Denna integritetspolicy förklarar hur Krav Ekonomisk förening (”KRAV”, ”vi” eller ”oss”) samlar in och använder dina personuppgifter när du använder KRAVs tjänster, hemsidor, eller på annat sätt interagerar med oss. I denna integritetspolicy beskrivs även vilka rättigheter du har gentemot oss och hur du kan göra dina rättigheter gällande. Du kan alltid kontakta oss vid frågor kring integritets- och dataskydd genom att skicka ett e-postmeddelande till info@krav.se.
KRAV är personuppgiftsansvarig för dina personuppgifter och vi behandlar dina personuppgifter i enlighet med den allmänna dataskyddsförordningen (EU) 2016/679 (”GDPR”). Vi uppmuntrar dig därför att läsa denna integritetspolicy i sin helhet för att säkerställa att du till fullo förstår hur vi behandlar dina personuppgifter i samband med tillhandahållandet av våra tjänster.
Med personuppgifter avses varje upplysning som avser en identifierad eller identifierbar fysisk person, vilket kan röra sig om allt från kontaktuppgifter, IP-adress, till finansiella uppgifter, förutsatt att de kan kopplas till en fysisk person. Med behandling avses varje åtgärd gällande personuppgifter som exempelvis användning, bearbetning, insamling och organisering av personuppgifter.
1. Personuppgiftsansvariges kontaktuppgifter
| Bolagsnamn: | Krav Ekonomisk förening |
| Organisationsnummer: | 716422-5364 |
| Postadress: | Box 1037, 75140 Uppsala, Sverige |
| E-post: | info@krav.se |
2. Vilken information samlar vi in?
Vi behandlar sådana personuppgifter som du lämnar till oss, samt sådana personuppgifter som genereras när du använder våra tjänster. Du kan direkt eller indirekt komma att ge oss följande kategorier av personuppgifter:
Kategori av personuppgift |
Typ av datapunkt |
| Identifieringsuppgifter | Exempelvis för- och efternamn osv. |
| Kontaktuppgifter | Exempelvis e-postadress, telefonnummer, leveransadress osv. |
| Finansiella uppgifter | Exempelvis betal- eller faktureringsuppgifter och bankkonto. |
| Onlineidentifikatorer | Exempelvis IP-adress, device-ID, enhetsinformation, lokaliseringsuppgifter osv. |
| Beteendeuppgifter | Exempelvis köphistorik osv. |
| Genererade uppgifter | Exempelvis sådana uppgifter som du lämnar i korrespondens med KRAV per exempelvis e-post, kontaktformulär på www.krav.se och sociala medier. |
3. Vad gör vi med dina personuppgifter?
I nedan tabeller finner du information om;
- vilka ändamål vi har med behandlingen av dina personuppgifter, dvs. varför behandlingen är nödvändig,
- vilka typer av personuppgifter vi använder för respektive ändamål,
- vilken laglig grund vi har (enligt GDPR) att behandla personuppgifter om dig, samt
- vilken lagringstid vi har för respektive behandlingsåtgärd, dvs. efter hur länge KRAV raderar personuppgifterna för respektive ändamål.
3.1 När du tecknar anslutningsavtal för KRAV-certifiering
När du ansöker om och (eventuellt) tecknar anslutningsavtal för KRAV-certifiering med oberoende certifieringsorgan kommer vi behandla dina uppgifter.
Ändamål |
Personuppgifter |
Laglig grund för behandlingen |
Lagringstid |
| När du ansöker om och tecknar anslutningsavtal för KRAV-certifiering med oberoende certifieringsorgan och får utfärdat ett KRAV-certifikat kommer vi behandla dina personuppgifter för att kunna registrera och administrera din KRAV-certifiering och ingå, fullgöra och utnyttja våra rättigheter enligt det separata avtal som godkänd certifiering skapar mellan dig och KRAV. Certifieringsorganet kommer därmed dela personuppgifter om dig med KRAV. |
|
Vi baserar vår behandling av dina personuppgifter innan ingånget avtal på artikel 6.1 (f) GDPR. Vi har ett berättigat intresse av att behandla dina personuppgifter för att kunna bedriva och utveckla vår verksamhet. Efter noga övervägande anser vi att KRAV har ett berättigat intresse som överväger ditt intresse av att inte få dina personuppgifter behandlade. Vidare bedömer vi att behandlingen av dina personuppgifter är nödvändig för att kunna uppnå ändamålen med den aktuella behandlingen. Vi baserar vår behandling av dina personuppgifter efter ingånget avtal på artikel 6.1 (b) GDPR. Behandlingen är nödvändig för att vi ska kunna uppfylla våra förpliktelser enligt det avtal i vilket du är part. |
KRAV lagrar dina uppgifter under anslutningsavtalets och avtalet mellan dig och KRAVs giltighetstid och efterföljande 10 år, eller den längre tid som behövs för att fastställa, utöva eller försvara rättsliga anspråk. I den utsträckning personuppgifterna behandlas för att uppfylla våra rättsliga förpliktelser enligt bokföringslagen (1999:1078), lagrar KRAV dina personuppgifter under tiden som bokföringen sammanställs samt sju (7) år efter utgången av det år som uppgiften registrerades. |
| Upprätthållande av kontakt med dig och andra berörda parter efter avtalets avslutande, för uppföljning och andra eventuella utestående frågor eller ärenden med anledning av certifieringen. |
|
Vi baserar vår behandling av dina personuppgifter på artikel 6.1 (f) GDPR och vårt berättigade intresse av att kunna bedriva och utveckla vår verksamhet. | KRAV lagrar dina uppgifter under anslutningsavtalets och avtalet mellan dig och KRAVs giltighetstid och efterföljande tio (10) år, eller den längre tid som behövs för att fastställa, utöva eller försvara rättsliga anspråk. |
3.2 När du registrerar dig för varumärkesanvändning
Ändamål |
Personuppgifter |
Laglig grund för behandlingen |
Lagringstid |
| När du registrerar dig för varumärkesanvändning på www.krav.se behöver vi behandla dina personuppgifter för att kunna ingå, fullgöra och administrera det avtal som ingås mellan dig och KRAV. |
|
Vi baserar vår behandling av dina personuppgifter efter ingånget avtal på artikel 6.1 (b) GDPR. Behandlingen är nödvändig för att vi ska kunna uppfylla våra förpliktelser enligt det avtal i vilket du är part. | KRAV lagrar dina uppgifter under avtalets giltighetstid och efterföljande 10 år, eller den längre tid som behövs för att fastställa, utöva eller försvara rättsliga anspråk. |
| Upprätthållande av kontakt med dig och andra berörda parter efter avtalets avslutande, för uppföljning och andra eventuella utestående frågor eller ärenden med anledning av avtalet. |
|
Vi baserar vår behandling av dina personuppgifter på artikel 6.1 (f) GDPR. Vi har ett berättigat intresse av att behandla dina personuppgifter för att kunna bedriva och utveckla vår verksamhet. | KRAV lagrar dina uppgifter under anslutningsavtalets och avtalet mellan dig och KRAVs giltighetstid och efterföljande tio (10), eller den längre tid som behövs för att fastställa, utöva eller försvara rättsliga anspråk. |
3.3 När du genomför ett köp
Ändamål |
Personuppgifter |
Laglig grund för behandlingen |
Lagringstid |
| När du genomför ett köp på www.shop.krav.se behandlar vi dina uppgifter för att kunna administrera din beställning och tillhandahålla dig köpta varor och i övrigt fullgöra våra förpliktelser enligt det avtal som uppstår. |
|
Vi baserar vår behandling av dina personuppgifter efter ingånget avtal på artikel 6.1 (b) GDPR. Behandlingen är nödvändig för att vi ska kunna uppfylla våra förpliktelser enligt det avtal i vilket du är part. | KRAV lagrar dina uppgifter under avtalets giltighetstid och efterföljande 2 år, eller den längre tid som behövs för att fastställa, utöva eller försvara rättsliga anspråk.
