Policy för behandling av personuppgifter

Policy för integritet och behandling av personuppgifter i GAEU Ventures AB

Syfte

Vi värnar om den personliga integriteten. Den som anförtror oss sina personuppgifter ska kunna känna sig trygg i att dessa hanteras på ett omdömesfullt och säkert sätt. Det gäller även våra kunder och andra intressenter som inom ramen för vår verksamhet låter oss behandla personuppgifter för vilka de står som ansvariga. Därför har vi upprättat den här policyn. Den utgår från gällande dataskyddslagstiftning och utstakar riktlinjer för hur vi ska hantera avvägningen mellan den personliga integriteten, verksamhetens förutsättningar och annan tillämplig lagstiftning.

Syftet med den här policyn är dels att fastställa riktlinjerna för vårt interna arbete, dels att på ett transparant sätt visa våra intressenter hur vi behandlar personuppgifter. I slutänden handlar det om att skydda personuppgifter från att komma obehöriga tillhanda och om att underlätta för de som är registrerade att få reda på vilka uppgifter vi behandlar om dem samt att på ett enkelt sätt kunna radera dessa på begäran från den registrerade om och när lagstiftningen så tillåter.

Giltighet

Den Europeiska Dataskyddsförordningen (GDPR) trädde i kraft 25 maj 2018. Vi ser att innebörden av

den emellanåt blir föremål för tolkningar och att praxis därför kan komma att ändras över

tiden. GAEU Ventures är ett litet företag som behandlar personuppgifter åt en stor mängd kunder, investeringskandidater och investeringsobjekt (benämns fortsättningsvis i denna policy gemensamt som ”kunder”) med varierande kravställningar som kan ligga till grund för ändrade rutiner. Därför kan denna policy komma att uppdateras regelbundet. Den aktuella policyn är alltid den som finns på vår hemsida. Denna version antogs av ledning och styrelse 1 juli 2021. Tidigare versioner upphör då att gälla.

GAEU Ventures AB 

GAEU Ventures är ett investmentbolag som investerar i innovativa småföretag i Sverige och det nordiska närområdet. Vi hanterar personuppgifter både för egen och för våra kunders räkning. GAEU har enbart juridiska personer som kunder och både privatpersoner och juridiska personer som investerare. GAEU är personuppgiftsansvarig när vi behandlar personuppgifter för våra medarbetare, jobbkandidater och kontaktpersoner hos leverantörer, kunder och potentiella kunder. Denna policy omfattar hur vi ska behandla personuppgifter i denna roll.


Skäl för behandling av personuppgifter

Vi behandlar inte personuppgifter i annat fall än när de behövs för att fullgöra verksamhetens syfte eller förpliktelser enligt avtal och lag. Vi ska vara noga med att motivera vilket skäl som föreligger för att vi behandlar en personuppgift. Här delar vi in detta enligt nedan:

  • Lagkrav

  • Avtalsmässiga åtaganden

  • Verksamhetsmässiga skäl, s k intresseavvägning

  • Samtycke från den registrerade*

* Vi sparar aldrig personuppgifter längre än vad som är motiverat av verksamhetens syfte eller förpliktelser enligt avtal och lag. Därför ser vi ingen situation där vi kommer att behöva inhämta samtycke för behandling av personuppgifter. Dock kan det uppstå situationer där större mängder av personuppgifter av administrativa skäl inte alltid kan raderas omedelbart efter det att verksamhetsmässiga syften och förpliktelser enligt lag och avtal har slutat gälla. I sådana situationer ska enskilda personuppgifter omedelbart raderas på begäran från den registrerade.

Vi behandlar följande typ av personuppgifter

En personuppgift är all information som direkt eller indirekt kan hänföras till en fysisk levande person. Nedan följer exempel på personuppgifterna vi behandlar. Vi kan i enskilda fall behandla andra personuppgifter utöver nedanstående.

