Integritetspolicy

 

 

 

Syfte

Create Business Incubator Mälardalen AB värnar om att alla ska känna sig trygga i att vi följer de regler och krav som dataförordningen för med sig gällande hantering av dina personuppgifter. Genom det här dokumentet vill vi förtydliga hur vi hanterar personuppgifter, varför det är viktigt och till vad uppgifterna används. Vi vill även visa på vilka som har tillgång till uppgifterna, hur länge informationen sparas och hur du kommer i kontakt med oss för att utöva någon av dina rättigheter som rör hanteringen.

 

Definitioner i dokumentet

 

Personuppgiftsansvarig: Det företag som utfört registrering av persondata och bestämmer syftet med behandlingen av personuppgifter och hur behandlingen ska gå till är enligt förordningen Personuppgiftsansvarig. Vi står alltså ytterst ansvariga för hanteringen av de personuppgifter som vi på Create Business Incubator samlar in.

 

Personuppgiftsbiträde: För att vi ska kunna utföra vårt arbete och erbjuda er de bästa tjänsterna har vi i flera situationer behov av att lämna vidare information till en partner, eller tredje part. Dessa kallas Personuppgiftsbiträde. Deras hantering av uppgifter regleras av ett avtal mellan Create Business Incubator och personuppgiftsbiträdet.

 

De olika typer av data vi samlar in är följande:

 

Kunddata: I vårt fall refererar vi till kunddata som den information vi samlar in om personer som driver eller är aktiva i något av de start-up bolag som vi arbetar med eller har arbetat med. Den typen av data är tex namn, personnummer, telefonnummer, roll osv. Samtlig information behöver vi för att kunna fullfölja vårt åtagande till de bolag som har avtal med oss.

 

Loggar/trafikdata: På vår hemsida använder vi oss av Google Analytics för att förbättra vår hemsida och se att vi når ut till rätt målgrupper, samt fyller vår sida med inlägg artiklar och länkar som uppfattas som intressanta.

 

IP adresser: Denna typ av uppgifter sparas idag per automatik när du surfar in på vår hemsida. Vi har dock ingen användning av att spara denna typ av data och rensar därmed dessa uppgifter så ofta vi har möjlighet.

 

Personaldata: Data sparas om våra anställda för att kunna hantera den dagliga verksamheten och uppfylla rättsliga krav så som löneutbetalningar, medarbetarsamtal osv. Även uppgifter till kontaktpersoner (ICE) för våra anställda hanteras för allas trygghet.

 

Coacher / Partners / investerare: Vår verksamhet bygger på vårt stora nätverk av människor som alla finns där för att hjälp bolagen vidareutvecklas och ge bästa möjliga stöd. Persondata om dessa individer utgör grunden för att vi ska kunna matcha bolagen så bra som möjligt med den resurs de behöver.

 

Typer av persondata som vi inte samlar in – Känsliga uppgifter

Förordningen är särskilt strikt när det gäller behandlingen av känsliga personuppgifter. Följande typer av uppgifter avses som känsliga enligt förordningen:
• ras eller etniskt ursprung
• politiska åsikter
• religiös eller filosofisk övertygelse
• medlemskap i en fackförening
• hälsa
• en persons sexualliv eller sexuella läggning
• genetiska uppgifter och
• biometriska uppgifter som entydigt identifierar en person.

 

När samlar vi in persondata?

I lagstiftningen framgår det tydligt att det måste finnas en så kallad ”rättslig grund” för att hantera personuppgifter. Det betyder att minst ett av följande villkor måste vara uppfyllt för att vi ska få hantera dina personuppgifter:

 

Avtal

Då uppgifter behövs för att vi ska kunna sluta och uppfylla ett avtal med dig som kund eller part, sparar vi uppgifterna på den rättsliga grunden för Avtal. Det kan vara kontaktuppgifter, adresser, personnummer osv. Det gäller exempelvis när vi har en överenskommelse om att ert bolag ska antas till inkubation eller få annan hjälp från oss, om du begärt in prisuppgifter, eller annat liknande från oss. Om vi önskar spara fler uppgifter än de som specifikt behövs för att uppfylla avtalet kommer vi be om ditt samtycke i frågan innan det görs.

