Policy för Personuppgifthantering

Inledning och syfte

Syftet med denna policy är att säkerställa att Bright AB hanterar personuppgifter i enlighet med EU:s dataskyddsförordning (General Data Protection Regulation – GDPR).  Policyn omfattar alla behandlingar där personuppgifter hanteras och omfattar såväl strukturerad som ostrukturerad data.

Tillämpning och revidering

Denna policy är tillämplig för Brights styrelseledamöter, anställda, kunder, kunders användare samt uppdragstagare som berörs av vår verksamhet.

Vid uppdateringar som är av avgörande betydelse för vår behandling av personuppgifter (exempelvis ändring av angivna ändamål eller kategorier av personuppgifter), eller som kan vara av avgörande betydelse för dig, får du information via e-post eller notification i god tid innan uppdateringarna börjar gälla. Där förklarar vi även innebörden av uppdateringarna och hur de kan påverka er och era kunder.

Organisation och ansvar

Personuppgiftsansvarig kallas den som bestämmer varför och hur personuppgifter ska behandlas. En personuppgiftsansvarig kan till exempel vara en kommun, myndighet, organisation eller ett företag.

Om du har frågor om dina personuppgifter kan du kontakta oss via: dpo@getbright.se.

Begrepp och förkortningar

  • Personuppgift

En personuppgift är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Till exempel kan bilder och ljudupptagningar som behandlas i en dator vara personuppgifter även om inga namn nämns. Krypterade uppgifter och olika slags elektroniska identiteter (exempelvis IP-nummer) är personuppgifter om de kan kopplas till fysiska personer.

  • Registrerad

Den som en personuppgift avser, det vill säga den fysiska person som direkt eller indirekt kan identifieras genom personuppgifterna i ett register.

  • Personuppgiftsbehandling

Behandling av personuppgifter är allt som sker med personuppgifterna. Varje åtgärd som vidtas med personuppgifter utgör en behandling, oberoende av om den utförs automatiserat eller ej. Exempel på vanliga behandlingar är insamling, registrering, organisering, strukturering, lagring, bearbetning, överföring och radering.

Personuppgiftsbehandling

Varje personuppgiftsbehandling ska ske enligt följande principer:

  • Laglighet
  • Ändamålsbegränsning
  • Uppgiftsminimering
  • Korrekthet
  • Lagringsminimering
  • Integritet och konfidentialitet

Vilka personuppgifter samlar vi in om Brights AB kunder och i vilket syfte?

För våra kunder: För att administrera våra kontakter lagrar vi vissa personuppgifter i vårt kundregister.

De personuppgifter vi lagrar är:

  • Namn.
  • Kontaktuppgifter (adress, e-post och telefonnummer).
  • Er kommunikation med oss (till exempel e-post).
  • Fakturerings- och betalningsinformation.
  • Korrespondens och feedback avseende våra tjänster.

De behandlingar som utförs är:

  • Insamling av e-postadresser för att skicka ut nyhetsbrev, samt ge er och era användare information om verksamhet och tjänster.
  • Insamling av e-postadresser för att skicka ut enkät för att samla in våra kunders åsikter och önskemål på olika teman.

Behandlingen av era och era användares personuppgifter är nödvändig för att tillgodose vårt och ditt intresse av att hantera vår samverkan. Detta så kallade berättigade intresse tillsammans med det ingångna avtalet utgör en rättslig grund för oss att spara dina personuppgifter. 

Uppgifterna sparas efter avslutat avtal i enlighet med bokföringslagen. Vi behöver behålla dina uppgifter en tid för att kunna se historik i våra system.

Vilka personuppgifter samlar vi in om Brights AB kunders användare och i vilket syfte?

Från användarna: För att använda appen och Mina sidor

  • Namn
  • Kontaktuppgifter (adress, e-post och telefonnummer).
  • Avtal
  • Energiförbrukning
  • Info om användarens hem (typ av boende, uppvärmning metod, drivmedel)

Behandlingen av dessa personuppgifter är nödvändig för att tillgodose vårt och ert intresse av att hantera vår samverkan, att leverera en mobilapp, Bright Bridge och eventuella Mina sidor. Detta så kallade berättigade intresse tillsammans med det ingångna avtalet mellan er utgör en rättslig grund för oss att spara era och era kunders personuppgifter. 

Uppgifterna sparas efter avslutat avtal i enlighet GDPR lagen. 

Från vilka källor hämtar vi dina personuppgifter?

De uppgifter vi har om era användare som ni har gett oss eller de uppgifter de själva lämnat till oss. Vi hämtar inga uppgifter om era kunder från tredje part.

Vilka kan vi komma att dela dina personuppgifter med?

I de fall det är nödvändigt delar vi dina personuppgifter med företag som på ett eller annat sätt är underleverantörer till oss. Dessa underleverantörer kallas för personuppgiftsbiträden. Ett personuppgiftsbiträde är ett företag som behandlar information för vår räkning och enligt våra instruktioner. Vi har personuppgiftsbiträden som hjälper oss med:

  • IT-infrastruktur (företag som hanterar nödvändig drift, teknisk support och underhåll av vår infrastruktur).
  • Login Service 
  • IOT service
  • Betallösningar (kortinlösande företag, banker och andra betaltjänstleverantörer).

När era användares personuppgifter delas med personuppgiftsbiträden sker det endast för de ändamål vi har angivit. Vi kontrollerar alla personuppgiftsbiträden för att säkerställa att de kan lämna tillräckliga garantier för säkerhet och sekretess för personuppgifter. Vi har skriftliga avtal med alla personuppgiftsbiträden där de garanterar säkerheten för de personuppgifter som behandlas och åtar sig att följa våra säkerhetskrav samt begränsningar och krav som gäller internationell överföring av personuppgifter.

