Vi värnar om din integritet
1. Grundinformation
Vi är ”Whenever” och vi tillhandahåller en lösning för säker förvaring av alla privata uppgifter, viktiga handlingar och önskemål för framtiden, allt på en plats (”Tjänsten”). I Tjänsten behandlas personuppgifter, och vi beskriver i den här integritetspolicyn hur vi behandlar personuppgifter i egenskap av personuppgiftsansvariga.
Tjänsten erbjuds både direkt till privatpersoner på vår hemsida, men den kan också erbjudas via företag som är kunder till oss (”Företagskunder”). När Företagskunder erbjuder Tjänsten kan den döpas till andra namn, och även se ut som att den kommer från Företagskunden. Vi är gemensamt personuppgiftsansvariga med Företagskunderna för insamling och delning av personuppgifter, och vi beskriver detta i närmare detalj i avsnitt 3 nedan.
För att kort sammanfatta det kan man säga att om man använder Tjänsten via en Företagskund så har man dels en relation med Företagskunden, och dels en relation med oss. Eftersom vi och Företagskunden samarbetar kring detta är vi gemensamt personuppgiftsansvariga för det. Företagskunden vill i sin tur gärna odla sin relation med dig baserat på din användning av Tjänsten, och vi förser dem med information om detta. Vi och Företagskunden är gemensamt personuppgiftsansvariga för detta. Vi (Whenever) är den man först ska vända sig till om man exempelvis vill utöva sina rättigheter kring personuppgifter.
Fullständiga kontaktuppgifter till oss på Whenever finns nedan i avsnitt 10, och där finns också information om hur vi tänker oss att den här integritetspolicyn ska tolkas samt en ordlista som förklarar begrepp som används i integritetspolicyn.
2. Personuppgifter som behandlas i tjänsten
Tjänsten erbjuder säker förvaring av alla privata uppgifter, viktiga papper, och önskemål för framtiden, allt på en plats. Därför kallar vi Tjänsten för en digital pärm. Man kan även använda Tjänsten för att ge sina anhöriga tillgång till pärmens innehåll, den dag man inte själv längre finns i livet. På så sätt hamnar allt i rätta händer när det behövs och riskerar inte att förvinna, förfalskas eller komma bort.
Detta innebär att det finns två kategorier av registrerade personer: ”Användare”, som är de som använder tjänsten för att samla sina viktiga dokument; och ”Kontaktpersoner” som är de som anges av en anhörig Användare och som får tillgång till dokumenten om Användaren går bort.
Det finns även en tredje och fjärde kategori av registrerade personer, och dessa utgörs av (i) personer vars personuppgifter finns i de dokument som laddas upp i Tjänsten (”Övriga Registrerade”); och av (ii) personer som är anställda eller arbetar hos Företagskunder (”Anställda hos Företagskunder”).
2.1 Information till Användare
| Typ av personuppgifter | Ändamål för behandlingen | Whenevers rättsliga grund för behandlingen | Tid som uppgifterna lagras |
|---|---|---|---|
| Personnummer | Används för att säkerställa säkerheten vid skapande av konton för Användare och vid verifiering av identitet som Kontaktperson med hjälp av Bank-ID, samt för att tillhandahålla tjänsten. | Fullgörande av avtal, för att tillhandahålla Tjänsten. | Dessa uppgifter lagras och behandlas så länge som Användarens konto är aktivt. Efter Användarens frånfälle lagras uppgifterna i ett år, varpå de raderas. |
| E-postadress | Används för att skapa kontot, eller för att kunna kontakta Användaren (exempelvis angående uppdateringar, nyheter eller erbjudanden). | Fullgörande av avtal, för att tillhandahålla Tjänsten. Vid marknadsföring, vårt berättigade intresse. | |
| Namn E-postadress Telefonnummer (om angivet av Användaren) Födelseår Kontaktperson (J/N) Kontaktperson (antal) Angivit bankuppgifter (J/N) Angivit lösenord (J/N) Övriga uppgifter (J/N) Dokument (J/N) Begravningsönskemål (J/N) Byrå Status (aktiv eller inte) | Utöver att Whenever behandlar dessa personuppgifter som självständigt personuppgiftsansvarig för att tillhandahålla Tjänsterna, så delas dessa till Företagskunden för att Företagskunden ska kunna utveckla sin relation med kunder och användare av Tjänsten. Det gemensamma syftet är den ömsesidiga affärsnytta som parterna har av att Företagskunden tillför Användare och att Företagskunden kan odla sin relation med dessa | Fullgörande av avtal, för att tillhandahålla Tjänsten. Berättigat intresse, för att dela uppgifterna med Företagskund i förekommande fall. |
Se även avsnitt 3 nedan, om gemensamt personuppgiftsansvar.
