GDPR
Dataskyddspolicy
Tavex AB (Tavex; Bolaget) erbjuder finansiella tjänster till både privatpersoner och juridiska personer. Tavex skyddar alla personuppgifter som mottas och behandlas i verksamheten. För att kunna använda Tavex’ tjänster måste kunduppgifter registreras och Tavex samlar således in nödvändiga kunduppgifter för att kunna bedriva sin verksamhet.
Denna dataskyddspolicy (”Dataskyddspolicyn”) ger information i det följande om hur Bolaget använder personuppgifter i enlighet med gällande lagstiftning.
Tillämplig lagstiftning och rättslig omfattning
Uppgifter som hanteras i verksamheten sker i enlighet med lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (Dataskyddslagen) och Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (Dataskyddsförordningen).
Tavex’ verksamhet omfattas även av de dataskyddsregler som återfinns i 5 kap. lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism
Personuppgiftsbehandling är endast laglig om åtminstone ett av följande krav är uppfyllda, se dataskyddsförordningen Artikel 6:
- Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.
- Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.
- Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.
- Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.
- Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.
- Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.
Dataförvaltare
Dataförvaltare är Tavex AB, org nr 556671-1189. Tavex AB har sitt säte i Stockholm med adressen:
Tavex AB
Smålandsgatan 9
111 46 Stockholm
Hantering av av data
Denna Dataskyddspolicy avser endast sådan personuppgiftsinformation som hanteras och bearbetas av Tavex. Denna dataskyddspolicy avser alla data som samlas in online och offline, inklusive de personuppgifter Tavex’ kunder tillhandahåller.
Tavex samlar in och bearbetar information kunder tillhandahåller genom Bolagets webbplats eller på något annat sätt, innefattande namn, efternamn, personnummer/ födelsedatum, samt i vissa fall folkbokföringsadress, e-postadress, telefonnummer, samt i de fall kunden utgör ett företag, företagsnamn och företagsrepresentants position i företaget.
Insamlandet sker endast för de särskilda, uttryckligt angivna och berättigade ändamål som uppgetts till den registrerade och inte någonsin på sådant sätt som är oförenligt med dessa legitima ändamål, se dataskyddsförordningen Artikel 5.1 b).
Bolaget hanterar även uppgifter avseende Bolagets anställda och annan till Bolaget anknuten personal.
De personuppgifter Tavex samlar in är i första hand uppgifter direkt från kunden, antingen inhämtas kundinformation på plats vid kundens besök i någon av Tavex’ butiker eller via Tavex webbshop. Den kundinformation Tavex samlat i avser även indirekt information som erhålls genom kundens användande av Tavex’ produkter och tjänster.
Tavex kan också komma att inhämta personuppgifter från tredje part, från offentliga eller andra externa källor som register som förs av myndigheter, till exempel folkbokföringsregister, bolagsregister och register hos brottsbekämpande myndigheter, sanktionslistor och andra kommersiella informationsleverantörer.
Den data tilllika information Tavex hanterar inom ramen för sin verksamhet utgörs av följande kategorier:
- Identitetsuppgifter som namn, personnummer, identitetsuppgifter inklusive kopior av ID-handlingar.
- Demografiska kunduppgifter som födelsedatum, kön, bosättningsland.
- Kundkännedomsuppgifter – kundens syfte med affärsförbindelsen med Tavex samt affärsförbindelsens art, kunduppgifter inhämtade från externa källor samt kunders och ställföreträdares bolagsengagemang.
- Kunders och ställföreträdares kontaktuppgifter som folkbokföringsadress, registrerad adress, telefonnummer och e-postadress.
- Kommunikations- och marknadsföringsuppgifter såsom kunders preferenser och intressen gällande marknadsföring och mejlutskick.
- Kundtransaktionsuppgifter innefattande detaljer om betalsätt samt kunders produkt- och tjänste-användning.
- Ekonomisk information avseende kundmedels ursprung samt konto- och kortuppgifter samt kundavtal.
- Film- och bildmaterial erhållet från övervakningskameror.
Tavex är inte ansvariga för annan tredjeparts hantering och bearbetning av personuppgifter även om länkar till tredje part tillhandahålls på Bolagets webbplats eller på annat sätt.