I den utsträckning personuppgifterna behandlas för att uppfylla våra rättsliga förpliktelser enligt bokföringslagen (1999:1078), lagrar KRAV dina personuppgifter under tiden som bokföringen sammanställs samt sju (7) år efter utgången av det år som uppgiften registrerades. |
3.4 När du interagerar med vår webbplats
När du besöker och interagerar med våra webbplatser www.krav.se, https://shop.krav.se/, https://mitt.krav.se/, https://hitta.krav.se/, https://konsumentforum.krav.se/org/krav/, och https://www.krav.se/toolbox/ behandlar vi dina personuppgifter för att kunna bereda dig tillgång till webbplatserna och för att analysera ditt användande av webbplatserna för vår egen verksamhetsutveckling.
Vi använder cookies och liknande spårningstekniker för att öka smidigheten och förbättra användarupplevelsen på webbplatserna. Du hittar mer information om hur vi använder cookies i vår cookiepolicy som du kan läsa genom att följa denna länk: https://www.krav.se/cookies/
Ändamål |
Personuppgifter |
Laglig grund för behandlingen |
Lagringstid |
| När du besöker webbplatserna behandlar vi dina personuppgifter genom [sessions], [tidsbegränsade] och [permanenta] nödvändiga cookies för att bereda dig tillgång till webbplatserna. |
|
Vi stöder behandlingen på artikel 6.1 (f) GDPR. Vi har ett berättigat intresse av att behandla dina personuppgifter för att kunna bereda dig tillgång till webbplatserna. | Vi lagrar dina personuppgifter endast under den enskilda nätsessionen eller den tidsperiod den specifika cookien är aktiv. Därefter raderas dina personuppgifter. |
| När du besöker webbplatserna behandlar vi dina personuppgifter genom [sessions] [permanenta] och [tidsbegränsade] cookies för att kunna anpassa webbplatserna efter dina önskemål och val. |
|
Vi stöder behandlingen på artikel 6.1 (a) GDPR, dvs. ditt samtycke.
Du kan när som helst återkalla ditt samtycke genom att anpassa dina cookieinställningar i enlighet med vår cookiepolicy, alternativt genom att kontakta oss via e-post till info@krav.se |
Vi lagrar dina personuppgifter fram till dess att du tar bort cookien eller återkallar ditt samtycke eller den tidsperiod den specifika cookien är aktiv. |
| När du besöker våra hemsidor behandlar vi dina personuppgifter genom [sessions], [tidsbegränsade] och [permanenta] analyscookies för att analysera hur du använder webbplatserna i syfte att utveckla vår verksamhet samt förbättra och effektivisera vår marknadsföring. |
|
Vi stöder behandlingen på artikel 6.1 (a) GDPR, dvs. ditt samtycke.
Du kan när som helst återkalla ditt samtycke genom att anpassa dina cookieinställningar i enlighet med vår cookiepolicy, alternativt genom att kontakta oss via e-post till info@krav.se. |
Vi lagrar dina personuppgifter fram till dess att du tar bort cookien eller återkallar ditt samtycke eller den tidsperiod den specifika cookien är aktiv. |
3.5 När du registrerar dig för, förekommer i, eller använder våra onlinetjänster
KRAV tillhandahåller vissa onlinetjänster genom KRAVs webbplatser, exempelvis utbildningar, MITT KRAV och Marknadsföringslådan. När du använder dessa tjänster kommer dina personuppgifter att behandlas. I förekommande fall kommer du vidarelänkas till extern hemsida där tjänsten tillhandahålls.
