Integritetspolicy
1. Bakgrund och syfte
Denna Integritetspolicy (”Policyn”) beskriver hur Railcare Group AB (publ), org. nr 556730-7813 (”vi”, ”vår” och ”oss”) behandlar personuppgifter.
Vi behandlar dina personuppgifter när du lämnat dem till oss själv eller när vi erhållit dem från någon annan (s.k. tredje part) på det sätt som beskrivs i denna Policy.
Railcare Group består av Railcare Group AB (publ), 556790-7813, Näsuddsvägen 10, 932 32 Skelleftehamn, och följande svenska dotterbolag:
Railcare Aktiebolag, 556600-2514, Railcare Export AB, 556502-3925, Railcare Lining AB, 556873-4817, Railcare Production AB, 556980-8586, och Railcare T AB, 556904-6674.
Varje dotterbolag behandlar dina personuppgifter i egenskap av personuppgiftsansvarig och har därför en skyldighet att se till att behandlingen sker i enlighet med denna Policy och vid var tid gällande personuppgiftslagstiftning. Du som registrerad har alltid rätt att kontakta det dotterbolag som du har varit i kontakt med genom att skicka brev till Box 34, 932 21 Skelleftehamn för att göra dina rättigheter gällande. Du har också alltid rätt att kontakta oss på info@railcare.se. Se avsnitt 3 nedan för mer information om dessa rättigheter.
Vi värnar om din personliga integritet och tar frågor om dataskydd på största allvar. I denna Policy redogörs därför bl.a. för vilka kategorier av personuppgifter vi behandlar, för vilka ändamål vi behandlar dem och vilken laglig grund vi stödjer behandlingen på. Vi redogör också för vilka som kan ha åtkomst till och behandla uppgifterna, principerna för gallring, vilka tredje parter vi kan komma att dela personuppgifterna med, var personuppgifterna behandlas samt dina rättigheter som registrerad i form av rätt till information, rättelse och radering m.m. Vi ber dig noggrant ta del av Policyn och bekanta dig med innehållet eftersom den tillämpas genomgående i vår verksamhet vid behandling av personuppgifter.
Det kan hända att vi emellanåt behöver uppdatera eller ändra Policyn. Om så sker kommer vi att informera dig på ett lämpligt sätt och be dig att ta del av de ändringar som gjorts. Den senaste versionen av Policyn hittar du alltid på vår hemsida.
Vi hoppas att denna Policy besvarar dina frågor kring vår behandling av samt skyddet för dina personuppgifter. Om du har ytterligare frågor eller funderingar är du alltid välkommen att kontakta oss på Box 34, 932 21 Skelleftehamn ovan eller via info@railcare.se.
2. Vår behandling av personuppgifter
Vi behandlar personuppgifter om våra anställda, kontaktpersoner hos såväl befintliga som potentiella kunder och leverantörer samt arbetssökande. Under avsnitten nedan redogörs, i förhållande till varje kategori av personer, för vilka personuppgifter vi behandlar, för vilka ändamål vi behandlar dem och vilka behandlingar som utförs, vilken laglig grund vi stödjer behandlingen på samt under vilken tid uppgifterna lagras.
