1. Bakgrund
Subtopia, som en del av Upplev Botkyrka AB, behandlar personuppgifter i sin dagliga verksamhet. Personuppgiftspolicyn gäller generellt för personuppgiftsbehandlingen inom Subtopia och finns till för att förklara vilken sorts data Subtopia behandlar, varför och hur. Personuppgifter behandlas i Subtopias administrations- och bokningssystem. Personuppgifter behandlas också i Subtopias digitala plattformar, sociala medier och på hemsidan stubtopia.se (samlingsord ”digitala kanaler”). Personuppgiftspolicyn är tillämpbar på anställda, leverantörer, kunder, hyresgäster, besökare och gäster.
2. Personuppgifter och personuppgiftsbehandling
Personuppgifter är all information som direkt, eller indirekt tillsammans med andra uppgifter, kan kopplas till en levande fysisk person. Namn, telefonnummer, bilder och IP-adresser kan vara personuppgifter. Bokningar, beteenden och beställningar kan också vara personuppgifter om de tillsammans med andra uppgifter kan kopplas till en person. Åtgärder som vidtas med personuppgifter är personuppgiftsbehandling, exempelvis lagring, insamling, ändring, radering och spridning.
2.1. Särskilda kategorier av personuppgifter
Subtopia behandlar ibland särskilda kategorier av personuppgifter. Bland annat uppgifter om hälsa och fackförening anses tillhöra särskilda kategorier och vara extra skyddsvärda. Att hantera en bokning där någon är allergisk kräver behandling av uppgifter om någons hälsa. Sådan behandling sker endast efter samtycke. Även facktillhörighet kan behandlas i anställningsförhållanden, om det är nödvändigt inom arbetsrätten.
3. Personuppgiftsansvarig
Personuppgiftsansvarig är den som är ansvarig för personuppgiftsbehandlingen och bestämmer varför och hur personuppgifter behandlas. I de flesta fall är Subtopia personuppgiftsansvarig. I andra fall är Upplev Botkyrka AB personuppgiftsansvarig. I vissa fall bestämmer en annan part vilka personuppgifter som behandlas och varför. Subtopia är då personuppgiftsbiträde och behandlar personuppgifter å dennes vägnar.
4. Personuppgiftsbiträden
För att kunna leverera sina tjänster använder sig Subtopia av personuppgiftsbiträden. Det innebär att Subtopia är personuppgiftsansvarig och bestämmer vilka personuppgifter som behandlas och varför, men att vi outsourcar delar av behandlingen. Det rör sig exempelvis om IT-lösningar såsom system för lagring och bokning. Subtopia bestämmer då över behandlingen och ansvarar för den, men tar hjälp av andra leverantörer för att kunna leverera sina tjänster. Subtopia ingår alltid personuppgiftsbiträdesavtal med personuppgiftsbiträden för att värna om en hög skyddsnivå för all data.
5. Subtopias personuppgiftsbehandling
Subtopia och våra personuppgiftsbiträden har alltid en laglig grund för behandling av personuppgifter. Oftast är det nödvändigt för att fullgöra avtal eller men det kan även ske efter samtycke, om det krävs för att tillvarata rättsliga anspråk eller på grund av lagkrav. Subtopia kan också behandla personuppgifter om det finns ett berättigat intresse. Det berättigade intresset väger då tyngre än den registrerades intresse av att Subtopia inte behandlar dennes personuppgifter. Marknadsföring till gäster vi tidigare varit i kontakt med sker exempelvis efter en intresseavvägning. Som registrerade är det däremot alltid möjligt att på ett enkelt sätt motsätta sig sådan personuppgiftsbehandling.
Nedan följer en överblick av Subtopias personuppgiftsbehandling. Subtopias strävar efter att behandla så lite personuppgifter som möjligt. Alla kategorier av personuppgifter behandlas därför inte vid varje tillfälle.
5.1. Information och administrering
Subtopia behandlar personuppgifter för administrering och kommunikation med gäster, besökare, hyresgäster, anställda och leverantörer. Syftet är att hantera bokningar, anmälningar, anställningar, ansökningar, avtal och administrera verksamheten.
Personuppgifter
Alla följande personuppgifter hanteras inte alltid i ett system för kommunikation och administrering men det kan förekomma: namn, e-postadress, adress, telefonnummer, bokningar, matpreferenser, allergier och personnummer
Laglig grund
Behandlingen är nödvändig för att kunna uppfylla avtalen, tillhandahålla våra tjänster och efter intresseavvägning.