2.2 Information till Kontaktpersoner
Om en Användare anger en Kontaktperson så förser Användaren oss med uppgifter så att vi kan skicka en inbjudan till Kontaktpersonen, för Kontaktpersonen att välja att tacka ja eller nej till. Om Kontaktpersonen tackar ja så läggs denne till som Kontaktperson för Användaren, och Kontaktpersonen får även möjlighet att själv skapa ett konto och bli en Användare.
| Typ av personuppgifter | Ändamål för behandlingen | Whenevers rättsliga grund för behandlingen | Tid som uppgifterna lagras |
|---|---|---|---|
| E-postadress | Anges av Användaren och används av oss för att skicka en inbjudan att bli Kontaktperson, eller för att kunna kontakta Kontaktpersonen. | Vårt berättigade intresse att kunna tillhandahålla Tjänsten till Användare, samt att marknadsföra oss och våra erbjudanden. | Dessa uppgifter lagras så länge som Användaren är i livet, och ett år därefter, eller tills det att Användaren raderar Kontaktpersonens uppgifter. |
| Personnummer | Används för att säkerställa säkerheten vid acceptans av inbjudan som Kontaktperson, med hjälp av Bank-ID, samt för att tillhandahålla tjänsten till Användaren. | Fullgörande av avtal, för att tillhandahålla Tjänsten. | |
| Namn E-postadress Telefonnummer (frivilligt) Födelseår Användare (den som angivit Kontaktpersonen) Status (aktiv eller inte) | Personuppgifterna används för att sammankoppla en Användares profil med Kontaktpersonen, och de kan användas av Företagskunden för att kontakta Kontaktpersonen i händelse av en Användares frånfälle eller för andra syften (exempelvis angående uppdateringar, nyheter eller erbjudanden). Det gemensamma syftet är att Tjänsterna blir värdefulla för Användaren och att dennes sista önskan kan iakttas, samt den ömsesidiga affärsnytta som parterna har av att Företagskunden tillför Användare och Kontaktpersoner och att Företagskunden kan odla sin relation med dessa. | Fullgörande av avtal, för att tillhandahålla Tjänsten. Berättigat intresse, för att dela uppgifterna med Företagskund i förekommande fall. |
Se även avsnitt 3 nedan, om gemensamt personuppgiftsansvar.
2.3 Information till både Användare och Kontaktpersoner
2.3.1 Hjälp och teknisk support
Personuppgifter kan behandlas också när Användare eller Kontaktpersoner kontaktar oss direkt, eller via en Företagskund, och vi ger hjälp och support i någon fråga som rör Tjänsten. När detta sker kan personuppgifter behandlas om de är kopplade till ett konto eller dylikt. Vi behandlar då personuppgifter som en del av fullgörande av ett avtal att tillhandahålla en välfungerande tjänst, där support inkluderas.
Korrespondens kring supportärenden lagras i upp till ett år efter att ärendet har blivit löst.
2.3.2 Rapportering till Företagskunder
När man använder Tjänsten genom en Företagskunds erbjudande så har både vi och Företagskunden en affärsrelation med Användare och Kontaktpersoner. Som beskrivits ovan så delas vissa uppgifter från oss till Företagskunden. Dessa uppgifter lagras i 30 dagar innan de raderas.