2.1 Anställda
Ändamål | Laglig grund | Kategorier av personuppgifter |
För personaladministrativa ändamål. | Fullgörande av anställningsavtalet med dig och vårt berättigade intresse att bedriva personaladministration. | Grundläggande information om dig, såsom namn, personnummer, adress, e-post, telefonnummer och ålder. |
För publicering på vår hemsida och i annat marknadsföringsmaterial under förutsättning att du har en chefs- eller kundrelaterad position. | Vårt berättigade intresse av att kunna marknadsföra våra tjänster och för att ange dina kontaktuppgifter. | Ditt foto. |
För att i händelse av t.ex. olycksfall eller frånvaro/sjukdom kunna kontakta dina anhöriga. | Vårt berättigade intresse av att kunna kontakta dina anhöriga i frågor som rör dig. | Kontaktuppgifter till dina anhöriga. |
För att avgöra om förutsättningarna för anställning är uppfyllda. | Behandlingen krävs enligt lag som gäller för oss som arbetsgivare. | I förekommande fall information om ditt medborgarskap och arbetstillstånd/ uppehållstillstånd. |
För att administrera och fullgöra skyldigheter avseende lön/sjuklön, frånvaro, försäkringar, kontakter med Försäkringskassan och andra myndigheter, rehabiliterings- och anpassningsåtgärder samt bedömning av arbetsförmåga. | Fullgörande av anställningsavtalet med dig samt rättslig förpliktelse för oss som arbetsgivare. | Hälsodata såsom uppgifter om sjukfrånvaro, dina egna intyg, läkarintyg och utredningar, sjuklön samt information som rör rehabilitering. |
För att administrera och fullgöra skyldigheter avseende lön, frånvaro, ledighet inklusive semesterledighet samt övriga förmåner inklusive försäkringar och tjänstepension. | Fullgörande av anställningsavtalet med dig samt rättslig förpliktelse för oss som arbetsgivare. | Uppgifter om arbetad tid, frånvaro, lön, semester, försäkringar, pension och andra förmåner samt information om bankkonto och liknande information. |
För att kunna beräkna uppsägningstid, fastställa förmåner samt beräkna turordning. | Fullgörande av anställningsavtalet med dig samt rättslig förpliktelse för oss som arbetsgivare. | Start- och slutdag i anställningen. |
För att följa lagen om anställningsskydd. | Fullgörande av anställningsavtalet med dig samt rättslig förpliktelse för oss som arbetsgivare. | Anställningsform och anställningsvillkor. |
För att effektivisera och förbättra vår verksamhet och för din egen kompetensutveckling. | Vårt berättigade intresse av att effektivisera och förbättra vår verksamhet och för din egen kompetensutveckling samt följa lagen om anställningsskydd. | CV, utbildningar, kvalifikationer, tidigare erfarenhet och tidigare anställningar samt prestation och arbetsutvärdering. |
För att uppfylla krav på förhandling med din arbetstagarorganisation enligt lag, utfärda arbetsgivarintyg samt uppfylla åtaganden enligt arbetsmiljölagen, lagen om facklig förtroendemans ställning på arbetsplatsen och lag om styrelserepresentation för de privatanställda. | Behandlingen krävs enligt lag som gäller för oss som arbetsgivare. | I förekommande fall medlemskap i arbetstagarorganisation, arbetslöshetskassa, ställning som facklig förtroendeman och skyddsombud samt arbetstagarrepresentant i styrelsen. |
För att följa lagen om straff för marknadsmissbruk på värdepappersmarknaden. | Behandlingen krävs enligt lag som gäller för oss som arbetsgivare. | Namn, telefonnummer, e-post, hemadress, personnummer och i förekommande fall passinformation. För ledande befattningshavare inhämtas även namn och kontaktuppgifter till närstående. |
Lagringstid
Vi lagrar dina personuppgifter i en form som möjliggör identifiering av dig så länge som det är nödvändigt för att uppfylla ändamålet med behandlingen, dock längst i ett (1) år efter anställningens upphörande, såvida det inte rör sig om personuppgifter som vi enligt lag är skyldiga att behandla under en längre tid.
Kontaktuppgifter till dina anhöriga raderas i samband med anställningens upphörande. Information om medlemskap i arbetstagarorganisation m.m. raderas efter att facklig förhandling och övriga förpliktelser enligt lag är fullgjorda.
2.2 Kontaktpersoner hos potentiella kunder och leverantörer
För kontaktpersoner hos potentiella kunder och leverantörer gäller följande:
Ändamål | Behandlingar som utförs | Kategorier av personuppgifter |
För att kunna ta kontakt och sedan upprätthålla och utveckla kontakten med dig. För att kunna ta emot offerter och andra erbjudanden. | Lagring av lämnade personuppgifter i våra verksamhetssystem. Kommunikation med dig. | Namn. Kontaktuppgifter (såsom adress till företaget, e-postadress och telefonnummer). Arbetsgivare/potentiell kund eller leverantör. I förekommande fall befattning. |
Laglig grund
Intresseavvägning. Behandlingen stödjer sig på vårt berättigade intresse av att kunna upprätta och utveckla affärsrelationer med potentiella kunder och leverantörer.
