Cookie- och integritets- policy

Denna policy beskriver Repeat Studios rutiner för hantering av personuppgifter och gäller från och med den 25 maj 2018.

Syfte

Syftet med den här policyn är att du på ett tydligt och transparent sätt ska få veta vilka typer av personupp gifter vi hanterar, hur vi behandlar dem samt hur du kan ta tillvara dina rättigheter. Policyn följer bestämmelserna i EU:s allmänna dataskyddsförordning (GDPR). Den kompletteras dessutom av interna riktlinjer för hantering av personuppgifter.

Vilka personuppgifter hanterar vi?

Insamling och behandling av personuppgifter är inte en kärnverksamhet för oss på Repeat Studio. Däremot hanterar vi, precis som så gott som alla andra företag, personuppgifter i vår interna administration och för marknadsföringssyfte. Utöver det tillkommer viss personuppgiftshantering i det arbete vi utför för våra kunders räkning. I de flesta fall intar vi rollen som personuppgiftsbiträden för våra kunders räkning då vi hanterar våra kunders närvaro i digitala kanaler och plattformar.

Personuppgifter som hanteras på uppdrag av våra kunder

I så gott som alla typer av kunduppdrag kan det bli aktuellt med personuppgiftshantering. Exempel på personuppgifter vi behandlar inom ramen för kunduppdrag är kontaktuppgifter, CV, foto, film och ljudupptagning.

Ytterligare personuppgiftshantering inom ramen för kunduppdrag kan handla om att utveckla, driva och bevaka sociala medieplattformar eller andra plattformar för opinionsbildning eller marknadsföring samt verktyg för att övervaka besöks- och aktivitetsflöden i dessa. I de fall där det är tillämpligt gäller respektive plattforms eller verktygs integritetspolicy. I övrigt ansvarar vi typiskt sett för innehållet, däribland publicerade personuppgifter, i kanalen.

På uppdrag av våra kunder använder vi en rad verktyg för webbutveckling och innehållspublicering, spridning, analys, utskick, medieproduktion och så vidare. I de fall där det är tillämpligt ansvarar vi för personuppgiftshanteringen även kopplat till dessa verktyg, annars (eller parallellt) gäller respektive verktygs integritetspolicy.

Personuppgifter som hanteras i vår interna administration och i våra egna kanaler

Sociala medier

Vi ansvarar för innehållet, däribland personuppgifter, som publiceras i sociala mediekanaler som drivs i Repeat Studios eget namn. Det innebär att vi, i sociala mediekanaler där vi har möjlighet att kontrollera innehållet, ansvarar för att hålla regelbunden uppsikt över publiceringar och moderera innehållet så att kanalen inte innehåller exempelvis kränkande personuppgifter. Utöver detta gäller respektive plattforms egen integritetspolicy.

Marknadsföring och utskick

Vi lagrar kontaktinformation till nuvarande kunder, tidigare kunder, potentiella kunder och andra relevanta parter vi är i kontakt med i syfte att marknadsföra vår verksamhet. Detta gör vi primärt genom e-postutskick med marknadsföring av våra tjänster, inbjudningar till evenemang och så vidare. Utskick innehåller alltid en s.k. opt out-möjlighet för dig som inte längre vill ta del av sådan typ av information från oss.

Medieproduktion och fotografering

Vi genomför också medieproduktion (film och ljudupptagning) och fotografering för eget bruk. Typiskt sett handlar det om att dokumentera evenemang som sker i vårt eget namn samt marknadsföring och dokumentation av vår egen verksamhet.

Avtal

Vi behandlar personuppgifter som förekommer i de avtal vi tecknar. Det kan exempelvis vara avtal med kunder, underleverantörer, samarbetspartners och anställda. Uppgifterna handlar typiskt sett om grundläggande kontaktinformation som är nödvändig för att fullgöra avtalet.

Rekrytering

Du som kontaktar oss för att söka arbete hos oss samtycker automatiskt till att vi behandlar dina personuppgifter när du överlämnar dem till oss i form av brev, CV och annan dokumentation. Söker du anställning hos oss lagrar vi dina uppgifter under två års tid innan de raderas.

Webbplats

Vi använder oss av Google Analytics för att bevaka besöksflödena på vår egen webbplats. För detta ändamål gäller verktygets egen integritetspolicy.

Cookies

Vi använder cookies för att förbättra din användarupplevelse och för att ge dig som besökare tillgång till viss funktionalitet. En cookie är en liten textfil som sparas på din dator av webbplatsen du besöker. Cookies gör det möjligt att få information hur besökare interagerar med webbplatsen. Vi använder oss av cookies för främst tre olika ändamål: webbanalys, annonsering och för att förbättra kundupplevelsen.

För webbanalys använder vi oss huvudsakligen av Google Analytics och Hotjar. Dessa hjälper oss bland annat att få information om hur våra besökare interagerar med webbplatsen. Data från cookien används för intern webbanalys och marknadsföring, men inkluderas även i Googles demografi- och intresserapporter.

Om du inte accepterar användning av cookies på vår webbplats repeat.studio enligt beskrivningen ovan kan du ändra dina inställningar i webbläsaren så att inga cookies lagras på din dator. Vi hänvisar till din webbläsares användarmanual för närmare instruktioner. Tänk på att vissa funktioner inte kan fungera som de ska om du inte tillåter användning av cookies.