2.4 Information till Övriga Registrerade
Eftersom viktiga dokument ofta innehåller signaturer, uppgifter till kontaktpersoner, och liknande information, så utgår vi från att vi behandlar personuppgifter som avser Övriga Registrerade. Dock så har vi inte något som helst intresse av själva innehållet i den dokumentation som Användare laddar upp (det kan lika gärna vara mormors kakrecept eller ens testamente), och det finns flertalet tekniska skyddsspärrar som förhindrar obehörig tillgång till dokumentationen. Likväl så behandlar vi personuppgifterna enligt lagens mening.
Vårt syfte för att behandla dessa personuppgifter är att tillhandahålla en bra tjänst till våra Användare, och den rättsliga grunden för behandlingen är vårt berättigade intresse.
Om du kontaktats med en förfrågan för e-signering av ett avtal så vet vi vem du är, och personuppgifter om dig som används för signeringen (tillhandahållna till oss av den som skickar avtalet för signering) kommer användas för att skapa en ”prova-på-profil”, där det signerade avtalet kommer att lagras. De personuppgifter som infogas i avtalet och som används för att skapa prova-på-profilen kommer lagras tills du raderar profilen, alternativt din livstid och ett år därefter. Personuppgifterna behandlas baserat på vårt berättigade intresse att dels tillhandahålla en värdefull tjänst för våra Användare, och dels för att tillhandahålla en lagringsfunktion till du som signerar ett avtal.
Samma lagringstid gäller för alla Övriga Registrerade vars personuppgifter finns i uppladdade dokument.
2.5 Anställda hos Företagskunder
Om en Företagskund vill att kontaktuppgifter (vilket kan inkludera porträttbilder) på sina anställda ska finnas i Tjänsten kommer Whenever att behandla dessa personuppgifter som personuppgiftsansvarig, baserat på sitt berättigade intresse att tillhandahålla kommersiella tjänster till Företagskunder. Personuppgifter om Anställda hos Företagskunder kommer inte behandlas för något annat syfte än att tillhandahålla tjänsten till Företagskunden.
Personuppgifterna lagras så länge som Företagskunden använder tjänsten i fråga, och raderas inom 30 dagar därefter.
Personuppgifter om Anställda hos Företagskunder kan också behandlas vid supportärenden, baserat på vårt berättigade intresse att tillhandahålla en välfungerande tjänst som inbegriper support. Personuppgifterna lagras i upp till ett år efter att det aktuella supportärendet är hanterat.
3. Vårt gemensamma personuppgiftsansvar med Företagskunder
Whenever och Företagskunden har gemensamt bestämt ändamålen och medlen för behandlingen av personuppgifter och är därmed gemensamt personuppgiftsansvariga. Det gemensamma personuppgiftsansvaret avser dels insamlingen av personuppgifter när Företagskunden erbjuder Tjänsten, och dels delningen av personuppgifter från Whenever till Företagskunden under Tjänstens användning. Därutöver hanteras supportärenden inom ramen för ett gemensamt personuppgiftsansvar.
Vi har reglerat det gemensamma personuppgiftsansvaret i ett arrangemang med varje Företagskund. Till undvikande av missförstånd är inte olika Företagskunder gemensamt personuppgiftsansvariga med varandra.
Företagskunden kan i sin tur behandla personuppgifter om dig för egna ändamål, och är då ensamt personuppgiftsansvarig för sådan behandling. Se Företagskundens egen integritetspolicy för mer information om detta.
3.1 Hur vet jag vilken Företagskund som behandlar personuppgifter om mig?
När Företagskunden erbjuder Tjänsten kan den heta något annat än till exempel ”Whenever”. Företagskunden erbjuder Tjänsten via sin egen hemsida, där det hänvisas till en subdomän som tillhandahålls av Whenever och som innehåller Kundens varumärke, formspråk, och grafiska profil. Dock behöver du acceptera våra (Whenevers) användarvillkor, och du får möjlighet att läsa det här dokumentet när du skapar ditt konto.
Automatiska meddelanden från Tjänsten, till exempel en inbjudan att bli kontaktperson, kommer att ange Företagskunden som avsändare. Därutöver kan du när du är inloggad i Tjänsten enkelt se vilken Företagskund som du är kopplad till.
3.2 Hur utövar jag mina rättigheter?
Whenever är den part som du i första hand ska vända dig till med frågor om Tjänsten samt när du vill utöva dina rättigheter. Detta gör du genom att kontakta Whenever på info@whenever.se.
