LEONHS

Personuppgiftbiträdesavtal

Detta personuppgiftsbiträdesavtal med bilagor ("Avtalet") har ingåtts mellan:

Personuppgiftsansvarig
Du ("Personuppgiftsansvarig"); och

Personuppgiftsbiträde
Leonh AB ("Personuppgiftsbiträde")

Tillsammans "Parterna" och individuellt en "Part".


BAKGRUND

Avtalet avser de Personuppgifter som Behandlas mot bakgrund av Leonh allmänna villkor som har ingåtts av Parterna ("Villkoren"), av vilket följer att Personuppgiftsbiträdet behandlar personuppgifter för den Personuppgiftsansvariges räkning.

Vid eventuella motstridigheter har detta Avtal företräde framför Villkoren.

DEFINITIONER

De begrepp som används i Avtalet ska ha samma betydelse som anges i artikel 4 i Dataskyddsförordningen.

"Behandling" av personuppgifter är allt som kan göras med en personuppgift, t.ex. lagring, ändring, läsning, överlämning etc.

"Gällande rätt" avser den lagstiftning som är tillämplig på den behandling av personuppgifter som sker under Avtalet, inklusive Dataskyddsförordningen, kompletterande nationell lagstiftning, samt praxis, vägledningar och rekommendationer utfärdade av en Tillsynsmyndighet.

"Personuppgifter" är all slags information som går att härleda till en identifierbar levande person (i Avtalet används "Personuppgifter" synonymt med "personuppgifter för vilka Personuppgiftsansvarige är ansvarigt och som Personuppgiftsbiträdet behandlar på uppdrag av den Personuppgiftsansvarige").

"Personuppgiftsansvarig" är det företag/organisation som bestämmer för vilka ändamål och på vilket sätt personuppgifterna ska behandlas och därmed även ansvarar för att personuppgifter behandlas enligt Gällande rätt.

"Personuppgiftsbiträde" är det företag/organisation som behandlar personuppgifter för den personuppgiftsansvariges räkning och får därmed endast behandla personuppgifterna enligt personuppgiftsansvariges instruktioner samt Gällande rätt.

"Registrerad" betyder den levande person vars personuppgifter behandlas.

"Tillsynsmyndighet" betyder svensk eller EU-myndighet, såsom svenska Integritetsskyddsmyndigheten och i förekommande fall annan tillsynsmyndighet som med stöd av lag utövar tillsyn över Personuppgiftsansvariges verksamhet.

Termer som definierats i Villkoren ska ha samma innebörd i detta Avtal.

INTRODUKTION

  1. Avtalet reglerar behandlingar av personuppgifter som Personuppgiftsbiträdet utför för den Personuppgiftsansvariges räkning.
  2. Avtalet har upprättats för att uppfylla de krav som framgår av artikel 28.3 i Europaparlamentets och Rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG ("Dataskyddsförordningen"). Enligt denna bestämmelse ska det finnas ett skriftligt avtal om Personuppgiftsbiträdets behandling av personuppgifter för Personuppgiftsansvariges räkning.

BESKRIVNING AV PERSONUPPGIFTSBEHANDLINGEN

Kategorier av registrerade

Personuppgiftsansvarige uppdrar Personuppgiftsbiträdet att behandla uppgifter som identifierar Personuppgiftsansvariges:

  • Anställda
  • Kunder
  • Leverantörer
  • Konsulter
  • Affärskontakter
  • Distributör
  • Aktieägare
  • Styrelsemedlemmar

Kategorier av personuppgifter

  • Kontaktuppgifter
  • Personnummer
  • Lön
  • Medlemskap i fackförening
  • Namn

Källa

Personuppgiftsbiträdet behandlar de personuppgifter som:

  • Personuppgiftsansvariges anställda lägger in i Tjänsten
  • Personuppgiftsansvarige samlar in från de registrerade

Ändamålet med behandlingen av personuppgifter ("Ändamålet")

