Dataskyddsbeskrivning
Spegelstore.se DATABESKYDDSBESKRIVNING FÖR WEBBSHOPPENS KUNDREGISTER
- Personuppgiftsansvarig
Personuppgiftsansvarig är Spegelstore.se – Northern Trading Oy (organisationsnummer 2768186-2)
Kontaktuppgifter för registerärenden
Spegelstore.se – Northern Trading Oy
Adress: Tetriläntie 6 A5, 90460 Oulunsalo, Finland
Epost: info@spegelstore.se
- Registrets namn
Registrets namn är Spegelstore.se:s kundregister.
- Ändamål med behandlingen av personuppgifter
Personuppgifterna behandlas för ändamål som hänför sig till skötsel, administrering och utveckling av kundrelationen, erbjudande och leverans av tjänster samt för utveckling av tjänster och fakturering. Personuppgifter behandlas också för ändamål som krävs för utredning av eventuella reklamationer och andra krav.
Dessutom behandlas personuppgifter i kommunikation som riktar sig till kunder, såsom i informations- och nyhetssyfte samt vid marknadsföring, som även innefattar behandling av personuppgifter för ändamål som hänför sig till direktmarknadsföring och elektronisk direktmarknadsföring.
Kunden har rätt att neka till direktmarknadsföring.
Den personuppgiftsansvarige behandlar uppgifterna själv och använder sig för behandlingen av personuppgifter också av underleverantörer som handlar på den personuppgiftsansvariges vägnar och för den personuppgiftsansvariges räkning.
- Rättslig grund för behandlingen
De rättsliga grunderna för behandlingen av personuppgifter, som följer EU:s allmänna dataskyddsförordning (nedan även kallad ”GDPR”), är följande:
1. den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål (GDPR 6 art. 1.a);
2. behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås (GDPR 6 art. 1.b);
3. behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen (GDPR 6 art. 1.f).
Den personuppgiftsansvariges berättigade intresse, som nämnts ovan, grundar sig på ett relevant och lämpligt förhållande mellan den registrerade personen och den personuppgiftsansvarige, vilket uppstår när den registrerade är den personuppgiftsansvariges kund och när behandlingen sker för de ändamål som den registrerade rimligen kan ha förväntat sig när personuppgifterna samlats in och i samband med ett relevant förhållande.
5. Registrets datainnehåll (kategorier av personuppgifter som behandlas)
Registret innehåller följande personuppgifter om i princip alla registrerade personer:
1. personens grundläggande uppgifter och kontaktuppgifter: (förnamn, efternamn, adress, telefonnummer, email)
2. uppgifter om personens företag eller annan organisation och personens ställning eller titel i företaget eller organisationen i fråga;
3. personens tillstånd och förbud gällande direktmarknadsföring.
- Regelmässiga uppgiftskällor
Personuppgifter samlas in från den registrerade själv.
Personuppgifter uppdateras och samlas inom ramen för tillämplig lag även in från allmänt tillgängliga källor, som anknyter till upprätthållande av kundrelationen mellan den personuppgiftsansvarige och den registrerade personen och som hjälper den personuppgiftssvarige att uppfylla sina skyldigheter gällande upprätthållandet av kundrelationer.
- Personuppgifternas lagringstid
De uppgifter som samlas in i registret lagras endast för den tid och i den utsträckning som är nödvändigt i förhållande till de ursprungliga eller förenliga ändamål för vilka personuppgifterna samlats in.
Behovet av att lagra personuppgifterna utvärderas vart femte år, och alla uppgifter om den registrerade personen raderas i varje fall efter fem år från att den registrerade personens kundrelation till den personuppgiftsansvarige upphört och alla skydligheter och åtgärder gällande kundrelationen slutförts. Till exempel bokföringsunderlag lagras i fem år efter räkenskapsperiodens utgång.
Den personuppgiftsansvarige utvärderar regelbundet behovet av att lagra uppgifter enligt interna uppförandekoder. Dessutom vidtar den personuppgiftsansvarige alla möjliga och rimliga åtgärder för att garantera att inexakta, felaktiga och föråldrade personuppgifter raderas eller rättas utan dröjsmål.
- Mottagare av personuppgifter (mottagarkategorier) och regelmässigt utlämnande av uppgifter
Personuppgifter utlämnas inte till utomstående.