  • Namn

  • Adress

  • E-postadress

  • Telefonnummer

  • Ålder

  • Födelsedatum

  • Kön

  • Titel

  • Användarnamn och lösenord

  • Fotografier

  • Bankkontonummer och andra bankrelaterade uppgifter

  • Löneuppgifter

  • Uppgifter som har lämnats till oss i samband med rekryteringsprocesser, t ex utbildning och arbetslivserfarenhet

Särskilt känsliga personuppgifter

Vi behandlar vanligtvis inte sådana personuppgifter som GDPR klassificerar som känsliga personuppgifter. Det kan dock i undantagsfall ske att vi i samband med specifika personalärenden, tex rehabilitering eller andra arbetsrättsliga ärenden för våra anställda (då som personuppgiftsansvarig) behandlar känsliga personuppgifter. I de fall som behandlingen av sådana personuppgifter avviker från behandlingen av andra personuppgifter framgår det av denna policy.

Vi behandlar personuppgifter avseende följande grupper

Som personuppgiftsansvarig behandlar vi personuppgifter avseende våra anställda, det gäller främst de uppgifter som finns i ett normalt anställningsavtal, uppgifter avseende lönehantering samt uppgifter relaterade till HR, t ex underlag för individuell utveckling. Samtliga sådana uppgifter sparas aldrig längre än vad lagstiftningen kräver av oss. Det innebär bl a att HR-relaterade uppgifter raderas snarast efter det att en anställd har slutat.


Kandidater

Vi behandlar dels personuppgifter avseende personer som själv söker anställning hos oss eller våra kunder, dels personuppgifter som vi söker fram via LinkedIn. Personuppgifter som samlas in genom att kandidaten själv delger dem sparas så länge som det är verksamhetsmässigt motiverat, dock aldrig längre än två år efter det att de samlades in. Personuppgifter som samlas in via LinkedIn sparas i LinkedIns egna system och sparas därför aldrig längre än kandidaten väljer att tillgängliggöra dem på LinkedIn.

Kunder

Vi behandlar personuppgifter om kontaktpersoner hos våra befintliga kunder. Dessa personuppgifter behandlas aldrig på annat sätt än vad som kan motiveras med den pågående kundrelationen. Dessa personuppgifter sparas maximalt två år efter avslutad kundrelation.


Potentiella kunder

Vi behandlar personuppgifter om kontaktpersoner hos potentiella kunder. Dessa personuppgifter behandlas aldrig på annat sätt än vad som kan motiveras med en normal sälj- och marknadsbearbetning. I de fall dessa personuppgifter används för riktade utskick ska det på ett tydligt sätt framgå hur man kan avregistrera sig och när någon gör det, ska personuppgifterna raderas. Detsamma gäller om någon hör av sig till oss och begär att få sina personuppgifter raderade.

Leverantörer/partners

Vi behandlar personuppgifter om kontaktpersoner hos våra befintliga leverantörer/partners. Dessa personuppgifter behandlas aldrig på annat sätt än vad som kan motiveras med den pågående affärsrelationen. Dessa personuppgifter sparas maximalt två år efter avslutat samarbete.

Behandling av personuppgifter

Nedan beskrivs våra riktlinjer för hur vi behandlar personuppgifter i varje steg från insamling till slutlig radering. För att säkerställa att riktlinjerna uppfylls i det dagliga arbetet har vi rutiner som beaktar och omfattar samtliga nedan angivna steg i behandlingen av personuppgifter. I tillämpliga fall skriver vi dessutom in rutiner för behandling av personuppgifter i den uppdragsbeskrivning vi har

med respektive kund.

