Integritetspolicy
Senast uppdaterad 2022-01-05
Inledning
Vi på Vivium AB är måna om dina personuppgifter och din personliga integritet. För oss är det viktigt att du som registrerad känner dig trygg med att vi behandlar dina personuppgifter med omsorg och försiktighet. All information om dig som inkommer till Vivium AB behandlas med hänsyn till tillämpliga författningar, praxis och myndighetsuttalanden på dataskyddsområdet.
Rätten till skydd av personuppgifter är en grundläggande rättighet som bland annat stadgas i artikel 8 i den Europeiska unionens stadga för de grundläggande rättigheterna ("Rättighetsstadgan”), och för oss är det viktigt att denna rättighet värnas. Den 25 maj 2018 trädde Europaparlamentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (”GDPR”) i kraft. Syftet med förordningen är att stärka skyddet för fysiska personers personuppgifter. GDPR innehåller även ett antal rättigheter som du som registrerad har rätt att nyttja.
Denna policy kan komma att uppdateras och vi rekommenderar därför att du regelbundet besöker www.vivium.se/personuppgifter
Observera att Vivium AB har en separat policy för hantering av cookies. Du hittar Viviums cookiepolicy här: www.vivium.se/cookie-policy
Syfte
Syftet med denna policy är att stärka skyddet för de registrerades personuppgifter och värna om de registrerades personliga integritet.
Definitioner
”Personuppgift” Upplysningar som avser en person och som direkt eller indirekt kan medföra att personen ifråga kan identifieras. Det kan till exempel vara namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer. Det kan även vara en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
”Behandling” En åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej. Det kan till exempel vara registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning eller användning.
”Personuppgiftsansvarig” En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter.
Personuppgiftsbiträde: En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.
”Personuppgiftsbiträde” En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.
”Tredje part” En fysisk eller juridisk person, offentlig myndighet, institution eller organ som inte är den registrerade, den personuppgiftsansvarige, personuppgiftsbiträdet eller de personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar är behöriga att behandla personuppgifterna.
”Tredjelandsöverföring” Överföring till länder utanför EU/EES.
”Personuppgiftsincident” En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.
Vem ansvarar för personuppgifterna?
Vivium AB är personuppgiftsansvariga och ansvarar således för behandlingen av dina personuppgifter. Om du har frågor om hur dina personuppgifter behandlas är du alltid välkommen att kontakta oss på gdpr@vivium.se. Märk e-postmeddelandet med “GDPR - Mina personuppgifter”.
Kategorier av registrerade
I huvudsak behandlar Vivium AB personuppgifter avseende följande kategorier av registrerade:
Anställda
Personer som söker jobb
Anhöriga till anställda
Anställda på bolag vi samarbetar med, t.ex. anställda hos leverantörer, anställda hos konsultbolag och anställda hos bolag som vi på annat sätt samarbetar med.
Externa revisorer
Kunder och potentiella kunder
Anställd hos myndighet
Juridiskt ombud
Kategorier av personuppgifter
I huvudsak behandlar Vivium AB följande kategorier av personuppgifter:
Identifieringsuppgifter: till exempel namn, personnummer, ID-handling, anställningsnummer och legitimation/ specialiseringsbevis.
Kontaktuppgifter: till exempel adress, telefonnummer och e-postadress.
Ekonomiska uppgifter: till exempel lön, semesterersättning, sjukersättning och kontonummer.
Anställdas uppgifter: till exempel cv, personligt brev, e-post, kontaktuppgifter, frånvaro, referens, orsak till anställningen upphörande, arbetsgivarintyg, bilder och rehabiliteringsdokument.
Uppdragstagares uppgifter: till exempel arvode, kontaktuppgifter, frånvaro och cv.
Känsliga uppgifter: till exempel uppgift om hälsa, lön och rehabilitering.
