INTEGRITETSPOLICY
Inledning
Den 25 maj 2018 började en ny EU förordning att gälla, som är kallad för dataskyddsförordningen. På engelska förkortas den "GDPR" (the General Data Protection Regulation). GDPR stärker enskilda personers rättigheter över hur företag, myndigheter och organisationer får samla in och använda deras personuppgifter och gäller inom alla medlemsländer i EU samt EES-området.
GDPR ställer strängare krav på hur företag får samla in och använda personuppgifter.
GDPR har ersatt personuppgiftslagen (PUL). Med personuppgifter avses information som kan knytas till en fysisk levande person, exempelvis namn, telefonnummer, e-postadress, personnummer, postadress m.fl. Hänvisningar till "du", "dig", "din" avser den registrerade personen, vars personuppgifter vi behandlar.
Enligt artikel 13 i GDPR har du i egenskap av privatperson rätt till information om hur dina personuppgifter blir behandlade av vårt företag, Dalafest AB med organisationsnummer 559471-8024 (nedan refererad till som "vi", "vår", "oss"). Nedan kan du läsa om hur vi behandlar dina personuppgifter som vi får tillgång till när du ingår ett avtal med oss eller kontaktar oss. All behandling av personuppgifter sker i enlighet med GDPR samt i enlighet med de grundläggande dataskyddsprinciperna.
Definitioner
GDPR: Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Samtliga referenser i dessa villkor till begreppen "personuppgifter", "behandling" (av personuppgifter), "registrerad", "personuppgiftsincident", "tillsynsmyndighet" och andra GDPR-relaterade begrepp som inte definieras här ska ha samma innebörd i denna integritetspolicy som anges i artikel 4 i GDPR.
SCC: Kommissionens genomförandebeslut (EU) 2021/914 av den 4 juni 2021 om standardavtalsklausuler för överföring av personuppgifter till tredjeländer i enlighet med Europaparlamentets och rådets förordning (EU) 2016/679.
Tredje part: Avser annan än du eller Dalafest AB.
Betaltjänstleverantör: avser Tredje Part som har tillstånd från Dalafest AB att ta emot och behandla betalningar från köpare av de varor som Dalafest AB säljer genom sin webbutik, via de olika betalningsmetoder som tillhandahålls av sådana auktoriserade Tredje Parter.
Personuppgiftsansvarig
Dalafest AB är personuppgiftsansvarig för all behandling av personuppgifter som utförs av oss eller för vår räkning, och vi ansvarar för att behandlingen av dina personuppgifter sker i enlighet med GDPR (enligt principen om ansvarsskyldighet).
Vi är bland annat ansvariga för vår behandling av de personuppgifter som du lämnar till oss när du köper våra produkter och registrerar dig som kund. Behandlingen sker främst för att administrera köp, returer och reklamationer.
Vi lämnar inte ut kundinformation såsom e-postadresser eller personuppgifter till Tredje Part, annat än de som nämns nedan.
Företagsuppgifter:
Firma: Dalafest AB.
Org. nr: 559471-8024
Postadress:
Rommevägen 87
78463 Borlänge
E-post: order@letscelebrate.se
Om du har frågor eller funderingar avseende innehållet som anges här i eller övriga frågor hänförliga till behandlingen av dina personuppgifter, kan du kontakta vår kontaktperson för personuppgiftsärenden:
E-postadress: order@letscelebrate.se
Vilka uppgifter samlar vi in?
Vi behandlar bara personuppgifter som är nödvändiga, relevanta och adekvata för att uppfylla det ändamål som de blev insamlade för (i enlighet med principen om uppgiftsminimering).
Vi behandlar främst följande kategorier av personuppgifter, som vi kan få tillgång till när du kontaktar oss eller när du ingår ett avtal med oss:
-
Förnamn, efternamn, personnummer.
-
Adress, telefonnummer, e-postadress.
-
Övriga personuppgifter som blir lämnade till oss, exempelvis sådana som du har inkluderat i ett e-postmeddelande som du skickar till oss.
Rättslig grund och ändamål med behandlingen
Enligt principen om ändamålsbegränsning får vi enbart behandla personuppgifter för särskilda, uttryckligt angivna och berättigade ändamål. Dessutom ska varje behandling vara rättsligt grundad för att vara laglig enligt GDPR. Vi behandlar personuppgifter varsamt och delar inte uppgifterna med obehöriga personer. Nedan kan du läsa mer om rättslig grund och ändamål med behandlingen av personuppgifterna.