 

Rättslig förpliktelse

Vissa uppgifter sparas för att vi ska kunna fullgöra en rättslig förpliktelse. Det gäller exempelvis uppgifter som behövs för att uppfylla bokföringslagen och liknande som gäller som ett undantag för, och är överordnad, Dataskyddsförordningen. I fallet om bokföringslagen finns också bestämmelser om hur länge uppgifterna enligt lag måste sparas.

 

Intresseavvägning

I många fall sparar vi dina personuppgifter för att vi ska kunna kommunicera med dig och informera om våra tjänster och om händelser som kan vara i ditt intresse. I sådant fall sparas uppgifterna utifrån en intresseavvägning som vi gör. Här krävs att vår hantering av personuppgifter anses nödvändig för ett berättigat intresse (att kunna kommunicera med dig) och att ditt intresse av att skydda den typen av personuppgifter inte är av större vikt. Du har alltid rätt att invända mot denna hantering.

 

Samtycke

Du kan också lämna ditt samtycke till att vi hanterar dina personuppgifter. För att ett samtycke ska bli giltigt krävs att du gör en aktiv handling för att godkänna samtycket. Exempel på en sådan aktiv handling kan vara när du fyller i dina personuppgifter i ett av våra webformulär och då kryssar i rutan om att du ger ditt samtycke till att uppgifterna sparas av oss, att du via mail ber om att få information, att du svarar ja på en direkt fråga om vi ska skicka information till dig, att du delar med dig av ett visitkort till oss eller liknande. Inga i förväg ikryssade ”Jag godkänner” rutor accepteras som samtycke. Ett samtycke ska förutom att vara aktivt även vara frivilligt, specifikt, informerat och tydligt. Du kan alltid, när som helst, dra tillbaka ett samtycke.

 

Hur länge sparar vi data?

Det är viktigt för oss att kunna leverera överenskomna tjänster till de bolag vi arbetar med och att bevara det nätverk vår verksamhet är beroende av. Hur länge vi sparar data beror på typ av data det gäller och vilken rättslig grund vi vilar det på.

I enighet med våra interna processer som finns framtagna för efterlevnaden av dataförordningen rensar vi persondata 2 gånger per år, och fattar då beslut om huruvida vi ser en anledning att spara data en längre tid och om det finns en rättslig grund som stödjer det.

Hur länge data lagras regleras av de avtal som signeras av alla ansvariga för de bolag som antas till inkubation hos oss. Så länge det finns ett gällande affärsutvecklingsavtal, eller där bolaget framgångsrikt har genomgått inkubatorn och numera klassas som ett alumni-bolag kommer persondata att sparas. Persondata kopplat till start-up bolag som valt att göra exit tidigare ut vårt inkubatorprogram eller där affärsutvecklingsavtalet av andra anledningar inte har förlängts, kommer tas bort om vi vid en rensning inte ser någon anledning att spara data. Personen i fråga kan också ge sitt samtycke till att vi fortsätter lagra data för att ha enkel åtkomst till den för framtida bruk. Viss persondata måste sparas under en längre period för att uppfylla rättslig förpliktelse.

 

Vilka har tillgång till data?

Personuppgifter som samlas in behandlas dels av Create Business Incubator i i rollen som Personuppgiftsansvarig men det finns tillfällen då vi arbetar med underleverantörer och samarbetspartners för att fullgöra våra tjänster. En sådan part kallas Personuppgiftsbiträde.

Personuppgiftsbiträdet ansvarar för att behandla uppgifterna på ett sätt som följer det avtal som finns mellan Create Business Incubator och tredje part, där hanteringen specificeras.

 

Om vi blir ombedda av en myndighet att lämna ut dina uppgifter är vi skyldiga att göra det enligt det som följer av beslutet.

 

Om du har lämnat ditt samtycke kan vi även i andra fall komma att lämna ut din data till företag, organisationer eller personer utanför det egna bolaget.