Ändamål |
Personuppgifter |
Laglig grund för behandlingen |
Lagringstid |
| När du ansöker om att få lösenord till tjänsten Marknadsföringslådan behandlar vi dina uppgifter för att kunna bereda dig tillgång till Marknadsföringslådan. |
|
Vi baserar vår behandling av dina personuppgifter på artikel 6.1 (f) GDPR. Vi har ett berättigat intresse av att behandla dina personuppgifter för att kunna bedriva, marknadsföra och utveckla vår verksamhet. | KRAV lagrar dina personuppgifter för dessa ändamål så länge som du har åtkomst till marknadsföringslådan och efterföljande två (2) år. |
| När du registrerar dig för och använder MITT KRAV behandlar vi dina personuppgifter för att bereda dig tillgång till tjänsten samt administrera och hantera din KRAV-certifiering. |
|
Vi baserar vår behandling av dina personuppgifter efter ingånget avtal på artikel 6.1 (b) GDPR. Behandlingen är nödvändig för att vi ska kunna uppfylla våra förpliktelser enligt det avtal till vilket du är part. | KRAV lagrar dina uppgifter under tiden du är registrerad på MITT KRAV och efterföljande tio (10) år. |
| När du tillhandahåller uppgifter till eller förekommer i tjänsten Hitta KRAV-märkt behandlar vi dina personuppgifter i syfte att kunna bedriva tjänsten, och därigenom tillåta webbplatsbesökare hitta (och KRAV-anslutna hittas) uppgifter om organisationer som är KRAV-certifierade. |
|
Vi baserar behandlingen på ingånget avtal på artikel 6.1 (b) GDPR. Behandlingen är nödvändig för att vi ska kunna uppfylla våra förpliktelser enligt det avtal till vilket du är part. | KRAV lagrar dina uppgifter under avtalets giltighetstid och efterföljande två (2) år, eller den längre tid som behövs för att fastställa, utöva eller försvara rättsliga anspråk. |
| När du frågar oss frågor eller kommenterar på inlägg i vårt konsumentforum behandlar vi dina personuppgifter i syfte att besvara dina frågor / ärenden samt att upplysa andra besökare om dina frågor och våra svar. |
|
Vi baserar behandlingen på ingånget avtal på artikel 6.1 (b) GDPR. Behandlingen är nödvändig för att vi ska kunna uppfylla våra förpliktelser enligt det avtal till vilket du är part. | KRAV lagrar dina personuppgifter i tio (10) år, eller den längre tid som behövs för att fastställa, utöva eller försvara rättsliga anspråk. Du kan begära att få din kommentar eller fråga raderad genom att anmäla ditt inlägg eller kommentar genom att trycka på varningstriangeln och skriva en förklaring till vad du vill göra. |
3.6 När du kontaktar eller interagerar med oss
När du kontaktar oss, exempelvis via e-post, våra kontaktformulär på våra hemsidor eller via våra sociala kanaler, behandlar vi dina personuppgifter som du har tillhandahållit oss i syfte att kunna besvara dina frågor, hantera ditt ärende eller på annat sätt interagera med dig.
Ändamål |
Personuppgifter |
Laglig grund för behandlingen |
Lagringstid |
| När du kontaktar oss via e-post eller kontaktformulär behandlar vi dina personuppgifter i syfte att kunna interagera med dig och besvara eventuella frågor. |
|
Vi baserar vår behandling av dina personuppgifter på artikel 6.1 (f) GDPR. Vi har ett berättigat intresse av att behandla dina personuppgifter för att kunna besvara dina frågor och/eller interagera med dig via e-post. | KRAV lagrar dina personuppgifter så länge det behövs för att hantera ditt ärende / besvara dina frågor, eller längre om det finns ett berättigat intresse. I sådant fall sparas de högst ett (1) år efter senaste kontakten med KRAV. Därefter raderas personuppgifterna. |
| När du kontaktar oss via våra sociala kanaler behandlar vi dina personuppgifter i syfte att kunna besvara dina frågor och/eller interagera med dig. |
|
Vi baserar vår behandling av dina personuppgifter på artikel 6.1 (f) GDPR och vårt berättigade intresse av att behandla dina personuppgifter för att kunna besvara dina frågor och/eller interagera med dig via våra sociala kanaler. | KRAV lagrar dina personuppgifter så länge det behövs för att hantera ditt ärende / besvara dina frågor, eller längre om det finns ett berättigat intresse. I sådant fall sparas de högst ett (1) år efter senaste kontakten med KRAV. Därefter raderas personuppgifterna. |
3.7 När vi kommunicerar med dig
Vi kan komma att behandla dina personuppgifter i syfte att kunna kommunicera relevant information och marknadsföring till dig avseende KRAVs verksamhet och produkter och tjänster. Om du inte önskar sådan kommunikation från oss äger du möjlighet att när som helst begära att vi upphör med att skicka kommunikation till dig för dessa ändamål genom att kontakta oss på info@krav.se.
Ändamål |
Personuppgifter |
Laglig grund för behandlingen |
Lagringstid |
| I syfte att vi ska kunna marknadsföra våra tjänster, vår verksamhet och övrig relevant information samt utveckla och förbättra vår verksamhet kan vi komma att behandla dina personuppgifter. |
|
Vi baserar vår behandling av dina personuppgifter på artikel 6.1 (f) GDPR. Vi har ett berättigat intresse av att behandla dina personuppgifter för att kunna marknadsföra våra tjänster, skicka dig övrigt relevant information samt utveckla och förbättra vår verksamhet. | KRAV lagrar dina personuppgifter för dessa ändamål i sex (6) månader från det att du tecknat upp dig för utskick eller på annat relevant sätt uttryckt intresse av att mottaga informationen. Därefter raderas dina personuppgifter. |
| I syfte att skicka dig vårt nyhetsbrev efter att du registrerat dig som prenumerant kommer vi behandla dina personuppgifter. |
|
Vi baserar vår behandling av dina personuppgifter efter ingånget avtal på artikel 6.1 (b) GDPR. Behandlingen är nödvändig för att vi ska kunna uppfylla våra förpliktelser enligt det avtal i vilket du är part. | KRAV lagrar dina personuppgifter för dessa ändamål till att du avregistrerar dig från nyhetsbrevet. Avregistrering sker via e-post till oss eller direkt via länken för avregistrering i respektive utskick. |
3.8 När du anmäler dig och deltar i evenemang eller seminarier
KRAV anordnar ibland evenemang. Vid anmälning till, och deltagande i, dessa evenemang måste vi behandla dina personuppgifter.
Ändamål |
Personuppgifter |
Laglig grund för behandlingen |
Lagringstid |
| Kommunikation kring och genomförande av evenemang. |
De genererade uppgifterna kan innefatta information om matallergier, vilket är en s.k. ”känslig personuppgift”. |
Vi baserar vår behandling av dina personuppgifter på artikel 6.1 (f) GDPR. Vi har ett berättigat intresse av att behandla dina personuppgifter för att kunna informera om våra evenemang för att utveckla och förbättra vår verksamhet.