  • Möjliggöra för Personuppgiftsansvarige att hantera juridik och avtal genom vår digitala plattform

Behandlingen av personuppgifter

  • Lagring

PERSONUPPGIFTSBITRÄDETS SÄRSKILDA ÅTAGANDEN

  1. Personuppgiftsbiträdet åtar sig att i samband med all behandling beakta och iaktta de principer för behandling av personuppgifter som framgår av artikel 5 i Dataskyddsförordningen.
  2. Personuppgiftsbiträdet garanterar genom Avtalet att den Personuppgiftsansvarige inte på annat sätt behöver försäkra sig om att Personuppgiftsbiträdet uppfyller de krav på sakkunskap, tillförlitlighet och resurser för att genomföra tekniska och organisatoriska åtgärder som krävs enligt Gällande rätt.
  3. Personuppgiftsbiträdet åtar sig att endast behandla personuppgifter enligt vad som följer av Avtalet, för de ändamål som framgår av Villkoren, enligt Personuppgiftsansvariges dokumenterade instruktioner och vid var tid Gällande rätt.
  4. Personuppgiftsbiträdet ska, på Personuppgiftsansvariges begäran, genom lämpliga tekniska och organisatoriska åtgärder, bistå Personuppgiftsansvarige i deras skyldighet att svara på begäran om utövande av registrerades rättigheter samt, med hänsyn till typen av behandling och tillgänglig information, genomföra konsekvensbedömningar avseende dataskydd och förhandssamråd med tillsynsmyndighet i enlighet med Gällande rätt.
  5. Om Personuppgiftsbiträdet överträder Gällande rätt genom att självständigt fastställa ändamålen med och medlen för behandlingen (t.ex. Behandlar personuppgifterna för andra ändamål än Ändamålet), ska Personuppgiftsbiträdet anses vara personuppgiftsansvarig för den nya behandlingen utan att det påverkar behandlingen som sker i enlighet med Avtalet i övrigt.
  6. Om Personuppgiftsbiträdet anser att instruktionerna som Personuppgiftsansvarige har lämnat är inkompletta, bristfälliga eller felaktiga ska Personuppgiftsbiträdet genast meddela Personuppgiftsansvarig. Personuppgiftsbiträdet har även rätt att avstå från att följa Personuppgiftsbiträdets instruktioner om de strider mot Gällande rätt.

PERSONUPPGIFTSAVSVARIGES SÄRSKILDA ÅTAGANDEN

  1. Personuppgiftsansvarige bestämmer ändamål och medel för behandlingen av personuppgifterna. Personuppgiftsansvarige har äganderätt till och formell kontroll över personuppgifterna som behandlas av Personuppgiftsbiträdet.
  2. Personuppgiftsansvarige är ansvarig i förhållande till den registrerade för behandlingen av personuppgifterna.
  3. Personuppgiftsansvarige ansvarar för att personuppgifterna är riktiga och uppdaterade.

PERSONUPPGIFTSINCIDENT

  1. För det fall det uppstår en situation som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till personuppgifterna ("Personuppgiftsincident") ska Personuppgiftsbiträdet utan onödigt dröjsmål och senast inom åtta (8) timmar från att Personuppgiftsincidenten upptäcktes skriftligen informera Personuppgiftsansvarige på de kontaktuppgifter.
  2. Informationen ska, i den mån den är tillgänglig för Personuppgiftsbiträdet, åtminstone innehålla följande:
  • En beskrivning av omständigheterna kring Personuppgiftsincidenten
  • En beskrivning av Personuppgiftsincidentens art, och, om så är möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgifter som berörs
  • En beskrivning av de sannolika konsekvenserna av Personuppgiftsincidenten
  • En beskrivning av de åtgärder som har vidtagits eller föreslagits för att åtgärda Personuppgiftsincidenten, samt, när så är lämpligt, åtgärder för att minska dess potentiella negativa effekter
  • Kontaktuppgifter till dataskyddsombud eller annan kontaktperson som kan tillhandahålla mer information till Personuppgiftsansvarige
  1. Om det inte är möjligt för Personuppgiftsbiträdet att tillhandahålla informationen vid ett tillfälle, får informationen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.