E-post

Vi hanterar personuppgifter som förekommer i de e-postkonversationer vi har, dels med våra kunder men också med anställda, underleverantörer, andra typer av samarbetsaktörer samt med externa parter. Vi använder även oss av e-postmarknadsföringsverktyget Mailchimp för utskick av nyhetsbrev, för detta ändamål gäller verktygets egen integritetspolicy.

Hur behandlas dina personuppgifter?

Behandlingens laglighet

Vår behandling av personuppgifter, oavsett om den sker på uppdrag av våra kunder eller för vår interna administration eller marknadsföring, utgår från de grundläggande principer för personuppgiftshantering som GDPR anger. Vi behandlar endast personuppgifter efter att vi säkerställt att vi har laglig grund enligt GDPR för att göra det.

När det gäller personuppgiftshantering inom ramen för kunduppdrag baseras den typiskt sett på den s.k. intresseavvägningen som laglig grund. Vår verksamhet baseras på olika typer av digitala kunduppdrag, vanligtvis i form av utveckling av olika typer av digitala tjänster eller produkter, eller marknadsföring, där vi på ett eller annat sätt behöver hantera personuppgifter som tillhandahålls av våra uppdragsgivare.

Mot bakgrund av detta gör vi typiskt sett bedömningen att vi har laglig grund att behandla personuppgifter som utgör en förutsättning för att vi ska kunna utföra våra uppdrag, och att vårt och våra uppdragsgivares intresse därmed väger tyngre än den registrerades om behandlingen inte utgör ett hot mot den registrerades integritet.

I övrigt äger vi rätt att behandla personuppgifter om de är nödvändiga att fullgöra ett avtal, exempelvis med en kund, en samarbetspartner, en underleverantör eller en anställd, liksom för att fullgöra rättsliga förpliktelser, exempelvis gentemot myndigheter. Det kan handla om att behandla uppgifter för att lagar eller andra bestämmelser kräver det.

I vissa fall gör ett aktivt samtycke från den registrerade att behandling av dess personuppgifter blir laglig. Det är också ett krav om uppgifterna enligt förordningen är att betrakta som känsliga. I de fall där lagstiftningen kräver det eller där situationen gör det lämpligt samlar vi in ett aktivt samtycke till behandling från den registrerade.

Information till registrerade

I vår personuppgiftsbehandling ser vi också till att leva upp till informationsskyldigheten så som den beskrivs i GDPR, och informera dig om dina uppgifter behandlas av oss. Detta förutsatt att de personuppgifter det rör inte redan gjorts offentliga, t.ex. genom att de finns öppet tillgängliga (exempelvis på internet eller i media) eller aktivt har offentliggjorts eller tillhandahållits oss av den registrerade själv.

Begränsning av åtkomst

Vi har rutiner och arbetssätt för att hantera personuppgifter på ett säkert sätt. Utgångspunkten är att endast anställda och, om tillämpligt, den kund som vi utför uppdraget åt som behöver personuppgifterna för att utföra sina arbetsuppgifter ska ha tillgång till dem.

Gallring

Personuppgifter som inte längre används, exempelvis för att kunduppdraget inom vilket de behandlades har avslutats, för att uppgifterna av andra anledningar blivit inaktuella för uppdraget, för att ett avtal eller samarbete löpt ut eller liknande, gallras ut regelbundet.

Undantaget är om personuppgifterna behöver sparas en tid för att leva upp till exempelvis en reklamationstid, om det finns anledning att tro att det avslutade uppdraget, avtalet eller samarbetet inom en nära framtid övergår i ett nytt uppdrag, avtal eller samarbete med samma motpart, eller om det ligger i vårt intresse att i efterhand kunna redovisa hur uppdraget utfördes.

Överföring av personuppgifter

Vi överför inte personuppgifter i andra fall än de som uttryckligen anges i denna policy. Det kan exempelvis handla om personuppgifter vi hanterat på uppdrag av en kund och där det ingår i vårt uppdrag att uppgifterna ska lämnas över till kunden, eller personuppgifter som hanteras inom ramen för ett verktyg eller en digital plattform där vår egen policy inte är tillämplig utan det är verktygets eller plattformens policy som gäller.

I övrigt sker överföring av personuppgifter mellan Diplomatgruppens byråer och till ev. samarbetspartners när våra kunduppdrag så kräver. Vi överför typiskt sett inte personuppgifter till tredje land, dvs. till länder utanför EU/EES.

IT-säkerhet

Vi följer de krav på datasäkerhetsåtgärder som ställs av GDPR. Det gäller exempelvis kryptering av våra nätverk och begränsning av åtkomst till data för att undvika s.k. personuppgiftsincidenter. Vi har interna policys och rutiner för IT-säkerhet samt hantering av personuppgiftsincidenter som lever upp till de lagstadgade kraven.

Dina rättigheter

Dataskyddsförordningen ger dig rätt att:

  • begära information om vilka personuppgifter vi behandlar om dig,
  • få felaktiga personuppgifter korrigerade och i vissa fall be oss att radera dina personuppgifter,
  • invända mot att vissa personuppgifter om dig behandlas samt begära att behandlingen av dina personuppgifter begränsas,
  • få de personuppgifter som du lämnat till oss överförda till en annan personuppgiftsansvarig (rätt till dataportabilitet),
  • om behandlingen grundar sig på samtycke återkalla detta, och
  • om du är missnöjd med hur vi behandlar dina personuppgifter kan du göra en anmälan till Datainspektionen som är ansvarig tillsynsmyndighet.

 

Kontaktinformation

Vid frågor om vår integritetspolicy eller angående vår personuppgiftsbehandling, kontakta hello@repeat.studio.