Sök
Inga sökresultat hittades
Inga sökresultat hittades
Denna policy ska läsas tillsammans med våra köpvillkor, returvillkor och eventuella cookieinställningar. Om innehållet i dessa dokument i något avseende överlappar varandra är integritetspolicyn avgränsad till frågor som rör personuppgifter och dataskydd, medan köpvillkor och returvillkor avser avtalsrelationen och konsumenträttsliga frågor.
För att underlätta läsningen är policyn skriven i flera avsnitt som dels beskriver vilka uppgifter som kan behandlas, dels varför och hur behandling sker, dels vilka aktörer som kan vara involverade, och dels vilka val och rättigheter du som registrerad har. Vi beskriver också sådant som ofta glöms bort i kortare integritetspolicyer, exempelvis hur vi ser på loggar, felsökning, incidenter, riskbedömning, leverantörskedjor samt skillnaden mellan information som är nödvändig för att en e-handel ska fungera och information som endast kan behandlas om du själv aktivt valt det.
Vi vill även vara tydliga med att integritetspolicyn inte är en “förhandlingstext” utan en informations- och transparenstext. Den beskriver därför hur behandlingen kan gå till i praktiken, inklusive sådana situationer där behandlingen tillfälligt kan bli mer omfattande, till exempel vid ett bedrägeriförsök, en säkerhetsincident, en tvist, en reklamation, en systemuppgradering eller en teknisk felsökning.
Avsnitt två: Tillämpligt regelverk och övergripande principer
Behandling av personuppgifter ska ske i enlighet med dataskyddsförordningen (GDPR) och tillämplig nationell kompletterande lagstiftning. Utöver GDPR finns det regelverk som indirekt påverkar hanteringen av personuppgifter i en e-handelsrelation, exempelvis regler om bokföring, konsumenträtt och elektronisk kommunikation. Vi utgår från följande grundprinciper i vårt dataskyddsarbete:
Laglighet, korrekthet och öppenhet – vi behandlar endast personuppgifter när det finns stöd i rättslig grund och informerar om behandlingen.
Ändamålsbegränsning – uppgifter samlas in för specifika och legitima ändamål och behandlas inte för oförenliga ändamål.
Uppgiftsminimering – vi försöker begränsa insamling till det som är nödvändigt.
Riktighet – vi strävar efter att uppgifter är korrekta och aktuella.
Lagringsminimering – uppgifter sparas inte längre än nödvändigt.
Integritet och konfidentialitet – vi arbetar med säkerhetsåtgärder som minskar risken för obehörig åtkomst, förlust eller otillåten behandling.
Ansvarsskyldighet – vi ska kunna visa att principerna följs, bland annat genom rutiner, avtal och dokumentation.
För tydlighetens skull vill vi även betona att dataskydd inte bara är en fråga om “vad som står i en policy”, utan också om praktiska arbetssätt: vilka som har åtkomst, hur system är konfigurerade, hur leverantörer hanteras, hur incidenter dokumenteras, hur gallring sker och hur förfrågningar från registrerade hanteras i vardagen.
Avsnitt tre: Definitioner och förklaringar (för tydlighetens skull)
I denna policy används vissa begrepp som kan ha teknisk eller juridisk betydelse. För att skapa en mer lättläst helhetsbild beskriver vi dem här med praktiska exempel:
Personuppgift: Information som kan kopplas till dig som fysisk person. Exempel: namn, adress, e-post, telefonnummer, orderhistorik, IP-adress, kund-ID, spårningsnummer kopplat till en leverans, kommunikationsinnehåll i ett supportärende.
Behandling: Allt som görs med personuppgifter. Exempel: samla in, lagra, läsa, ändra, strukturera, dela, radera.
Registrerad: Du, när dina personuppgifter behandlas.
Personuppgiftsansvarig: Den som bestämmer varför och hur personuppgifter behandlas.
Personuppgiftsbiträde: Extern leverantör som behandlar uppgifter för den personuppgiftsansvariges räkning, till exempel tekniska driftleverantörer, plattformar eller supportverktyg.
Tredje part: Någon annan aktör än du och vi, exempelvis transportör, betaltjänstleverantör eller analytisk tjänst.