REVISION OCH GRANSKNING

  1. Personuppgiftsbiträdet ska på begäran av Personuppgiftsansvarige ge denne tillgång till all information som krävs för att visa att Personuppgiftsbiträdets skyldigheter enligt Gällande rätt samt Avtalet har fullgjorts.
  2. Om informationen enligt tidigare punkt inte rimligtvis kan anses som tillräcklig för att visa att de skyldigheter som fastställs enligt Gällande rätt är uppfyllda, har Personuppgiftsansvarige rätt att utföra fysiska granskningar.
  3. Personuppgiftsbiträdet ska möjliggöra och bidra till granskningar och inspektioner som genomförs av Personuppgiftsansvarig eller av personuppgiftsansvarige utsedd opartisk tredje part. Personuppgiftsansvarige ska skriftligen notifiera Personuppgiftsbiträdet om den planerade granskningen minst tio (10) arbetsdagar i förväg.
  4. Granskningen får endast utföras:
  • under normal kontorstid
  • efter att Personuppgiftsansvarige har säkerställt att den som utför granskningen lyder under en sekretessförbindelse som är lämplig i förhållande till de personuppgifter och den information som ska granskas, och
  • i enlighet med Personuppgiftsbiträdets interna policys och säkerhetsrutiner.
  1. Vardera part står för sina egna kostnader som uppkommer i samband med granskning.
  2. Tillkommer ytterligare granskning inom ett (1) år från utförd granskning ska Personuppgiftsansvarig stå för samtliga kostnader.

UNDERBITRÄDE

  1. I de fall Personuppgiftsbiträdet planerar att anlita ett underbiträde eller byta ut ett befintligt underbiträde ska Personuppgiftsbiträdet informera Personuppgiftsansvarige senast fem (5) arbetsdagar innan för att Personuppgiftsansvarige ska ha möjlighet att motsäga sig ändringen.
  2. Om det finns rimliga skäl för Personuppgiftsansvarige att motsäga sig ett underbiträde ska parterna i första hand samarbeta för att hitta ett lämpligt alternativ, i andra hand har Personuppgiftsansvarige rätt att säga upp detta Avtal och (om tillämpliga) Villkoren.
  3. Vid anlitande av ett underbiträde ska Personuppgiftsbiträdet genom avtal ("Underbiträdesavtal") säkerställa att underbiträdet har samma skyldigheter som Personuppgiftsbiträdet har enligt Avtalet. Detta gäller i synnerhet avseende tillräckliga garantier om att genomföra de lämpliga tekniska och organisatoriska åtgärder som krävs för att uppfylla Gällande rätt.
  4. Personuppgiftsansvarige har alltid rätt att ta del av Personuppgiftsbiträdets underbiträdesavtal (strikt kommersiell information får redigeras).
  5. Personuppgiftsbiträdet ska hålla en uppdaterad förteckning över sina underbiträden. Förteckningen ska göras tillgänglig för Personuppgiftsansvarige på begäran.
  6. Om underbiträdet inte fullgör sina skyldigheter enligt underbiträdesavtalet ska Personuppgiftsbiträdet vara fullt ansvarig gentemot Personuppgiftsansvarige för underbiträdets åtgärder eller underlåtenhet att vidta åtgärder.

