Integritet och säkerhet

Senast uppdaterad: 30 januari 2023

Bakgrund

Vi på IDI Profiling AB, org. nr 556988-5196 (”Företaget” eller ”vi”) värnar om din integritet och säkerhet. GDPR, lagen för behandling av personuppgifter, ställer högre krav på öppenhet och därför finns den här sidan för dig för att du ska veta vad vi gör i behandlingen av personuppgifter. Det finns ett antal områden som tillsammans ger dig helheten över hur vi ser på integriteten och säkerheten, både för dig som varit i kontakt med eller är kund till Företaget. Dessa har vi delat in i ett antal avsnitt som kan komma att uppdateras och fyllas på med mer information framöver. 

 
GDPR

GDPR står för General Data Protection Regulation och är en ny dataskyddsförordning från EU som kommer bli en lag i alla EU:s medlemsländer från 25 maj 2018. GDPR kommer ersätta den nuvarande lagen Personuppgiftslagen (PUL). Lagen är till för att skydda individers integritet och avser att modernisera, harmonisera och förstärka skyddet inom EU.

Inom varje EU-medlemsland finns en tillsynsmyndigheten som kommer kontrollera detta. I Sverige heter denna myndighet Integritetskyddsmyndigheten, tidigare Datainspektionen. På deras hemsida finns mer information och hjälp att ta del. https://www.datainspektionen.se/dataskyddsreformen

Behandling av personuppgifter

Lagen handlar om hur personuppgifter behandlas, vilket är två viktiga begrepp att förstå. Personuppgifter kan förklaras som varje upplysning som avser en identifierad eller identifierbar enskild person (även kallad registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras, särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer, eller till en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. Behandling av dessa uppgifter innebär att en person genomför en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej. Exempel på sådan behandling är insamling, strukturering, lagring, bearbetning, spridning eller radering.

Känsliga personuppgifter

Det finns en speciell kategori av personuppgifter som lagen tar upp och som personuppgiftsansvarig behöver vara extra uppmärksam på, det är känsliga personuppgifter. Exempel på känsliga personuppgifter är uppgifter som avslöjar etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter om hälsa och sexualliv. Utgångspunkten är att det är förbjudet att behandla dessa personuppgifter, men det finns ett antal undantag. I Sverige pågår en utredning kring dessa uppgifter och de ser över att ta fram en kompletterande svensk lagstiftning. Läs mer om känsliga personuppgifter här.

Personuppgiftsansvarig och personuppgiftsbiträde

I behandlingen av personuppgifter finns det framförallt två roller att känna till och beroende på rollen så finns det olika ansvarsområden. Den personuppgiftsansvariga (PuA) är den som enligt lagen har det yttersta ansvaret för behandlingen och bestämmer ändamål och medlen. Den personuppgiftsansvarige ska se till att lagen följs, ska informera de personer vars personuppgifter behandlas och ska säkerhetsställa den personuppgiftsbiträdes efterlevnad. Personuppgiftsbiträdet (PuB) behandlar personuppgifterna för den personuppgiftsansvariges räkning och har ansvar för de tekniska och organisatoriska säkerhetsåtgärderna.

Ansvarig och biträde för uppgifter i Företagets tjänster

All behandling av personuppgifter i programmen är du som kund personuppgiftsansvarig för. Företaget är personuppgiftsbiträde och vidtar tekniska och organisatoriska säkerhetsåtgärder för att du ska känna dig trygg med att dina insamlade personuppgifter ska behandlas säkert och enligt lagen. Företaget tekniska och organisatoriska åtgärder finns beskrivet under Säkerhet.

Företaget som personuppgiftsansvarig

All behandling av personuppgifter om dig som kund, användare eller deltagare på våra event är vi personuppgiftsansvariga över när du beställer Företagets tjänster, kontaktar oss eller anmäler dig till någon av våra event. Vad vi gör, eller inte gör, med dina personuppgifter har vi beskrivit i vår Integritetspolicy.