- När du besöker vår webbutik:
Vi använder olika tredjepartsapplikationer som analyserar användarens aktivitet av vår webbutik genom cookies (bland annat Google Analytics och Facebook). En cookie är en textfil som lagras på din enhet. Cookies används normalt för att förbättra webbplatsen för användaren, till exempel för att kunna anpassa webbplatsen efter besökarens önskemål och val. En cookie används för att kontrollerna att du är inloggad, om du lägger en vara i varukorgen eller när du använder produktfilter. Om du inte kan lägga i produkter i varukorgen så kan det bero på att du inte tillåter funktionella cookies. Vi använder även cookies för att förbättra den och analysera hur vår webbplats används. Användningen av analytiska cookies sker enbart om du lämnar ditt samtycke till det. Rättslig grund: Samtycke (Art. 6 (1) a GDPR). Mer information finns att läsa i vår Cookiepolicy: https://letscelebrate.se/sv/page/cookies
- När du ingår ett avtal med oss:
När du ingår ett avtal med oss, exempelvis i samband med köp av de varor som vi säljer via webbutiken, behöver vi behandla dina personuppgifter för att kunna fullgöra avtalet. Rättslig grund: Avtal (Art. 6 (1) b GDPR).
Vid skapandet av ett användarkonto: När du som köpare genomför en beställning, skapas automatiskt ett användarkonto till dig. Inloggningsuppgifterna till användarkontot skickas till din registrerade e-postadress. Du kan även välja att själv starta ett användarkonto före genomförandet av en beställning. I samband med detta, godkänner du våra allmänna villkor. Rättslig grund: Avtal (Art. 6 (1) b GDPR).
Vid beställning av varor: När du skickar en beställningsorder till oss via webbutiken, får vi tillgång till dina personuppgifter som du lämnar i samband med beställningsprocessen. Betalning sker via den Betaltjänstleverantör som är integrerad i webbutiken. Mer information om våra köpevillkor finns att läsa via följande länk: letscelebrate.se/sv/page/kopvillkor.
Vid genomförd beställning av varor får vi tillgång till nedan angiven orderinformation och betalningsinformation, dessutom lagrar vi även bokföringsunderlag:
Orderinformation: Namn, order-ID, orderhistorik, leveransadress (e-post), annullerade beställningar, slutförda beställningar, personnummer (om det är angivet i samband med beställningen). Denna information behandlas av oss varje gång du gör en beställning. Vi behandlar också informationen för att förbättra våra tjänster. Rättslig grund: Berättigat intresse (Art. 6 (1) f GDPR).
Konsumenträttigheter: Vid avtal om köp av varor lagrar vi dina personuppgifter i minst tre (3) år för att kunna fullgöra bland annat reklamationsrätten och andra konsumenträttigheter som gäller enligt tillämplig konsumentskyddslagstiftning. Rättslig grund: Rättslig förpliktelse (Art. 6 (1) c GDPR).
Betalningsinformation: Betalningsmetod, pseudonymiserad kredit- / betalkortsinformation. Vi måste bearbeta denna information för att kunna spåra de betalningar du har gjort och länka dem till de beställningar du har gjort, för att möjliggöra fullgörelse av våra avtalsenliga förpliktelser. Rättslig grund: Avtal (Art. 6 (1) b GDPR).
Bokföringsunderlag: Vi behandlar och lagrar fakturor, kvitton och annat som utgör bokföringsunderlag som vi är skyldiga att behandla och lagra enligt bland annat bokföringslagen (1999:1078) och Skatteverkets krav. Sådant lagras i minst sju (7) år eller så länge som lagen kräver det. Rättslig grund: Rättslig förpliktelse (Art. 6 (1) c GDPR).
- När du kontaktar oss via e-post, telefon eller sociala medier:
Vi behandlar dina personuppgifter som vi får tillgång till när du kontaktar oss via e-post, kontaktformulär, sociala medier, telefon eller på annat sätt. Syftet med behandlingen är att vi ska kunna veta vem vi pratar med och för att kunna hjälpa dig i ärendet.
Identifieringsinformation: förnamn, efternamn, adress, telefonnummer, e-post, användarnamn eller användar-ID från sociala medier (om tillämpligt), meddelandeinnehåll. Rättslig grund: Berättigat intresse (Art. 6 (1) f GDPR).
Kundärenden: För att kunna hantera köp samt kundärenden lagrar vi följande uppgifter:
För- och efternamn, adress, telefonnummer, e-post samt orderhistorik. Om köp görs mot faktura, lagras även personnummer. Rättslig grund: Avtal (Art. 6 (1) b GDPR).
- När du registrerar dig för att ta emot nyhetsbrev från oss:
Du kan godkänna att ta emot nyhetsbrev från oss genom att lämna ett frivilligt aktivt samtycke till behandlingen av din e-postadress för det ändamålet. Du kan när som helst säga upp din prenumeration genom att klicka på länken i nyhetsbrevet för att avsluta prenumerationen av nyhetsbreven eller maila oss på order@letscelebrate.se
Om du återkallar ditt samtycke, kommer du att tas bort från e-postlistan för mottagare av nyhetsbreven, men din e-postadress kommer att finns kvar i databasen med en blockering för mottagande av nyhetsbrev. Syftet med detta, är att se till att du inte tar emot flera nyhetsbrev från oss.