REGISTER OCH DATASKYDDSOMBUD

  1. Personuppgiftsbiträdet åtar sig att föra ett skriftligt register över behandlingen av personuppgifter med det innehåll som anges i artikel 30.2 i Dataskyddsförordningen. Registret ska vara tillgängligt för Personuppgiftsansvarig på begäran.
  2. I det fall behandlingen eller verksamhetens karaktär kräver att Personuppgiftsbiträdet ska utse ett Dataskyddsombud enligt artikel 37 i Dataskyddsförordningen

KONTAKT MED TILLSYNSMYNDIGHET OCH DEN REGISTRERADE

  1. Personuppgiftsbiträdet ska utan dröjsmål informera Personuppgiftsansvarige om all kontakt med den Registrerade, tillsynsmyndighet eller annan tredje part som rör Personuppgiftsbiträdets behandling av personuppgifterna.
  2. För det fall där den Registrerade framställer begäran till Personuppgiftsbiträdet om sina rättigheter kopplat till behandlingen ska Personuppgiftsbiträdet hänvisa den Registrerade till Personuppgiftsansvarige.
  3. Personuppgiftsbiträdet ska tillåta de inspektioner som tillsynsmyndighet kan kräva enligt Gällande rätt.
  4. Personuppgiftsbiträdet har inte rätt att företräda Personuppgiftsansvarige eller på annat sätt agera för Personuppgiftsansvariges räkning gentemot den Registrerade, tillsynsmyndighet eller annan tredje part.

TEKNISKA OCH ORGANISATORISKA SKYDDSÅTGÄRDER

  1. Personuppgiftsbiträdet ska vidta lämpliga organisatoriska och tekniska säkerhetsåtgärder för att skydda personuppgifterna som omfattas av Avtalet mot obehörig eller olaglig åtkomst. Detta innefattar att säkerställa tillräcklig kapacitet, tekniska lösningar, kompetens, ekonomiska och personella resurser, rutiner och metoder.
  2. De tekniska och organisatoriska säkerhetsåtgärdernas lämplighet ska bedömas med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt vilken risk behandlingen medför för de grundläggande fri- och rättigheterna.
  3. Om Personuppgiftsansvarige bedömer behandlingens risknivå som hög, och därmed genomför en konsekvensbedömning, ska Personuppgiftsansvarige dela resultatet av konsekvensbedömningen med Personuppgiftsbiträdet så att detta kan tas i beaktande vid fastställande av vad som utgör lämpliga säkerhetsåtgärder.
  4. Personuppgiftsbiträdet ska följa de eventuella beslut och samrådsyttranden som tillsynsmyndighet meddelar om åtgärder för att uppfylla säkerhetskraven i Gällande rätt och samtliga övriga krav som avser Personuppgiftsbiträdet enligt Gällande rätt.
  5. Personuppgiftsbiträdet ska säkerställa att anställda (hos Personuppgiftsbiträdet eller dennes underleverantörer) endast får tillgång till personuppgifter i den utsträckning det är nödvändigt och att de som får tillgång till personuppgifterna har åtagit sig att iaktta sekretess för sådan information (t.ex. genom att underteckna ett individuellt sekretessavtal).
  6. Endast personer anställda/anlitade som konsulter hos Personuppgiftsbiträdet och som bedöms ha nödvändig kunskapsnivå i förhållande till personuppgiftsbehandlingens art och omfattning får behandla personuppgifterna.
  7. Datorutrustning, lagringsmedier och övrig utrustning som används vid behandling av personuppgifter som utförs av Personuppgiftsbiträdet ska förvaras så att obehöriga inte kan få tillgång till dem.
  8. Säkerheten i Personuppgiftsbiträdets lokaler där personuppgifter behandlas ska vara lämplig och säker avseende låsutrustning, fungerande larmutrustning, skydd mot brand, vatten och inbrott, skydd mot strömavbrott och strömstörningar. Den utrustning som används för att behandla personuppgifter ska ha ett gott skydd mot stöld och händelser som kan förstöra utrustningen och/eller personuppgifterna.

KONTROLL ÖVER PERSONUPPGIFTER

Personuppgiftsbiträdet ska säkerställa att Personuppgifterna inte oavsiktligt eller olagligt förstörs, ändras eller förvanskas. Uppgifterna ska skyddas mot obehörig åtkomst vid lagring, överföring och annan behandling. Personuppgifterna får endast lämnas till Personuppgiftsansvarige efter säkerställd identifiering av mottagaren.