Webbplatser eller applikationer tillhörande tredje part som en person kan få åtkomst till genom Tavex’ webbplats eller applikationer omfattas inte av denna dataskyddspolicy.
Hantering av kundinformation som berör enskilda personer görs med den enskildes samtycke när så krävs enligt gällande lagstiftning och gällande regelverk.
Tavex behandlar alla personuppgifter på ett lagligt, korrekt och öppet sätt i förhållande till den hos Tavex registrerade personen, se Artikel 5.1 a) dataskyddsförordningen.
Alla insamlingar av personuppgifter sker proportionerligt, det vill säga de är adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (”uppgiftsminimering”), se Artikel 5.1 c) dataskyddsförordningen.
Situationer där personuppgifter hanteras
Rättslig förpliktelse
I vissa situationer är Tavex skyldigt att behandla personuppgifter för att kunna fullgöra en rättslig förpliktelse gentemot myndigheter som Finansinspektionen, Länsstyrelsen i Stockholm och Polisen.
Personuppgiftsbehandlingen i dessa situationer görs för att Tavex ska kunna tillhandahålla och utföra de tjänster och produkter kunderna efterfrågar och för att kunna bedriva valutaväxlings- och ädelmetallsverksamhet samt annan förenlig verksamhet.
Tavex kan komma att bearbeta personuppgifter i något av följande syften (syftet kan variera från höst till höst):
- För kundsupport: Tavex bearbetar personuppgifter för att ge sina kunder kundsupport.
- Vid kundtransaktioner: Tavex inhämtar samtycke från alla kunder avseende hantering av personuppgifter vilket även innefattar rätt för Tavex att kontakta kunden via e-post, textmeddelanden, telefon eller vanlig post om tjänster och produkter vi tror kan intressera dig (marknadsföringsinformation, erbjudanden, mm.)
- I administrativa syften: i relation till säkerhet och åtkomst till Tavex’ system, plattformar, säkra webbplatser eller applikationer och för att säkra sådana system.
- Förhindra brott som penningtvätt och finansiering av terrorism.
- Fullgöra sin bokföringsskyldighet enligt gällande lagar och regelverk.
Behandling av personuppgifter enligt ovan 1 – 5 sker företrädesvis vid:
- Identifiering och verifiering av kunders identitet.
- Utförande av kundkännedomsåtgärder enligt gällande lagstiftning och Tavex regelverk för kundkännedom.
- Initiering och hantering av en kundbetalning där överföring av personuppgifter sker till en betaltjänstleverantör som är en tredje part.
- Vidtagande av åtgärder för att förhindra, upptäcka och utreda försök till penningtvätt, terroristfinansiering och bedrägeri.
- Rapportering till polismyndighet, tillsynsmyndigheter och skattemyndighet.
Intresseavvägning
I vissa fall baseras behandlingen av kunders personuppgifter på en intresseavvägning mellan kundens intresse och Tavex berättigade intresse där Tavex berättigade intresse bedöms väga tyngre än den registrerades skydd för sina personuppgifter.
Situationer där Tavex behandlar personuppgifter utifrån en intresseavvägning innefattar situationer som avser att:
- förhindra, begränsa och undersöka missbruk eller olaglig användning av Tavex’ tjänster inklusive bedrägeri, eller för att förhindra och avbryta sådana försök till missbruk och olaglig användning,
- garantera den fysiska säkerheten för kunder, anställda och liknande personer som deltar i verksamheten samt för att skydda Tavex’ egendom och lokaler,
- förbättra Tavex’ produkter, tjänster, marknadsföring och kundupplevelse,
- säkerställa en fullgod informationssäkerhet vid tillhandahållandet av Tavex’ tjänster, samt för förbättring och utveckling av Tavex’ webbplats, tekniska system och ITinfrastruktur, inklusive testning av Tavex’ digitala miljö.