Uppgifternas ursprung
Uppgifterna kommer från den registrerade själv som lämnas till oss vid bokningar, anmälningar, ansökningar och avtalsingående.
5.2. Anställningsförhållanden
För att sköta administreringen och utbetalningen av löner och kontakt med anställda måste Subtopia behandla anställdas personuppgifter.
Personuppgifter
Namn, e-postadress, adress, telefonnummer, eventuella anhöriga, kontonummer, arbetsgivarintyg, lönespecifikationer, frånvaro. Kontrolluppgifter, inkomstuppgifter.
Laglig grund
Behandlingen är nödvändig för at kunna uppfylla anställningsavtal och att administrera och betala ut lön. Subtopia har som arbetsgivare en rättslig förpliktelse att tillhandahålla Skatteverket med anställdas kontrolluppgifter.
Uppgifternas ursprung
Uppgifterna kommer från den registrerade själv och lämnas till oss vid avtalsingående eller under avtalsförhållandet. Lönespecifikationer genereras i Subtopias lönesystem och arbetsgivarintyg skapas av arbetsgivare. Uppgifterna kommer från lönesystemet och är baserade på vad som är registrerat mot bakgrund av den anställdes lön och arbetsgrad.
5.3. Marknadsföring
Subtopia använder personuppgifter för att marknadsföra sina tjänster i digitala kanaler och genom utskick med erbjudanden och information.
Personuppgifter
Namn, e-postadresser och i vissa fall bilder.
Laglig grund
Behandlingen sker efter samtycke och/eller en intresseavvägning.
Uppgifternas ursprung
Från de registrerade själva, från deltagarlistor (endast för kommunikation av liknande arrangemang) eller webbplatser (endast e-postadresser knutna till anställningar och arbetsplatser). Bilder tas av Subtopia eller fotografer på uppdrag av Subtopia. Godkännande av användning av fotografier ges direkt till Subtopia eller via fotograf. För personer under 18 år sker godkännandet skriftligt av vårdnadshavare.
5.4. Betalningar
För att hantera betalningar behandlar Subtopia personuppgifter.
Personuppgifter
Kortnummer, fakturanummer, personnummer, namn, e-postadress, telefonnummer, belopp, försäljningsställe, tid för transaktionen, detaljer om beställningen.
Laglig grund
För att handla med tjänster och varor och leva upp till avtal genom att få betalt eller försäkra sin egen betalning behöver Subtopia hantera personuppgifter kopplade till betalningar.
Uppgifternas ursprung
Uppgifterna kommer från de registrerade själva vid betalning, bokning eller anmälan.
5.5. Kundundersökningar och statistik
För att förbättra sina tjänster skickar Subtopia ut anonyma kundundersökningar (svarsresultaten kan inte kopplas till person). Personuppgifter samlas även in för att kunna redogöra för den besöksstatistik som Subtopias ägare ålägger Subtopia via avtal.
Personuppgifter
Namn, e-postadress, postnummer
Laglig grund
Behandlingen sker efter en intresseavvägning och för att uppfylla ägaravtal.
Uppgifternas ursprung
Uppgifterna för enkätutskick kommer från de registrerade själva via bokning eller anmälan. Svaren på undersökningarna kommer direkt från den registrerade och är anonyma.
5.6. Hantera anspråk
För hantera eventuella rättsliga anspråk såsom klagomål, reklamationer eller rättsprocesser, kan Subtopia behöva behandla personuppgifter.
Personuppgifter
Namn, personnummer, adress, e-postadress, telefonnummer, kontonummer, händelseförlopp, platsinformation.
Laglig grund
Behandlingen är nödvändigt för att tillgodose Subtopias berättigade intresse av att fastställa, göra gällande och utöva rättsliga anspråk.
Uppgifternas ursprung
Uppgifterna kan komma från registrerade själva men även myndigheter eller andra aktörer som försäkringsbolag.
5.7. Cookies m.m.
För att förbättra användarupplevelsen i de Digitala kanalerna kan Subtopia komma att samla in teknisk data.
Personuppgifter
IP-adresser, cookies, webbläsarinformation, enhets-ID:n.
Laglig grund
Beroende på vilken sorts teknisk data som samlas in sker behandlingen antingen efter en intresseavvägning eller samtycke.