Vi baserar vår behandling av dina personuppgifter på artikel 6.1 (b) GDPR. Behandlingen är nödvändig för att vi ska kunna uppfylla våra förpliktelser enligt det avtal i vilket du är part. Vad gäller känsliga personuppgifter behandlar vi dem bara med ditt explicita samtycke eller om du på ett tydligt sätt själv offentliggjort uppgifterna. |
KRAV lagrar uppgifterna ett (1) år från det att evenemanget genomfördes. |
| Uppföljning av evenemang |
|
Vi baserar vår behandling av dina personuppgifter på artikel 6.1 (f) GDPR. Vi har ett berättigat intresse av att behandla dina personuppgifter för att kunna bedriva och utveckla vår verksamhet. | KRAV lagrar uppgifterna ett (1) år från det att evenemanget genomfördes. |
3.9 När du förekommer i våra publiceringar på sociala medier eller våra webbplatser
Inom ramen för KRAVs verksamhet kan KRAV publicera inlägg på sociala medier eller våra webbplatser som innehåller marknadsföring eller redaktionellt innehåll. I det fall KRAV önskar att du förekommer med bild eller andra personuppgifter i marknadsföring kommer vi som huvudregel ingå ett medverkans-/ modellavtal med dig. Mer information om KRAVs användning av sociala medier och därmed förenad överföring av personuppgifter till tredjeland, se punkt 5.2 nedan.
Ändamål |
Personuppgifter |
Laglig grund för behandlingen |
Lagringstid |
| Informera om KRAVs verksamhet och initiativ (inklusive marknadsföring). |
|
Vi baserar vår behandling av dina personuppgifter efter ingånget avtal på artikel 6.1 (b) GDPR. Behandlingen är nödvändig för att vi ska kunna uppfylla våra förpliktelser enligt det avtal i vilket du är part.
Om avtal inte ingåtts baserar vi behandlingen på artikel 6.1 (f) GDPR och vårt berättigade intresse att informera om vår verksamhet och initiativ. |
KRAV lagrar dina uppgifter under avtalets giltighetstid och efterföljande 10 år, eller den längre tid som behövs för att fastställa, utöva eller försvara rättsliga anspråk.
Om avtal inte ingåtts lagrar KRAV uppgifterna i 5 år, om vi inte i det enskilda fallet har ett berättigat intresse att spara uppgifterna längre. |
3.10 När du söker anställning hos oss samt när du blir anställd
Ändamål |
Personuppgifter |
Laglig grund för behandlingen |
Lagringstid |
| När du ansöker om anställning hos oss behandlar vi dina personuppgifter för att kunna administrera och hantera din jobbansökan. |
|
Vi baserar vår behandling av dina personuppgifter på artikel 6.1 (f) GDPR. Vi har ett berättigat intresse av att behandla dina personuppgifter för att kunna administrera och hantera din jobbansökan samt för att kunna anordna en eventuell anställningsintervju med dig. | KRAV lagrar dina personuppgifter för dessa ändamål under rekryteringsprocessen. Uppgifternas sparas sedan i två (2) år för att uppfylla diskrimineringslagens (2008:567) krav. |
| När du påbörjar din anställning hos oss behandlar vi dina personuppgifter för att ingå ett anställningsavtal med dig samt för att tillförse dig med dina arbetsuppgifter enligt anställningsavtalet. |
|
Vi stöder vår behandling på artikel 6.1 (b) GDPR. Behandlingen är nödvändig för att kunna administrera och fullgöra det anställningsavtal vilket du är part i. | Vi lagrar dina personuppgifter under perioden vilken ditt anställningsavtal är gällande samt i två (2) år därefter för att uppfylla diskrimineringslagens (2008:567) krav. Ytterligare information om hur dina personuppgifter behandlas inom anställningsförhållandet finns i intern personuppgiftspolicy som du får tillgång till vid eventuell påbörjad anställning. |
3.11 Berättigade intressen
När vi stödjer behandling på artikel 6.1 (f) GDPR (berättigat intresse) innebär det att vi gjort en noggrann avvägning av att vårt berättigade intresse (som anges ovan) väger tyngre än dina intressen att inte få dina personuppgifter behandlade, samt att behandlingen är nödvändig för att uppnå ändamålen med den aktuella behandlingen. Du som registrerad har rätt att invända mot sådan behandling, se vidare 4.6 nedan.
4. Dina rättigheter avseende KRAVS behandling av dina personuppgifter
Som registrerad har du flera rättigheter i förhållande till dina personuppgifter enligt GDPR. Dessa rättigheter följer nedan. Om du vill utöva dina rättigheter kan du kontakta oss på ovan angivna kontaktuppgifter i avsnitt 1 i denna integritetspolicy.
4.1 Rätt till information
Du har rätt att få information om hur KRAV behandlar dina personuppgifter. Sådan information lämnas genom denna integritetspolicy i samband med att dina personuppgifter samlas in och finns alltid tillgänglig på våra webbplatser. Du har också rätt att få särskild information i det fall en personuppgiftsincident skulle inträffa som berör dina personuppgifter och det finns risk för t.ex. bedrägeri eller identitetsstöld. Sådan information kommunicerar vi direkt till dig via e-post.
4.2 Rätt till tillgång
Du har rätt att få tillgång till en sammanställning av dina personuppgifter som KRAV behandlar (registerutdrag). Under vissa förutsättningar kan dock KRAV neka din begäran om tillgång om du t.ex. begär tillgång många gånger under en kort tid.
4.3 Rätt till rättelse
Du har rätt att få felaktiga personuppgifter rättade eller kompletterade med personuppgifter som saknas. Rätten till rättelse gäller både personuppgifter som hämtats in från dig eller tredje part och din eventuella profil som KRAV skapat genom profilering. Du kan meddela oss via e-post till info@krav.se om du önskar att vi rättar eller kompletterar dina personuppgifter.
4.4 Rätt till radering
Du har rätt att begära att få dina personuppgifter raderade när de inte längre är nödvändiga att behandla för det ändamålet de samlades in för. Du kan meddela oss via e-post till info@krav.se om du önskar att vi raderar dina personuppgifter. Det finns emellertid lagkrav som förhindrar oss från att radera viss information, t.ex. bokföringslagen (1999:1078). Vi ser då till att sådana personuppgifter inte behandlas annat än i den utsträckning det krävs för att vi ska uppfylla dessa skyldigheter och begränsar tillgången för KRAVs medarbetare till sådana personuppgifter.
Du kan också ha rätt att få vissa personuppgifter raderade när du invänder mot behandling enligt punkten 4.6 nedan och KRAV inte har en åsidosättande berättigad grund för behandlingen.
