DATASKYDDSBESKRIVNING FÖR NÄTBUTIKEN AB:S KUNDREGISTER
1 Registeransvarig
Registeransvarig för registret är NÄTBUTIKEN Ab (FO-nummer xxxxxx)
Kontaktperson i registerärenden är: [lägg till kontaktpersonens namn och funktion/titel]
NÄTBUTIKEN Ab
Adress: [...]
Telefon: [...]
E-post: [...]
2 Registrets namn
Registrets namn är NÄTBUTIKEN Ab:s kundregister.
3 Syftet med behandling av personuppgifter
Personuppgifter behandlas för syften i anknytning till att sköta, administrera och utveckla kundrelationen, tillhandahålla och leverera tjänster samt i anknytning till utveckling och fakturering av tjänster. Personuppgifter behandlas också i syften som krävs för att utreda eventuella reklamationer och andra krav.
Dessutom behandlas personuppgifter i kommunikation som riktas till kunden, som för informations- och nyhetsmeddelandesyften samt i marknadsföringen, där personuppgifter också behandlas för direktreklam och elektronisk direktreklam.
Kunden har rätt att förbjuda direktreklam riktad till honom eller henne.
Den registeransvarige behandlar uppgifterna själv och utnyttjar underleverantörer som agerar för den registeransvariges räkning för behandling av personuppgifter.
4 Rättslig grund för behandlingen
De rättsliga grunderna för behandlingen av personuppgifter är följande grunder i överensstämmelse med EU:s allmänna dataskyddsförordning (nedan också ”GDPR”):
- Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål (GDPR 6 art. 1.a);
- Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås (GDPR 6 art. 1.b);
- Behandlingen är nödvändig för den registeransvariges eller en tredje parts berättigade intressen (GDPR 6 art. 1.f).
Ovan nämnda registeransvariges berättigade intresse grundas på en betydande och relevant relation mellan den registrerade personen och den registeransvarige, och som är en följd av att den registrerade är kund hos den registeransvarige, och när behandlingen sker för ändamål som den registrerade rimligen har kunnat förvänta sig vid tidpunkten då personuppgifterna samlades in och i anslutning till den relevanta relationen.
5 Registrets informationsinnehåll (behandlade personuppgiftsgrupper)
Som utgångspunkt innehåller registret följande personuppgifter om alla registrerade personer:
- personens grunduppgifter och kontaktuppgifter: [förnamn, efternamn, adress, telefonnummer, e-postadress];
- personens uppgifter i anslutning till företag eller annan organisation samt personens ställning eller befattning i ifrågavarande företag eller organisation;
- personens tillstånd för och förbud mot direktreklam.
6 Regelmässiga informationskällor
Personuppgifter samlas in från den registrerade personen själv.
Personuppgifterna samlas in och uppdateras inom ramen för tillämplig lagstiftning också från allmänt tillgängliga källor som har samband med att förverkliga kundrelationen mellan den registeransvariga och den registrerade personen, och med vars hjälp den registeransvarige förverkligar sina skyldigheter i anslutning till att upprätthålla kundrelationer.
7 Lagringstid för personuppgifter
Uppgifter som samlats till registret lagras bara så länge och i den omfattning som det är nödvändigt i förhållande till de ursprungliga eller överensstämmande ändamålen som personuppgifterna har samlats in för.
Behovet av att lagra personuppgifterna bedöms [beskrivning här om med vilka intervall behovet av att lagra uppgifterna ska bedömas, till exempel med fem års intervall eller liknande]; och i vilket fall som helst raderas uppgifterna om en registrerad person [hur många år] efter att den registrerades kundrelation med den registeransvarige har upphört, samt skyldigheter och åtgärder i anslutning till kundrelationen har slutförts. Till exempel bokföringsverifikat lagras under fem år efter redovisningsperiodens slut.
Den registeransvarige bedömer regelbundet nödvändigheten av att bevara uppgifterna enligt sin interna praxis. Dessutom vidtar den registeransvarige alla möjliga rimliga åtgärder för att säkerställa att alla personuppgifter som är oprecisa, felaktiga eller föråldrade i förhållande till behandlingens syfte raderas eller rättas utan fördröjning.
8 Mottagare av personuppgifter (mottagargrupper) och regelbundna överföringar av uppgifter
Personuppgifter överförs inte till utomstående parter.