Samtycke: När du aktivt godkänner en viss behandling (vanligtvis relevant för vissa cookies eller marknadsföringsutskick där samtycke krävs).
Berättigat intresse: När vi har ett legitimt skäl att behandla uppgifter som väger tyngre än integritetsintrånget, efter en intresseavvägning.
Vi vill även lägga till två praktiska förklaringar som ofta är avgörande i e-handel:
Servicekommunikation är sådant som krävs för att fullgöra ditt köp (till exempel orderbekräftelse och leveransinformation). Detta är normalt inte “marknadsföring” i samma mening som kampanjutskick.
Teknisk driftdata kan ibland innehålla identifierare (till exempel IP-adress) och kan därför bli personuppgift även om syftet främst är säkerhet och funktion.
Avsnitt fyra: Kontaktvägar, kommunikation och den praktiska verkligheten i e-handel
När du handlar på distans uppstår i praktiken ett flöde av administrativa händelser: beställning, orderbekräftelse, betalning, plock och pack, fraktbokning, spårning, leveransavisering, eventuellt ombudshämtning, eventuella supportkontakter, eventuella returer och återbetalningar. Flera av dessa händelser kräver att uppgifter skickas mellan system (till exempel e-handelsplattform, betalleverantör och fraktleverantör). Policyn beskriver därför inte bara en “teoretisk” bild utan också hur databehandling normalt ser ut i en standardiserad e-handelsprocess.
Samtidigt kan du använda webbplatsen utan att köpa något, exempelvis genom att läsa innehåll, klicka runt, lägga varor i varukorgen, starta en checkout men avbryta, eller kontakta kundservice med en fråga. Även i dessa situationer kan personuppgifter behandlas, särskilt tekniska uppgifter (som IP-adress) och kommunikationsuppgifter (om du skickar ett meddelande).Vi beskriver detta extra tydligt eftersom många missförstånd uppstår kring vad som “räknas” som personuppgiftsbehandling. Även om du inte aktivt skriver in namn och adress kan tekniska identifierare och loggar i vissa fall innebära att personuppgifter behandlas.
Avsnitt fem: Vilka kategorier av personuppgifter som kan behandlas
Del fem punkt ett: Uppgifter du lämnar aktivt
Det kan vara:
Namn (för leverans och kundkontakt)
E-postadress (för orderinformation, kvitton och kundservice)
Telefonnummer (för avisering eller kundservice om det behövs)
Adressuppgifter (för leverans och ibland fakturaunderlag)
Meddelanden du skickar till oss (till exempel via kontaktformulär eller e-post)
Det kan vara:
Order-ID, datum och tid för köp
Produkter, antal, pris, rabatter, moms och totalsummor
Vald fraktmetod och leveransalternativ
Statushändelser (till exempel “packad”, “skickad”, “levererad”)
Betalningsreferenser (till exempel transaktions-ID eller fakturareferens)
Del fem punkt tre: Tekniska uppgifter vid webbplatsbesök
Det kan vara:
IP-adress
Enhetstyp, operativsystem och webbläsare
Språkinställningar och tidszon
Loggar (till exempel felrapporter och prestandadata)
Cookieidentifierare och liknandeDel fem punkt fyra: Uppgifter från externa aktörer
Det kan vara:
Leveransstatus från transportör
Betalningsstatus från betalleverantör (till exempel “godkänd”, “avbruten”, “nekad”)
Bedrägerisignaler eller riskmarkeringar (om sådana tjänster används)
För att “dränka” detaljerna ännu mer vill vi också beskriva vad vi normalt inte behöver behandla: vi behöver i normalfallet inte veta något om din personliga livssituation, dina privata preferenser utanför köpflödet, dina relationer, din hälsa, din politiska uppfattning eller andra känsliga uppgifter. Om du frivilligt skickar in sådana uppgifter i en kundservicedialog kommer de ändå kunna förekomma i kommunikationshistoriken, men vi uppmanar dig att undvika att lämna mer information än vad som behövs för att vi ska kunna hjälpa dig.