Grundläggande principer i GDPR

Lagen bygger på 7 grundläggande principer:

  • Laglighet, korrekthet och öppenhet
  • Ändamålsbegränsning
  • Uppgiftsminimering
  • Korrekthet
  • Lagringsminimering
  • Integritet och konfidentialitet
  • Ansvarsskyldighet

Vad de grundläggande principerna innebär kan du läsa om på Integritetsskyddsmyndighetens hemsida.

Rättsliga grunder

I uppfyllnad av principen om laglighet, korrekthet och öppenhet behövs stöd i dataskyddsförordningen för att behandlingen av personuppgifter ska vara tillåten. Dessa rättsliga grunder handlar om att det behövs ett samtycke, avtal, rättslig förpliktelse, grundläggande intressen, allmänt intresse, myndighetsutövning eller intresseavvägning för att få behandla personuppgifter.

Rättslig grund för uppgifter i Företagets tjänster

Vilka rättsliga grunder som finns för behandlingen av personuppgifter i Företagets tjänster måste personuppgiftsansvarig ta reda på och dokumentera. Det kan variera från fall till fall beroende på verksamhet, vilka lagar ni behöver följa, om ni samlar in uppgifter som krävs eller som kan vara bra att ha.

Ostrukturerat material

I PUL har vi i Sverige haft en undantag där vi inte behövt tänka på hur personuppgifter behandlas, detta undantag heter “Missbruksregeln”. Det har inneburit att vi har kunnat haft personuppgifter i så kallat ostrukturerat material, vilket är löptext och fritext som exempelvis dokument, e-post, hemsidor eller anteckningsfält i system. Missbruksregeln försvinner nu i och med GDPR och innebär att det behöver kartläggas vilka personuppgifter som finns i allt ostrukturerat material och hanteras på samma sätt som med strukturerat material.


Säkerhet

Företaget som personuppgiftsbiträde har ansvaret för de tekniska och organisatoriska säkerhetsåtgärderna i och kring Företaget tjänster. Det innebär att vi ska se till att det finns den säkerhet som behövs exempelvis krypterad lagring, behörighetsstyrning, möjlighet att kunna göra registerutdrag och radera personuppgifter. När det inte finns funktioner för att hantera personuppgifterna har vi interna rutiner för detta. De åtgärder som Företaget vidtar beskrivs närmare nedan.

Autentisering och kryptering

All datakommunikation i vår webbplats sker med Secure Sockets Layer (SSL). Företaget använder krypterad kommunikation i form av 256-bitars SSL-kryptering och 2048-bitars publika nycklar från RSA. All datakommunikation till och från Användarens datorer krypteras med SSL, den mest använda Internetstandarden för krypterad kommunikation.

Lagring och backuper

Företaget webbplats driftas på servrar i datahallar som övervakas dygnet runt och det finns alltid personal tillgänglig. Lagringen av data finns på två geografiskt separerade platser i Sverige med full redundans och backuper tas dagligen.

Kunskaps- och informationsskydd

Endast ett fåtal nyckelpersoner känner till hur säkerhetssystemet är uppbyggt. All personal är bunden av ett sekretessavtal som förhindrar spridning av data, information, samt kundens eller användarens personuppgifter. Endast behörig personal har tillgång till uppgifterna och behörigheten styrs av Företagets IT-avdelning


Incidenthantering

I GDPR finns det ett nytt krav vid personuppgiftsincidenter, vilket är att incidenter behöver rapporteras till Integritetsskyddsmyndigheten inom 72 timmar. För att kunna uppfylla de nya skyldigheterna enligt förordningen är det viktigt att ha tillräckliga rutiner på plats för att kunna upptäcka, rapportera och utreda personuppgiftsincidenter.

Incident

Om en incident inträffar kan det innebär att det blir en personuppgiftsincident. Ett problem i Företagets IT miljö som genererar felaktig data eller saknad data kategoriseras som en programrelaterad incident. Skulle denna data innehålla personuppgifter blir det även en personuppgiftsincident. Det kan också bli en personuppgiftsincident om en säkerhetsincident leder till obehörigt röjande av eller obehörig åtkomst till de behandlade personuppgifterna.

