Policy Behandling av personuppgifter

Bakgrund

Från 25 maj 2018 gäller nya lagar och regler om hur personuppgifter får hanteras, detta beskrivs i dataskyddsförordningen (Europaparlamentets och -rådets förordning nr 2016/679, även kallad ”GDPR” (efter engelska ”General Data Protection Regulation”).

Syftet med den här policyn är att du ska få veta hur vi behandlar dina personuppgifter, vad vi använder dem till, vilka som får ta del av dem och under vilka förutsättningar samt hur du kan ta tillvara dina rättigheter. Den utgår från gällande dataskyddslagstiftning och förtydligar hur vi jobbar för att ta tillvara dina rättigheter och din integritet.

Varför vi behandlar personuppgifter?

Vi behandlar dina personuppgifter främst för att fullfölja våra avtal och förpliktelser mot dig. Vår utgångspunkt är att inte behandla fler personuppgifter än vad som behövs för ändamålet och vi strävar alltid efter att använda de minst integritetskänsliga uppgifterna.

Vi behöver också dina personuppgifter för att ge dig bra service exempelvis vad gäller marknadsföring, uppföljning och information. Vi kan också behöva dina personuppgifter för att uppfylla lagar och regler samt utföra kund-, medarbetar- och marknadsanalyser.

Ansvar för personuppgifterna

SRB Gruppen AB (org. nr 556608-7382) tillsammans med dotterbolagen SRB Entreprenad AB (org. nr 556663-3961), SRB Uthyrning (org. nr 556663-3847) respektive SRB Koncept AB (org. nr 556683-8495), benämns i fortsättningen gemensamt för ”SRB”.

Inom ramen för koncernens och dess dotterbolag/divisioners respektive verksamheter behandlar SRB en stor mängd personuppgifter i egenskap av personuppgiftsansvarig vilket är en naturlig följd av tjänsternas karaktär. Beroende på vilken typ av tjänst som tillhandahålls kan ansvaret för behandlingen av personuppgifterna fördelas olika mellan koncernens bolag. I vissa fall delas personuppgifter med andra bolag inom koncernen för att kunna fullgöra åtaganden enligt avtal eller lag och i dessa fall har det mottagande bolaget en roll som personuppgiftsbiträde.

Såvida inte annat specifikt anges beskriver denna policy tjänster som utförs på entreprenad vilket är den vanligaste tjänsteformen.

Laglig grund för behandlingen av personuppgifterna

SRB behandlar personuppgifter för flera olika ändamål. De huvudsakliga syftena är för att vi ska kunna:

  • Hantera uppdragsbokningar, kundserviceärenden och samordna berörda parter för att kunna utföra våra tjänster
  • Kommunicera med kunder, butiker, anställda och leverantörer
  • Dokumentera, utvärdera, utveckla och marknadsföra vår verksamhet
  • Fullfölja våra åtaganden som samarbetspartner och arbetsgivare
  • Förhindra bedrägerier och förebygga brott

Varje behandling av personuppgifter som SRB utför kan motiveras utifrån en eller flera av följande rättsliga grunder.

  1. Fullgörande av rättslig förpliktelse

Vissa personuppgifter måste vi behandla för att uppfylla kraven i ex. bokföringslagen (BFL), lagen om anställningsskydd (LAS), lag om allmän försäkring (AFL), skattelagstiftning etc.

  1. Fullgörande av avtal

Om du ex. är kund och köper tjänster av oss eller om du är anställd hos oss måste vi behandla vissa personuppgifter om dig för att kunna leva upp till våra åtaganden, fakturera och betala ut lön enligt de avtal vi har tecknat.

  1. Samtycke

Om du på frivillig väg lämnar dina personuppgifter för ett visst ändamål frågar vi om du samtycker till att vi därmed behandlar dessa. I vissa fall sker detta genom att du i samband med att du lämnar dina uppgifter informeras om behandlingen och då anses du ha samtyckt till behandlingen. Detta gäller om du ex. anmält dig för att få nyhetsbrev, anmält dig till ett arrangemang eller registrerat dig som arbetssökande till lediga tjänster. Du har när som helst rätt att återkalla ditt samtycke. Vi kommer då inte längre att behandla dina personuppgifter eller inhämta nya, under förutsättning att det inte behövs för att fullgöra våra skyldigheter enligt avtal eller lag.