Behandling av personuppgifter enligt ovan nämnda ändamål, 1 – 4, sker:
- för kundsupport: Tavex bearbetar personuppgifter för att ge sina kunder kundsupport,
- vid kundtransaktioner: Tavex inhämtar kunders samtycke avseende hantering av personuppgifter för att Tavex därmed ska kunna kontakta kunden via e-post, textmeddelanden, telefon eller vanlig post om tjänster och produkter Tavex finner kan intressera kunden (marknadsföringsinformation, erbjudanden, mm),
- för statistisk analys: Tavex kan hantera dina personuppgifter för att genomföra statistiska analyser; marknadsföringsanalys, utvärdering av kundbas, m.m,
- i administrativa syften: i relation till säkerhet och åtkomst till Tavex system, plattformar, säkra webbplatser eller applikationer samt för att säkra andra legitima affärssyften,
- För skydd av verksamheten: vid skyddande och upprätthållande av Tavex’ verksamhet och system vilket sker genom dataanalys, tester, systemunderhåll, support, rapportering och felsökning av system,
- genom kameraövervakning som sker i verksamheten.
Tavex kunders och anställdas säkerhet är högt prioriterad och därför används övervakningskameror i alla Tavex’ butiker i syfte att förhindra och underlätta utredande av misstänkta brott samt för att skydda Tavex’ rättsliga anspråk.
Tavex följer Dataskyddsförordningen och Dataskyddslagen vid all kamerainspelning och hantering av kamera-inspelat material.
Kameraövervakningen utförs utifrån Tavex’ berättigade intresse att säkerställa säkerheten för Tavex besökare, kunder, anställda, lokaler och egendom.
Tavex har efter en ingående intresseavvägning som även innefattar bedömning av den verksamhet Tavex’ bedriver kommit fram till att Tavex’ kunders intresse av skydd för sin integritet inte väger tyngre än Tavex’ berättigade intresse.
Samtycke till behandling av personuppgifter
Se dataskyddsförordningen Artikel 7 ”Villkor för samtycke”.
I de fall personuppgiftsbehandlingen grundar sig på samtycke måste den personuppgiftsansvarige kunna visa att den registrerade samtyckt till behandlingen av sina personuppgifter. Begäran om samtycke framställs alltid till den enskilde i en begriplig och lättillgänglig form, med användning av klart och tydligt språk.
En registrerad person har rätt att när som helst återkalla sitt samtycke. Om en person återkallar sitt samtycke påverkar återkallandet inte Bolagets lagliga rätt till personuppgiftsbehandling som skett innan samtycket återkallades. Innan samtycket lämnas ska den som ska registreras ha blivit informerad om detta.
Det ska vara lika lätt att återkalla som att ge ett samtycke till personuppgiftsbehandling. Vid bedömning av huruvida samtycke är frivilligt ska största hänsyn bland annat tas till om genomförandet av ett avtal, inbegripet tillhandahållandet av en tjänst, har gjorts beroende av personens samtycke till sådan behandling av personuppgifter som inte utgjort en nödvändighet för genomförandet av det avtalet.
Under vilka förutsättningar får emottagna personuppgifter behandlas utöver de i förstone tillämpade syftet med personuppgiftsbehandlingen framgår av dataskyddsförordningen Artikel 6.4.
Tavex erbjuder inte sina tjänster till personer som är under 18 år, jfr dataskyddsförordningen Artikel 8.
Tavex baserar i vissa fall sin personuppgiftsbehandling på samtycke från den enskilde. Alla Tavex’ kunder har alltid rätt att när som helst återkalla ett sådant samtycke genom att kontakta Tavex.
I de fall Tavex’ personuppgiftsbehandling sker genom kundens samtycke kommer kunden ifråga informeras särskilt om det specifika ändamålet för Tavex’ behandling av personuppgifter.
Tavex behandlar personuppgifter genom samtycke i följande fall:
- För att förbättra de produkter, tjänster Tavex’ kunder erbjuds samt för att förbättra kundupplevelsen genom riktade kundundersökningar och marknadsanalyser.
- För marknadsföringsåtgärder och kampanjer.
Behandling av personuppgifter enligt ovan angivna ändamål 1 – 2 sker:
- när en person/kund väljer att prenumerera på Tavex nyhetsbrev,
- när kunder i samband med att de blir VIP-kunder godkänner att ta emot direktmarknadsföring från Tavex.