Lagringsperiod
Från insamlandet och därefter i ett (1) år såvida det inte under denna tidsperiod har utvecklats en relation mellan oss och dig som kontaktperson hos potentiell kund eller leverantör.
2.3 Kontaktpersoner hos kunder och leverantörer
För kontaktpersoner hos befintliga kunder och leverantörer gäller följande:
Ändamål | Behandlingar som utförs | Kategorier av personuppgifter |
För att kunna kontakta dig i egenskap av kontaktperson hos vår kund eller leverantör. | Lagring av lämnade personuppgifter i våra verksamhetssystem. Kommunikation med dig. | Namn. Kontaktuppgifter (såsom adress till företaget, e-postadress och telefonnummer). Arbetsgivare/kund eller leverantör. I förekommande fall befattning. |
Laglig grund
Intresseavvägning. Behandlingen stödjer sig på vårt berättigade intresse av att bibehålla våra affärsrelationer och tillhandahålla våra tjänster.
Lagringsperiod
Under den tid vi bedömer att uppgifterna är nödvändiga för att bibehålla affärsrelationen med och tillhandahålla våra tjänster till den kund eller samarbetspartner som du är representant för. Gallring sker så snart vi fått kännedom om att uppgifterna inte längre är adekvata eller nödvändiga för ändamålet, t.ex. om kund- eller leverantörsförhållandet upphör, du som kontaktperson har bytt tjänst eller arbetsgivare eller gått i pension, eller på din begäran. Dina uppgifter lagras aldrig längre än ett (1) år från det att kund- eller leverantörsförhållandet har upphört.
2.4 Kontaktuppgifter till arbetssökande
För behandlingen av arbetssökandes personuppgifter gäller följande:
Ändamål |
För att kunna administrera ansökningsförfarandet. |
Laglig grund
Intresseavvägning. Behandlingen stödjer sig på vårt berättigade intresse av att genomföra rekryteringsförfaranden.
Lagringsperiod
Uppgifterna sparas så länge de är nödvändiga för rekryteringsförfarandet och därefter i upp till ett (1) år efter avslutat förfarande.
2.5 Vem mer kan dina personuppgifter delas med?
Vi använder en tredjepartsleverantör, Cision Sverige AB (ett företag registrerat i Sverige, vars säte är på Linnégatan 87 D, 104 51, Stockholm) för att tillhandahålla prenumerationstjänster.
När du uppger personuppgifter till oss kan det innebära en överföring av dessa uppgifter utanför Europeiska ekonomiska samarbetsområdet (”EEA”). Det beror på att vissa av Cisions servrar är belägna utanför EEA. I alla sådana fall vidtas nödvändiga åtgärder för att säkerställa en tillräcklig skyddsnivå för sådana uppgifter.
2.6 Hur håller vi dina personuppgifter säkra?
Vi säkerställer säkerheten för dina personuppgifter. Vår leverantör, Cision, har genomfört följande åtgärder.
Mänsklig säkerhet
- noggrann screening under anställningsprocessen
- alla anställda måste förstå och godkänna informationssäkerhetspolicyn.
- vid uppsägning eller byte av anställning tas rättigheterna bort eller uppdateras för att säkerställa att anställda endast har tillgång till information som krävs för deras jobb.
Fysisk säkerhet
- Informationssystem och infrastruktur är hostade hos välrenommerade datacenter i och ”infrastruktur-as-a-service” (IaaS) leverantörer.
- kontor har fysiska entrékontroller för att endast auktoriserad personal får tillgång till anläggningarna.
- hostinganläggningar som använder biometrisk säkerhet, videoövervakning och en 24/7 bemannad vakt.
Programvarusäkerhet
- regelbundna bedömningar av sårbarhet av de applikationer som används (dynamisk), applikationskoden (statisk) och den underliggande infrastrukturen med hjälp av industristandard.