4.5 Rätt till begränsning av behandling
Du har rätt att i vissa fall begära att vår behandling av dina personuppgifter begränsas. I det fall du anser att personuppgifterna som vi behandlar om dig är felaktiga och du har begärt rättelse kan du begära en begränsad behandling av dina personuppgifter. I sådana fall sker en begränsad behandling under den tid vi arbetar med att kontrollera huruvida personuppgifterna är korrekta eller inte, om behandlingen är olaglig och du motsätter dig att personuppgifterna raderas och i stället begär en begränsning av deras användning, om vi inte längre behöver personuppgifterna för ändamålen med behandlingen men du behöver dem för att kunna fastställa eller om vi behöver göra gällande eller försvara rättsliga anspråk. Du kan även begära att vår behandling av dina personuppgifter begränsas om du har invänt mot behandling baserad på en intresseavvägning (berättigat intresse), i sådana fall begränsas personuppgiftsbehandlingen under den tid vi arbetar med att kontrollera om våra berättigade intressen väger tyngre än dina berättigade intressen.
För det fall att behandlingen har begränsats enligt någon av situationerna ovan får vi endast, utöver själva lagringen, behandla uppgifterna för att fastställa, göra gällande eller försvara rättsliga anspråk, för att skydda någon annans rättigheter eller för att du har lämnat ditt samtycke.
4.6 Rätt att invända mot viss behandling
Du har rätt att när som helst invända mot vår behandling av dina personuppgifter som stöds på intresseavvägning som rättslig grund (berättigat intresse). En fortsatt behandling av dina personuppgifter kräver att vi visar ett berättigat skäl för den aktuella behandlingen. I annat fall får vi endast behandla uppgifterna för att fastställa, utöva eller försvara rättsliga anspråk. För skäl som anknyter till din specifika situation, har du även rätt att göra invändningar mot profilering och annan behandling av personuppgifter avseende dig, när behandlingen av informationen grundar sig i affärsrelationen mellan dig och KRAV.
Du har alltid rätt att invända mot direkt marknadsföring utan att en avvägning mellan olika intressen görs.
Som registrerad har du även rätt att inte bli föremål för beslut som enbart grundar sig på automatiserat beslutsfattande, om sådant beslutsfattande har rättsliga konsekvenser eller på liknande sätt påverkar dig väsentligt. Du har rätta att invända mot sådan behandling inklusive profilering. Rätten gäller emellertid inte om beslutsfattandet är nödvändigt för att ingå eller fullgöra ett avtal med dig eller om du har lämnat ett uttryckligt samtycke. KRAV tillämpar emellertid inte någon form av automatiserat beslutsfattande i dagsläget.
4.7 Rätt till dataportabilitet
Du har rätt att i vissa fall få dina personuppgifter överförda i strukturerat, allmänt använt och maskinläsbart format till en annan personuppgiftsansvarig, så kallad registerutdrag, förutsatt att överföringen är tekniskt möjlig och kan ske automatiserat. Det gäller för uppgifter som du har tillhandahållit oss och som vi behandlar med stöd av avtal eller samtycke som rättslig grund. Du kan meddela oss via e-post till info@krav.se om du önskar ett registerutdrag avseende dina personuppgifter.
4.8 Rätt att återkalla ditt samtycke
I de fall du har lämnat ditt samtycke har du rätt att när som helst återkalla samtycket. Du kan återkalla ditt samtycke genom att skicka ett meddela oss om detta via ovan angivna kontaktuppgifter i avsnitt 1.
4.9 Rätten att inge klagomål
I det fall du anser att vi behandlar dina personuppgifter i strid med GDPR har du rätt att inge klagomål till Integritetsskyddsmyndigheten (IMY) via nedan angivna kontaktuppgifter i avsnitt 8. Läs mer om hur du lämnar ett klagomål på IMY:s hemsida https://www.imy.se.
5. Vilka kan vi komma att dela din information till?
5.1 Överföring av dina personuppgifter inom EU/EES
KRAV säljer inte information om dig till tredje part. I bedrivandet av vår verksamhet är det emellertid nödvändigt att vi delar dina personuppgifter med vissa tredje parter i syfte att bland annat kunna tillhandahålla dig våra tjänster samt fullgöra vårt avtal med dig. Vi vidtar då alla rimliga tekniska, legala och organisatoriska möjligheter för att säkerställa att dina personuppgifter hanteras säkert och med en fullgod skyddsnivå. Följande kategorier av tredje parter kan komma att mottaga och behandla dina personuppgifter.
Leverantörer och underleverantörer
Leverantörer och underleverantörer är bolag som tillhandahåller KRAV med de tjänster och funktionaliteter som krävs för att vi ska kunna tillhandahålla dig våra tjänster. I de flesta fall är leverantörer och/eller underleverantörer bolag som endast har rätt att behandla de personuppgifter de mottar från KRAV för KRAVs räkning, så kallade personuppgiftsbiträden. Exempel på sådana leverantörer och underleverantörer är analys-, e-post-, IT- och ekonomiföretag. I förekommande fall behandlar emellertid vissa av dessa leverantörer och/eller underleverantörer dina personuppgifter för sina egna ändamål, och är därmed separat personuppgiftsansvariga för den delen av personuppgiftsbehandlingen. För att läsa mer om hur dessa bolag behandlar dina personuppgifter, hänvisar vi dig till deras integritetspolicys som du finner i tabellerna nedan under punkt 5.2.
KRAV behöver få tillgång till tjänster och funktionalitet från andra företag som KRAV inte själva kan erbjuda. Vi kan därför komma att dela dina personuppgifter med leverantörer eller underleverantörer för att få tillgång till dessa tjänster och funktionaliteter i utförandet av våra kontraktuella åtaganden mot dig eller för att uppfylla vårt berättigade intresse och för de andra syften som framgår i den här integritetspolicyn. Vi säkerställer att den behandling detta innebär är nödvändig för att fullfölja ett sådant intresse, och att vårt intresse väger tyngre än din rätt att inte få dina uppgifter behandlade för det syftet. Du har rätt att invända mot denna behandling i det fall vi stöder överföringen på berättigat intresse, på grund av omständigheter i ditt enskilda fall. Mer information om dina rättigheter hittar du i avsnitt 4.