  1. Berättigat intresse

Om du är verksam inom de branscher där SRB tillhandahåller tjänster kan vi komma att kontakta dig för att ex. informera om verksamheten och marknadsföra våra tjänster och arrangemang. I dessa fall har först en intresseavvägning gjorts för att bedöma att SRB:s intresse som företag av att informera och marknadsföra våra erbjudanden väger tyngre än ditt intresse som yrkesverksam att inte bli föremål för marknadsföring. Du har dock rätt att när som helst motsätta sig denna behandling.

När det gäller foto, video- och ljudinspelningar har SRB ett berättigat intresse att dokumentera vår verksamhet. Detta innebär till exempel att generella foton där arbetsytan står i fokus kommer att behandlas utan att varje enskild person på bilden tillfrågas. Rätten att använda foton där enskilda personer står i fokus kräver ett samtycke av den som står i fokus i samband med fototillfället innan vi får använda fotot. Detsamma gäller för video- och ljudinspelningar.

Vilka personuppgifter behandlar vi?

Vi behandlar endast personuppgifter när vi har laglig grund och behandlar inte dessa längre än vad som krävs. Vilka personuppgifter vi behandlar beror på vilken relation du har med oss.

  1. Behandling av personuppgifter när Du är potentiell kund till oss

När du anmäler dig till SRB:s nyhetsbrev eller ett arrangemang ger du ditt samtycke till att vi behandlar dina personuppgifter. Du får då via e-post ta del av information och erbjudanden från SRB. Om du själv inte har anmält ditt intresse kan vi även i vissa fall skicka ut information och erbjudanden till dig. Det gör vi när vi har bedömt att du kan ha nytta av våra tjänster och att vi har ett berättigat intresse av att kontakta dig.

Vi behandlar dina personuppgifter tills du återkallar ditt samtycke eller begär att få uppgifterna raderade vilket du gör enklast genom att avregistrera dig från utskicken genom att klicka på länken längst ner i ett nyhetsbrev.

  1. Behandling av personuppgifter när Du besöker våra webplatser

När du besöker SRB:s webbplatser kan information från webbläsare både hämtas och lagras, vanligtvis i form av cookies, för att förbättra både funktion och upplevelse av webbsidan. Informationen består normalt bara av webbplatsbesökarens preferenser samt information om från vilken enhet besöket sker, det sker ingen identifiering av besökaren. Även om identifiering av besökaren inte sker behöver SRB ett samtycke från webbplatsbesökaren för att cookies ska få användas.

Webbplatsbesökaren har rätt att när som helst motsätta sig denna behandling och därigenom återkalla sitt samtycke.

  1. Behandling av personuppgifter när Du är kund hos oss

När Du är kund till oss har vi ett avtal som beskriver hur vårt samarbete ser ut. För att fullgöra våra åtaganden enligt avtalet eller genomföra åtgärder som har begärts innan och efter detta träffats behandlar vi personuppgifter som Du lämnat i samband med förberedelse för eller administration av ett uppdrag. För att möjliggöra en god kunddialog behandlar vi även personuppgifter om kontaktpersoner hos kunderna.

Behandling av uppgifter sker också för att vi ska kunna fullgöra våra rättsliga skyldigheter enligt bl.a. bokföringslagen.

Vanligtvis sparar vi dina personuppgifter i tio år efter kundrelationens slut för att kunna användas som underlag vid eventuella tvister. I vissa fall kan lagringstiden variera beroende på bl.a. lag, förordning, praxis och eventuella myndighetsbeslut.

  1. Behandling av personuppgifter vid intresseansökan för lediga tjänster

I Samband med att du söker lediga tjänster eller skickar en spontanansökan till oss ger du ditt samtycke till att SRB behandlar dina personuppgifter. Vår rekryterings avdelning kommer då att ta emot och behandla din ansökan. Personuppgifterna som du lämnar i samband med ansökan använder vi för att rekrytera personal för lediga tjänster och upprätthålla en kandidatdatabas för eventuella kommande lediga tjänster. SRB har också ett helt självständigt ändamål med behandlingen eftersom vi vill skapa en långsiktig relation med marknadens talanger.

Samtycket kan du återkalla när du vill. Vi behandlar dina personuppgifter tills du begär att få uppgifterna raderade.