- manuell penetrationstest på årsbasis.
- applikationer följer en flerskiktad modell, som ger möjlighet att tillämpa kontroller i varje lager, öva på ”försvar i djupet” (”defense in depth”).
- Datacenter följer branschstandardmetoder och ger regelbundna intyg av deras årliga revisioner, t.ex. SOC Type II.
Kommunikationssäkerhet
- kryptografiska protokoll som TLS för att skydda information under transport över offentliga nätverk.
- I nätverkets utkant används brandväggar, webbapplikationsbrandväggar och DDoS-skydd för att filtrera attacker.
- applikationer följer en flerskiktad modell som ger möjlighet att tillämpa säkerhetskontroller mellan varje lager.
- E-postsystem använder moderna skräppostfilter och filter mot skadlig ”malicious” kod för att förhindra utbrott och ”phishing”-försök.
- Webbnavigering kontrolleras och filtreras efter kända skadliga webbplatser för att förhindra infektion av interna system och dataläckage.
Operativ säkerhet
- Alla servrar och datorer har industristandard antivirusprogramvara installerad som uppdateras och övervakas kontinuerligt.
- Servrar skickar loggar till ett centralt arkiv för forensisk lagring och korrelation för att upptäcka avvikande aktivitet och underlätta undersökningar.
- Säkerhetskopior tas regelbundet och lagras off-site på en säker plats i händelse av en allvarlig händelse på hostinganläggningen.
2.7 Behandling av teknisk data
Vi behandlar teknisk data rörande enheter som används vid besök av vår hemsida (t.ex. IP-adress) samt analyser och statistik om hur du har använt vår hemsida. Dessa data behandlas för att vi ska kunna:
- Utveckla och förbättra våra produkter och tjänster
- skicka kundanpassade nyhetsbrev och
- kommunicera relevant information till våra kunder, leverantörer och intressenter.
Behandlingen av teknisk data stödjer sig på vårt berättigade intresse av att kunna utvärdera användningen av och förbättra vår hemsida samt marknadsföra våra varor och tjänster.
2.8 Gallringstider
Vi sparar inte personuppgifter längre än nödvändigt. När förhållandet som anställt, kund, leverantör eller intressent upphör lagrar vi dina uppgifter i ett (1) år.
Vissa uppgifter kan dock behöva sparas för längre tid för att uppfylla andra legala krav, till exempel bokföringslagen där vi behöver spara uppgifter i sju (7) år. Det finns också skäl att spara uppgifterna för längre tid om det pågår en utredning eller en tvist.
2.9 Hur får vi tillgång till dina personuppgifter?
Vi får tillgång till dina personuppgifter som du tillhandahåller oss direkt.
Vi får också tillgång till personuppgifter på följande sätt:
- Uppgifter från offentliga register
- Uppgifter som vi får när vi anlitas som leverantör
- Uppgifter som vi får när du anmäler dig till nyhetsbrev och andra utskick.
- Uppgifter som vi får när du kontaktar oss, söker anställning hos oss, besöker oss eller på annat sätt tar kontakt med oss.
2.10 Vilken information ger vi till dig?
När vi samlar in dina personuppgifter för första gången kommer vi genom denna Policy att informera dig om hur vi har fått tag i personuppgifterna, vad vi kommer att använda dem till, vilka rättigheter du har enligt dataskyddslagstiftningen och hur du kan ta tillvara dessa. Du kommer också att bli informerad om vem som är ansvarig för personuppgiftsbehandlingen och hur du kan kontakta oss om du har frågor eller behöver lämna en begäran eller förfrågan som avser dina personuppgifter och/eller rättigheter.
Denna information kommer att skickas via e-post med en hänvisning till denna Policy. Gällande version av Policyn kommer alltid att finnas tillgänglig via vår hemsida.
2.11 Behandling av personnummer
I den mån vi behandlar personnummer utan ditt samtycke kommer detta endast att ske när det är klart motiverat med hänsyn till ändamålet, vikten av en säker identifiering eller något annat beaktansvärt skäl.