Certifieringsorgan
För att bli KRAV-certifierad krävs att ett anslutningsavtal sluts med ett oberoende certifieringsorgan. För att kunna administrera och hantera din certifiering krävs att vi delar information certifieringsorganet, bland annat, i förekommande fall, information som du tillhandahåller i MITT KRAV. Vår rättsliga grund för sådana överföringar är fullgörandet av det avtal som du har ingått med oss och vårt berättigade intresse att administrera och hantera din certifiering.
Marknadsföringsbyråer
För att KRAV ska kunna skapa och genomföra marknadsförings- och annonseringsstrategier och/eller kampanjer är det nödvändigt för oss att dela dina personuppgifter med marknadsföringsbyråer. Vi baserar sådana överföringar av dina personuppgifter på vårt berättigade intresse att marknadsföra våra tjänster och vår verksamhet till dig och andra potentiella kunder. Du har rätt att invända mot överföringar av dina personuppgifter som vi baserar på våra berättigade intressen. Sådana invändningar kommer att utvärderas från fall till fall. Du hittar mer information om dina rättigheter i avsnitt 4 ovan.
Tillhandahållare av betal-, ekonomi- eller faktureringstjänster
Vi kommer att dela dina personuppgifter med företag som tillhandahåller oss med betal- eller faktureringstjänster/lösningar. Detta är nödvändigt för att vi ska kunna administrera dina betalningar och köp, genomföra våra betalningar, eller utbetala lön till våra anställda. Vår rättsliga grund för sådana överföringar är fullgörandet av det avtal som du har ingått med oss.
Tillhandahållare av rekryteringstjänster
Vi strävar alltid efter att ha de mest kompetenta medarbetarna och kommer därför att initiera rekryteringskampanjer från tid till annan. KRAV använder flera rekryteringstjänster för detta ändamål och kommer att dela dina personuppgifter med tillhandahållare av sådana rekryteringstjänster som är nödvändiga för att administrera din jobbansökan. Vi baserar sådana överföringar av dina personuppgifter på våra berättigade intressen att administrera din och andra kandidaters jobbansökningar. Du har rätt att invända mot överföringar av dina personuppgifter som vi baserar på våra berättigade intressen. Sådana invändningar kommer att utvärderas från fall till fall. Du hittar mer information om dina rättigheter i avsnitt 4 ovan.
Myndigheter
Vi är ibland skyldiga att lämna vissa uppgifter som behövs enligt lag till olika myndigheter, t.ex. Skatteverket, IMY, Jordbruksmyndigheten, Livsmedelsverket och Polisen. Ett exempel på när vi har laglig skyldighet att lämna ut sådana uppgifter är för att förhindra penningtvätt och terroristfinansiering enligt lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism. Vi kan även komma att lämna ut dina personuppgifter till myndigheter om du har godkänt att vi får göra detta. Vidare kan du vara skyldig enligt avtalet med oss, för att kunna bli KRAV-certifierad, att registrera dig till Jordbruksverkets och Livsmedelsverkets register över ekologiska aktörer.
5.2 Överföring av dina personuppgifter utanför EU/EES
I förekommande fall kan vi komma att dela dina personuppgifter med övriga aktörer i ett land utanför EU/EES, ett så kallat ”tredjeland”. I ett tredjeland gäller inte GDPR vilket kan innebära en ökad risk ur ett integritetshänseende avseende bland annat möjligheten för myndigheter i ett tredjeland att få tillgång till dina personuppgifter och för dina möjligheter att utöva kontroll över personuppgifterna. För att skydda dina personuppgifter samt för att upprätthålla en adekvat skyddsnivå avseende dina personuppgifter, baseras överföringen antingen på beslut från EU-kommissionen om adekvat skyddsnivå eller genom lämpliga säkerhetsåtgärder såsom bindande företagsbestämmelser godkända av den behöriga tillsynsmyndigheten, eller EU-kommissionens standardavtalsklausuler i kombination med organisatoriska och tekniska skyddsåtgärder.
Du kan läsa mer om vilka länder som anses ha adekvat skyddsnivå på EU-kommissionens hemsida genom att följa följande länk: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_sv.
Du kan läsa mer om standardavtalsklausuler genom att följa följande länk: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_sv.
Vi ämnar alltid genomföra en riskbedömning innan en överföring sker till ett tredjeland, och vidtar både tekniska och organisatoriska skyddsåtgärder för att säkerställa en lämplig skyddsnivå. Vi strävar alltid efter att överföra så få personuppgifter som möjligt till länder utanför EU/EES, och om möjligt i anonymiserad form. För mer information om vilka skyddsåtgärder som KRAV vidtar, vänligen se avsnitt 6 i denna integritetspolicy.
I tabellerna nedan kan du se ett antal mottagare utanför EU/EES som kan komma i fråga.
Leverantörer och underleverantörer
I vissa fall kan dina personuppgifter komma att delas med leverantörer och underleverantörer utanför EU/EES. Det kan handla om leverantörer av t.ex. marknadsföringstjänster och IT-tjänster som krävs för att bedriva vår verksamhet, med säte eller server i ett land utanför EU/EES.
Leverantör/ underleverantör |
Personuppgifter som kan komma att delas |
Beskrivning |
Kontaktuppgifter |
| Google LLC |
|
Google LLC tillhandahåller KRAV med bl.a. analysverktyget Google Analytics 4, marknadsföringsverktyget Google Ads och analysverktyg från och i förhållande till Youtube. Användningen av verktygen är nödvändiga för KRAVs verksamhetsutveckling samt marknadsföring. Överföringen av dina personuppgifter till Google LLC är således nödvändig för vårt användande av dessa verktyg.
Google LLC har sitt säte i USA, ett tredjeland med adekvat skyddsnivå enligt EU-kommissionen förutsatt att det mottagande bolaget i USA är anslutna till och certifierade under det transatlantiska avtalet EU-USA Data Protection Framework (”EU-USA DPF”). Vid den senaste uppdateringen av denna integritetspolicy är Google LLC anslutna till och certifierade under EU-USA DPF och alla tredjelandsöverföringar är därmed baserade på EU-kommissionens adekvansbeslut. Du kan även läsa mer om hur Google LLC behandlar personuppgifter i deras integritetspolicy här. |
Google LLC 1600 Amphitheatre Pkwy, Mountain View, CA 94043, USA |
| Meta Platforms, Inc. |
|
Meta Platforms, Inc. tillhandahåller KRAV med bl.a. analysverktyget Facebook Pixel. Användningen av verktygen är nödvändig för KRAVs verksamhetsutveckling. Överföringen av dina personuppgifter till Meta Platforms, Inc. är således nödvändig för vårt användande av dessa verktyg.