Incidentprocess

Företaget har ett incidentteam som sköter nödvändig samordning, kommunikation och ansvar för att bedöma, reagera på och lära sig av incidenter för att minska risken att det sker igen. Beroende på incidentens karaktär och påverkan involveras de personer som krävs för att hantera incidenten. Processen för hanteringen är grunden för flödet som med kompletterande rutiner tydliggör vem som gör vad och hur situationen ska hanteras. Processen är indelad i delprocesserna identifiering av incident, konsekvensanalys, åtgärdsprocess, kommunikation och Root Cause Analysis (RCA).

Vid identifieringen av incident sker en identifiering av vilken typ av incident det är frågan om. I delprocessen Konsekvensanalys sker en analys över omfattningen vilka kunder och användare som påverkas av incidenten och vad konsekvenserna blir. I Åtgärdsprocessen sker bedömning och prioritering av problemet för att säkerhetsställa åtgärdsplan samt verkställandet av åtgärden. Vid en personuppgiftsincident är sammanställning av rapport en aktivitet, där vi utgår ifrån Integritetsskyddsmyndighetens mall som beskriver att vi ska ha med information om:

  • Vilken typ av incident det är fråga om
  • Vilka kategorier av personer som kan komma att beröras
  • Hur många personer det berör
  • Vilka konsekvenser incidenten kan få
  • Vilka åtgärder man vidtagit för att motverka ev. negativa konsekvenser

Incident och åtgärder kommuniceras ut till berörda som drabbats. Vid personuppgiftsincident finns anmälan till Integritetsskyddsmyndigheten som en aktivitet i denna delprocess. Efter att åtgärder är genomförda och berörda har blivit informerade genomförs en Root Cause Analysis i syfte att förhindra att problemet uppstår igen.


Integritetspolicy

Det är vår målsättning att följa alla vid var tid gällande lagar och regler för personuppgiftsskydd. Denna policy hjälper dig bland annat att förstå vilken slags information vi samlar in och hur denna används. Genom att godkänna policyn när du lämnat uppgifter så samtycker du till behandling av dina personuppgifter i enlighet med nedan.

Parter och ansvar för behandlingen av dina personuppgifter

IDI Profiling AB nedan kallas “IDI”, 556988-5196, Alströmergatan 45, 112 47 Stockholm är programleverantör av ett webbaserat program utvecklat för att hjälpa personer att bättre förstå hur andra upplever dem, som nedan kallas “Tjänsten”. IDI är personuppgiftsbiträde för behandling av dina personuppgifter i Tjänsten och har då ansvar för de organisatoriska och tekniska säkerhetsåtgärder som finns beskrivet på vår hemsida idi.se under ”Integritet och Säkerhet”. Personuppgiftsansvarig för behandlingen av dina uppgifter i Tjänsten är “Klienten” som är den registrerade organisationen hos IDI. Du som är användare och har egna inloggningsuppgifter till Tjänsten kallas nedan för “Användaren”. Du som är samarbetspartner, leverantör eller återförsäljare av tjänster där programmet används och kallas “Affärspartner”. Klienter har personer vars kontaktuppgifter finns registrerade hos IDI för att vi ska kunna kontakta er, de kallas nedan “Kontaktpersoner”.

IDI är personuppgiftsansvarig för behandlingen av de personuppgifter som du delar med oss när:

  • du beställer Tjänsten
  • du får inloggningsuppgifter och blir användare av Tjänsten
  • du använder app.IDI.se
  • du ingår avtal med IDI och blir affärspartner
  • du registreras som kontaktperson hos IDI för din organisation
  • du har en fråga och/eller kontaktar oss
  • du besöker vår hemsida och accepterar cookies

Vilka personuppgifter behandlar vi?

IDI är personuppgiftsansvarigt för behandlingen av dina personuppgifter. IDI kommer att behandla de personuppgifter som du lämnar eller har lämnat till IDI i syfte fullfölja dina åtaganden gentemot dig som användare av våra tjänster. Personuppgifter kan även behandlas för att IDI ska kunna fullgöra sina förpliktelser enligt lag, förordning eller föreläggande från myndighet. De personuppgifter som IDI behandlar är krypterade och behandlas enligt nedan. IDI behandlar de personuppgifter som du självmant lämnat till oss. Exakt vilken typ av personuppgifter detta är beror på vilka uppgifter du valt att registrera.