  1. Behandling av personuppgifter vid rekrytering

Vid en rekryteringsprocess behandlar SRB relevanta personuppgifter och information om andra relevanta förhållanden som har betydelse för möjligheten att matcha kandidater mot våra egna och kundernas behov. Vi kan även komma att behandlar personuppgifter om dig som vi hämtar in från bl.a. referenser, personlighetstester och utdrag från brottsregister.

Personuppgifterna kan komma att lämnas ut till andra bolag i SRB koncernen eller till kund om rekryteringen avser ett kundspecifikt uppdrag. Uppgifterna sparas dock inte längre än vad som behövs för den aktuella rekryteringen.

I samband med att du lämnar dina personuppgifter genom att ansöka till den aktuella tjänsten eller skickar kompletterande underlag till ansökan lämnar du även ditt samtycke till att vi behandlar dina personuppgifter. Du kan även sedan tidigare samtyckt till att vi behandlar uppgifterna om du har lämnat dessa till SRBs kandidatdatabas för kommande lediga tjänster.

Samtycket kan du återkalla när du vill. Vi behandlar dina personuppgifter tills du begär att få uppgifterna raderade.

  1. Behandling av personuppgifter när Du är anställd hos oss

När Du är anställd hos oss har du i första hand ett anställningsavtal som beskriver hur anställningsförhållandet ser ut och vilka rättigheter och skyldigheter vi har. Anställningen regleras även i stor utsträckning av lagar. I samband med din anställning behandlar vi personuppgifter som krävs för dessa ändamål. Vissa personuppgifter betraktas som känsliga och dessa behandlas med extra fokus på säkerhet. Det gäller bl.a. personnummer, sjukintyg, uppgifter om bankkonton och liknande.

Behandlingarna utförs för att vi ska kunna fullgöra våra åtaganden både enligt ditt anställningsavtal och de rättsliga skyldigheter vi har enligt bl.a. Lagen om anställningsskydd, Främjandelagen, Semesterlagen, Arbetsmiljölagen, Bokföringslagen och lagar rörande skatter och sjukförsäkring.

Vi sparar dina personuppgifter i den omfattning som krävs beroende på bl.a. lag, förordning, praxis och eventuella myndighetsbeslut. Personuppgifter sparas inte längre eller i större omfattning än vad som krävs för att vi ska kunna fullgöra våra åtaganden.

Om Du på eget initiativ lämnar ut Dina personuppgifter till ex en kund eller butik där inte SRB har kontroll på hur dessa behandlas är det den mottagande parten som är personuppgiftsansvarig och SRB har inget ansvar för behandlingen av dessa. Den mottagande parten ska då informera om hur Dina personuppgifter kommer att behandlas och vilket syftet är med behandlingen. Du ska även bli informerad om vilka rättigheter Du har som registrerad.

  1. Behandling av personuppgifter om Du är anställd hos SRB och uthyrd till kund.

Om du arbetar som uthyrd personal arbetar du under kundens direkta ansvar och arbetsledning. Utöver det som gäller om du är anställd hos oss tillkommer även att de personuppgifter du ev behandlar hos kunden under uthyrningstiden är kunden själv personuppgiftsansvarig för. Inför ett uthyrningsuppdrag kommer dina personuppgifter att lämnas ut till den aktuella kunden i den omfattning som krävs för att kunna matcha dig med aktuell kund och uppdrag. Under uthyrningstid kommer kunden även att ha tillgång till personuppgifter som krävs för att kunna utföra sina åtaganden som arbetsledare.

  1. Behandling av personuppgifter vid butikskontakt

När vi utför uppdrag krävs det att vi kan ha kontakt med butiker där uppdrag ska utföras. För att möjliggöra en god dialog med butikerna behandlar vi personuppgifter om de olika kontaktpersonerna i butik. I vissa fall lämnar du ditt samtycke till behandlingen genom att skicka uppgifterna till oss. När uppgifterna gäller andra personer än dig själv förutsätter vi att du som förser oss med andras personuppgifter har dessa personers samtycke till detta.

Vi behandlar dina personuppgifter tills du återkallar ditt samtycke eller begär att få uppgifterna raderade.

  1. Behandling av personuppgifter när Du är leverantör

Om du är Leverantör till oss har vi ett avtal som beskriver hur vårt samarbete ser ut. För att fullgöra våra åtaganden enligt avtalet eller genomföra åtgärder som har begärts innan och efter detta träffats behandlar vi personuppgifter som du lämnat i samband med förberedelse för eller administration av ett köp eller en leverans. För att möjliggöra en god leverantörsdialog behandlar vi även personuppgifter om kontaktpersoner hos leverantörerna.