ÖVERFÖRING AV PERSONUPPGIFTER UTANFÖR EU/EES

Personuppgiftsbiträdet behandlar i första hand Personuppgifterna inom EU/EES. I de fall personuppgifterna inte behandlas inom EU/EES ska Personuppgiftsbiträdet säkerställa att behandlingen är laglig enligt Gällande rätt genom att någon av följande krav är uppfyllda:

  • Det finns ett beslut från EU-kommissionen om att landet säkerställer adekvat skyddsnivå
  • Personuppgiftsbiträdet tillämpar EU-kommissionens standardavtalsklausuler för tredjelandsöverföring,
  • Personuppgiftsbiträdet har vidtagit andra lämpliga skyddsåtgärder som uppfyller Gällande rätt.

ANSVAR OCH ERSÄTTNINGSSKYLDIGHET

  1. Part är fri från ansvar för åtaganden enligt Avtalet i de fall fullgörande hindras av omständighet av extraordinär natur utanför Parts kontroll vilken Part inte skäligen kunde förväntas ha räknat med och vars följder Part inte heller skäligen kunde ha undvikit eller övervunnit.
  2. Personuppgiftsbiträdet ansvarar för direkta skador som uppkommer till följd av att Personuppgiftsbiträdet har behandlat personuppgifter i strid med Personuppgiftsansvariges instruktioner enligt Avtalet och Gällande rätt.
  3. Personuppgiftsbiträdet ska ersätta Personuppgiftsansvarig för direkt skada, med maximalt 50 000 SEK. Ersättningen ska inte betalas om kravet har koppling till behandling som godkänts eller utförts enligt Personuppgiftsansvariges instruktioner.
  4. Personuppgiftsbiträdet ansvarar inte för Personuppgiftsansvariges kostnader för ombud.
  5. Personuppgiftsbiträdets ansvar ska inte omfatta indirekta skador eller följdskador såsom förlorade intäkter eller vinster, kontrakt, kunder eller affärsmöjligheter, goodwillförlust, eller förväntade besparingar.

KONFIDENTIELL INFORMATION

  1. Personuppgiftsbiträdet får inte använda information eller annat material som denne ges tillgång till inom ramen för Avtalet eller Villkoren för något annat syfte än för att fullgöra förpliktelserna enligt detta Avtal eller Villkoren.
  2. Personuppgiftsbiträdet får inte till tredje man eller till annan obehörig, lämna ut eller röja information om behandling av personuppgifter eller innehållet i personuppgifter, som omfattas av detta Avtal eller annan information som Personuppgiftsbiträdet getts tillgång till som följd av detta Avtal. Detta gäller inte information som Personuppgiftsbiträdet är skyldig att lämna ut enligt lag. Sekretessförpliktelsen är giltig från och med den dag båda Parterna undertecknat Avtalet och obegränsat i tiden därefter. Personuppgiftsbiträdet ska säkerställa att sekretessåtagandet gäller för alla anställda och andra personer som arbetar hos eller på uppdrag av Personuppgiftsbiträdet och som har behörighet att behandla personuppgifter.

GILTIGHETSTID OCH UPPHÖRANDE

  1. Avtalet är giltigt under den tid Personuppgiftsbiträdet behandlar personuppgifter för Personuppgiftsansvariges räkning eller tills Avtalet ersätts av ett annat personuppgiftsbiträdesavtal.
  2. Personuppgiftsbiträdets skyldigheter enligt Avtalet ska fortsätta att gälla, oavsett om Avtalet har sagts upp eller annars upphört att gälla, så länge som Personuppgiftsbiträdet behandlar personuppgifter för Personuppgiftsansvariges räkning.

RADERING OCH ÅTERLÄMNANDE AV PERSONUPPGIFTER

  1. Vid Avtalets upphörande ska Personuppgiftsbiträdet och eventuella underbiträden antingen radera eller återlämna de personuppgifter som omfattas av Avtalet.