Personuppgifter vi samlar in från dig
Vivium AB inhämtar personuppgifter ifrån dig som söker jobb hos oss i syfte att fullgöra rekryteringsprocessen. Personuppgifter som kan komma att inhämtas är till exempel CV, personligt brev, namn, personnummer, e-postadress, arbetsgivarreferenser och betyg. Arbetsgivarreferenser inhämtas med samtycke som grund och gallras direkt efter att referensen använts. Samtycket kan när som helst återkallas.
Vi behandlar även personuppgifter avseende personer som är anställda på Vivium AB i syfte att efterleva skyldigheter som följer av anställningsavtalet samt i syfte att efterleva rättsliga förpliktelser som följer av bland annat lag (1982:80) om anställningsskydd och diskrimineringslag (2008:567). Exempel på personuppgifter som inhämtas avseende anställda är namn, adress, personnummer, lön, kontaktuppgifter till anhöriga, allergier, sjukersättning och frånvaro. Kontaktuppgifter till anhöriga har sin grund i ett berättigat intresse eftersom det är viktigt att vi som arbetsgivare kan kontakta en anhörig om något skulle inträffa på arbetsplatsen. Anhörigas kontaktuppgifter gallras direkt efter anställningens upphörande.
Vidare inhämtas personuppgifter från kunder och leverantörer i syfte att fullgöra avtal som ingåtts. Exempel på personuppgifter som kan komma att inhämtas är till exempel namn, adress, telefonnummer och signatur. Vilken typ av personuppgifter som kan komma att inhämtas från dig som registrerad beror på i vilket syfte du varit i kontakt med oss.
Vivium AB tillhandahåller en webbapplikation för schemaplanering och schemaläggning till verksamheter inom hälso- och sjukvård i både offentlig och privat sektor. Det innebär att uppgifter, ingripet personuppgifter, som verksamheterna själva lägger in i webbapplikationen lagras i Vivium AB:s servrar. Uppgifterna lagras i krypterat format. Emellertid är det enbart Vivium AB som har dekrypteringsnycklar till de förevarande uppgifterna som verksamheterna lagt in. Vivium AB har fastställda rutiner för hur detta får hanteras samt vilka som ska ha tillgång till dekrypteringsnycklarna. Personuppgifter som kan komma att läggas in i webbapplikationen av användarna kan vara till exempel namn, telefonnummer, legitimationer och specialiseringsbevis, bild, språkkunskaper, HSA-ID, registerutdrag från Socialstyrelsen/Inspektionen för vård och omsorg samt kommunikation i chattmeddelanden. Behandlingen sker för att vi ska kunna fullgöra vårt avtal gentemot kund. Webbapplikationen har en automatisk gallringsfunktion som innebär att personuppgifter raderas automatiskt 24 månader efter inaktivitet. Vidare åligger det användare av webbapplikationen att sätta upp interna rutiner för den löpande gallringen.
Personuppgifter vi samlar in från tredje part
Vivium AB köper in listor med namn och e-postadress till potentiella kunder. Dessa kontaktas i marknadsföringssyfte. Behandlingen av personuppgifterna har sin grund i ett berättigat intresse.
Personuppgifter vi överför till tredje part
Det kan förekomma att vi behöver överföra personuppgifter avseende en registrerad till tredje part. Det kan till exempel röra sig om överföring av personuppgifter till polismyndigheten eller juridiskt ombud. Det kan även förekomma att vi på Vivium AB anlitar underbiträden som för vår räkning ska behandla dina personuppgifter. I dessa fall undertecknas alltid ett personuppgiftsbiträdesavtal med tydliga instruktioner för hur behandlingen av personuppgifter ska ske. Vi överför till exempel uppgifter avseende anställda (namn, frånvaro, personnummer, sjukersättning och så vidare) till ett personuppgiftsbiträde som hanterar löner. Vi skickar även ut relevanta kunduppgifter till ett personuppgiftsbiträde som fakturerar våra kunder.
