anses nödvändig av hänsyn till ett viktigt allmänt intresse.

Vad innebär det att Integritetsskyddsmyndigheten är tillsynsmyndighet?

Integritetsskyddsmyndigheten är ansvarig för att övervaka tillämpningen av lagstiftningen, och den som anser att ett företag hanterar personuppgifter på ett felaktigt sätt kan lämna in ett klagomål till Integritetsskyddsmyndigheten.

Kontaktuppgifter gällande personuppgifter

GITO Heavy Charing Solutions, är personuppgiftsansvarig för GITOs hantering av personuppgifter. För mer information, begäran av registerutdrag eller om du vill göra gällande någon av dina andra rättigheter beträffande personuppgiftsbehandling, kontakta gitoheavychargingsolutions@outlook.com.

Ändringar och uppdateringar i riktlinjerna

Vi kan komma att göra ändringar i våra integritetsriktlinjer. Den senaste versionen av riktlinjerna finns alltid här på webbplatsen. Vid uppdateringar som är av avgörande betydelse för vår behandling av personuppgifter (exempelvis ändring av angivna ändamål eller kategorier av personuppgifter) eller uppdateringar som inte är avgörande betydelse för behandlingen men som kan vara av avgörande betydelse för dig, kommer du att få information i god tid innan uppdateringarna börjar gälla. När vi tillgängliggör information om uppdateringar kommer vi även att förklara innebörden av uppdateringarna och hur de kan påverka dig.