Om du raderar eller rättar personuppgifter i Tjänsten kommer vi kontakta en Företagskund och informera dem om åtgärden, så att de också kan vidta den.
Om du vänder dig till den Företagskund som du registrerat dig via kommer Företagskunden att hjälpa dig, samt att hänvisa dig till oss på Whenever.
3.3 Vad kan Företagskunden se om min användning av Tjänsten?
Företagskunden kan inte se innehållet i vad du laddar upp, eller något faktiskt lösenord eller liknande. Den information som delas från oss till Whenever är ja/nej-information om en funktion faktiskt har använts – exempelvis ”lösenord har sparats: ja/nej”. Som vi skriver i avsnitt 2.4 ovan kan heller inte Whenever se innehållet i uppladdad dokumentation. Därutöver får Företagskunden tillgång till kontaktuppgifter till Kontaktpersoner, om en Användare som Kontaktpersonerna är kopplade till går bort.
3.4 När är Företagskunden ensamt personuppgiftsansvarig?
Efter att en Företagskund har tagit emot personuppgifter från oss så är Företagskunden ensamt ansvarig för hur dessa behandlas, och vad de används till. Om du har frågor eller funderingar kring Företagskundens behandling av personuppgifterna så hänvisar vi till Företagskunden i fråga.
4. Övrig delning av personuppgifter
Vi kan komma att dela med oss av och föra över personuppgifter om dig till företag som levererar tjänster som vi använder. Vi använder en svensk leverantör för de servrar som tjänsten ligger på. Därutöver använder vi en svensk leverantör för att utföra kontroller med Bank-ID, samt för att ta emot betalningar via Swish.
Som en del av Tjänsten ingår också att vi håller oss uppdaterade på om någon är i livet eller inte, så att vi vet om en Kontaktperson ska kontaktas och få tillgång till en Användares uppladdade dokumentation. Detta gör vi genom att kontinuerligt kontrollera personuppgifter om Användare och Kontaktpersoner mot Statens Personadressregister (SPAR). Vi skickar inte någon uppgift till SPAR som SPAR inte redan har.
5. Rättsligt bindande förfrågningar och förebyggande av skada
Vi kan komma att använda, lagra och dela alla personuppgifter som vi behandlar för att svara på vad vi har befogad anledning att tro är rättsligt bindande förfrågningar (så som förelägganden, domstolsbeslut, stämningar eller liknande), eller när det är nödvändigt för att upptäcka, förhindra och adressera bedrägeri och annan kriminell aktivitet, samt för att skydda oss själva, dig och andra användare, inklusive som en del i en undersökning om vi är i god tro att så krävs enligt tillämplig lag. Om det handlar om rättsligt bindande åtgärder så behandlar vi personuppgifterna baserat på en rättslig förpliktelse, i syfte att fullgöra den. Om det handlar om att ta tillvara vår eller någon annans rätt så behandlar vi personuppgifterna baserat på vårt berättigade intresse att göra så.
6. Dina rättigheter
Du har en absolut rättighet att när som helst motsätta dig behandlingen av dina personuppgifter avseende direktmarknadsföring från Whenever, som beskrivs i punkt 2.1 och 2.2 ovan. Om du vill motsätta dig direktmarknadsföring från en Företagskund, vänligen kontakta den Företagskunden direkt.
Du har rätt att begära tillgång till och ytterligare information om behandlingen av dina personuppgifter, eller begära att vi korrigerar, rättar, kompletterar, raderar eller begränsar behandlingen av dina personuppgifter. Du har rätt att få en kopia av de personuppgifter som vi behandlar om dig.
Om behandlingen är baserad på den rättsliga grunden samtycke eller fullgörande av avtal har du rätt till dataportabilitet. Dataportabilitet innebär att du kan få de personuppgifter du har lämnat till oss, i ett strukturerat, allmänt använt och maskinläsbart format och har rätt att, om det är tekniskt möjligt, överföra sådana personuppgifter till en annan personuppgiftsansvarig.