Avsnitt sex: Ändamål – varför vi behandlar uppgifter (mycket detaljerat)
Vi kan behandla personuppgifter för följande ändamål, och samma uppgift kan ibland behandlas för flera ändamål om det finns stöd för det:*
För att möjliggöra köp: skapa order, bekräfta order, hantera varukorg, kommunicera väsentlig information.
För att genomföra betalning: initiera betalning, verifiera betalstatus, hantera återbetalningar, hantera kvitton och transaktionsreferenser.
För att leverera varor: boka frakt, skriva ut frakthandlingar, skicka leveransaviseringar, möjliggöra spårning.
För att hantera kundservice: svara på frågor, utreda leveranser, hantera reklamationer, dokumentera ärenden.
För att hantera returer och ångerrätt: administrera returmottagning, kontrollera returens skick, återbetala, dokumentera beslut.
För att uppfylla lagkrav: bokföringsunderlag, redovisningskrav, hantering av rättsliga anspråk.
För att förbättra tjänster och säkerhet: felsökning, driftövervakning, prestandaförbättring.
För att förebygga missbruk och bedrägeri: upptäcka ovanliga transaktioner, skydda tjänsten och kunder.
För att hantera samtycken och preferenser: cookieval och utskicksinställningar.
För intern statistik och planering: exempelvis sammanställningar på aggregerad nivå som inte syftar till att identifiera enskilda personer.
För att göra detta ännu mer konkret kan följande scenarier förekomma:
Om du kontaktar oss med en fråga innan du köper något kan vi behöva behandla e-postadress och innehållet i ditt meddelande för att besvara frågan, och därefter lagra konversationen en tid för att kunna följa upp vid behov.
Om du genomför ett köp men anger felaktiga adressuppgifter kan vi behöva behandla uppgifter om korrigeringar, leveranshändelser och kommunikation med transportör eller betalleverantör, i den mån det behövs för att utreda och hantera situationen.
Om en betalning avbryts kan vi behöva lagra tekniska händelser och statusinformation för att förstå vad som gick fel och för att minska framtida avbrott i köpprocessen.
Om vi misstänker bedrägeri kan vi behöva göra extra kontroller, vilket kan innebära att vissa uppgifter behandlas i säkerhetssyfte, men endast i den omfattning som är rimlig och relevant.Avsnitt sju: Rättslig grund (GDPR) – förtydliganden och typfall
När du genomför ett köp behandlar vi uppgifter som krävs för att fullgöra avtalet: leverans, betalning, orderadministration och väsentlig kundkommunikation.
Vissa uppgifter måste hanteras enligt lag, exempelvis bokföringsunderlag och dokumentation som krävs för att uppfylla regler om redovisning och konsumenträtt.
Vi kan behandla vissa uppgifter för att driva och säkra verksamheten, exempelvis för att förebygga bedrägerier, skydda våra IT-system och förbättra webbplatsens funktionalitet, under förutsättning att vår intresseavvägning inte innebär att dina rättigheter väger tyngre.
Samtycke kan vara aktuellt exempelvis för icke-nödvändiga cookies eller vissa typer av direktmarknadsföring om lag kräver det. Samtycke kan återkallas.
Vi vill också förtydliga att “samtycke” inte är en genväg som används i onödan. När behandling kan ske på grund av avtal eller rättslig förpliktelse är det ofta mer korrekt att använda dessa grunder istället för att be om samtycke. Samtycke används främst där lagstiftningen kräver det eller där du själv gjort ett aktivt val som inte är nödvändigt för att genomföra köpet.Avsnitt åtta: Personuppgiftsansvarig (placeras här medvetet mitt i texten) Nedan anges den information som identifierar den personuppgiftsansvariga och som krävs för att du ska kunna veta vem som ansvarar för behandlingen och vart du kan vända dig i integritetsfrågor allgreen hydrofarming trehundrafemtiosex ab, org.nr femfem niotre sju sjusex sjufyratvå, ölmegatan sju b, sexfem två tre noll karlstadAvsnitt nio: Lagringstider, gallring och “varför vi inte raderar allt direkt”
Lagringstiden beror på ändamålet och eventuella lagkrav. Vi försöker alltid tillämpa lagringsminimering, men det finns praktiska och juridiska skäl att spara vissa uppgifter under en tid. Exempelvis kan bokföringsregler kräva att underlag sparas under en viss period. Därtill kan konsumenträttsliga regler och preskriptionstider göra att vi behöver kunna visa vad som hänt i ett köpärende om en tvist uppstår.Exempel på lagringslogik kan vara:
Orderunderlag: sparas enligt bokföringskrav.
