Allmän integritetspolicy

Vi har uppdaterat vår integritetspolicy i enlighet med den nya dataskyddsförordningen (GDPR) inom EU. Den nya dataskyddslagen gäller fr.o.m. den 25 maj 2018 i Sverige.
1. Introduktion

1.1 Scandinavian Cosmetics AB (i följande text kallat Scandinavian Cosmetics) vill säkerställa en hög och adekvat nivå av dataskydd eftersom integritet är en avgörande faktor för att uppnå och behålla förtroendet hos våra anställda, kunder och leverantörer och därigenom säkerställa Scandinavian Cosmetics verksamhet i framtiden. 

Skyddet av personuppgifter kräver att lämpliga tekniska och organisatoriska åtgärder vidtas för att åstadkomma en hög och adekvat nivå av dataskydd. Scandinavian Cosmetics har antagit ett antal dataskyddspolicys och rutiner, vilka måste efterlevas av våra anställda.

Dessutom kommer Scandinavian Cosmetics att bevaka, granska och dokumentera att våra policys och rutiner överensstämmer med tillämpliga lagstadgade dataskyddskrav, inklusive GDPR: s allmänna föreskrifter. 

Scandinavian Cosmetics kommer också att vidta de åtgärder som krävs för att förbättra efterlevnaden av dataskyddet inom organisationen. Dessa steg innefattar ansvarsfördelning, medvetenhet och utbildning av personal som är involverad i behandlingen av personuppgifter.

Nedan följer den interna allmänna integritetspolicyn med riktlinjer för behandling av personuppgifter, vilken utgör den övergripande ramen för behandling av personuppgifter inom Scandinavian Cosmetics. 

1.2 "Personuppgifter" är all information som är relaterad till en identifierad eller identifierbar fysisk person (den registrerade). Personuppgifter täcker ett brett spektrum av information och innehåller allmän information som namn, adress, telefonnummer, ålder, kön etc. men också särskilda kategorier av personuppgifter (känsliga personuppgifter) och konfidentiell information som hälsoinformation, kontonummer, identifikationsnummer, platsdata, en digital metod för identifiering eller en eller flera faktorer som är specifika för den fysiska, fysiologiska, genetiska, mentala, ekonomiska, kulturella eller sociala identiteten hos den fysiska personen.

1.3 Även om uppgifter om företag inte är sådana personuppgifter, kan även information om kontakter inom sådana företag, t.ex. namn, titel, e-post, telefonnummer etc. anses vara personuppgifter.

1.4 Scandinavian Cosmetics samlar in och använder personuppgifter för olika legitima affärsändamål, bland annat etablering och hantering av kund- och leverantörsrelationer, genomförande av inköpsorder, rekrytering och hantering av alla aspekter av anställningsvillkor, kommunikation, uppfyllande av lagliga skyldigheter eller krav, samt utförande av kontrakt, tillhandahållande av tjänster till kunder etc.

1.5 Personuppgifter ska alltid:

• Behandlas lagligt, korrekt och på ett öppet sätt i förhållande till den registrerade
• Samlas in för specifika och legitima ändamål och inte vidarebehandlas på ett sätt som är oförenligt med dessa syften
• Vara relevanta och begränsade till vad som är nödvändigt i förhållande till syftet med vilka de behandlas
• Vara korrekta, hållas uppdaterade och vid behov raderas eller rättas omedelbart
• Endast behållas så länge som nödvändigt för de ändamål för vilka personuppgifterna behandlas
• Behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inklusive skydd mot otillåten eller olaglig behandling och mot oavsiktlig förlust, förstörelse eller skada, med hjälp av lämpliga tekniska eller organisatoriska åtgärder

Scandinavian Cosmetics ansvarar för efterlevnad av dessa principer som en del av företagets ansvarsskyldighet för personuppgifter.2. Laglig grund för behandling av personuppgifter

2.1 Behandling av personuppgifter kräver laglig grund. De mest förekommande lagliga grunderna för behandling av personuppgifter inom Scandinavian Cosmetics är:

• Samtycke från den registrerade
• Avtal med den registrerade
• Rättslig förpliktelse
• Intresseavvägning

2.2 Samtycke

2.2.1 Om insamling, registrering och vidare behandling av personuppgifter om kunder, leverantörer och andra affärsrelationer baseras på en sådan persons samtycke till behandling av personuppgifter för ett eller flera specifika ändamål ska Scandinavian Cosmetics kunna visa att den registrerade har samtyckt till behandling av sådana personuppgifter.

2.2.2 Samtycke ska vara:

• Frivilligt
• Specifikt
• Informativt
• Tydligt

2.2.3 En begäran om samtycke ska presenteras på ett sätt som tydligt kan särskiljas från andra frågor, på ett begripligt och lättillgängligt sätt, på ett tydligt och lättbegripligt språk.