Om du vill att din e-postadress ska raderas från blocklistan kan du kontakta oss via e-post och begära detta. Men om du begär att vi tar bort din e-postadress från blocklistan, kan du få nyhetsbrev från oss om du eller någon annan registrerar din e-postadress för att ta emot nyhetsbrev igen.
Identifieringsinformation: namn, e-post. Rättslig grund: Samtycke (Art. 6 (1) a GDPR).
- Andra ändamål för vår behandling av personuppgifter:
Rättslig förpliktelse: Om vi är skyldiga enligt lag, domstols- eller myndighetsbeslut att behandla vissa personuppgifter, sker behandlingen med stöd i Rättslig förpliktelse, som rättslig grund. Behandlingen sker i sådana fall enbart i den utsträckning det är nödvändigt för att vi ska uppfylla våra rättsliga förpliktelser. I sådana fall behandlar och lagrar vi enbart nödvändiga personuppgifter, så länge som lagen kräver det (i enlighet med principen om lagringsminimering).
Berättigade intressen: Baserat på vårt berättigade intresse, kan vi behandla personuppgifter för att:
-
skydda våra rättigheter och egendom,
-
genomföra direktmarknadsföring av våra tjänster,
-
säkerställa den tekniska funktionaliteten av våra tjänster,
-
samla in statistik, resultatmätningar m.m. avseende våra tjänster,
-
administrera integrationen mellan våra tjänster och tredje parts tjänster.
När en behandling av personuppgifter sker med stöd i Berättigat intresse som rättslig grund, är vår bedömning att behandlingen inte utgör något intrång i din rätt till privatliv och integritet. Detta har vi kommit fram till, efter att ha gjort en avvägning mellan å ena sidan vad behandlingen ifråga innebär för dina intressen samt rätt till privatliv, och å andra sidan vårt berättigade intresse till behandlingen ifråga. Vi behandlar dock aldrig känsliga personuppgifter med stöd i denna rättsliga grund.
Vart lagras personuppgifterna?
Vi strävar efter att lagra samtliga personuppgifter som vi behandlar inom EU/EES (enligt principen om integritet och konfidentialitet). Om personuppgifter blir lagrade i ett land utanför EU/EES, ska vi se till att sådan lagringsplats säkerställer en adekvat skyddsnivå i enlighet med bestämmelserna i GDPR, och SCC vid tillämpliga fall.
Hur länge lagras personuppgifterna?
Vi lagrar dina personuppgifter så länge de är nödvändiga för att fullgöra de ändamål som de samlades in för. Personuppgifter som inte längre behöver lagras för ändamålen, blir gallrade (raderade) från lagringsplatser eller anonymiserade (i enlighet med principen om lagringsminimering).
Ifall det kan riktas anspråk mot vårt företag, kan vi lagra personuppgifterna fram till dess att den lagstadgade preskriptionstiden har löpt ut. Vid en befintlig tvist, lagras relevanta personuppgifter fram till dess att tvisten har avslutats.
Vilka delar vi personuppgifterna till?
Vi behandlar alla personuppgifter varsamt och delar inte personuppgifter med obehöriga personer. I vissa fall kan vi dock behöva dela personuppgifter till någon annan, exempelvis myndigheter eller Tredje Parter som vi anlitar inom ramen för vår verksamhet och för att uppfylla våra skyldigheter enligt vid var tid gällande lagstiftning. Nedan följer en sammanfattande beskrivning för vilka företag/aktörer vi delar personuppgifter till och varför.
Myndigheter
Vi kan dela personuppgifter som vi behandlar till relevanta myndigheter som svar på legala förfrågningar eller om det är nödvändigt för att förebygga, upptäcka, förhindra eller utreda brottslig aktivitet samt för att skydda våra intressen och vår egendom.
Betalning
Klarna är vår Betaltjänstleverantör. För att vi ska kunna erbjuda dig Klarnas betalsätt, behöver vi dela vissa av dina personuppgifter till Klarna, så som kontakt- och orderinformation, för att Klarna ska kunna bedöma om du kan erbjudas deras betalningsmetoder och för att skräddarsy betalsätten åt dig.
Mer information om Klarna kan du hitta via följande länk: https://www.klarna.com/se/. Behandlingen av dina personuppgifter regleras av GDPR och sker även i enlighet med Klarnas integritetspolicy som du kan läsa via följande länk: https://cdn.klarna.com/1.0/shared/content/legal/terms/0/sv_se/privacy
Frakt
För att kunna leverera dina beställningar, så delar vi viss information med vårt bokningssystem för frakt samt vår fraktleverantör. De uppgifter som delas är: för- och efternamn, adress, mobilnummer samt E-postadress. Vi använder oss av Nyehandel.se för att boka transporter, samt av Postnord som utför transporterna.