Rätt för registrerad att ta del av personuppgifter
Se Artikel 15 i dataskyddsförordningen.
En registrerad person har rätt att få bekräftelse av den personuppgiftsansvarige på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna och följande information:
- Ändamålen med behandlingen av personuppgifterna.
- De kategorier av personuppgifter som behandlingen gäller.
- De mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut, särskilt mottagare i tredjeländer eller internationella organisationer.
- Om möjligt den förutsedda perioden under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.
- Förekomsten av rätten att av den personuppgiftsansvarige begära rättelse eller radering av personuppgifterna eller begränsningar av behandling av personuppgifter som rör den registrerade eller att invända mot sådan behandling.
- Rätten att inge klagomål till en tillsynsmyndighet (Datainspektionen).
- Om personuppgifterna inte samlats in från den registrerade själv, all tillgänglig information om varifrån dessa uppgifter kommer.
- Förekomsten av automatiserat beslutsfattande, inbegripet profilering enligt artikel 22.1 och 22.4, varvid det åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade.
All behandling av personuppgifter hos Tavex sker inom EU/ EES-området. Tavex varken utbyter eller tillhandahåller kundinformation till tredje part såvida det inte finns en rättslig grund för ett sådant utlämnande. Exempel på en sådan rättslig grund är typiskt sett ett samtycke från den enskilde kunden eller en rättslig förpliktelse vilken kräver att Tavex lämnar ut information.
Registrera dig över personuppgiftsbehandling
Med syfte att påvisa att dataskyddsförordningen efterlevs för Tavex ett särskilt register över den personuppgiftsbehandling som sker genom Bolagets personuppgiftsansvarige i enlighet med dataskyddsförordningen.
Enligt dataskyddsförordningen Artikel 30 ska varje personuppgiftsansvarig och, i tillämpliga fall, dennes företrädare föra ett register över den personuppgiftsbehandling som utförts under deras ansvar.
Detta register ska innehålla samtliga uppgifter enligt det följande:
- Namn och kontaktuppgifter för den personuppgiftsansvarige, samt i tillämpliga fall gemensamt personuppgiftsansvariga, den personuppgiftsansvariges företrädare samt dataskyddsombudet.
- Ändamålen med behandlingen.
- En beskrivning av kategorierna av registrerade och av kategorierna av personuppgifter.
- De kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut, inbegripet mottagare i tredjeländer eller i internationella organisationer.
- I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation, inbegripet identifiering av tredjelandet eller den internationella organisationen och, vid sådana överföringar som avses i artikel 49.1 andra stycket, dokumentationen av lämpliga skyddsåtgärder.
- Om möjligt, de förutsedda tidsfristerna för radering av de olika kategorierna av uppgifter.
- Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 32.1 (se vidare nedan under rubriken ”Dataskydd”).
Skyldigheten enligt dataskyddsförordningen Artikel 30 att föra register över sin personuppgiftsbehandling gäller dock inte för ett företag eller en organisation som sysselsätter färre än 250 personer, såvida inte den behandling som utförs sannolikt kommer att medföra en risk för registrerades rättigheter och friheter, behandlingen inte är tillfällig eller behandlingen omfattar särskilda kategorier av uppgifter som avses i Artikel 9.1 (”särskilt känsliga personuppgifter”) eller enligt Artikel 10 (”Brottmålsdomar samt registrering av överträdelser”) som utförts under de personuppgiftsansvarigas ansvar, se dataskyddsförordningen Artikel 30.5.
Korrigering och radering av data
Tavex vidtar alla rimliga åtgärder för att alla hanterade personuppgifter ska vara korrekta och vid behov uppdaterade. Felaktiga personuppgifter raderas eller korrigeras utan dröjsmål, se dataskyddsförordningen Artikel 5.1 d).
Enligt dataskyddsförordningen Artikel 16 har den registrerade rätten att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör denna rättade. Med beaktande av ändamålet med behandlingen, ska den registrerade ha rätt att komplettera ofullständiga personuppgifter, bland annat genom att tillhandahålla ett kompletterande utlåtande. Den personuppgiftsansvarige ska underrätta varje mottagare till vilken personuppgifterna har lämnats ut om eventuella rättelser av personuppgifter eller begränsningar av behandling som skett, se dataskyddsförordningen Artikel 19.