Meta Platforms, Inc. har sitt säte i USA, ett tredjeland med adekvat skyddsnivå enligt EU-kommissionen förutsatt att det mottagande bolaget i USA är anslutna till och certifierade under det transatlantiska avtalet EU-USA Data Protection Framework (”EU-USA DPF”). Vid den senaste uppdateringen av denna integritetspolicy är Meta Platforms, Inc. anslutna till och certifierade under EU-USA DPF och alla tredjelandsöverföringar är därmed baserade på EU-kommissionens adekvansbeslut. Du kan även läsa mer om hur Meta Platforms, Inc. behandlar personuppgifter i deras integritetspolicy här. |
Meta Platforms, Inc. 1601 Willow Road Menlo Park, CA 94025, USA |
| Shopify Inc. |
|
Shopify tillhandahåller KRAV med Shopify Analytics och andra analysverktyg och hemsidefunktioner (exempelvis betalningsfunktion). Användningen av verktygen är nödvändig för KRAVs marknadsföring och verksamhetsutveckling. Överföring av dina personuppgifter till Shopify är således nödvändig för vårt användande av dessa verktyg och funktioner. Shopify International Ltd. är dotterbolag till Shopify Inc.
Shopify Inc. som har sitt säte i Kanada, ett tredjeland med adekvat skyddsnivå enligt EU-kommissionen förutsatt att deras lagstiftning för skydd av personuppgifter i privat sektor är tillämplig på mottagarens personuppgiftsbehandling. Du kan även läsa mer om hur Shopify behandlar personuppgifter i deras integritetspolicy här. |
Shopify Inc. 151 O’Connor Street, Ground floor, Ottawa, Ontario, K2P 2L8, Canada.Shopify International Ltd. 2nd Floor 1-2 Victoria Buildings Haddington Road Dublin 4, D04 XN32, Ireland |
| Amazon Inc. |
|
Amazon Inc. tillhandahåller KRAV med bl.a. analys- och markandsföringsverktyg för webbplatsen www.krav.se. Användningen av verktygen är nödvändiga för KRAVs verksamhetsutveckling samt marknadsföring. Överföringen av dina personuppgifter till Amazon Inc. är således nödvändig för vårt användande av dessa verktyg.
Amazon Inc har sitt säte i USA, ett tredjeland med adekvat skyddsnivå enligt EU-kommissionen förutsatt att det mottagande bolaget i USA är anslutna till och certifierade under det transatlantiska avtalet EU-USA Data Protection Framework (”EU-USA DPF”). Vid den senaste uppdateringen av denna integritetspolicy är Amazon Inc. anslutna till och certifierade under EU-USA DPF och alla tredjelandsöverföringar är därmed baserade på EU-kommissionens adekvansbeslut. Du kan även läsa mer om hur Amazon Inc. behandlar personuppgifter i deras integritetspolicy här. |
|
| Automattic Inc. |
|
Aut O’Mattic A8C Ireland Ltd. tillhandahåller KRAV med tjänsten WordPress.com som, tillsammans med installerade tillägg, möjliggör för KRAV att bygga och tillhandahålla våra hemsidor. Tilläggen möjliggör tvåvägskommunikation via kontaktformuläret på hemsidan www.krav.se. Användningen av verktygen är nödvändigt för KRAV verksamhetsbedrivande- och utveckling. Överföringen av dina personuppgifter till Aut O’Mattic A8C Ireland Ltd. är således nödvändig för vårt användande av dessa verktyg.
Automattic Inc. är moderbolag till Aut O’Mattic A8C Ireland Ltd. Automattic Inc. säte i USA, ett tredjeland med adekvat skyddsnivå enligt EU-kommissionen förutsatt att det mottagande bolaget i USA är anslutna till och certifierade under det transatlantiska avtalet EU-USA Data Protection Framework (”EU-USA DPF”). Vid den senaste uppdateringen av denna integritetspolicy är Automattic Inc. i förhållande till tjänsten wordpress.com inte anslutna till och certifierade under EU-USA DPF. I stället baseras tredjelandsöverföringen på EU-kommissionens standardavtalsklausuler i kombination med andra tekniska och organisatoriska säkerhetsåtgärder. För mer information om detta och om hur Automattic Inc. och Aut O’Mattic A8C Ireland Ltd. behandlar personuppgifter, och hur personuppgifterna hanteras i förhållande till installerade tillägg finns i deras integritetspolicy. |
Automattic Inc. 60 29th Street #343 San Francisco, CA 94110, United States of AmericaAut O’Mattic A8C Ireland Ltd. Grand Canal Dock, 25 Herbert Pl Dublin, D02 AY86 |
| Cloudflare Inc. |
|
Cloudflare Inc. tillhandahåller KRAV med diverse hemsidefunktioner genom cookies. Användningen av verktygen är nödvändiga för KRAVs verksamhetsbedrivande- och utveckling. Överföringen av dina personuppgifter till Cloudflare är således nödvändig för vårt användande av dessa verktyg.
Cloudflare har sitt säte i USA, ett tredjeland med adekvat skyddsnivå enligt EU-kommissionen förutsatt att det mottagande bolaget i USA är anslutna till och certifierade under det transatlantiska avtalet EU-USA Data Protection Framework (”EU-USA DPF”). Vid den senaste uppdateringen av denna integritetspolicy är Cloudflare anslutna till och certifierade under EU-USA DPF och alla tredjelandsöverföringar är därmed baserade på EU-kommissionens adekvansbeslut. Du kan även läsa mer om hur Cloudflare behandlar personuppgifter i deras integritetspolicy här. |
Cloudflare Inc. 101 Townsend St, San Francisco, CA 94107 USA |
Sociala medier
När du interagerar med oss i sociala medier såsom Facebook, Instagram, LinkedIn och Twitter, kommer även dessa företag samla och behandla dina personuppgifter. Detta innebär att en överföring av dina personuppgifter, t.ex. din bild och ditt namn, kommer att ske till tredjeland utanför EU/EES-området, närmare bestämt USA. Överföringen är nödvändig för att du ska kunna kontakta och interagera med oss i sociala medier.
| Social media | Personuppgifter som kan komma att delas | Beskrivning | Kontaktuppgifter |
| Facebook och Instagram |
|
Genom att använda tjänsterna för att kontakta eller interagera med oss behandlas dina personuppgifter av företaget Meta Platforms Ireland Ltd, ett dotterbolag till Meta Platforms, Inc.