TILLÄMPLIG LAG OCH TVISTELÖSNING

  1. Svensk lag ska tillämpas på detta Avtal.
  2. Den tvistlösningsmekanism som framgår av Villkoren ska tillämpas även på detta Avtal.

LEONHS INTEGRITETSPOLICY

LEONHS BEHANDLING AV PERSONUPPGIFTER

Rättsliga grunder

Intresseavvägning - Leonh får behandla personuppgifter om vi bedömt att det finns ett berättigat intresse som väger tyngre än den Registrerades skydd för den personliga integriteten och om Behandlingen är nödvändig för det aktuella ändamålet.

Hur länge sparar vi dina Personuppgifter?

Vi sparar dina Personuppgifter så länge det är nödvändigt med hänsyn till det ändamål som de samlades in för. Beroende av vilken rättslig grund vi stödjer behandlingen på kan detta a) följa av ett avtal, b) vara beroende av ett giltigt samtycke, c) framgå av lagstiftning eller d) följa av en intern bedömning baserad på en intresseavvägning. I listan nedan anger vi (i den utsträckning det är möjligt) den period Personuppgifterna kommer att lagras eller de kriterier som används för att fastställa perioden.

Behandlingar

Behandling och ändamålet med behandlingen: Registrera användarkonto för att möjliggöra för kundens anställda att att logga in och få tillgång till Tjänsten.

  • Personuppgifter: Namn, e-postadress, företag.
  • Källa: Direkt från den Registrerade
  • Rättslig grund: Det berättigade intresset av att tillhandahålla Tjänsten enligt avtalet med kunden.
  • Period för lagring: Så länge som den registrerade har tillgång till ett användarkonto kopplat till en kund.

Behandling och ändamålet med Behandlingen: Registrera användarkonto kopplat till ett testkonto för att möjliggöra för kundens anställda att logga in och testa Tjänsten.

  • Personuppgifter: Namn, e-postadress, företag.
  • Källa: Direkt från den Registrerade
  • Rättslig grund: Det berättigade intresset av att presentera Tjänsten i syfte att kunden ska konverteras till att bli en betalande kund.
  • Period för lagring: Ett år från att användaren kopplat till testkontot skapades.

Behandling och ändamålet med Behandlingen: Verifiera användarens inloggningsuppgifter för att öka säkerheten och förhindra missbruk.

  • Personuppgifter: Namn, e-postadress.
  • Källa: Direkt från den Registrerade.
  • Rättslig grund: Det berättigade intresset av att verifiera användarens identitet för att öka säkerheten och undvika missbruk av Tjänsten.
  • Period för lagring: Så länge som den Registrerade har tillgång till ett användarkonto kopplat till en kund.

Behandling och ändamålet med Behandlingen: Kommunicera för att effektivt kunna hjälpa kunder med eventuella problem (kundsupport) samt tillhandahålla relevant information om Tjänsten.

  • Personuppgifter: Namn, e-postadress, telefonnummer, företag.
  • Källa: Direkt från den Registrerade.
  • Rättslig grund: Det berättigade intresset av att Det berättigade intresset av att tillhandahålla Tjänsten enligt avtalet med kunden samt öka och bibehålla kundnöjdheten.
  • Period för lagring: Så länge som den Registrerade har tillgång till ett användarkonto kopplat till en kund.

Behandling och ändamålet med Behandlingen: Marknadsföring och informationsinsatser med syfte att väcka och bibehålla potentiella kunders intresse för Tjänsten.

  • Personuppgifter: Namn, e-postadress, telefonnummer, företag.
  • Källa: Direkt från det Registrerade och sourcing från allmänt tillgängliga källor (LinkedIn, potentiella kunders hemsidor osv.) samt från tredje part.
  • Rättslig grund: Det berättigade intresset av att öka försäljningen och bedriva vår verksamhet.
  • Period för lagring: Två år eller tills den Registrerade avregistrerar sig för utskick via e-post.