Uppgifternas ursprung
De registrerade själva vid användning av de Digitala kanalerna. 6. Mottagare som Subtopia kan dela information med
6.1. Moder bolag
Subtopia är en del av det kommunalägda aktiebolaget Upplev Botkyrka. I vissa fall delar Subtopia personuppgifter med Upplev Botkyrka AB och behandlar personuppgifter å varandras vägar. Detta gäller framförallt ekonomihantering och avtal.
6.2. Tjänsteleverantörer
För kunna tillhandahålla sina tjänster tar Subtopia hjälp av olika leverantörer för bland annat IT-lösningar som nätverk, lagringstjänster och e-posttjänster. Leverantörerna får endast behandla personuppgifterna enligt Subtopias uttryckliga instruktioner och får inte behandla uppgifterna för egna ändamål. Samtliga är också bundna av lag och avtal att skydda personuppgifter.
6.3. Betalningsmottagare och leverantörer för betaltjänster
Vid betalningar kan personuppgifter delas med betaltjänstleverantören, betalningsmottagaren samt båda parters banker.
6.4. Övriga mottagare
Subtopia kan i vissa fall också dela med sig av uppgifter till andra mottagare, främst myndigheter på grund av lagkrav eller i samband med rättsliga processer. Personuppgifter kan också komma att delas med potentiella köpare och säljare till hela eller delar av verksamheten.
7. Tekniska och organisatoriska åtgärder
Subtopia är mån om kunders, besökares, hyresgästers och anställdas integritet och vidtar lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifter från obehörig åtkomst, ändring, spridning eller förstörelse. Bland annat finns rutiner och behörighetsbegränsningar som hindrar obehörig åtkomst.
8. Var behandlar Subtopia personuppgifter?
Subtopias mål är att samtliga personuppgifter behandlas inom EU/EES-området. Vissa leverantörer kan dock komma att behandla personuppgifter utan EU/EES-området. I sådana fall säkerställer vi alltid att uppgifterna är skyddade och att det finns skyddsåtgärder på plats, genom avtal som kräver ställer samma krav som reglerna inom EU.
9. Hur länge sparas personuppgifter?
Subtopia behandlar personuppgifter så länge det finns ett förhållande med den registrerade och en tid därefter, så länge det finns en laglig grund. Om det inte längre finns en anledning att behandla personuppgifter raderas de.
10. Rättigheter
Subtopia vill påminna om rättigheterna GDPR ger personer som får sina personuppgifter behandlade.
10.1. Tillgång till personuppgifter
Som registrerad har du rätt att begära bekräftelse på om vi behandlar personuppgifter om dig eller inte. Om vi gör det har du rätt att få se vilka uppgifter vi behandlar om dig genom ett registerutdrag.
10.2. Rättelse
Om en uppgift är fel eller ofullständig har du rätt att begära att den rättas.
10.3. Återkalla samtycke
Om vi behandlar dina personuppgifter med samtycke som laglig grund för behandlingen, har du rätt att närsomhelst återkalla samtycket med framtida verkan.
10.4. Motsätta sig behandling för direktmarknadsföring
Registrerade har rätt att motsätta sig att personuppgiftsbehandling sker för direktmarknadsföring. Detta görs lättast genom att avregistrera sig från utskick genom att klicka på avregistreringslänken i utskicket eller kontakta oss.
10.5. Rätt att klaga till tillsynsmyndighet
Den registrerade har också rätt att vända sig direkt till tillsynsmyndigheten för att klaga. Tillsynsmyndigheten ska då utreda det som skett.
10.6. Motsätta sig behandling som stöder sig på Subtopias berättigade intresse
Som registrerad har du rätt att motsätta dig personuppgiftsbehandling som stödjer sig på ett berättigat intresse om det finns skäl i ditt specifika fall som talar emot behandlingen. Om du motsätter dig behandlingen och det finns tvingande berättigade skäl som väger tyngre får vi dock fortsätta behandlingen.
10.7. Radering
Registrerade har rätt att begära och under vissa omständigheter få sina personuppgifter raderade. Ett undantag är om vi enligt lag är skyldiga att bevara uppgifterna.
10.8. Begränsning av behandling
Registrerade har rätt att begära att behandlingen av dennes personuppgifter begränsas.
10.9. Dataportabilitet
Registrerade har också rätt att få kopior på sina personuppgifter.
För att tillvarata dina rättigheter eller för frågor, hör av dig till Subtopia.
Personuppgiftsansvarig: Subtopia, organisationsnummer 556767- 7876
Postadress: Rotemannavägen 10, 14557 Norsborg
E-post: info@subtopia.se
Telefon: 08-599 07500