 

Så skyddar vi din data

Vi har under det senaste året arbetat för att minska ner antalet system vi använder och har personuppgifter i. Detta har resulterat i att vi har valt att stänga ner vissa system och bygga ut våra lösningar i andra. Detta för att minska spridning av data, underlätta administration, och även som en riskåtgärd i och med att färre system innebär en högre säkerhet på flera sätt. De system där vi nu hanterar personuppgifter upprätthåller alla en hög internationell standard vad gäller säkerhet. Samtliga system är lösenordskyddade och behörighetsstyrda.

 

Personalens hantering

För att efterleva förordningens krav på vår hantering av uppgifter har vi tagit fram tydliga riktlinjer i våra interna policys för hur vi intern hanterar dina personuppgifter. Policyn gäller bland annat hantering av lösenord, mailinboxar, mobiltelefoner, och åtgärdsplan vid eventuella incidenter.

 

Riskåtgärdsplan

Vi har under arbetet med att följa förordningen identifierat områden där vi anser att vi kan förbättra hanteringen av personuppgifter. Dessa punkter sammanställdes i en åtgärdsplan som vi hanterar. Detta dokument ska förbli levande hos oss för att ständigt upprätthålla arbetet kring säkerhet för personuppgifter.

 

Dina rättigheter

Dataförordningen ställer höga krav på oss att vi som personuppgiftsansvariga ska informera på ett klart och tydligt sätt om hur vi hanterar data, och att dina personuppgifter ska finnas lättillgängliga för dig. I det här avsnittet vill vi därför informera dig om vilka rättigheter du har.

 

Rätt till information (”Rätt till tillgång”)

Du kan kostnadsfritt (en gång per år) begära ett registerutdrag som visar vilken typ av data som finns registrerad om dig. Informationen ska lämnas ut i skriftlig form och om den begärs ut elektroniskt, måste även kopian av informationen skickas till den registrerade i elektroniskt format, om inte något annat specifik begärs. Informationen som utlämnas ska ha ett tydligt och enkelt språk.
Om persondata kommit till oss via en tredje part eller på annat sätt, har du rätt till all tillgänglig information om varifrån uppgifterna kommer.
Om personuppgifterna ges ut till ett land utanför EU eller en internationell organisation har du rätt till information om vilka skyddsliga åtgärder som använts vid överförandet av data.
Vi ska besvara dina önskemål utan onödigt dröjsmål (normalt inom en månad) och om vi av någon anledning inte kan uppfylla dina önskemål, ska vi lämna en motivering till varför. För att säkerställa att vi inte lämnar ut information till obehörig lämnas information enbart ut efter identifiering.

 

Rätt till rättelse och komplettering

Du har rätt att få din data rättad och kompletterad med relevanta uppgifter om du anser att den data vi har är felaktig eller otillräcklig. Om data har lämnats till underleverantör eller liknande kommer vi informera dessa n ä r d ata har rättats. ( Undantag görs om det skulle visa sig omöjligt eller innebära en alltför betungande insats.) Du har alltid rätt att begära information om till vem uppgifterna har lämnats ut.

 

Rätt till radering (”rätten att bli glömd”)

Du har rätt att utan onödigt dröjsmål få data raderad. Undantag görs för data som måste sparas i enlighet med bokföringslag eller annan lag. Du kan begära att data om dig raderas om någon av följande förutsättningar gäller:

  • Om uppgifterna inte längre behövs för de ändamål som de samlats in eller behandlats för.
  • Om behandlingen grundar sig enbart på ditt samtycke och du återkallar detta
  • Om behandlingen sker för direktmarknadsföring och du motsätter dig att uppgifterna behandlas

    enligt artikel 21.2

  • Om du motsätter dig den databehandling som sker efter en intresseavvägning och det inte finns

    berättigade skäl som väger tyngre än ditt intresse

  • Om personuppgifterna inte har behandlats enligt lag
  • Om radering krävs för att uppfylla en rättslig skyldighet
  • Personuppgifter har samlats in i samband med erbjudande av informationssamhällets tjänster, i de fall som avses i artikel 8.1, alltså tjänster som är riktade mot barn, till exempel deras konton i sociala medier.