  • Samla in och registrera

  • Strukturera, organisera, bearbeta och använda

  • Lagra och skydda

  • Distribuera, överlåta och sprida

  • Radera

Samla in och registrera

  • Vi ska enbart samla in sådana personuppgifter som vi utifrån vår verksamhet är skyldiga att behandla enligt lag eller som kan anses ha väsentlig betydelse för att fullgöra våra befintliga åtaganden mot våra kunder och medarbetare så som vår verksamhet ser ut idag. Vi ska inte samla in personuppgifter i syfte att i framtiden använda dem till något annat än vad de är ämnade till idag.

  • Enda undantaget till ovan är personuppgifter som syftar till att bedriva marknadsföring och försäljning mot personer i egenskap av befattningshavare i företag som finns inom vår målgrupp samt personuppgifter som kommer oss tillhanda i samband med rekrytering av personal.

  • Vi ska aldrig samla in personuppgifter i syfte att direkt eller indirekt sälja dem.

  • Vi bedömer utifrån punkterna ovan att vi inte i något fall behöver samtycke för att samla in de personuppgifter som vi behandlar och därför ska vi heller aldrig fråga om samtycke.

  • Insamlingen av personuppgifter ska ske på ett sådant sätt att personuppgifterna snarast efter det att vi fått dem, ska överföras till de system eller den lagringsplats där de ska användas. Detta i syfte att säkerställa en säker lagring av personuppgifterna. Detta innebär att personuppgifter aldrig ska finnas kvar i mejl, webbformulär, fysiska papper eller motsvarande om dessa dokument inte kan anses utgöra en del av den långsiktiga lagringen av personuppgifter och att skyddet av personuppgifterna därmed är fullgott.

Strukturera, organisera, bearbeta och använda

  • Vi använder enbart personuppgifter i sitt primära syfte, d v s i enlighet med de ändamål och skäl för vilka de ursprungligen samlades in eller överläts till oss. Dessa ändamål framgår i avtal eller annan typ av överenskommelse med våra kunder och medarbetare eller i rutindokument som i detalj styr användandet av specifika personuppgifter.

  • I de fall vi strukturerar eller bearbetar personuppgifter görs detta aldrig med ett syfte eller på ett sätt som ändrar det ursprungliga ändamålet för användningen eller möjliggör att personuppgifterna analyseras på ett sätt som inte är förenligt med ändamålet.


Lagra och skydda

  • Vi lagrar enbart personuppgifter där vi kan säkerställa att de har ett fullgott skydd. Det innebär följande:

    • Fysiskt material som innehåller personuppgifter förvaras inlåst i brandklassade skåp som enbart behörig person har åtkomst till.

    • Digital lagring på egen server skyddas av brandvägg från ledande tillverkare. Endast behörig personal har åtkomst till serverrummet.

    • Digital lagring i molnet sker enbart i CRM-system (och liknande) hos stora etablerade leverantörer som garanterar minst den säkerhet som motiveras av personuppgifternas art och de avtalsmässiga skyldigheter vi har i relation till våra kunder.

  • Antivirusprogram finns installerat på samtliga servrar och klienter. Antivirusdefinitioner uppdateras automatiskt dagligen.

  • Åtkomsten av data (både från egen server och från de system som finns i molnet) styrs av behörigheter utifrån principen att ingen medarbetare ska ha tillgång till data som inte krävs för att vi ska kunna fullgöra våra skyldigheter mot kunder och myndigheter. Alla medarbetare har egen inloggning med lösenord som skapas och byts i enlighet med de rekommendationer som gäller för hög säkerhet.

Distribuera, överlåta och sprida

  • Vi sprider eller överlåter aldrig personuppgifter till tredje part med undantag för vad vi enligt lag är skyldiga att rapportera in till myndigheter (t ex Skatteverket och Försäkringskassan).

  • Vi tolkar regelverket så att vi fortfarande kan distribuera personuppgifter till den registrerade eller till personuppgiftsansvarige via mejl. För att säkerställa ett högt integritetsskydd vid distribution av personuppgifter gäller dock följande:

    • Vi distribuerar aldrig s.k. känsliga personuppgifter via vanliga okrypterade mejl, utan använder då distributionsformer med högre säkerhet.