Nyhetsbrev
Om du valt att prenumerera på vårt nyhetsbrev, delas ditt för- och efternamn samt e-postadress med vår tjänsteleverantör. Vi använder oss av företaget Klaviyo Inc. för utskick av nyhetsbrev.
Tjänsteleverantörer
Vi anlitar olika tjänsteleverantörer för att: fullgöra våra avtalsenliga och rättsliga förpliktelser; upptäcka och förebygga tekniska-, drifts- eller säkerhetsmässiga problem; tillvarata våra rättsliga intressen; samt för att tillhandahålla, förbättra och underhålla webbutiken (programvaruunderhåll).
I vissa fall kan vi behöva dela personuppgifter som vi är personuppgiftsansvariga för med en sådan anlitad tjänsteleverantör. Innan vi delar några personuppgifter, ingår vi ett personuppgiftsbiträdesavtal i enlighet med bestämmelserna i GDPR (alternativt SCC om personuppgiftsbiträdet befinner sig i ett land utanför EU/EES), för att säkerställa en säker och korrekt behandling av personuppgifterna. Om du vill veta mer om vilka tjänsteleverantörer vi har anlitat, kan du kontakta vår kontaktperson för personuppgiftsärenden för att begära en aktuell översikt.
Tekniska och organisatoriska säkerhetsåtgärder
Vi följer de grundläggande dataskyddsprinciperna vid all behandling av personuppgifter. Principerna finns dokumenterade i interna rutiner, som våra medarbetare har tillgång till och som de följer vid all behandling av personuppgifter som vi är personuppgiftsansvariga över.
Vi vidtar och implementerar olika tekniska och organisatoriska säkerhetsåtgärder med fokus på de registrerades integritet. Åtgärderna avser att skydda mot intrång, missbruk, förlust, förstöring och andra förändringar som kan innebära en risk för integriteten (enligt principen om integritet och konfidentialitet).
Exempelvis är våra databaser, interna register och system som innehåller personuppgifter lösenordskyddade. Våra databaser genomgår en daglig säkerhetskopiering som blir sparad i en molnlagring. Vi har även utsett vissa specifika individer med behörigheter till lösenord, kundregister och övriga system som innehåller personuppgifter, för att begränsa åtkomsten.
Vilka rättigheter har privatpersoner enligt GDPR?
Enligt GDPR har du olika rättigheter avseende behandlingen av dina personuppgifter. Vi informerar dig härmed om att vissa av rättigheterna enbart gäller i vissa situationer samt enbart om det är lagligt och möjligt för oss att genomföra din begäran. Du är välkommen att kontakta vår kontaktperson för personuppgiftsärenden, om du vill åberopa någon av nedan nämnda rättigheter angående dina personuppgifter. Enligt GDPR har du i egenskap av registrerad rätt att:
-
få tillgång till dina personuppgifter som vi behandlar (Art. 15).
-
få felaktiga personuppgifter rättade (Art. 16).
-
få dina personuppgifter som vi behandlar raderade (Art. 17).
-
begära begränsning av behandlingen av dina personuppgifter (Art.18).
-
flytta dina personuppgifter (dataportabilitet) (Art. 20).
-
få information om personuppgiftsincidenter som rör dina personuppgifter (Art. 34).
-
invända mot att personuppgifterna används för direktmarknadsföring och profilering (Art. 21–22).
Vad innebär en personuppgiftsincident?
En personuppgiftsincident innebär en säkerhetsincident. Om vi exempelvis förlorar kontrollen över de personuppgifter som vi behandlar, utgör det en personuppgiftsincident.
Eventuella personuppgiftsincidenter blir dokumenterade internt. Inträffade personuppgiftsincidenter ska bli anmälda till Integritetsskyddsmyndigheten (IMY) inom 72 timmar när det krävs enligt GDPR och registrerade som berörs av inträffade personuppgiftsincidenter ska bli meddelade om incidenten när det krävs enligt GDPR.
Vem kan jag kontakta för att lämna klagomål?
Om du har frågor eller funderingar, eller är missnöjd med vår behandling av dina personuppgifter, är du alltid välkommen att kontakta oss via e-post: order@letscelebrate.se. Du kan även kontakta den svenska tillsynsmyndigheten, Integritetsskyddsmyndigheten (IMY), för att lämna klagomål.
Kontaktuppgifter till Integritetsskyddsmyndigheten (IMY):
Telefon: 08-657 61 00
E-post: imy@imy.se
Postadress: Integritetsskyddsmyndigheten, Box 8114, 104 20 Stockholm.