7. Kontaktinformation
För att utöva dina rättigheter eller om du har frågor om vår behandling av dina personuppgifter, vänligen kontakta oss på info@whenever.se. Vi tar även emot vanliga brev på Whenever AB, Brahegatan 17, 114 37 Stockholm. Vänligen ange ditt fullständiga namn, och var beredd på att vi kan behöva inhämta mer information från dig för att verifiera att det faktiskt är du om det handlar om att utöva rättigheter.
Om du tror att en minderårig som du är vårdnadshavare till använder Tjänsten, och du vill kontakta oss om detta, använd samma kontaktvägar som anges ovan.
Om du har några klagomål gällande vår behandling av dina personuppgifter, kan du skicka ett klagomål till Integritetsskyddsmyndigheten (IMY), vars hemsida du finner här: https://www.imy.se/.
8. Förändring i ägande
Om ägandet av vår verksamhet förändras, kan vi komma att överföra din information till de nya ägarna så att de kan fortsätta tillhandahålla Tjänsten. De nya ägarna ska fortsatt iaktta de åtaganden vi lämnat i denna integritetspolicy.
9. Meddelande om ändringar
Om vi gör ändringar i denna integritetspolicy kommer vi att meddela dig på ett lämpligt sätt, vilket mest sannolikt innebär att vi skickar e-post om uppdateringen. Om ändringarna är väsentliga, kommer vi om det behövs be om ditt samtycke.
10. Om den här integritetspolicyn
Detta dokument innehåller information rörande Whenevers insamling, användning och behandling av personuppgifter, som utförs av Whenever AB, organisationsnummer 559071-3524 och adress Brahegatan 17, lgh 1402, 114 37 Stockholm (”Whenever” “vi” eller “oss”). Denna integritetspolicy avser Whenevers digitala pärm (”Tjänsten”) och beskriver också hur Whenevers gemensamma personuppgiftsansvar med Företagskunder förhåller sig. Andra integritetspolicyer som avser annan personuppgiftsbehandling som Whenever utför kan förekomma parallellt med denna.
Alla definitioner i denna integritetspolicy ska tolkas i enlighet med gällande dataskyddslagar vilket hänvisar till Dataskyddsförordningen (GDPR) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och Dataskyddsdirektivet 2002/58/EG om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation samt nationella implementeringar och övrig relaterad nationell lagstiftning.
Nedan följer några förklaringar av begrepp som används i Dataskyddsförordningen:
”Dataskyddsförordningen (GDPR)” är det centrala regelverket som reglerar hur man får behandla personuppgifter.
”Personuppgift” avser en uppgift som kan hänföras till en person som antingen redan är identifierad, eller som kan identifieras med hjälp av uppgifterna.
”Registrerad” avser den person som personuppgifterna avser.
”Behandling av personuppgifter” är en åtgärd som regleras av Dataskyddsförordningen. Begreppet ”behandling” har en väldigt bred innebörd och innefattar så gott som allt man gör med en personuppgift.
”Personuppgiftsansvarig” är den som bestämmer ändamålen och medlen för behandlingen av personuppgifter. Det är den personuppgiftsansvarige som är skyldig att säkerställa att personuppgiftsbehandlingen sker i enlighet med Dataskyddsförordningen.
”Gemensamt personuppgiftsansvarig” om två parter gemensamt bestämmer ändamålen och medlen för behandlingen av personuppgifter så blir de gemensamt personuppgiftsansvariga. Parterna är då skyldiga att dels reglera internt sinsemellan om vem som ska göra vad, och dels göra det tydligt utåt sett mot de registrerade vad som gäller.
”Rättslig grund” är något som man måste ha för att behandla personuppgifter, vilket framgår av Dataskyddsförordningen.
”Ändamålen för behandlingen av personuppgifter” kan förstås som ”varför” man behandlar personuppgifter, och är avgörande för bland annat vilken rättslig grund som kan vara lämplig att basera behandlingen på, och för att bestämma hur lång tid personuppgifterna kan lagras innan de bör raderas.
”Medlen för behandlingen av personuppgifter” kan förstås som ”hur” man behandlar personuppgifter, avseende exempelvis vilken utrustning och vilka leverantörer man använder.