2.2.4 För att behandla särskilda kategorier av personuppgifter (känsliga personuppgifter) ska samtycket vara uttryckligt.

2.2.5 Den registrerade har rätt att återkalla sitt samtycke när som helst och vid sådant tillbakadragande upphör vi att samla in eller behandla personuppgifter om den personen, såvida vi inte är skyldiga eller berättigade att göra det på grundval av en annan laglig grund.

2.3 Nödvändigt för ombesörjande av avtal med den registrerade

2.3.1 Det är legitimt att samla in och behandla personuppgifter som är relevanta för utförandet av ett avtal till vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan avtal ingås. Detta gäller för alla typer av avtal, inklusive inköpsorder, kundleveransavtal, leverantörskontrakt och anställningsavtal etc.

2.4 Rättslig förpliktelse

2.4.1 Scandinavian Cosmetics måste uppfylla juridiska skyldigheter och krav i enlighet med EU- och nationell lagstiftning. Sådana juridiska skyldigheter kan vara legitima grunder för behandling av personuppgifter.

2.4.2 Sådana rättsliga skyldigheter innefattar skyldigheter att samla in, registrera och/eller tillhandahålla vissa typer av information rörande anställda, kunder etc. Sådana rättsliga krav utgör då den rättsliga grunden för att vi behandlar personuppgifterna, och vi beaktar den registrerades rättigheter kring lagring, rättning och radering.

2.5 Intresseavvägning

2.5.1 I vissa fall kommer vår behandling av personuppgifter att baseras på en intresseavvägning. Enligt denna kan Scandinavian Cosmetics behandla personuppgifter om behandlingen är nödvändig för de legitima intressen hos Scandinavian Cosmetics och dessa intressen inte överskrids den registrerades intressen. Det är till exempel ett legitimt intresse för Scandinavian Cosmetics att behandla personuppgifter om potentiella kunder för att expandera verksamheten och utveckla nya affärsrelationer. 3. Information om och överföring av personuppgifter

3.1 Användning av personuppgiftsbiträden

3.1.1 Ett externt personuppgiftsbiträde är ett företag som behandlar personuppgifter på uppdrag av Scandinavian Cosmetics och i enlighet med Scandinavian Cosmetics instruktioner, t.ex. när det gäller HR-system, tredjeparts IT-leverantörer, etc. När Scandinavian Cosmetics outsourcar behandling av personuppgifter till personuppgiftsbiträden, säkerställer Scandinavian Cosmetics att dessa företag som minimum tillämpar samma grad av dataskydd som Scandinavian Cosmetics gör. Om detta inte kan garanteras kommer Scandinavian Cosmetics att välja en annan leverantör.

3.2 Personuppgiftsbiträdesavtal

3.2.1 Före överföring av personuppgifter till personuppgiftsbiträde ska Scandinavian Cosmetics ingå ett skriftligt personuppgiftsbiträdesavtal med denne. Avtalet säkerställer att Scandinavian Cosmetics kontrollerar behandling av personuppgifter, som äger rum utanför Scandinavian Cosmetics för vilken Scandinavian Cosmetics ansvarar. Avtalet ska utarbetas i enlighet med Scandinavian Cosmetics mall för personuppgiftsbiträdesavtal.

3.2.2 När det gäller enheter inom Scandinavian Cosmetics koncernen som agerar som personuppgiftsbiträden på uppdrag av andra koncernenheter måste Scandinavian Cosmetics se till att alla personuppgiftsbiträden har upprättat ett biträdesavtal med Scandinavian Cosmetics innan de överför personuppgifter till sådant biträde.

3.2.3 Om personuppgiftsbiträdet är beläget utanför EU/EES, hänvisas till avsnitt 3.3.4 nedan.

3.3 Upplämning av personuppgifter

3.3.1 Innan vi lämnar personuppgifter till andra, kontrollerar vi om mottagaren är anställd i Scandinavian Cosmetics eller inte. Vi kan dela personuppgifter med andra anställda i Scandinavian Cosmetics, om Scandinavian Cosmetics har ett legitimt affärsändamål med upplysningen.

3.3.2 Det är vårt ansvar att se till att mottagaren har ett legitimt syfte för att ta emot personuppgifter och att säkerställa att delning av personuppgifter är begränsad och hålls till ett minimum.

3.3.3 Vad gäller mottagare utanför Scandinavian Cosmetics, lämnas endast personuppgifter ut till tredje part om det finns ett legitimt syfte för sådan överföring. Om mottagaren fungerar som personuppgiftsbiträde hänvisas till punkt 3.1 ovan.

