Personuppgiftspolicy för ETC

Introduktion

Denna personuppgiftspolicy har upprättats den 1 november 2018 och gäller för hela företagsgruppen ETC, som i det här dokumentet benämns “ETC”, “ETC-företagen”, “vi”, “oss” och så vidare. Alla företagen i gruppen är helägda dotterbolag till ETC:s grundare Johan Ehrenberg, eller ägda av något annat av företagen i gruppen (se fullständig lista på vilka företag som ingår i gruppen nedan).

På ETC arbetar vi för att behandla personuppgifter på ett korrekt och lagligt sätt. I den här policyn beskrivs våra övergripande rutiner för hanteringen av personuppgifter.

Den här policyn gäller personuppgifter som vi samlar in när du beställer något av oss, eller när du anmäler dig till ett event som vi ordnar eller liknande, eller när du kontaktar vår kundtjänst. I den här policyn kallar vi allt det för att du använder våra “Tjänster”. Kontaktuppgifter till oss hittar du under rubriken “Kontakta oss”.

När du använder något av ETC-företagens Tjänster är, om inget annat anges, respektive företag personuppgiftsansvarig för användningen av personuppgifter som samlas in. ETC-företagen delar ofta insamlade personuppgifter mellan sig, bland annat för att vi delar administration och många IT-system.

Här är de bolag som utgör ETC:

 

Företag

Organisationsnummer

Dagens ETC AB

559042-9352

Egen el AB

556734-2307

Elhandel i Stockholm AB

556671-3334

Elproduktion AB

556595-7171

ETC Bygg AB

559123-4934

ETC Energi AB

556811-2089

ETC Förlag AB

556585-5862

ETC Klimatkompensation AB

556811-2071

ETC Kommunikation AB

556679-9168

ETC Konsultation AB

556365-0216

ETC Kundtjänst AB

556810-9382

ETC Media AB

556853-6519

ETC Mobil AB

559050-4048

ETC Näring i Stockholm AB

559156-1518

ETC Play AB

559155-7961

ETC Sol AB

556854-1469

ETC Telemarketing AB

556434-5881

ETC Utveckling AB

556447-0572

Klimatsmarta varuhuset AB

556814-9230

Leopard Förlag AB

556612-2585

Lokaltidning i Göteborg AB

556814-2185

Tidningsutveckling i Örebro AB

556811-2097

Varumärkesutveckling i Sthlm AB

556811-2105

 

“Personuppgifter” kan vara många olika saker

I gällande lagstiftning har “personuppgifter” fått en bred definition. Så här skriver till exempel Datainspektionen: “Personuppgifter är all slags information som kan knytas till en levande person. Det kan röra sig om namn, adress och personnummer. Även foton på personer klassas som personuppgifter. Ja, till och med ljudinspelningar som lagras digitalt kan vara personuppgifter även om det inte nämns några namn i inspelningen. Ett bolagsnummer är ofta inte en personuppgift men kan vara det om det handlar om ett enmansföretag. Registreringsnumret på en bil kan vara en personuppgift om det går att knyta till en fysisk person medan registreringsnumret på en firmabil som används av flera, kanske inte är en personuppgift.”

Eftersom så många olika typer av uppgifter är personuppgifter är det ofrånkomligt att en företagsgrupp av ETC:s storlek har en ganska omfattande insamling och bearbetning av personuppgifter.

Principer för vår personuppgiftsbehandling

Vi ska vara ansvarsfulla i vår hantering av personuppgifter, oavsett om det gäller anställda, kunder, leverantörer eller andra samarbetspartners. Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Vi ska vara transparanta om vilka uppgifter vi hanterar och se till att de personer som på olika sätt finns registrerade hos oss kan göra sina rättigheter gällande på ett effektivt sätt.

