Privacy policy

Policy for personal data management

Introduction and purpose

The purpose of this policy is to ensure that Arevo handles personal data in accordance with the EU's General Data Protection Regulation (GDPR) and describes how we at Arevo collect, use and protect

your personal data. The policy covers all processing where personal data is handled.

Application and revision

The CEO is responsible for ensuring that the processing of personal data complies with this policy. The policy must be established by the board and updated as necessary. The CEO is responsible for maintaining the process of updating the policy as a result of new and changed regulations. This policy is applicable to the company's board members, CEO, employees and contractors affected by our operations.

Organization and responsibility

The CEO has overall responsibility for the content of this policy and that it is implemented and complied with by the business. The CEO may delegate responsibility and implementation to the appropriate person in the company. All employees are responsible for acting in accordance with this policy and what it aims to ensure.

Concepts and abbreviations

Concept meaning

Personal data Personal data is any kind of information that can be directly or indirectly attributed to a physical person who is alive.

Registered

The person who can be directly or indirectly identified through the personal data in a register. Personal data processing An action or combination of actions concerning personal data - regardless of whether they are performed automatically or not - such as collection, registration, organization and structuring.

Personal data processing

Every personal data processing must take place according to the following principles:

  • Legality
  • Purpose limitation
  • Task minimization
  • Correctness
  • Storage minimization
  • Privacy and confidentiality.

The personal data the company will process about you as an employee consists of name, address, social security number, contact details for relatives, salary and account details. Otherwise, we may process e-mail address, grades, certificates, education and work experience, photography, test results, health checks and drug test results. The company may also need to process sensitive personal data about you, such as information about your health. For example, health data may need to be processed in order for us to fulfill our obligations as an employer. In the event that you agree to be photographed or that you leave a photograph of yourself without a request from us, you agree to us processing such photograph. The company also needs to collect and store contact information to be able to fulfill agreements and legal requirements or to be able to submit quotes and keep in touch with customers in ongoing assignments The company will not collect more information than we need to provide our services to you. Our data processing is continuously documented in the GDPR register Follow-up and evaluation of our handling of personal data must take place annually.

Saving of personal data

How long personal data is saved depends on which personal data it is and the purpose of its processing. As a general rule, personal data relating to:

  • employment contract, as long as the employment lasts and ten (10) years thereafter;
  • information about business events, such as information about time sheets, participants,
  • assignments, salary, invoice, declarations, financial statements, during the contract period and for ten (10) years thereafter
  • control data, until our pension commitment ends.

Sharing of personal data

When required, we may disclose your personal data to third parties, such as suppliers for payroll administration, technical support, operation of IT systems or external testing companies. We will also disclose personal data that we are obliged to according to applicable law, court orders or if such disclosure is otherwise necessary to participate in a legal investigation.In the event that we are subject to a reorganization, merger or sale, we may transfer personal data to the relevant third party, provided that the third party undertakes to process the personal data in accordance with this Privacy Policy. We will not sell or distribute personal data to third parties.

Outside the EU/EEA

Parties to whom we may disclose personal data may be located outside the European Economic Cooperation Area, EEA, which means that personal data may be transferred to countries outside the EEA. In such cases, we will take measures to ensure that the personal data continues to be protected and also take the necessary measures to legally transfer personal data to countries outside the EEA.

The data subject's rights

As a registered user, you have the right to receive information about the personal data we process about you and information about the scope and purpose of such processing, free of charge, after a written and signed application has been sent to us. You as an individual also have the right to request that we erase or correct your personal data at any time, as well as the right to withdraw a given consent and notify that you object to continued processing of your personal data. Such rights only apply when personal data processing is not covered by another legal basis, such as tax legislation, accounting law, labor legislation and the like.

Incidents

Any incidents concerning personal data that we process must be reported without delay, and notified to the Data Protection Authority within 72 hours at the latest, as well as other necessary measures taken due to the incident.

Personal data controller

Arevo AB
Organization number: 556995–8423
Address: Box 4095, 904 03 Umeå
Email: info@arevo.se

_______________________

Sekretesspolicy

Policy för personuppgiftshantering

Inledning och syfte

Syftet med denna policy är att säkerställa att Arevo hanterar personuppgifter i enlighet med EU:s dataskyddsförordning (General Data Protection Regulation – GDPR) och beskriver hur vi på Arevo samlar in, använder och skyddar dina personuppgifter.

Policyn omfattar alla behandlingar där personuppgifter hanteras.

Tillämpning och revidering

VD ansvarar för att behandlingen av personuppgifter följer denna policy.

Policyn ska fastställas av styrelsen och uppdateras vid behov.

VD är ansvarig för att hålla i processen kring uppdatering av policyn till följd av nya och förändrade regelverk.

Denna policy är tillämplig för företagets styrelseledamöter, VD, medarbetare samt uppdragstagare som berörs av vår verksamhet.

Organisation och ansvar

VD har det övergripande ansvaret för innehållet i denna policy samt att den implementeras och efterlevs av verksamheten.