3.3.4 Om tredje partens mottagare är lokaliserad utanför EU/EES i ett land som inte säkerställer en adekvat nivå av dataskydd, kan överföringen endast ske om en överenskommelse om överföringen har ingåtts mellan Scandinavian Cosmetics och tredje part. Överföringsavtalet ska baseras på EU-standardavtalsklausuler. 4. De registrerades rättigheter

4.1 Uppgiftsskyldighet

4.1.1 När Scandinavian Cosmetics samlar in och registrerar personuppgifter om registrerade, t.ex. anställda, arbetssökande, kunder, leverantörer, andra affärspartners etc. är Scandinavian Cosmetics skyldig att informera sådana personer om

• Syftet med behandlingen där personuppgifterna är avsedda samt den lagliga grunden för behandlingen
• Kategorier av personuppgifter som behandlas
• Mottagarna eller kategorier av mottagare av personuppgifterna, i tillämpliga fall.
• Om tillämpligt, att Scandinavian Cosmetics avser att överföra personuppgifter till ett tredjeland och den rättsliga grunden för sådan överföring
• Den period för vilken personuppgifterna ska lagras, eller om det inte är möjligt, de kriterier som används för att bestämma den perioden
• Rätten att begära tillgång till och rättelse eller radering av personuppgifter eller begränsning av behandling avseende den registrerade eller att invända mot bearbetning samt rätten till dataportabilitet.
• Om behandlingen är baserad på den registrerades samtycke, rätten att återkalla samtycke när som helst, utan att det påverkar lagenligheten av behandlingen på grund av samtycke innan detta drogs tillbaka
• Rätt att inge klagomål till en tillsynsmyndighet
• Varifrån uppgifter kommer
• Förekomsten av automatiserat beslutsfattande, inklusive profilering och meningsfull information om den aktuella logiken, samt betydelsen och planerade konsekvenser av sådan behandling för den registrerade.

Denna information lämnas främst via personlig eller digital kontakt med Scandinavian Cosmetics.

4.2 Rätt till tillgång

4.2.1 En person vars personuppgifter Scandinavian Cosmetics behandlas, inklusive Scandinavian Cosmetics-anställda, arbetssökande, externa leverantörer, kunder, affärspartners etc. har rätt att begära tillgång till de personuppgifter som Scandinavian Cosmetics behandlar eller lagrar om denne.

4.2.2 Om Scandinavian Cosmetics behandlar eller lagrar personuppgifter om den registrerade har den registrerade rätt att få tillgång till personuppgifter och följande uppgifter:

• Syftet med behandlingen
• Kategorier av personuppgifter som behandlas
• Mottagare eller kategorier av mottagare till vilka personuppgifterna kommer att överföras, särskilt mottagare i tredje land
• Om möjligt, den planerade perioden för vilken personuppgifterna ska lagras eller, om det inte är möjligt, de kriterier som används för att bestämma den perioden
• Förekomsten av rätten att begära rättelse eller radering av personuppgifter från Scandinavian Cosmetics eller begränsning av behandling av personuppgifter avseende den registrerade eller att invända mot sådan behandling
• Rätt att inge klagomål hos en tillsynsmyndighet
• Om personuppgifterna inte samlas in från den registrerade, tillgänglig information om källan
• Förekomsten av automatiserat beslutsfattande, inklusive profilering och meningsfull information om den aktuella logiken, samt betydelsen och planerade följder av sådan behandling för den registrerade

4.3 Den registrerade har rätt att utan otillbörlig dröjning från Scandinavian Cosmetics få rättelse av felaktiga personuppgifter om denne.

4.4 Den registrerade har rätt att från Scandinavian Cosmetics få radering av personuppgifter om denne, utan onödigt dröjsmål, och Scandinavian Cosmetics har skyldighet att radera personuppgifter utan onödigt dröjsmål, om tillämpligt.

4.5 Den registrerade har rätt till begränsning av behandling under vissa förutsättningar.

4.6 Den registrerade har rätt att få de personuppgifter som registrerats i ett strukturerat och allmänt använt och maskinläsbart format, om tillämpligt.

4.7 Den registrerade har rätt att när som helst, mot bakgrund av sin specifika situation, invända mot behandling av personuppgifter, inklusive profilering.

4.8 Eventuell begäran från en registrerad om att utöva rättigheterna i denna paragraf besvaras snarast möjligt och senast 30 dagar efter mottagandet. Förfrågningar ska utan dröjsmål vidarebefordras till adekvat avdelning inom Scandinavian Cosmetics.5. Inbyggt dataskydd och dataskydd som standard

5.1 Nya produkter, tjänster, tekniska lösningar etc. måste utvecklas så att de uppfyller principerna om dataskydd genom design och dataskydd.