Meta Platforms, Inc. har sitt säte i USA, ett tredjeland med adekvat skyddsnivå enligt EU-kommissionen, förutsatt att det mottagande amerikanska bolaget är anslutna till och certifierade under EU-USA Data Privacy Framework (”EU-USA DPF”). Vid den senaste uppdateringen av denna integritetspolicy är Meta Platforms, Inc. anslutna till och certifierade under EU-USA DPF och alla tredjelandsöverföringar är därmed baserade på EU-kommissionens adekvansbeslut. Du kan även läsa mer om hur Meta Platforms Ireland Ltd. behandlar personuppgifter i deras integritetspolicy här. |
Meta Platforms Ireland Ltd. 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland. |
|
Genom att använda tjänsten för att kontakta eller interagera med oss behandlas dina personuppgifter av LinkedIn Ireland Unlimited Company, ett dotterbolag till LinkedIn Corporation.
LinkedIn Company har sitt säte i USA, ett tredjeland med adekvat skyddsnivå enligt EU-kommissionen, förutsatt att det mottagande amerikanska bolaget är anslutna till och certifierade under EU-USA Data Privacy Framework (”EU-USA DPF”). Vid den senaste uppdateringen av denna integritetspolicy är LinkedIn Corporation anslutna till och certifierade under EU-USA DPF och alla tredjelandsöverföringar är därmed baserade på EU-kommissionens adekvansbeslut. LinkedIn anger vidare att standardavtalsklausuler används parallellt: https://www.linkedin.com/help/linkedin/answer/a1343190?trk=microsites-frontend_legal_privacy-policy&lang=en Du kan även läsa mer om hur LinkedIn Ireland Unlimited Company och LinkedIn Corporation behandlar personuppgifter i deras integritetspolicy här. |
LinkedIn Corporation 1000 W Maude Ave, Sunnyvale, CALinkedIn Ireland Unlimited Company Wilton Pl, Dublin, Irland |
|
| Twitter / X |
|
Genom att använda tjänsten för att kontakta eller interagera med oss behandlas dina personuppgifter av företaget Twitter International Unlimited Company, ett dotterbolag till X Corporation.
X Corporation har sitt säte i USA, ett tredjeland med adekvat skyddsnivå enligt EU-kommissionen förutsatt att det mottagande bolaget i USA är anslutna till och certifierade under det transatlantiska avtalet EU-USA Data Protection Framework (”EU-USA DPF”). Vid den senaste uppdateringen av denna integritetspolicy är X Corporation inte anslutna till och certifierade under EU-USA DPF. I stället baseras tredjelandsöverföringen på EU-kommissionens standardavtalsklausuler i kombination med lämpliga tekniska och organisatoriska säkerhetsåtgärder. Du kan även läsa mer om hur Twitter International Unlimited Company och X Corp. behandlar personuppgifter i deras integritetspolicy här. |
Twitter International Unlimited Company One Cumberland Place, Fenian Street Dublin 2, D02 AX07, IRLANDX Corp. 1355 Market Street, Suite 900 San Francisco, CA 94103, USA |
| YouTube |
|
Genom att använda tjänsten för att kontakta eller interagera med oss behandlas dina personuppgifter av företaget Google Ireland Limited, ett dotterbolag till Google LLC.
Google LLC har sitt säte i USA, ett tredjeland med adekvat skyddsnivå enligt EU-kommissionen förutsatt att det mottagande bolaget i USA är anslutna till och certifierade under det transatlantiska avtalet EU-USA Data Protection Framework (”EU-USA DPF”). Vid den senaste uppdateringen av denna integritetspolicy är Google LLC. anslutna till och certifierade under EU-USA DPF och alla tredjelandsöverföringar är därmed baserade på EU-kommissionens adekvansbeslut. Du kan även läsa mer om hur Google Ireland Limited behandlar personuppgifter i deras integritetspolicy här. |
Google Ireland Limited Gordon House, Barrow Street, Dublin 4, Irland |
6. Hur skyddar vi dina personuppgifter?
KRAV vidtar en rad tekniska och organisatoriska åtgärder för att skydda dina personuppgifter mot förlust, missbruk, obehörig åtkomst, obehörigt röjande, förändring eller förstöring. KRAV är engagerade i att löpande utveckla vår informationssäkerhet i syfte att skydda dina personuppgifter. För mer information om vilka säkerhetsåtgärder vi vidtar och vad dessa innebär för dig och dina personuppgifter, vänligen skicka ett e-postmeddelande till info@krav.se.
7. Uppdatering av denna dataskyddsinformation
Vi förbättrar och utvecklar hela tiden våra tjänster samt webbplatser och innehållet i denna integritetspolicy ändras över tid. Vi uppmanar dig att läsa denna integritetspolicy varje gång du använder våra tjänster. Om betydande förändringar har gjorts i våra tjänster eller denna integritetspolicy så kan vi meddela dig genom e-post eller på annat sätt.
8. Kontaktuppgifter till KRAV och integritetsskyddsmyndigheten
KRAV arbetar ständigt för att säkerställa att vi följer dataskyddslagstiftningen på alla de marknader där vi erbjuder våra tjänster. Om du har frågor om behandlingen av dina personuppgifter eller om du vill göra gällande dina rättigheter enligt avsnitt 4 ovan, är du välkommen att kontakta oss på info@krav.se.
För det fall du inte är nöjd med vår hantering av ditt ärende har du rätt att lämna klagomål till Integritetsskyddsmyndigheten (IMY) genom följande kontaktuppgifter:
Integritetsskyddsmyndigheten
E-post: imy@imy.se
Webbplats: www.imy.se
Postadress: Integritetsskyddsmyndigheten, Box 8114, 104 20 Stockholm
Denna integritetspolicy uppdaterades senast 2024-05-27.