Tavex hanterar alltid personuppgifter på ett lagligt och rättvist sätt och behandlingen görs alltid för ett för den berörde och Bolaget tydligt och specifikt ändamål.
Enskilda som berörs av Bolagets hantering av personuppgifter informeras samtidigt om de risker, regler, skyddsåtgärder och rättigheter som finns samt hur den enskilde kan utöva sina rättigheter.
Rätten att göra invändning
Se Artikel 21 i dataskyddsförordningen.
En registrerad person hos Tavex har rätt att utan onödigt dröjsmål få sina personuppgifter hos Tavex raderade och den personuppgiftsansvarige är skyldig att utan onödigt dröjsmål radera personuppgifter om något av följande gäller:
- Personuppgifterna är inte längre nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats.
- Den registrerade återkallar det samtycke på vilket behandlingen grundar sig (enligt artikel 6.1 a eller artikel 9.2 a) och det finns inte någon annan rättslig grund för behandlingen.
- Den registrerade invänder mot behandlingen i enlighet med artikel 21.1 (vid personliga individuella skäl) och det saknas berättigade skäl för behandlingen som väger tyngre, eller den registrerade invänder mot behandlingen i enlighet med artikel 21.2 (vid direktmarknadsföring).
- Personuppgifterna har behandlats på olagligt sätt.
- Personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse i unionsrätten eller i medlemsstaternas nationella rätt som den personuppgiftsansvarige omfattas av.
Den personuppgiftsansvarige ska underrätta varje mottagare till vilken personuppgifterna har lämnats ut om en radering av personuppgifter som skett, se dataskyddsförordningen Artikel 19.
Information vid insamling av personuppgifter
Se dataskyddsförordningen Artikel 13.
När personuppgifter som rör en registrerad person samlas in från den registrerade ska den personuppgiftsansvarige när personuppgifterna erhålls lämna information till den registrerade om följande:
- Identitet och kontaktuppgifter för den personuppgiftsansvarige och i tillämpliga fall för dennes företrädare.
- Kontaktuppgifter för dataskyddsombudet, i tillämpliga fall.
- Ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för behandlingen.
Utöver denna information a) – c) ska den personuppgiftsansvarige vid insamlingen av personuppgifterna lämna den registrerade följande information för att säkerställa rättvis och transparent behandling:
- Den period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.
- Att det föreligger en rätt att av den personuppgiftsansvarige begära tillgång till och rättelse eller radering av personuppgifter eller begränsning av behandling som rör den registrerade eller att invända mot behandling samt rätten till dataportabilitet.
- Om behandlingen grundar sig på den registrerades samtycke (enligt artikel 6.1 a eller artikel 9.2 a) att det föreligger en rätt för den registrerade att när som helst återkalla sitt samtycke, utan att detta påverkar lagligheten av behandlingen på grundval av samtycket, innan detta återkallades.
- Rätten att inge klagomål till en tillsynsmyndighet (Integrationsskyddsmyndigheten).
- Huruvida tillhandahållandet av personuppgifter är ett lagstadgat eller avtalsenligt krav eller ett krav som är nödvändigt för att ingå ett avtal samt huruvida den registrerade är skyldig att tillhandahålla personuppgifterna och de möjliga följderna av att sådana uppgifter inte lämnas.
- Förekomsten av automatiserat beslutsfattande, inbegripet profilering enligt artikel 22.1 och 22.4, varvid det åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade.
Ovan förfarande aktualiseras endast i de fall som avser insamling av uppgifter som den registrerade inte redan förfogar över.
Utlämnande/ överföring av personuppgifter
Tavex kan även komma att lämna ut mottagna personuppgifter till annan enhet inom Tavex samt när så är nödvändigt, till Tavex’ underleverantörer eller samarbetspartners.