VD får delegera ansvaret och implementationen till lämplig person på företaget.

Alla medarbetare ansvarar för att de agerar i enlighet med denna policy och vad den vill säkerställa.

Begrepp och förkortningar

Begrepp Betydelse

Personuppgift En personuppgift är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.

Registrerad Den fysiska person som direkt eller indirekt kan identifieras genom personuppgifterna i ett register.

Personuppgiftsbehandling En åtgärd eller kombination av åtgärder beträffande personuppgifter – oberoende av om de utförs automatiserat eller ej – såsom insamling, registrering, organisering och strukturering.

Personuppgiftsbehandling

Varje personuppgiftsbehandling ska ske enligt följande principer:

• Laglighet

• Ändamålsbegränsning

• Uppgiftsminimering

• Korrekthet

• Lagringsminimering

• Integritet och konfidentialitet.

De personuppgifter företaget kommer att behandla om dig som anställd består av namn, adress, personnummer, kontaktuppgifter till anhöriga, löne- och kontouppgifter. I övrigt kan vi komma att behandla bland annat e-postadress, betyg, intyg, utbildningar och arbetslivserfarenheter, fotografi, resultat från tester, hälsokontroll och resultat från drogtester.Företaget kan även behöva behandla känsliga personuppgifter om dig, såsom uppgifter om din hälsa. Hälsouppgifter kan till exempel behöva behandlas för att vi ska kunna uppfylla våra skyldigheter som arbetsgivare.

För det fall du ställer upp på att bli fotograferad eller att du utan uppmaning från oss lämnar fotografi på dig själv samtycker du till att vi behandlar sådant fotografi.

Företaget behöver också samla in och lagra kontaktuppgifter för att kunna uppfylla avtal och lagkrav eller för att kunna lämna offerter och hålla kontakt med kunder i pågående uppdrag.

Företaget kommer inte samla in mer information än vi behöver för att tillhandahålla våra tjänster till dig.

Våra uppgiftsbehandlingar dokumenteras löpande i GDPR-registret

Uppföljning och utvärdering av vår hantering av personuppgifter ska ske årligen.

Sparande av personuppgifter

Hur länge en personuppgift sparas beror på vilken personuppgift det rör sig om och syftet med dess behandling. Som huvudregel sparas personuppgifter som rör:

- anställningsavtal, så länge anställningen består och därefter tio (10) år;

- uppgifter om affärshändelser, såsom uppgifter om tidrapporter, deltagare, uppdrag, lön, faktura, deklarationer, bokslut, under avtalstiden och därefter för tio (10) år

- kontrolluppgifter, tills dess att vårt pensionsåtagande upphör.

Delning av personuppgifter

När så krävs kan vi lämna ut dina personuppgifter till tredje part, såsom leverantör för löneadministration, teknisk support, drift av IT-system eller externa testföretag.

Vi kommer också att lämna ut personuppgifter som vi är skyldiga till enligt gällande lag, domstolsbeslut eller om sådant utlämnande annars är nödvändigt för att medverka till en rättslig utredning.

För det fall vi omfattas av en omorganisation, sammanslagning eller försäljning kan vi överföra personuppgifter till den relevanta tredje parten, förutsatt att den tredje parten åtar sig att behandla personuppgifterna i enlighet med denna Integritetspolicy.

Vi kommer inte sälja eller sprida personuppgifter till tredje part.

Utanför EU/EES

Parter som vi kan komma att lämna ut personuppgifter till kan befinna sig utanför det Europeiska Ekonomiska Samarbetsområdet, EES, vilket innebär att personuppgifter kan komma att överföras till länder utanför EES. I sådana fall kommer vi att vidta åtgärder för att säkerställa att personuppgifterna fortsätter vara skyddade och även vidta de åtgärder som krävs för att på lagligt sätt överföra personuppgifter till länder utanför EES.

Den registrerades rättigheter

Du som registrerad har rätt att kostnadsfritt, efter skriftligt undertecknad ansökan ställd till oss, få besked om vilka personuppgifter vi behandlar om dig samt information om omfattningen och syftet med sådan behandling. Du som individ har även rätt att när som helst begära att vi utplånar eller rättar dina personuppgifter samt rätt att återkalla ett lämnat samtycke och meddela att du motsätter dig fortsatt behandling av dina personuppgifter. Sådana rättigheter gäller enbart när personuppgiftsbehandlingar inte omfattas av annan rättslig grund, som t. ex skattelagstiftning, bokföringslag, arbetsrättslig lagstiftning och liknande.

Incidenter

Eventuella incidenter rörande personuppgifter som vi behandlar ska utan dröjsmål rapporteras, och senast inom 72 timmar anmälas till Datainspektionen, samt i övrigt vidtas nödvändiga åtgärder med anledning av incidenten.

Personuppgiftsansvarig

Arevo AB Organisationsnummer 556995–8423

Adress: Box 4095, 904 03 Umeå

Kontaktperson: Niklas Åström

e-postadress: niklas.astrom@arevo.se