2.12 Direktmarknadsföring
Om du har samtyckt till att erhålla sådan information från oss kan vi komma att använda dina personuppgifter för direktmarknadsföring, innefattande även kommunikation angående våra tjänster och information om viktiga händelser hos oss. Med direktmarknadsföring avses alla typer av uppsökande marknadsföringsåtgärder, t.ex. utskick via post, e-post och sms. Du har rätt att kostnadsfritt motsätta dig att dina uppgifter används för sådana syften och varje utskick från oss i marknadsföringssyfte innehåller en möjlighet till avregistrering, s.k. opt-out. Om du väljer att avregistrera dig från fortsatta utskick kommer vi att göra en notering i våra affärssystem om att upphöra med att rikta direktmarknadsföring till dig.
2.13 Skyddet för dina personuppgifter
Vi har vidtagit en rad säkerhetsåtgärder för att tillse att vår behandling av personuppgifter sker på ett säkert sätt och för att skydda de personuppgifter vi behandlar mot olovlig tillgång, obehörig behandling och missbruk. T.ex. är tillgången till de system i vilka personuppgifterna lagras begränsad till våra anställda och tjänsteleverantörer som behöver nå uppgifterna inom ramen för sina arbetsuppgifter. Dessa är även informerade om vikten av att säkerheten för personuppgifterna upprätthålls. Vi övervakar även kontinuerligt våra system för att upptäcka sårbarheter och för att skydda dina personuppgifter.
2.14 Var behandlar vi dina personuppgifter?
Vi har som mål att alltid behandla dina personuppgifter inom EU/EES där alla våra egna IT-system finns. Det kan dock förekomma att dina personuppgifter delas med personuppgiftsbiträden som antingen själva eller genom underleverantörer är etablerade eller lagrar information i ett land utanför EU/EES. I sådant fall kommer vi att vidta alla rimliga legala, organisatoriska och tekniska åtgärder som krävs för att säkerställa att skyddsnivån för den behandlingen motsvarar den inom EU/EES. Detta kommer att ske antingen genom ett beslut av EU-kommissionen om att landet ifråga säkerställer en adekvat skyddsnivå eller genom användandet av lämpliga skyddsåtgärder såsom standardavtalsklausuler eller godkända uppförandekoder i våra avtal med sådana personuppgiftsbiträden.
2.15 När lämnar vi ut dina personuppgifter?
Vi kan använda oss av tredje part vid direktmarknadsföring, reklamutskick, datalagring samt IT-support och då använda oss av personuppgiftsbiträden. Vi kan även lämna ut uppgifter om det är nödvändigt för att uppfylla våra förpliktelser enligt avtal eller lag.
Om vi använder oss av personuppgiftsbiträden får dessa bara behandla de överförda uppgifterna för vår räkning och i enlighet med våra uttryckliga instruktioner. Vi överför bara dina personuppgifter till sådana personuppgiftsbiträden för ändamål som är förenliga med de ändamål för vilka vi har samlat in uppgifterna och vi säkerställer genom skriftliga avtal med personuppgiftsbiträdena att de åtar sig att följa våra säkerhetskrav och begränsningar samt krav avseende internationell överföring av personuppgifter.
I vissa situationer kan dock myndigheter och vissa av de företag som vi överför personuppgifter till enligt ovan vara självständigt personuppgiftsansvariga för de överförda uppgifterna. När dina personuppgifter överförs till någon som är självständigt personuppgiftsansvarig styr vi inte över hur uppgifterna sedan behandlas, utan ansvaret för detta faller då på den myndighet eller det företag som överföringen skett till, innebärande bl.a. att den myndigheten eller det företaget är skyldig att informera dig om dess behandling av dina personuppgifter och att säkerställa att behandlingen är laglig.