Behandling av uppgifter sker också för att vi ska kunna fullgöra våra rättsliga skyldigheter enligt bl.a. bokföringslagen.

Vanligtvis sparar vi dina personuppgifter i tio år efter leverantörsrelationens slut för att kunna användas som underlag vid eventuella tvister. I vissa fall kan lagringstiden variera beroende på bl.a. lag, förordning, praxis och eventuella myndighetsbeslut.

  1. Behandling av personuppgifter när Du kontaktar oss

När du kontaktar oss på support@srbgruppen.se eller liknande kommer ditt meddelande att vidarebefordras till rätt person inom SRB som även är personuppgiftsansvarig. Personuppgifterna (namn, e-postadress och övrigt) som du lämnar i samband med detta kommer vi att behandla för att besvara din förfrågan. Den lagliga grunden för behandlingen är samtycke som du lämnar genom att skicka uppgifterna till oss.

Hur får vi tillgång till dina personuppgifter?

Vi samlar in uppgifterna antingen direkt från dig, från våra kunder, samarbetspartners och leverantörer, från allmänt tillgängliga register eller när du kontaktar oss för att söka anställning, besöka oss eller på annat sätt kontaktar oss. Insamlingen kan även ske via digitala kanaler, till exempel i samband med att du besöker någon av våra webbplatser, svarar på enkäter och undersökningar.

I vissa fall samlar vi in personuppgifter från dig men där uppgifterna gäller andra personer än dig själv. I dessa fall förutsätter vi att du som förser oss med andras personuppgifter har dessa personers samtycke eller har något annat giltigt skäl till att göra detta.

Dina personuppgifter kan också förekomma i olika typer av dataloggar och backup filer som är nödvändiga för att flera av våra digitala system ska fungera på ett ändamålsenligt sätt. Det kan till exempel gälla loggar över informationsåtkomst, in- och utgående e-mail, telefonsamtal, metadata till bilder och övrig rapportering etc.

Dina rättigheter som registrerad

När vi behandlar dina personuppgifter har du vissa rättigheter enligt dataskyddslagstiftningen.

  1. Rätt till tillgång (registerutdrag)

Du har rätt att få en bekräftelse på om SRB behandlar personuppgifter om dig, och i så fall få ett registerutdrag över vilka personuppgifter det gäller. Som grundregel levererar vi registerutdraget digitalt.

  1. Rätt till rättelse

SRB strävar alltid efter att all den information som behandlas hos oss ska vara korrekt. Om du upptäcker att det finns felaktigheter i dina uppgifter kan du begära att vi rättar de felaktiga uppgifterna. Vi kommer då att korrigera felen.

  1. Rätt att motsätta dig behandling för direktmarknadsföring

Om vi behandlar dina registrerade personuppgifter för direktmarknadsföringsändamål har du rätt att, när som helst, motsätta dig detta och begära att du avregistreras från fortsatta utskick genom att anmäla detta till SRB t.ex. genom att klicka på en avregistreringslänk i utskicket.

  1. Rätt att motsätta dig annan behandling som stödjer sig på SRB:s berättigade intresse

Du har även rätt att motsätta dig behandlingar som stödjer sig på SRB:s berättigade intresse. SRB får dock fortsätta att behandla dina personuppgifter, trots att du har motsatt dig behandlingen, om SRB har tvingande berättigade skäl för behandlingen som överväger integritetsintresset.

  1. Rätt att begära begränsning av uppgifter

Under vissa förutsättningar har du rätt att begära begränsning eller radering av dina personuppgifter eller rätt att invända mot behandlingen. Detta gäller t.ex. om du vill att SRB bara ska behandla dina personuppgifter för vissa avgränsade syften.

  1. Rätt att begära rensning av uppgifter (rätten att bli glömd)

Om du vill att vi ska upphöra helt med all behandling av dina personuppgifter så kan du i vissa fall begära radering av dessa. Vi kommer då att radera alla uppgifter som kan kopplas till dig som person. Rätten att få personuppgifter raderade är dock inte absolut utan en rättslig förpliktelse att spara uppgifterna har företräde.