Insamling av personuppgifter får endast ske för särskilda, uttryckligt angivna, och berättigade ändamål och vi ska bara samla in uppgifter som behövs för detta ändamål. Vi arbetar aktivt med att begränsa lagringen genom att gallra i enlighet med vår gallringspolicy och när det är lämpligt genom automatisk gallring. Vi ska med rimliga åtgärder se till att uppgifterna är korrekta. För att kunna säkerställa och visa att vi lever upp till lagstiftningens krav ska vi samla all dokumentation avseende vårt dataskyddsarbete på samma ställe: i verktyget Qnister GDPR.

Dessa typer av personuppgifter samlar vi in

När du fyller i ett formulär för att beställa en prenumeration på en av våra tidningar, när du tecknar ett elavtal med vårt elbolag, handlar i vår nätbutik eller beställer någon annan av våra produkter eller tjänster, så tillhandahåller du oss personuppgifter.

När du kontaktar vår kundtjänst eller anmäler dig till ett evenemang låter du oss också få del av dina personuppgifter. Ofta får vi också personuppgifter på ett mer indirekt sätt. När du använder våra digitala tjänster genererar du hela tiden personuppgifter – enligt den breda definitionen ovan –, kanske utan att du tänker på det. Vi får en del av informationen genom att registrera hur du använder våra tjänster, till exempel genom att placera så kallade cookies på din enhet när du surfar på våra webbsidor, eller genom att registrera information som din enhet (alltså vanligtvis en mobil, dator eller surfplatta) skickar till oss, som till exempel din IP-adress.

Vi kan också hämta personuppgifter som är knutna till dig från andra källor. Om du till exempel identifierar dig för oss med ditt Facebook-konto, så får vi tillgång till viss information om dig från Facebook. Sådan information kan vi använda för att anpassa de erbjudanden du ser, både på våra webbsidor och på sociala nätverk. Från och till använder vi också offentligt tillgängliga datakällor, till exempel SPAR (Statens Personadressregister) för att komplettera den information vi har om dig, eller för att hitta nya personer att nå ut till.

Vilka uppgifter om dig som vi samlar in beror på sammanhanget, men det kan vara något av följande:

Övriga uppgifter som du lämnar till oss: när du kontaktar vår kundtjänst eller andra representanter för ETC samlar vi in de uppgifter du lämnar till oss. Notera att om du kontaktar eller blir kontaktad av våra journalister inom ramen för den journalistiska verksamheten, så gäller inte allt som står i detta dokument. Den journalistiska verksamheten regleras av Tryckfrihetsförordningen och relaterade lagar.

Detta använder vi personuppgifter till

Vi samlar in, bearbetar och analyserar personuppgifter framför allt för några huvudsakliga syften:

Så använder vi personuppgifter

Den viktigaste delen av vår personuppgiftshantering är att vi upprätthåller kundregister för att kunna leverera det du har köpt av oss. Detta register använder vi också för att informera våra kunder om våra produkter och tjänster i enlighet med gällande lagar. När vi gör det kan vi kombinera olika uppgifter vi har om dig för att kunna ta fram ett erbjudande som passar dig. På samma sätt kombinerar vi olika uppgifter för att visa så relevanta annonser som möjligt för dig på våra webbplatser. Vi vill dock gärna understryka att vi inte använder ditt namn, adress, e-post eller telefonnummer för att avgöra vilka annonser som ska visas för dig. De uppgifter som är aktuella i sammanhanget är sådant som vi samlar in från din enhet, information om hur du beter dig på våra webbplatser och dylikt.

Vi delar anonym beteendedata om våra användare med våra annonsörer och andra företag vi samarbetar med för annonsering. Anonym data är information som inte går att koppla till en individ genom att referenser och kopplingar till användare har tagits bort. Det betyder att när du besöker andra webbsidor kan den webbsidan visa annonsering som baseras på ditt beteende på våra webbsidor. Vi kan även visa annonser på våra webbsidor som baseras på ditt beteende på andra webbsidor.