Om data raderas och vi har lämnat ut din data till underleverantör eller liknande kommer vi att informera dessa efter att data har raderats. ( Undantag görs om det skulle visa sig omöjligt eller innebära en alltför betungande insats.) Du har alltid rätt att begära information om till vem uppgifterna har lämnats ut.

 

Rätt till begränsning
Du har rätt att begära en tillfällig begränsning av behandling av din data. Med begränsning menas att uppgifterna markeras på så sätt att dessa i framtiden endast får behandlas för vissa avgränsade syften.

Behandlingen kan begränsas i följande situationer:

  • Om data inte är korrekt och du begärt rättelse hos oss. Du kan då begära att vi begränsar behandlingen av din data under den tid som vi kontrollerar om uppgifterna är korrekta
  • När databehandlingen är olaglig men du motsätter dig att din data raderas och istället begär en begränsning av användningen
  • Om vi inte längre behöver din data för ändamålen med vår behandling men du behöver din data för att kunna fastställa, göra gällande eller försvara rättsliga anspråk
  • Om du gjort en invändning mot vår behandling av din data kan du begära att vår användning begränsas under den tid som utredningen pågår

Om begränsning begärts och vi har lämnat ut din data till underleverantör eller liknande kommer vi att informera dessa om den begärda begränsningen. (Undantag görs om det skulle visa sig omöjligt eller innebära en alltför betungande insats.) Du har alltid rätt att begära information om till vem uppgifterna har lämnats ut.

 

Rätt att få ut din data (dataportabilitet)

Du har rätt att få ut din data så att den kan användas på annat håll. Vi är skyldiga att underlätta en sådan förflyttning och vi ska tillhandahålla det data du överlämnat till oss i ett i ett strukturerat, allmänt använt och maskinläsbart format, exempelvis en textfil eller liknande format som är allmängiltigt.
Du kan begära dataportabilitet i de fall vi behandlad din data efter ett samtycke eller när vi behandlar din data på grund av att det finns ett avtal med dig. Däremot gäller inte rätten till dataportabilitet om vi behandlar uppgifterna på grund av en intresseavvägning eller en rättslig förpliktelse.

 

Rätt till invändning

Om vi behandlar din data genom en intresseavvägning har du alltid rätt att göra invändningar mot vår behandling. Du behöver då specificera vilken behandling du invänder dig mot och vi måste då sluta att behandla din data eller visa att det finns berättigade skäl till att uppgifterna måste behandlas.
Om din data används för direkt marknadsföring har du alltid rätt att när som helst invända mot behandlingen. Görsen sådan invändning mot direkt marknadsföring, får uppgifterna inte längre behandlas för det ändamålet. Du har även rätt att sätta dig emot användning om det skulle grunda sig på allmänutövning eller myndighetsintresse om vi inte kan bevisa att syftet att hålla uppgifterna väger tyngre.

 

Klagomål

Om du skulle anse att vi behandlar din data i strid med gällande regelverk, ber vi dig kontakta oss snarast möjligt så att vi kan rätta till den felaktiga behandlingen. Du kan också lämna in ett klagomål till Datainspektionen som då bedömer om en tillsyn ska göras.

 

Skadestånd

Om du lidit skada till följd av att din data har behandlats i strid med dataskyddsförordningen kan du ha rätt till skadestånd från den personuppgiftsansvariga eller från personuppgiftebiträdet som medverkat vid behandlingen.

Ett personuppgiftsbiträde kan bli skadeståndsansvarigt om denne har brutit mot de bestämmelser som specifikt riktar sig till biträden eller har behandlat dina data i strid med den personuppgiftsansvariges instruktioner i det skriva avtalet.

 

Kontaktuppgifter

Om du vill radera data, ändra data, komplettera data, göra en invändning hur vi hanterar data eller bara har frågor eller funderingar kring hur vi behandlar dina data kontaktar du följande personer:

 

Rolf Springfeldt VD, Create Business Incubator Mälardalen AB

+46 (0)70 894 69 92

rolf.springfeldt@create.se