Personuppgifter vi överför till tredje land
Webbapplikationen som Vivium AB tillhandahåller överför inga personuppgifter till tredje land. Personuppgifter som lagras i webbapplikationen behandlas således inom EU/EES.
Generellt sett överför Vivium AB inga personuppgifter till tredje land, dvs länder utanför EU/EES. Däremot kan det förekomma att personuppgifter överförs till tredje land genom att de lagras i system som har servrar utanför EU/EES.
För att tredjelandsöverföringar ska vara tillåtna krävs att något av följande är uppfyllt:
EU-kommissionen har beslutat att det finns en adekvat skyddsnivå i landet, eller
andra lämpliga åtgärder har vidtagits, exempelvis EU:s standarklausuler för tredjelandsöverföringar, godkännande av EU-kommissionen eller att mottagaren har bindande företagsbestämmelser, eller
att du som registrerad givit ditt samtycke eller överföringen krävs för att fullgöra en rättslig förpliktelse.
Mer information om det finns på Lämpliga skyddsåtgärder | IMY.
Känsliga personuppgifter
Behandling av känsliga personuppgifter sker i begränsad omfattning. Primärt är det uppgifter om sjukdom, rehabilitering och andra arbetsrelaterade uppgifter som behandlas. Dessa uppgifter måste Vivium AB behandla för att efterleva rättsliga förpliktelser inom arbetsrätten. Vid behandling av känsliga personuppgifter vidtas alltid särskilda skyddsåtgärder, såsom behörighetsbegränsning till mappar där information lagras.
Det kan även förekomma att kunder lägger in känsliga personuppgifter i vår webbapplikation som sedan lagras på Vivium AB:s servrar. Dessa personuppgifter lagras krypterat och det krävs således att Vivium AB använder en dekrypteringsnyckel för att kunna se innehållet. Vivium AB har antagit särskilda rutiner för hantering av information som finns på servrar, bland annat får enbart behörig person på Vivium AB tillgång till dekrypteringsnycklarna.
Tekniska och organisatoriska åtgärder
För oss på Vivium AB är det viktigt att värna om dina personuppgifter och din personliga integritet, därför har vi vidtagit tekniska och organisatoriska åtgärder för att du ska känna dig trygg med behandlingen av dina personuppgifter. Vivium AB är medvetna om att inga tekniska system är helt säkra, därför har vi gjort avvägningar för att bedöma hur dina personuppgifter skyddas från otillbörlig åtkomst, förändring och förstörelse. I webbapplikationen som Vivium AB tillhandahåller har till exempel en funktion lagts in för att skydda personer med skyddad identitet. Vidare har Vivium AB antagit ett flertal olika rutiner och riktlinjer i syfte att stärka skyddet av personuppgifter.
Gallring
Vivium AB behåller enbart personuppgifter så länge som det nödvändigt för att uppfylla ändamålet med behandlingen. Därefter kommer vi att radera eller avidentifiera personuppgifterna så att de inte längre går att koppla till dig som registrerad. Vivium AB gallrar alltid personuppgifter i enlighet med tillämpliga författningar, relevant praxis och myndighetsuttalanden. Exempel på gallringstider hittar ni nedan:
Bokföringsunderlag (t.ex. fakturor) lagras i 7 år i enlighet Bokföringslag (1999:1078).
Användarkonton och e-postadresser tillhörande anställda gallras senast tre månader efter anställningens upphörande.
CV och personligt brev (tillhörande personer som inte anställs) gallras 5 månader efter det att tjänsten tillsatts. Om de tillhör en person som anställs av Vivium AB, så lagras CV och personligt brev till och med anställningens upphörande.
Referenser gallras direkt efter att de använts.
Anställningsavtal lagras i 10 år för att kunna erbjuda tidigare anställda ett arbetsgivarintyg.
E-post gallras löpande samt efter genomförd intresseavvägning.
Kunduppgifter som är förknippade med ett avtal lagras till avtalets upphörande.