Så här delar vi uppgifter med andra

Förutom att företagen inom ETC-gruppen delar personuppgifter med varandra, är det ibland nödvändigt för oss att dela dina personuppgifter med externa leverantörer, för att vi ska kunna bedriva vår verksamhet. Till exempel måste vi ge våra prenumeranters namn och adress till tryckeri- och distributionsföretag för att kunna leverera papperstidningarna. När vi delar dina personuppgifter med andra har vi sett till att de följer lagar och regler för personuppgiftshantering.

Du som betalar med kort på våra webbplatser kan känna dig trygg med att dina uppgifter behandlas på ett säkert sätt. Den typen av uppgifter når faktiskt aldrig våra servrar över huvud taget. Istället skickas de direkt från din enhet till vår leverantör av kortbetalningstjänster. I dagsläget är den leverantören Stripe, Inc. men det kan komma att ändras.

IT-säkerhet

Riskbedömning

Vi ska fortlöpande göra en riskbedömning av den behandling av personuppgifter som vi genomför. Vi ska vidta tekniska och organisatoriska åtgärder för att uppnå en säkerhetsnivå som är lämplig i förhållande till risken. Riskanalys och beslut om åtgärder ska dokumenteras.

Behörigheter

Det ska finnas skriftliga behörighetsinstruktioner för samtliga IT-system som innehåller personuppgifter. Grundprincipen är att behörigheter ska tilldelas så att endast de personer som behöver tillgång till personuppgifterna har åtkomst. Beroende på uppgifternas känslighet kan behörigheterna vara snävare eller vidare.

Incidenthantering

Alla säkerhetsincidenter ska dokumenteras i en incidenthanteringslogg med uppgift om omständigheterna kring personuppgiftsincidenten, dess effekter och de korrigerande åtgärder som vidtagits. Med säkerhetsincident avses en händelse som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. När lagen så föreskriver ska incidenter även rapporteras till Datainspektionen respektive den registrerade.

IT-policy och IT-säkerhetspolicy

Vi har antagit en IT-policy och en IT-säkerhetspolicy där våra anställdas förhållningssätt till IT-miljön regleras mer i detalj.

Register över behandling

Vi ska föra ett register över behandlingar av personuppgifter i verktyget Qnister GDPR.

Konsekvensbedömning

Om en behandling av personuppgifter, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska vi enligt Dataskyddsförordningen före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter: Konsekvensbedömning eller DPIA (Data Protection Impact Assessment).

Även när vi inte når upp till kravet för Konsekvensbedömning ska vi, när det är lämpligt, genomföra en förenklad riskanalys. Analysen blir ett underlag för valet av tekniska och organisatoriska säkerhetsåtgärder.

Inbyggt dataskydd och dataskydd som standard

Vi ska proaktivt utvärdera möjligheterna att genomföra tekniska åtgärder, såsom pseudonymisering och uppgiftsminimering för att effektivt leva upp till kraven i GDPR och skydda den registrerades rättigheter.

Vi ska även genomföra lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas.

Utbildning

Våra anställda ska få relevant information och utbildning om behandling av personuppgifter i enlighet med separat årsplan för utbildning. Vid behov ges fördjupad eller riktad utbildning till dem som hanterar känsliga uppgifter. Deltagandet i utbildningar ska dokumenteras.

Uppföljning och intern revision

Efterlevnaden av denna policy ska kontrolleras med stickprov och intern revision i enlighet med årsplan för internrevision. Vi ska löpande utvärdera om vårt dataskyddsarbete lever upp till lagstiftningens krav och genomföra förändringar när det är påkallat.

Roller och ansvar

ETC MEDIA ABs styrelseordförande har ett övergripande ansvar att driva och övervaka de frågor som behandlas i denna policy. Samtliga chefer är ansvariga för den egna organisationens efterlevnad.

Denna Policy är antagen av ETC Utvecklings styrelse den 1 november 2018