  1. Rätt till dataportabilitet

I vissa fall har du rätt att få ut de personuppgifter som rör dig i ett strukturerat, allmänt använt och maskinläsbart format (dataportabilitet) för att överföra till en annan personuppgiftsansvarig. Denna rättighet är dock begränsad till uppgifter som behandlas med stöd av ditt samtycke eller för att uppfylla ett avtal med dig, och det gäller bara sådana personuppgifter som du har lämnat själv.

Behandlas dina personuppgifter på ett betryggande sätt? (Skydd av uppgifter)

För att skydda dina personuppgifter mot förlust, skada eller obehörig behandling arbetar SRB ständigt med att upprätthålla och förbättra en rad olika säkerhetsåtgärder.

  • Fysiskt skydd (till exempel för personer, IT-infrastruktur och byggnader)
  • Informationssäkerhetsskydd (till exempel mot intrång i IT-system, virusattacker och genom säkerhetskopiering)
  • Organisatoriskt skydd (till exempel att tillgången till personuppgifter begränsas i organisationen).

Utgångspunkten är att endast arbetstagare och andra personer inom organisationen som behöver personuppgifterna för att utföra sina arbetsuppgifter ska ha tillgång till dem. När det gäller känsliga personuppgifter behandlas dessa med ett högre skydd för dina uppgifter.

I det fall en dataskyddsincident skulle inträffa och personuppgifter, som skulle kunna riskera dina rättigheter, kommit utanför SRB:s kontroll anmäls händelsen till Datainspektionen.

Vi lagrar bara dina personuppgifter så länge det är nödvändigt för att uppfylla de aktuella ändamålen eller det lagen kräver av oss. Register för lagring av personuppgifter finns i huvudsak i Sverige. I det fall lagring förekommer i annat land sker detta inom EES-området eller där det kan ske med ett Safe Harbour-avtal, Privacy Shield överenskommelse eller liknande.

När lämnar vi ut dina personuppgifter?

Vår utgångspunkt är att inte lämna ut eller sälja dina personuppgifter till tredje part om du inte har samtyckt till det eller om det inte är nödvändigt för att uppfylla våra förpliktelser enligt avtal eller lag.

I de fall vi anlitar tredje part för att uppfylla ändamålen med behandlingen av personuppgifter får uppgifterna endast behandlas med sekretess och enligt SRB:s uttryckliga instruktioner och inte användas för egna ändamål. Den mottagande parten är även skyldig enligt lag och avtal att vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda uppgifterna. Exempel på parter som personuppgifter kan komma att lämnas ut till är:

  • Myndigheter som Polisen eller Skatteverket.
  • Andra bolag inom SRB koncernen med samma skyddsnivå som bolaget som lämnar ut uppgifterna.
  • Samarbetspartners för materialdistribution och logistik som inte har ett självständigt intresse att behandla personuppgifterna.
  • Samarbetspartners för drift, utveckling och underhåll av IT system och servrar.

SRB kan i förekommande fall lämna ut personuppgifter även till andra mottagare än de som angivits ovan för att följa tillämpliga lagar och föreskrifter, en begäran eller ett föreläggande från en behörig domstol eller myndighet, samt för att tillgodose SRB:s berättigade intresse av att fastställa, göra gällande och försvara rättsliga anspråk.

Ansvar

SRB är personuppgiftsansvarig, vilket innebär att vi är ansvariga för hur dina personuppgifter behandlas och att dina rättigheter tas tillvara.

Om du har någon fråga eller begäran relaterat till denna policy, GDPR eller Dina rättigheter, vänligen kontakta oss genom att skicka ett e-mail till: gdpr@srbgruppen.se eller genom att skicka ett brev till SRB Gruppen, Rosenlundsgatan 13, 118 53 Stockholm. Du kan givetvis även kontakta oss om du har allmänna frågor kring hur vi hanterar personuppgifter. Du har även rätt att vända sig till tillsynsmyndigheten (Datainspektionen) vid klagomål.

Oavsett om din begäran kommer in via mail eller via brev kommer vi att besvara den inom 30 dagar, räknat från det att vi kunnat verifiera din identitet. För att skydda dig och dina personuppgifter kommer SRB inte att lämna ut uppgifterna till någon där identiteten inte har kunnat verifieras. Om vi, oavsett anledning, inte kan uppfylla din begäran så kommer vi att lämna en motivering och förklara varför det inte gick.

——————– ¤ ——————–

Denna policy har upprättats maj 2018 för SRB Gruppen AB och dess koncernbolag.