Retur- och reklamationsärenden: sparas under den tid som krävs för handläggning och efterföljande uppföljning samt i vissa fall längre om rättsliga anspråk kan uppstå.
Kundservicekommunikation: sparas så länge det behövs för att hantera ärendet och därefter under en rimlig tid för kvalitet och dokumentation.
Tekniska loggar: sparas normalt kortare tid, men kan sparas längre vid säkerhetsincidenter.
Samtyckesloggar: kan sparas för att kunna visa att ett samtycke lämnats eller återkallats.
När lagringstid löpt ut raderas eller anonymiseras uppgifter enligt våra rutiner. Radering kan i praktiken innebära permanent radering, eller i vissa system en process där uppgifter avidentifieras så att de inte längre kan kopplas till dig.Avsnitt tio: Mottagare, biträden och kategorier av leverantörer
För att kunna tillhandahålla e-handelstjänster använder vi normalt olika leverantörer. Dessa kan i olika grad ta del av personuppgifter, antingen som personuppgiftsbiträden eller som självständigt personuppgiftsansvariga (till exempel kan en transportör ha egna skyldigheter). Kategorier kan omfatta:
E-handelsplattform och drift: tillhandahåller teknisk infrastruktur.
Betalningsleverantörer: hanterar betalningstransaktioner och kan tillämpa egna bedrägerikontroller.
Frakt- och logistikleverantörer: behöver adress- och kontaktuppgifter för leverans och avisering.
Kundserviceverktyg: om vi använder system för att hantera supportärenden.
Analys- och prestandaverktyg: om du tillåter detta via cookies eller samtycke.
IT-säkerhetsleverantörer: om vi använder tjänster för skydd och incidentdetektion.
Vi eftersträvar att endast dela uppgifter i den utsträckning som är nödvändig för ändamålet. Vi försöker också, där det är praktiskt möjligt, att begränsa vilka fält som delas, så att leverantörer får “minsta möjliga” uppsättning uppgifter för att kunna utföra sin tjänst.
Vissa leverantörer kan behandla data utanför EU/EES eller ha supportfunktioner globalt. Vid sådana överföringar försöker vi säkerställa att det finns giltiga skyddsåtgärder, exempelvis standardavtalsklausuler (SCC) och, vid behov, kompletterande tekniska och organisatoriska skydd. Målet är att skyddsnivån ska motsvara EU:s krav.
Vi vill samtidigt vara tydliga med att e-handel ofta bygger på mjukvara och infrastrukturtjänster där driften kan vara distribuerad. Därför kan internationella aspekter ibland uppstå även om verksamheten i övrigt är lokal. När sådana överföringar förekommer är utgångspunkten att de ska vara lagliga och skyddade.
Vi arbetar med säkerhet genom en kombination av tekniska och organisatoriska åtgärder, exempelvis:
Behörighetsstyrning och åtkomstkontroller
Rutiner för lösenordshantering och kontosäkerhet
Loggning och övervakning för att upptäcka avvikelser
Rutiner för incidenthantering och eskalering
Begränsning av åtkomst enligt “need-to-know”
Uppdatering och underhåll av system och beroenden
Rutiner för leverantörsbedömning när det är relevant
Säkerhetsåtgärder utvärderas löpande utifrån riskbild, teknikutveckling och verksamhetens behov. Vi försöker också att ha rutiner för att hantera situationer där en kund rapporterar misstänkt aktivitet, till exempel om någon obehörig verkar ha fått tillgång till ett konto eller om en kommunikation verkar bedräglig.
Webbplatsen kan använda cookies och liknande tekniker för flera ändamål:
Nödvändiga funktioner: varukorg, checkout, säkerhet och sessionshantering.
Funktionella inställningar: språkval och preferenser.
Analys: förstå hur webbplatsen används och var den kan förbättras (ofta samtyckesbaserat).