Varför behandlar vi dina personuppgifter?

IDI samlar in personuppgifter om dig som användare och kund för att kunna tillhandahålla Tjänsten, samt ge dig bästa möjliga upplevelse av både Tjänsten och vår hemsida. Det behövs för att vi ska kunna identifiera dig, administrera ditt konto, för statistiska ändamål och för nyhetsbrev och direktmarknadsföring (vilket du kan avregistrera dig från). De personuppgifter som samlas in vid beställning behövs för att hantera ordern, fakturera och skicka inloggningsuppgifter till dig och kontakta dig. Alla användares personuppgifter behövs för att kunna ge dig tillgång till Tjänsten, för att du ska kunna använda Tjänsten, kunna skapa en behandlingshistorik åt dig som kund, kunna identifiera dig samt veta vilka användare och Klienter som använder Tjänsten. Företagsuppgifter om dig som affärspart behövs för att fullgöra avtalet och kontaktuppgifter om dig som kontaktperson för att kunna kontakta dig. Vi behandlar också uppgifterna för att skicka utvärdering och genomföra uppföljning. När du kontaktar oss via någon av IDI kommunikationskanaler används informationen om dig för att kunna hantera ärendet, kunna kontakta dig, i utbildningssyfte och bidrar till att förbättra vår service genom att spara ärendet vid återkommande frågor från dig eller andra frågeställare med samma fråga. Besöker du IDI hemsida samtycker du till cookies för behandlingen av dina uppgifter.

Vilka delar vi personuppgifter med?

I användningen av vissa program eller funktioner i programmen kan vi komma att dela personuppgifter med leverantörer till IDI både inom och utanför EU/EES. En fullständig översikt avseende mottagare och platser för respektive behandling av personuppgifter i Tjänsten, finns eller kommer finnas tillgänglig på IDI hemsida under “Integritet och Säkerhet”. Leverantörerna har motsvarande skyldigheter gällande behandlingen av personuppgifter som du som kund avtalat med oss och framgår av Personuppgiftsbiträdesavtalet. Dina uppgifter som kund kan komma att samköras med en tredje parts register för att samla in mer information om dig som kund. Vi kan behöva dela personuppgifterna med andra bolag för att vi ska kunna tillhandahålla Tjänsten och fullfölja våra åtaganden gentemot dig, t.ex. vid beställning av IDI-häften.

Hur länge sparar vi dina personuppgifter?

IDI sparar personuppgifter om dig som kund så länge det finns en kundrelation eller är nödvändigt för att uppnå de ändamål som beskrivs i denna policy. Vid avtalets upphörande kommer IDI radera alternativt anonymisera dina uppgifter inom en rimlig tid efter uppsägning, om inte annan svensk eller europeisk lag, domstol eller myndighet säger något annat. Dina uppgifter kan sparas baserat på intresseavvägning om det finns säkerhets- eller ekonomiska skäl. Hur länge dina personuppgifter som användare lagras hos oss varierar beroende på syftet till att de samlats in. Uppgifter som samlas in när du kontaktar oss lagras så länge du är kund hos oss för att fullgöra vårt åtagande. Vid avslutad kundrelation kan vi lagra det baserat på intresseavvägning som bevismaterial ifall det skulle uppstå problem. Lagringen begränsas då till ett system och med kontrollerad behörighetsstyrning.

  • Deltagare
    Generellt sparar vi personuppgifter från personer “Deltagare” som lämnar uppgifter för att göra IDI-profiler i vårt system i tre (3) år.
  • Respondenter
    De mejladresser som “Deltagare” registrerar i vårt system för att bjuda in respondenter sparas i sex (6) månader efter att profilen levererats.

Vilka rättigheter har du?