Behandling och ändamålet med Behandlingen: Marknadsföring och informationsinsatser med syfte att behålla och uppgradera befintliga kunder.

  • Personuppgifter: Namn, e-postadress, telefonnummer, företag.
  • Källa: Direkt från den Registrerade.
  • Rättslig grund: Det berättigade intresset av att skapa en långsiktig kundrelation där vi tillhandahåller värde för kunden över tid.
  • Period för lagring: Så länge som den Registrerade har tillgång till ett användarkonto kopplat till en kund eller tills den Registrerade avregistrerar sig för utskick via e-post.

Behandling och ändamålet med Behandlingen: Insamling (sourcing) av kontaktuppgifter till potentiella kunder.

  • Personuppgifter: Namn, e-postadress, telefonnummer, företag.
  • Källa: Sourcing från allmänt tillgängliga källor (LinkedIn, potentiella kunders hemsidor osv.) samt från tredje part.
  • Rättslig grund: Det berättigade intresset av att att öka försäljningen och bedriva vår verksamhet.
  • Period för lagring: Tre månader.

Behandling och ändamålet med Behandlingen: Spara information om de Registrerade som har avregistrerat sig från informationsutskick för att undvika att skicka liknande oönskade e-postutskick framöver.

  • Personuppgifter: E-postadress.
  • Källa: Direkt från den Registrerade.
  • Rättslig grund: Det berättigade intresset av att följa Gällande rätt och möta den Registrerades önskan.
  • Period för lagring: Två år.

Behandling och ändamålet med Behandlingen: Sammanställa statistik och analyser för att kunna förbättra Tjänsten och användarupplevelsen samt för affärsändamål.

  • Personuppgifter: E-postadress, IP-adress, webbläsare.
  • Källa: Genererade internt.
  • Rättslig grund: Det berättigade intresset av att förbättra och utveckla Tjänsten.
  • Period för lagring: 7 dagar.

Dina rättigheter

Du är den som bestämmer över dina Personuppgifter. Vi strävar alltid efter att se till att du kan utöva dina rättigheter så effektivt och smidigt som möjligt.

Tillgång - Du har alltid rätt att få information om de Personuppgiftsbehandlingar som rör dig. Vi lämnar endast ut uppgifter om vi har kunnat säkerställa att det faktiskt är du som frågar efter uppgifterna.

Rättelse - Upptäcker du att de Personuppgifter vi behandlar om dig inte stämmer, hör av dig så fixar vi det!

Radering - Du har rätt att begära radering av dina Personuppgifter när de inte längre är nödvändiga för det syfte de blev insamlade för. Om vi är skyldiga att behålla dina uppgifter enligt lag eller ett avtal som vi har ingått med dig kommer vi att säkerställa att de endast behandlas för det specifika ändamål som framgår av lagen eller avtalet; därefter ser vi till att uppgifterna raderas så snart som möjligt.

Invändning - Håller du inte med oss om att vårt intresse av att behandla dina Personuppgifter väger tyngre än ditt intresse av skydd av den personliga integriteten? Ingen fara - i så fall ser vi över vår intresseavvägning och kontrollerar att den fortfarande håller. Vi väger såklart in din invändning när vi gör en ny bedömning för att utvärdera om vi fortfarande kan motivera vår Behandling av dina Personuppgifter. Invänder du mot direktmarknadsföring kommer vi ta bort dina Personuppgifter på en gång utan att se över vår bedömning.

Begränsning - Du kan även be oss att begränsa vår Behandling av dina uppgifter:

  • Under tiden som vi hanterar en begäran från dig om någon av dina andra rättigheter
  • Om du, istället för att begära radering, vill att vi markerar att uppgifterna inte ska behandlas för ett visst ändamål. Om du t.ex. inte vill att vi skickar reklam till dig i framtiden behöver vi fortfarande spara ditt namn för att veta att vi inte ska kontakta dig
  • I de fall där vi inte längre behöver uppgifterna för det ändamål som de samlades in för; förutsatt att du inte har ett intresse av att vi behåller uppgifterna för att kunna göra gällande ett rättsligt anspråk.