Ovan nämnda parter kan komma att hantera enskilds personuppgifter å Tavex’ vägnar enligt de syften som beskrivs ovan. Tavex kommer varken att sälja, hyra ut eller vidareförmedla emottagna personuppgifter till andra parter.
Tavex är även tvungen att lämna ut personuppgifter om detta krävs av tillämpliga lagar eller förordningar eller för att svara på en begäran från en rättslig eller administrativ myndighet.
Allt utlämnande till ovan nämnda aktörer sker territoriellt inom EU.
Risker avseende insamlade personuppgifter
Tavex bedömer att inga av de personuppgifter som mottas och behandlas i verksamheten innefattar någon förhöjd eller allvarlig risk för registrerade personers rättigheter och friheter.
Den risk som förekommer motverkas av tydliga rutiner, strategier och åtgärder för hantering och skydd av personuppgifter samt av de dataskydds- och datasäkerhetssystem som Bolaget tillämpar.
Säkerhet för insamlade personuppgifter
Dataskyddsförordningen Artikel 25.
Den personuppgiftsansvarige ska vid fastställande av vilka medel personuppgiftsbehandlingen ska utföras med samt under själva behandlingen av personuppgifter genomföra lämpliga tekniska och organisatoriska åtgärder, exempelvis pseudonymisering, i form av åtgärder som är utformade för att vara effektiva för genomförandet av vedertagna dataskyddsprinciper som uppgiftsminimering samt för integrerande av nödvändiga skyddsåtgärder vid personuppgiftsbehandlingen.
Ovanstående ska genomföras för att skydda den registrerades rättigheter samt för att uppfylla dataskyddsförordningens krav.
Enligt dataskyddsförordningen Artikel 32 ska lämplig säkerhetsnivå vara säkerställd samt lämpliga åtgärder vidtas vid personuppgiftsbehandling.
Tavex strävar efter att skydda emottagna personuppgifter och upprätthåller lämpliga tekniska och organisatoriska åtgärder för att förhindra olämpliga, otillåtna eller ofrivilliga utlämnanden eller olämplig, otillåten eller ofrivillig användning, åtkomst, förlust, ändring eller skada med relevans för mottagna personuppgifter.
Tavex använder säkra datasystem som följer gällande industristandarder. Endast Tavex och dess anställda som behöver åtkomst till emottagna personuppgifter för en specifik uppgift för något av de system som anges ovan kommer att få åtkomst till dessa personuppgifter. Dessutom omfattas alla Tavex’ anställda och, i förekommande fall, Tavex’ underleverantörer och deras anställda av sekretessavtal.
Tavex’ personuppgiftsansvariga utvärderar löpande riskerna med Bolagets personuppgiftsbehandling och ser till att, där så är nödvändigt, kryptering sker av de personuppgifter som hanteras av Bolaget.
Bolaget bedömer att dess behandling av personuppgifter inte innefattar en sannolikt hög risk för personers rättigheter och friheter på ett sätt som innebär att särskild konsekvensbedömning måste utföras enligt dataskyddsförordningen.
Hantering av personuppgiftsincidenter
Enligt dataskyddsförordningen kan en personuppgiftsincident som inte snabbt åtgärdas leda till fysisk, materiell eller immateriell skada för den enskilde. Skadorna kan innefatta förlust av kontroll av de egna personuppgifterna eller till begränsning av den enskildes rättigheter, diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, med mera.
Enligt samma stadgande ska därför den personuppgiftsansvarige anmäla en inträffad personuppgiftsincident utan onödigt dröjsmål och helst inom 72 timmar från att denne fått kännedom om att incidenten inträffat, se även dataskyddsförordningen Artikel 33:
”Vid en personuppgiftsincident ska den personuppgiftsansvarige utan onödigt dröjsmål och, om så är möjligt, inte senare än 72 timmar efter att ha fått vetskap om den, anmäla personuppgiftsincidenten till den tillsynsmyndighet som är behörig i enlighet med Artikel 55, såvida det inte är osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter. Om anmälan till tillsynsmyndigheten inte görs inom 72 timmar ska den åtföljas av en motivering till förseningen.”