Vi förmedlar aldrig era användares personuppgifter till någon annan tredje part.

Var behandlar vi dina personuppgifter?

Vi strävar alltid efter att era användares personuppgifter ska behandlas inom Sverige. Går det inte, väljer vi så långt det är möjligt liknande lösningar inom EU.

Hur länge sparar vi dina personuppgifter?

Vi sparar aldrig era användares personuppgifter längre än vad som är nödvändigt. Se mer om de specifika lagringsperioderna under respektive rubrik ovan.

Vad har du för rättigheter som registrerad?

All information om era användares rättigheter finns på Integritetsskyddsmyndighetens hemsida:
Integritetsskyddsmyndigheten | IMY

Rätt till tillgång (registerutdrag)

Vi är alltid öppna och transparenta med hur vi behandlar era användares personuppgifter. Vill ni veta mer om vilka personuppgifter vi behandlar om någon specifik kund får ni gärna kontakta oss för att få tillgång till deras uppgifter. Informationen lämnas ut i form av ett registerutdrag med beskrivning av ändamål, kategorier av personuppgifter, lagrings perioder och information om varifrån informationen har samlats in.

När ni begär att få tillgång till era användares personuppgifter kan vi komma att fråga om ytterligare uppgifter för att säkerställa en effektiv hantering av eran begäran och att informationen lämnas till rätt person.

Rätt till rättelse

Ni kan begära att era användares personuppgifter rättas ifall uppgifterna är felaktiga. Inom ramen för det angivna ändamålet har era kunder också rätt att komplettera eventuellt ofullständiga personuppgifter.

Rätt till radering

Ni kan begära radering av personuppgifter vi behandlar om era användare ifall:

  • Uppgifterna inte längre är nödvändiga för de ändamål för vilka de har samlats in eller behandlats.
  • Era användare invänder mot en intresseavvägning vi har gjort baserat på berättigat intresse och ditt skäl för invändning väger tyngre än vårt berättigade intresse.
  • Era användare invänder mot att dina personuppgifter används för direktmarknadsföring ändamål.
  • Personuppgifterna behandlas på ett olagligt sätt.

Tänk på att vi kan ha rätt att neka era användares begäran ifall det finns legala skyldigheter som hindrar oss från att omedelbart radera vissa personuppgifter. Dessa skyldigheter kommer från bokförings- och skattelagstiftning.

Rätt till begränsning

Ni har rätt att begära att vår behandling av era användares personuppgifter begränsas. En begränsning kan göras av flera anledningar.

  • Om de bestrider att personuppgifterna vi behandlar är korrekta kan de begära en begränsad behandling under den tid vi arbetar med att kontrollera huruvida personuppgifterna är korrekta.
  • Om de bestrider att vi raderar deras uppgifter. Det kan till exempel bero på att de behöver uppgifterna vi har om dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk. I dessa fall kan de begära begränsad behandling av uppgifterna hos oss.
  • Om de har invänt mot en intresseavvägning av berättigat intresse som vi har gjort som rättslig grund för ett ändamål. Då kan de begära begränsad behandling under den tid vi arbetar med att kontrollera huruvida våra berättigade intressen väger tyngre än deras intressen av att få uppgifterna raderade.

Om behandlingen har begränsats enligt någon av situationerna ovan får vi bara, utöver själva lagringen, behandla uppgifterna för att fastställa, göra gällande eller försvara rättsliga anspråk, för att skydda någon annans rättigheter eller ifall de har lämnat ditt samtycke.

Rätt att göra invändningar mot viss typ av behandling

De har alltid rätt att tacka nej till direktmarknadsföring och att invända mot all behandling av personuppgifter som bygger på en intresseavvägning. En invändning kan göras utifrån två grunder:

  • Intresseavvägning
    I de fall vi använder en intresseavvägning som rättslig grund för ett ändamål har du möjlighet att invända mot behandlingen. För att kunna fortsätta behandla dina personuppgifter efter en sådan invändning behöver vi kunna visa ett tvingande berättigat skäl för den aktuella behandlingen som väger tyngre än dina intressen, rättigheter eller friheter. I annat fall får vi bara behandla uppgifterna för att fastställa, utöva eller försvara rättsliga anspråk.
  • Direktmarknadsföring
    De har möjlighet att invända mot att deras personuppgifter behandlas för direktmarknadsföring. Invändningen omfattar även de analyser av personuppgifter (så kallad profilering) som utförs för direkt marknadsföringsändamål. Med direktmarknadsföring avses alla typer av uppsökande marknadsföringsåtgärder, till exempel via post, e-post och sms.

Om era användare invänder mot direktmarknadsföring kommer vi att upphöra med behandlingen av deras personuppgifter för det ändamålet och upphöra med alla typer av direkt marknadsföringsåtgärder.

Hur skyddas personuppgifterna?

Vi använder IT-system för att skydda sekretessen, integriteten och tillgången till era användares personuppgifter. Vi har vidtagit särskilda säkerhetsåtgärder för att skydda era användares personuppgifter mot olovlig eller obehörig behandling (såsom olovlig tillgång, förlust, förstörelse eller skada). Endast de personer som faktiskt behöver behandla era användares personuppgifter för att vi ska kunna uppfylla våra angivna ändamål har tillgång till dem.

Innehåll på denna sida