9 Överföring av uppgifter till utanför EU eller EES
Personuppgifter i registret överförs inte till utanför EU eller EES
10 Principer för skydd av registret
[Material innehållande personuppgifter förvaras i låsta utrymmen dit endast namngivna personer som behöver detta för sina uppgifter har tillträde.
Databasen innehållande personuppgifter förvaras i låsta utrymmen dit endast utsedda personer som behöver detta för sina uppgifter har tillträde. Servern är skyddad med en ändamålsenlig brandmur och tekniskt skydd.
För åtkomst till databaser och system krävs personliga användarnamn och lösenord som beviljas separat. Den registeransvarige har avgränsat användarrättigheterna och -befogenheterna till informationssystem och andra lagringsplattformar så att endast personer som är nödvändiga för lagenlig behandling av uppgifterna kan se och behandla dem. Dessutom noteras databasernas och systemens användarhändelser i logguppgifterna i den registeransvariges IT-system.
Den registeransvariges personal och andra personer har förbundit sig att följa tystnadsplikten och hemlighålla de uppgifter de får i samband med behandlingen av personuppgifterna.]
11 Den registrerades rättigheter
En registrerad har följande rättigheter enligt EU:s allmänna dataskyddsförordning:
- Den registrerade ska ha rätt att av den registeransvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna och följande information: (i) ändamålen med behandlingen; (ii) de kategorier av personuppgifter som behandlingen gäller; (iii) de mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut; (iv) om möjligt, den förutsedda period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period; (v) förekomsten av rätten att av den registeransvarige begära rättelse eller radering av personuppgifterna eller begränsningar av behandling av personuppgifter som rör den registrerade eller att invända mot sådan behandling; (vi) rätten att inge klagomål till en tillsynsmyndighet; (vii) om personuppgifterna inte samlas in från den registrerade, all tillgänglig information om varifrån dessa uppgifter kommer (GDPR artikel 15). De ovan beskrivna grunduppgifterna (i)–(vii) lämnas till den registrerade personen med denna blankett;
- rätt att när som helst återkalla sitt samtycke. Återkallandet av samtycket ska inte påverka lagligheten av behandling som grundar sig på samtycke, innan detta återkallas (GDPR artikel 7);
- rätt att av den registeransvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Med beaktande av ändamålet med behandlingen, ska den registrerade ha rätt att komplettera ofullständiga personuppgifter, bland annat genom att tillhandahålla ett kompletterande utlåtande (GDPR artikel 16);
- rätt att av den registeransvarige utan onödigt dröjsmål få sina personuppgifter raderade om något av följande gäller: (i) personuppgifterna är inte längre nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats; (ii) den registrerade återkallar det samtycke på vilket behandlingen grundar sig och det finns inte någon annan rättslig grund för behandlingen; (iii) den registrerade invänder mot behandlingen på grund av sin särskilda personliga situation och det saknas berättigade skäl för behandlingen, eller den registrerade invänder mot behandlingen i direktmarknadsföringssyften; (iv) personuppgifterna har behandlats på olagligt sätt; eller (v) personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse i unionsrätten eller i medlemsstaternas nationella rätt som den registeransvarige omfattas av (GDPR artikel 17);
- rätt att av den registeransvarige kräva att behandlingen begränsas om (i) den registrerade bestrider personuppgifternas korrekthet, under en tid som ger den registeransvarige möjlighet att kontrollera om personuppgifterna är korrekta; (ii) behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en begränsning av deras användning; (iii) den registeransvarige inte längre behöver personuppgifterna för ändamålen med behandlingen men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk; eller (iv) den registrerade har invänt mot behandlingen på grund av sin speciella personliga situation i väntan på kontroll av huruvida den registeransvariges berättigade skäl väger tyngre än den registrerades skäl (GDPR artikel 18);
- rätt att få ut de personuppgifter som rör honom eller henne och som han eller hon har tillhandahållit den registeransvarige i ett strukturerat, allmänt använt och maskinläsbart format, och rätt att överföra dessa uppgifter till en annan registeransvarig utan att den registeransvarige som tillhandahållits personuppgifterna hindrar detta, om behandlingen grundar sig på samtycke och behandlingen sker automatiserat (GDPR artikel 20);
- rätt att lämna in klagomål till en tillsynsmyndighet om den registrerade anser att behandlingen av personuppgifter som avser henne eller honom strider mot EU:s allmänna dataskyddsförordning (GDPR artikel 77).
Begäran gällande utövande av den registrerades rätt ställs till den registeransvariges kontaktperson som anges i punkt 1.