Dataportabilititet - Vi kan ge dig de uppgifter du själv lämnat till oss eller som vi har fått av dig i samband med att vi ingått ett avtal med dig. Du får dina uppgifter i ett allmänt använt och maskinläsbart format som du sen kan ta med dig till en annan Personuppgiftsansvarig.

Återkalla samtycke - Om du har samtyckt till en eller flera specifika behandling(ar) av dina Personuppgifter har du närsomhelst rätt att återkalla ditt samtycke och därmed be oss att upphöra med Behandlingen omedelbart. Observera att du endast kan återkalla ditt samtycke för framtida Behandling(ar) av Personuppgifter och inte för någon Behandling som redan skett.

Överföring av Personuppgifter

För att driva vår verksamhet kan vi behöva ta hjälp av andra som behandlar Personuppgifter för vår räkning, så kallade Personuppgiftsbiträden.

I de fall där våra Personuppgiftsbiträden överför Personuppgifterna till ett land utanför EU/EES har vi säkerställt att Behandlingen är laglig enligt gällande rätt genom att något av följande krav är uppfyllda:

  • det finns ett beslut från EU-kommissionen om att landet säkerställer adekvat skyddsnivå;
  • tillämpning av EU-kommissionens standardavtalsklausuler för tredjelandsöverföring; eller
  • andra lämpliga skyddsåtgärder som uppfyller gällande rätt.

Vi har ingått personuppgiftsbiträdesavtal (PUB-avtal) med alla våra Personuppgiftsbiträden. PUB-avtalet reglerar hur Personuppgiftsbiträdet får behandla Personuppgifterna och vilka säkerhetsåtgärder som krävs för personuppgiftsbehandlingen.

Vi kan även behöva lämna dina Personuppgifter till vissa utpekade myndigheter för att fullgöra skyldigheter enligt lag eller myndighetsbeslut.

Överföring av Personuppgifter till annan Personuppgiftsansvarig

När våra kunder efterfrågar "Juridisk support" hänvisas dom till en av våra partners. För att effektivisera processen avseende Know Your Customer (KYC) och intressekonflikter samlar vi in ​​personuppgifter på uppdrag av vår partner.

För mer information om vad detta innebär, se den aktuella partnerns integritetspolicy.

Säkerhet

Leonh har vidtagit tekniska och organisatoriska åtgärder för att säkerställa att dina personuppgifter behandlas på ett säkert sätt och att de skyddas från förlust, missbruk och obehörig eller otillåten åtkomst.

Våra säkerhetsåtgärder

Organisatoriska säkerhetsåtgärder är åtgärder som implementeras i arbetssätt och rutiner inom organisationen. Våra organisatoriska säkerhetsåtgärder är:

  • Interna styrdokument (policys/instruktioner)
  • Informationssäkerhetspolicy
  • Fysisk säkerhet (lokaler m.m)

Tekniska säkerhetsåtgärder är åtgärder som implementeras genom tekniska lösningar. Våra tekniska säkerhetsåtgärder är:

  • Kryptering
  • Åtkomstlista
  • Åtkomstlogg
  • Säkert nätverk
  • Regelbunden kontroll av säkerhetsnivå
  • Tvåstegsverifiering
  • Lösenordshanteringsprogram för samtliga lösenord

Cookies

Leonh använder cookies och liknande spårningstekniker för att bl.a. analysera hur Funktioner används så att vi kan ge dig den absolut bästa användarupplevelsen. Mer information om hur vi använder cookies finns i vår Cookie Policy

Ändringar i den här policyn

Vi reserverar oss rätten att göra ändringar i denna Policy. I de fall ändringen påverkar våra skyldigheter eller dina rättigheter, kommer vi att informera om ändringarna i förväg så att du ges möjlighet att ta ställning till den uppdaterade policyn.