Marknadsföringsmätning: mäta kampanjers effekt (ofta samtyckesbaserat).
Du kan hantera cookies via webbläsaren och eller via cookieinställningar på webbplatsen där sådan funktion finns. Nödvändiga cookies kan vara svåra att välja bort utan att webbplatsens kärnfunktioner påverkas.
För att ytterligare minska missförstånd vill vi beskriva skillnaden mellan:
Nödvändiga cookies, som behövs för att sidan ska fungera, och
Valfria cookies, som används för analys eller marknadsföring och som i regel förutsätter att du gjort ett aktivt val om detta där samtycke krävs.Avsnitt fjorton: Marknadsföring, utskick och servicekommunikation (förtydligande)
Vi kan skicka:Servicekommunikation: orderbekräftelser, leveransstatus och viktiga meddelanden om din beställning. Detta är normalt nödvändigt för avtalet och anses inte vara “reklam” i samma mening som marknadsföringsutskick.
Marknadsföring: erbjudanden, nyhetsbrev och produktinformation. Detta kan bero på samtycke eller annan laglig grund beroende på situation. Du kan när som helst avregistrera dig.
Vi försöker även hålla isär servicekommunikation och marknadsföring i praktiken, så att du inte ska behöva tveka på varför du får ett visst meddelande.Avsnitt femton: Automatiserade beslut och profilering (omfattande men tydligt)
Vi strävar efter att inte fatta beslut som har rättsliga eller liknande betydande konsekvenser för dig enbart genom automatiserad behandling. Viss automatisering kan dock förekomma, särskilt inom:
säkerhetsfilter
spam- och missbruksdetektion
riskindikatorer kopplade till transaktioner (ofta hos betalleverantör)
Om sådana processer påverkar dig i praktiken kan du alltid kontakta oss för manuell granskning i den mån det är tillämpligt.
Du har, beroende på omständigheterna, rätt att:
få information om behandling (rätt till transparens)
begära registerutdrag (rätt till tillgång)
få felaktiga uppgifter rättade (rätt till rättelse)
begära radering när förutsättningar föreligger (rätt till radering)
begära begränsning av behandling (rätt till begränsning)
invända mot behandling baserad på berättigat intresse (rätt att invända)
få ut uppgifter i ett strukturerat format (dataportabilitet) när det är tillämpligt
återkalla samtycke när behandling baseras på samtycke
Vissa rättigheter kan begränsas av lagkrav, exempelvis bokföringskrav eller behov av att fastställa, göra gällande eller försvara rättsliga anspråk.
För att skydda din integritet kan vi behöva be om underlag för att verifiera din identitet vid en begäran, särskilt om du begär ut uppgifter eller vill radera uppgifter. Vi hanterar begäran skyndsamt och enligt GDPR:s tidsramar. Om en begäran är komplex kan handläggningstiden i vissa fall förlängas enligt regelverket, och du informeras då om detta.
Om du anser att dina personuppgifter behandlas på ett felaktigt sätt har du rätt att kontakta tillsynsmyndigheten i Sverige (Integritetsskyddsmyndigheten, IMY). Vi ser dock gärna att du kontaktar oss först så att vi får möjlighet att reda ut eventuella missförstånd eller rätta till fel.
Våra tjänster riktar sig normalt inte till minderåriga. Om vi får kännedom om att personuppgifter om barn behandlats utan giltig rättslig grund vidtar vi åtgärder för att radera uppgifterna så snart som möjligt.
Denna policy kan uppdateras. Skäl kan vara:
nya funktioner på webbplatsen
förändrade leverantörer
förändrad riskbild (till exempel nya bedrägerimönster)
lagändringar eller vägledning från myndigheter
Den version som publiceras på webbplatsen är den som gäller. Vi rekommenderar att du läser policyn med jämna mellanrum.
Om en del av policyn skulle uppfattas som oklar ska den tolkas så att den överensstämmer med tillämplig dataskyddslagstiftning. Policyn är avsedd att ge en hög grad av transparens och förutsebarhet. Därför kan vissa delar vara mer detaljerade än vad som är vanligt, och vissa begrepp kan förekomma i flera avsnitt för att ge läsaren kontext i just det avsnittet.