Vidare ska den personuppgiftsansvarige (om incidenten sannolikt innebär en hög risk för personens rättigheter och friheter) utan onödigt dröjsmål underrätta den registrerade personen om den inträffade personuppgiftsincidenten så att den drabbade kan vidta nödvändiga försiktighetsåtgärder, se Artikel 34 dataskyddsförordningen- den information som ska lämnas till den drabbade enskilde personen ska innehålla en tydlig och klar beskrivning av personuppgiftsincidentens art och åtminstone de upplysningar och åtgärder som avses i Artikel 33.3 b, c och d, nämligen:
- förmedla namnet på och kontaktuppgifterna för dataskyddsombudet eller andra kontaktpunkter där mer information kan erhållas,
- beskriva de sannolika konsekvenserna av personuppgiftsincidenten, och
- beskriva de åtgärder som den personuppgiftsansvarige har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.
Tavex tillämpar ingående skriftliga regler för format och förfaranden för anmälan av personuppgiftsincidenter enligt dataskyddsförordningen.
Enligt dataskyddsförordningen Artikel 33.5 ska den personuppgiftsansvarige dokumentera alla personuppgiftsincidenter, inbegripet omständigheterna kring personuppgiftsincidenten, dess effekter och de korrigerande åtgärder som vidtagits. Dokumentationen ska göra det möjligt för tillsynsmyndigheten att kontrollera Bolagets regelefterlevnad enligt Artikel 33.
Varaktighet för förvaring
Tavex behåller endast personuppgifter så länge som behövs för att uppfylla det syfte för vilka de samlades in, inom de gränser som gäller enligt tillämplig lagstiftning och i enlighet med juridiska och regulatoriska krav.
Åtkomst till egna personuppgifter
I enlighet med dataskyddsförordningens bestämmelser har en enskild som omfattas av Bolagets hantering av personuppgifter rätt att begära åtkomst, ändringar eller borttagning av lämnade uppgifter samt ha sådan enskild rätt att protestera mot Bolagets hantering av dennes personuppgifter. Den som anser sig ha giltigt skäl för detta, ska kontakta Bolaget genom att skicka ett e-postmeddelande till dpo@tavex.se alternativt skriftligt via brev till:
Tavex AB
– Datasekretess
Smålandsgatan 9
111 46 Stockholm
I enlighet med gällande lag ska begäran vara egenhändigt undertecknad samt ska en vidimerad kopia av identitetshandling som innehar personens underskrift bifogas. Du ska även ange till vilken adress svaret ska skickas.
Personuppgiftsansvarig
Dataskyddsförordningen Artikel 24.
Den personuppgiftsansvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen. Detta ska göras med beaktande av personuppgiftsbehandlingens art, omfattning, sammanhang och ändamål samt med beaktande av riskerna.
Riskerna ska bedömas och kan vara av varierande sannolikhetsgrad och allvarlighet. Det övergripande syftet är att värna fysiska personers rättigheter och friheter.
Tavex åtgärder för säkerställandet av korrekt personuppgiftsbehandling ses över och uppdateras vid behov. Om det står i proportion till behandlingen, ska de åtgärder som nämns ovan omfatta den personuppgiftsansvariges genomförande av lämpliga strategier för dataskydd.
Tillämpningen av godkända uppförandekoder som avses i dataskyddsförordningen Artikel 40 eller godkända certifieringsmekanismer som avses i förordningens Artikel 42 får användas för att visa att den personuppgiftsansvarige fullgör sina skyldigheter.
Tavex tillämpar inte möjligheten att utöver personuppgiftsansvarig anlita personuppgiftsbiträden enligt dataskyddsförordningen Artikel 28.
Dataskyddsombud
Dataskyddsförordningen Artikel 37.
Tavex bedömer att dess verksamhet enligt dataskyddsförordningen ska inneha ett dataskyddsombud. Dataskyddsombudets roll är förutom interna uppgifter enligt Artikel 37 i dataskyddsförordningen även att ha en övervakande roll samt utgöra Tavex kontaktperson och ansvarig för samråd med relevanta myndigheter.
Kontaktuppgifterna till Tavex’ dataskyddsombud är följande:
E-postadress:
dpo@tavex.se
Telefon: +46 (0)72 451 43 33