• Scandinavian Cosmetics ska, både vid fastställandet av tekniska och organisatoriska lösningar och vid själva bearbetningen, genomföra lämpliga tekniska och organisatoriska åtgärder, för att följa databeskyddsprinciperna, såsom t ex uppgiftsminimering, samt på ett effektivt sätt integrera nödvändiga skyddsåtgärder i behandlingen för att uppfylla dataskyddskraven och skydda den registrerades rättigheter.

5.1.2 Dataskydd som standard kräver att relevanta databehandlingstekniker implementeras.

• Scandinavian Cosmetics ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med bearbetningen behandlas som standard

• Detta minimeringskrav gäller mängden insamlade personuppgifter, omfattningen av behandlingen, lagringsperioden och tillgängligheten

• Sådana åtgärder ska säkerställa att personuppgifter inte blir tillgängliga utan noggrann övervägning6. Register över behandling

6.1 Scandinavian Cosmetics ska som personuppgiftsansvarig upprätthålla register över behandlingar. Registret ska innehålla följande uppgifter:

• Namn och kontaktuppgifter för Scandinavian Cosmetics 
• Syfte med behandlingen
• En beskrivning av kategorierna av registrerade och kategorierna av personuppgifter
• De mottagare till vilka personuppgifterna har eller kommer att lämnas ut, inklusive mottagare i tredjeländer eller internationella organisationer
• Överföring av personuppgifter till ett tredjeland, inklusive identifiering av det tredje landet och, i förekommande fall, dokumentation av lämpliga skyddsåtgärder
• Om möjligt, de planerade tidsfristerna för radering av de olika kategorierna av data
• Om möjligt, en generell beskrivning av de tillämpade tekniska och organisatoriska säkerhetsåtgärderna

6.1.1 Scandinavian Cosmetics ska tillhandahålla registeruppgifter till relevanta dataskyddsmyndigheter på begäran. 

6.2 Scandinavian Cosmetics som personuppgiftsbiträde

6.2.1 Som personuppgiftsbiträde ska Scandinavian Cosmetics upprätthålla register över alla kategorier av behandlingar som utförs på uppdrag av personuppgiftsansvarig, vilket ska innehålla:

• Namn och kontaktuppgifter för Scandinavian Cosmetics och på respektive personuppgiftsansvarig som Scandinavian Cosmetics behandlar uppgifter åt
• De kategorier av behandlingar som utförs
• Om tillämpligt, överföring av personuppgifter till ett tredjeland, inklusive identifiering av landet och, i förekommande fall, dokumentation av lämplig skyddsåtgärd
• Om möjligt, en generell beskrivning av de tillämpade tekniska och organisatoriska säkerhetsåtgärderna7. Radering av personuppgifter

7.1 Personuppgifter ska raderas när Scandinavian Cosmetics inte längre har ett legitimt syfte för kontinuerlig behandling eller lagring av personuppgifter, eller när det inte längre är nödvändigt att lagra personuppgifterna i enlighet med gällande lagkrav.

7.2 Hur länge olika kategorier av data sparas stipuleras av Scandinavian Cosmetics lagringsrutiner. Vad gäller HR-data hänvisas till Scandinavian Cosmetics HR-policy avseende behandling av personuppgifter.8. Riskbedömning

8.1 Om Scandinavian Cosmetics behandlar personuppgifter, som sannolikt kommer att leda till en hög risk för de personer vars personuppgifter behandlas, ska en konsekvensbedömning genomföras.

8.1.1 En konsekvensbedömning innebär att Scandinavian Cosmetics, med hänsyn till arten, omfattningen, sammanhanget och syftet med behandlingen samt riskerna för fysiska personers rättigheter och friheter, ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddskraven.

8.2 De tekniska och organisatoriska åtgärderna ska ses över och uppdateras vid behov och senast var sjätte månad.

8.2.1 Efterlevnad av godkända uppförandekoder eller godkända certifieringsmekanismer kan användas som ett element för att visa att de tekniska och organisatoriska åtgärderna enligt denna klausul följs.

8.2.2 De åtgärder som avses i punkt 1 ska omfatta tillämpning av en IT-säkerhetspolicy.9. Nationella krav

9.1 Alla Scandinavian Cosmetics-enheter ska följa både EU- och nationell lagstiftning om dataskydd.

9.2 Om nationell lagstiftning innehåller bestämmelser om behandling av personuppgifter som inte är förenlig med de policys och riktlinjer för dataskydd som fastställs i Scandinavian Cosmetics, ska nationell lagstiftning följas. Om Scandinavian Cosmetics policys/riktlinjer är strängare än nationell lagstiftning, ska dessa policys/riktlinjer följas.10. Kontakt

10.1 Om du har några frågor angående innehållet i denna policy, kontakta Scandinavian Cosmetics ekonomi- och HR-avdelning.