3. Dina rättigheter som registrerad
I detta avsnitt beskrivs vilka rättigheter du har som registrerad. Du kan alltid göra dessa rättigheter gällande genom att kontakta info@railcare.se
3.1 Rätten till tillgång
Om du vill få information om vilka personuppgifter vi behandlar om dig kan du begära att få tillgång till uppgifterna. Informationen kommer då att lämnas i form av ett registerutdrag som anger vilka personuppgifter vi behandlar, för vilka ändamål vi behandlar dem, var uppgifterna har inhämtats från, vilka tredje parter som uppgifterna har överförts till samt hur länge uppgifterna kommer att lagras. Om din begäran görs i elektronisk form kommer informationen att tillhandahållas i ett elektroniskt format som är allmänt använt, om du inte begär något annat.
3.2 Rätten till rättelse
Du har rätt att utan dröjsmål få felaktiga uppgifter om dig rättade. Du har även rätt att komplettera ofullständiga uppgifter.
3.3 Rätten till radering
Du har rätt att utan dröjsmål få dina personuppgifter raderade om något av följande inträffar:
a) personuppgifterna inte längre är nödvändiga för de ändamål för vilka de samlades in eller på annat sätt behandlas;
b) du återkallar ditt samtycke för en behandling som stödjer sig på samtycke och det finns inte någon annan rättslig grund för behandlingen;
c) du invänder mot en behandling som stödjer sig på en intresseavvägning och ditt skäl för invändningen väger tyngre än vårt berättigade intresse;
d) personuppgifterna har behandlats på ett olagligt sätt;
e) personuppgifterna måste raderas för att vi ska kunna uppfylla en rättslig förpliktelse.
3.4 Rätten till begränsning av behandling
Du har rätt att begära att behandlingen av dina personuppgifter begränsas om något av följande alternativ är tillämpligt:
a) du bestrider personuppgifternas korrekthet under en tid som ger oss möjlighet att kontrollera om uppgifterna är korrekta;
b) behandlingen är olaglig och du motsätter dig att uppgifterna raderas och i stället begär en begränsning av deras användning;
c) vi inte längre behöver personuppgifterna för ändamålen med behandlingen men du behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk;
d) du har invänt mot en behandling som stödjer sig på en intresseavvägning och vi kontrollerar om våra berättigade skäl väger tyngre än dina berättigade skäl.
Om behandlingen har begränsats i enlighet med denna punkt får sådana personuppgifter som begränsning av behandling ska ske för, med undantag för lagring, endast behandlas för att fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda tredje parts rättigheter eller skäl som rör ett viktigt allmänintresse för EU eller för en EU-medlemsstat.
3.5 Rätten till dataportabilitet
I de fall vår behandling av personuppgifter stödjer sig på ditt samtycke eller fullgörande av avtal har du rätt att begära att de uppgifter som berör dig och som du lämnat till oss överförs till en annan personuppgiftsansvarig. En förutsättning för detta är dock att överföringen är tekniskt möjlig och att den kan ske automatiserat.
3.6 Återkallelse av samtycke
I de fall vår behandling av dina personuppgifter grundar sig på ditt samtycke har du alltid rätt att när som helst återkalla ditt samtycke. Ett tillbakadragande påverkar inte lagligheten av behandlingen som skett utifrån ditt samtycke, innan detta drogs tillbaka. Om du återkallar ditt samtycke kommer vi inte längre att behandla de personuppgifter som grundas på samtycket, såvida vi inte av legala skäl är förpliktade att fortsatt behandla dem. Skulle det vara så att våra legala skyldigheter hindrar oss från att radera dina uppgifter kommer vi i stället att markera dem så att de inte längre aktivt används i våra system.
Du kan när som helst skicka ett e-postmeddelande till info@railcare.se för att återkalla ditt samtycke. Vi kommer att bemöta din förfrågan skyndsamt.
3.7 Rätten att lämna in klagomål
Datainspektionen är den myndighet som är ansvarig för att övervaka tillämpningen av lagstiftningen bland företag som behandlar personuppgifter. Om du anser att vi behandlar dina personuppgifter på ett felaktigt sätt kan du, utöver att ta kontakt med oss, lämna in ett klagomål hos Datainspektionen via www.dataskyddsmyndigheten.se
Denna text uppdaterades den 11 januari 2024