    • Vi undviker att mejla personuppgifter tillsammans med andra uppgifter för att underlätta för mottagaren att radera mejlet så fort personuppgifterna är sparade i enlighet med mottagarens riktlinjer.

Radera

  • Vi ska alltid radera personuppgifter när de inte längre behövs för de skäl som de har samlats in och använts för. I många fall är vi dock beroende av att de system vi använder för behandling av personuppgifter är anpassade för att radera uppgifter på ett administrativt hanterbart sätt. Vi utgår just nu från följande riktlinjer för radering av personuppgifter för vilka det inte längre föreligger skäl att spara:

    • Alla sådana uppgifter ska raderas senast inom två år.

    • På begäran från personuppgiftsansvarig att radera en större mängd personuppgifter, ska detta göra så snart som det är administrativt möjligt, dock senast inom tre månader.

    • På direkt begäran från personuppgiftsansvarig eller från en registrerad att radera personuppgifter avseende en enskild registrerad ska uppgifterna raderas snarast, dock senast inom en månad.

    • Eventuella känsliga uppgifter ska raderas snarast.

  • När vi avslutar engagemanget i en kund återlämnar vi på begäran alla personuppgifter till kunden eller till annan av kunden hänvisad part. Därefter raderas alla personuppgifter relaterat till kunden. I vissa fall kan delar av vår avtalsmässiga skyldighet kvarstå under en övergångstid. Det kan t ex gälla skyldigheten att rapportera in uppgifter till myndigheter. I sådana fall raderas personuppgifterna när denna skyldighet upphör.

Den registrerades rättigheter

Som registrerad innehar man ett antal rättigheter relaterade till hur personuppgifter behandlas.

Nedan följder de rättigheter som har störst relevans för vår verksamhet och de personuppgifter som vi behandlar:

Rätt till information

Den registrerade har rätt att få information om vilka personuppgifter vi behandlar, ett s k registerutdrag.

Rätt till rättelse eller ändringar

Den registrerade har rätt att begära rättelse av felaktiga uppgifter eller ändra lämnade personuppgifter.

Rätt till återkallelse av samtycke

Vi använder oss i princip aldrig av samtycke som skäl att behandla personuppgifter. I de fall då detta eventuellt ändå har skett så har den registrerade alltid rätt att återkalla detta samtycke och då raderar vi de personuppgifter som är insamlade med samtycke.

Rätt till radering under vissa omständigheter

Den registrerade har rätt att få sina uppgifter raderade i de fall vi har använt verksamhetsmässiga skäl, s k intresseavvägning, som skäl för att behandla personuppgifter. Denna rätt gäller dock inte om vi t ex är skyldiga att behandla personuppgifterna enligt lag.


Notera att den registrerades rättigheter i vissa fall måste utövas mot den personuppgiftsansvariga som i sin tur säkerställer att vi vidtar relevanta åtgärder.

Webbplats

Användning av Cookies

Cookies är små textfiler som lagras på din enhet. Vår webbplats använder cookies som ger insikter för oss så att vi kan göra din upplevelse av att besöka vår webbplats bättre. Cookies innehåller ingen personlig information. Genom att använda vår webbplats accepterar du användning av cookies i din webbläsare.

Om du vill välja bort eller ta bort dina cookies, gå till inställningarna i din webbläsare och ändra dina cookies-inställningar.

Cookies vi använder på denna webbplats

Vi använder Google Analytics för trafikanalys och för att förstå våra besökares surfvanor på vår webbplats. Dessa cookies innehåller ingen personlig information. 

Kontaktformulär på vår webbplats

När du använder någon form av kontaktformulär på vår webbplats förutsätter vi att du godkänner att vi samlar in ​​och lagrar den information du ger oss. 

Övrigt

Om du har frågor angående denna policy är du välkommen att maila oss på info@gaeuventures.se