- Överföring av uppgifter utanför EU eller EES
Överföring av personuppgifter utanför EU eller EES
- Principer för skydd av registret
Material som innehåller personuppgifter lagras i låsta utrymmen som endast utsedda personer och med anledning av sina uppgifter befullmäktigade personer har tillgång till.
Databasen som innehåller personuppgifter finns på en server som förvaras i ett låst utrymme som endast utsedda personer och med anledning av sina uppgifter befullmäktigade personer har tillgång till. Servern skyddas av en lämplig brandvägg och tekniskt skydd.
Tillgång till databaserna och systemen fås endast med särskilt beviljade personliga användarnamn och lösenord. Den personuppgiftsansvarige har begränsat användarrättigheter och -behörigheter till datasystem och andra lagringsunderlag så att uppgifterna endast kan kontrolleras och behandlas av personer som behövs för lagenlig behandling av uppgifterna. Dessutom registreras transaktioner i databaserna och systemen i den personuppgiftsansvariges systemlogg.
Den personuppgiftsansvariges anställda eller andra personer har förbundit sig till att iaktta tystnadsplikt och hålla uppgifter som de fått i samband med behandlingen av personuppgifter hemliga.
- Den registrerades rättigheter
Den registrerade har följande rättigheter enligt EU:s allmänna dataskyddsförordning:
- rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna och följande information: (i) ändamålen med behandlingen; (ii) de kategorier av personuppgifter som behandlingen gäller; (iii) de mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut, särskilt mottagare i tredjeländer eller internationella organisationer; (iv) om möjligt, den förutsedda period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period; (v) förekomsten av rätten att av den personuppgiftsansvarige begära rättelse eller radering av personuppgifterna eller begränsningar av behandling av personuppgifter som rör den registrerade eller att invända mot sådan behandling; (vi) rätten att inge klagomål till en tillsynsmyndighet; (vii) om personuppgifterna inte samlas in från den registrerade, all tillgänglig information om varifrån dessa uppgifter kommer (GDPR 15 art). Denna ovan beskrivna grundläggande information (i)–(vii) ges till den registrerade med denna blankett;
2. rätt att återkalla samtycke när som helst utan att det påverkar lagligheten av behandling som grundar sig på samtycke innan detta återkallas (GDPR 7 art.);
3. rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Med beaktande av ändamålet med behandlingen, ska den registrerade ha rätt att komplettera ofullständiga personuppgifter, bland annat genom att tillhandahålla ett kompletterande utlåtande. (GDPR 16 art.);
4. rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få sina personuppgifter raderade om något av följande gäller; (i) personuppgifterna är inte längre nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats; (ii) den registrerade återkallar det samtycke på vilket behandlingen grundar sig och det finns inte någon annan rättslig grund för behandlingen; (iii) den registrerade invänder mot behandlingen och det saknas berättigade skäl för behandlingen som väger tyngre, eller den registrerade invänder mot behandlingen; (iv) personuppgifterna har behandlats på olagligt sätt; eller (v) personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse i unionsrätten eller i medlemsstaternas nationella rätt som den personuppgiftsansvarige omfattas av (GDPR 17 art.);
5. rätt att av den personuppgiftsansvarige kräva att behandlingen begränsas om (i) den registrerade bestrider personuppgifternas korrekthet, under en tid som ger den personuppgiftsansvarige möjlighet att kontrollera om personuppgifterna är korrekta; (ii) behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en begränsning av deras användning; (iii) den personuppgiftsansvarige behöver inte längre personuppgifterna för ändamålen med behandlingen men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk; (iv) den registrerade har invänt mot behandling i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl (GDPR 18 art.);
6. rätt att få ut de personuppgifter som rör honom eller henne och som han eller hon har tillhandahållit den personuppgiftsansvarige i ett strukturerat, allmänt använt och maskinläsbart format och ha rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig utan att den personuppgiftsansvarige som tillhandahållits personuppgifterna hindrar detta, om behandlingen sker automatiserat (GDPR 20 art.);
7. rätt att lämna in ett klagomål till en tillsynsmyndighet, om den registrerade anser att behandlingen av personuppgifter som avser henne eller honom strider mot EU:s allmänna dataskyddsförordning (GDPR 77 art.).
Begäran om att få utöva dina rättigheter som registrerad riktas till den personuppgiftsansvarige, som nämns i punkt 1.