Du som registrerad kan alltid kontakta oss på gdpr@vivium.se om du har frågor som rör gallringstid för en specifik behandling.
Dina rättigheter
Kapitel 3 i GDPR stipulerar ett antal olika rättigheter som du som registrerad kan nyttja. Det åligger Vivium AB att vidta alla lämpliga åtgärder för att du som registrerad ska kunna nyttja dina rättigheter som följer av GDPR på ett effektivt och säkert sätt. För att du som registrerad ska kunna nyttja en rättighet som följer av GDPR krävs en formell förfrågan till gdpr@vivium.se. Vi på Vivium AB återkommer till dig som registrerad med vilka åtgärder som vidtagits senast 30 dagar efter det att begäran inkommit. Om begärans komplexitet och art är av sådan grad att Vivium AB behöver mer tid kan tiden förlängas med ytterligare två månader. I de senare nämnda fallen har Vivium AB att underrätta dig som registrerad om en eventuell försening senast 30 dagar från det att begäran inkom till Vivium AB.
All information lämnas i elektronisk form såvida inte du som registrerad aktivt begär att få informationen per post.
Nedan följer information om dina rättigheter:
Rätten till tillgång
Du som registrerad har rätt att begära ett så kallat registerutdrag av vilket all information om dig som behandlas av Vivium AB framgår. Registerutdraget innehåller även ändamål, kategorier, överföring och övrig information som krävs enligt bestämmelsen om rätten till tillgång.
Rätten till begränsning
Rätten till begränsning brukar i till vardags benämnas behandlingsbegränsning och innebär att du som registrerad under vissa omständigheter kan begränsa behandlingen av personuppgifter under en viss period. Det innebär i praktiken att Vivium AB enbart har rätt att lagra dina personuppgifter, det vill säga inte behandla dem på något annat sätt.
Rätten till dataportabilitet
Rätten till dataportabilitet är en av nyheterna i GDPR. I praktiken innebär den att du som registrerad har rätt att få ut uppgifter om dig i ett strukturerat, allmänt använt och maskinläsbart format för att lämna till en annan personuppgiftsansvarig. Vidare innebär rätten till dataportabilitet att du som registrerad har rätt att instruera Vivium AB att direkt lämna över de aktuella uppgifterna till den andra personuppgiftsansvarige, förutsatt att det finns tekniska möjligheter för detta.
Rätten att bli glömd
Rätten att bli glömd har sin grund i det så kallade Google Spain-målet (mål C-131/12) och har sedan utvecklats i GDPR. Rätten att bli glömd innebär att du som registrerad har rätt att begära att dina personuppgifter ska raderas från Vivium AB:s system. När en begäran inkommer till Vivium AB görs en bedömning av vilka personuppgifter som kan raderas.
Rätten till rättelse
Rätten till rättelse innebär att du som registrerad kan begära att Vivium AB rättar felaktiga personuppgifter, till exempel efternamn, adress eller telefonnummer.
Rätten till invändning
Rätten till invändning innebär att du som registrerad alltid har rätt att invända mot att dina personuppgifter behandlas. Denna invändningsrätt följer om behandlingen grundar sig på någon av följande laglighetsgrunder:
Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse
Behandlingen är grundad på en intresseavvägning
Kontaktuppgifter till personuppgiftsansvarig
Vivium AB (org.nr 559229-6577)
Västerlånggatan 30
111 29 Stockholm
gdpr@vivium.se
Klagomål
Om du som registrerad anser att vi har hanterat dina personuppgifter på ett felaktigt sätt kan du alltid vända dig till oss på Vivium AB. För det fall du som registrerad i stället vill framföra ett klagomål kan du göra det till Integritetsskyddsmyndigheten.
Kontaktuppgifter tillsynsmyndighet:
Integritetsskyddsmyndigheten
Box 8114
104 20 Stockholm
imy@imy.se