Du som är registrerad hos IDI har flera rättigheter som du bör känna till. Du har rätt att kostnadsfritt en gång per år, förutsatt att du har berättigade skäl, begära ett registerutdrag över vilken information som finns registrerad om dig. Du har i vissa fall även rätt till dataportabilitet av personuppgifterna. Du har rätt till att få dina personuppgifter korrigerade om de är felaktiga, ofullständiga eller missvisande och rätt att begränsa behandlingen av personuppgifter tills de blir ändrade. Du har rätten att bli glömd, men radering av personuppgifter kan inte ske om det krävs för att fullgöra avtalet eller om annan svensk eller europeisk lag, domstols- eller myndighetsbeslut säger annat, samt om det baseras på intresseavvägning. Skulle du tycka att det inte finns berättigade skäl eller att intresseavvägningen är felaktig har du rätt att invända mot behandlingen. Du har också rätt att dra in ett samtycke, lämna klagomål om behandlingen till Datainspektionen, motsätta dig automatiskt beslutsfattande, profilering och invända mot direktmarknadsföring.

Ändringar i Integritetspolicy

IDI förbehåller sig rätten att göra ändringar i denna integritetspolicy när som helst i tiden i den utsträckning ändringarna är nödvändiga för att åtgärda störningar eller för att uppfylla nya legala eller tekniska krav. Alla ändringar av denna Integritetspolicy kommer att publiceras på Webbplatsen.

En ny version av denna integritetspolicy gäller från och med den tidpunkt som anges i den nya versionen av integritetspolicyn och blir gällande gentemot dig när du, efter sådan tidpunkt, använder vår webbplats eller på annat sätt godkänner de uppdaterade villkoren. Den vid var tid gällande integritetspolicyn finns tillgänglig på idi.se


Cookies

Företagets hemsida innehåller så kallade Cookies. Cookies möjliggör att hemsidan kommer ihåg viktig information som gör ditt besök på hemsidan bekvämare.

Vad är cookies och hur använder vi cookies?

Företagets hemsida innehåller så kallade Cookies. Cookies är en liten textfil som placeras på datorn av en webbserver och fungerar som ett ID-kort. Cookies möjliggör att hemsidan kommer ihåg viktig information som gör ditt besök på hemsidan bekvämare. Liksom de flesta andra hemsidor, använder vi cookies för att förbättra din internetupplevelse på följande sätt:

  • Du har loggat in på webbplatsen och skall därigenom slippa logga in på varje ny sida du besöker.
  • Hjälpa dig att hålla reda på vilka varor du lagt i din varukorg.
  • Anpassa våra tjänster efter de användarpreferenser du angivit.
  • Räkna antalet användare och trafik. Genom att förstå hur webbplatsen används kan vi utveckla och förbättra den.
  • Anpassa våra tjänster så att du får reklam som är relevant för dig.
  • Samla in och analysera beteendedata baserat på användning av webbplats och tjänster i syfte att förbättra användarupplevelsen och även möjliggöra individanpassad kommunikation och budskap till användaren.

Det finns två typer av cookies och på Företagets webbplats används båda. Den ena typen, som kallas för Permanent Cookie, sparar en fil som ligger kvar på besökarens dator. Den används till exempel för att kunna anpassa en webbplats efter besökarens önskemål, val och intressen samt för statistikuppföljning. Nedan har vi listat alla cookies, deras syfte, vilket domän de tillhör och deras livslängd. Den andra typen kallas Session Cookie. Under tiden en besökare är inne på en webbsida, lagras den temporärt i minnet i besökarens dator. Session Cookies försvinner när du stänger din webbläsare. På Företagets webbplats används också tredjepartscookies för bland annat Google Analytics och Remarketing. Syftet är att förstå hur vår sida används och kunna förbättra den, samt att kunna göra riktad reklam. Om du inte vill ta emot cookies kan du i din webbläsare ändra inställningar för cookies, och du kan även spärra cookies. Observera att om du spärrar cookies kommer du inte kunna använda alla funktioner på Företagets hemsida.

Klicka på följande länkar för att läsa mer om hur du ändrar inställningarna för cookies:

Inställningar för cookies i Internet Explorer

Inställningar för cookies i Firefox

Inställningar för cookies i Chrome

Inställningar för cookies i Safari

Cookies på idi.se

Domän Beskrivning
IDI Webbplatsfunktionalitet
Google Beteende-data
Rulla till toppen