Formål

Denne personvernerklæringen gjelder Allderma AB (559156—4322) og eller ethvert annet selskap som er en del av samme konsern som det nevnte selskapet heretter ("Allderma, vi, vår, oss).

Personvernreglene er vedtatt av ledelsen og oppdateres etter behov. Retningslinjene utgjør generell informasjon om hvordan selskapet behandler interne og eksterne personopplysninger.

Personopplysninger håndteres innenfor selskapet og dets virksomhet. Dataene behandles blant annet for å gjøre det mulig for selskapet å oppfylle inngåtte kontrakter med kunder, leverandører og ansatte, samt på grunn av lovforpliktelser. Som utgangspunkt er Alldermas kunder behandlingsansvarlig for all behandling av personopplysninger som gjøres i henhold til kontrakter mellom oss og våre kunder. For slik behandling inngår selskapet persondatabehandleravtaler med sine kunder og behandler dataene etter instruksjoner fra og på vegne av kunden.

Denne generelle personvernerklæringen (»Personvernerklæring«) gjelder når vi behandler personopplysninger for egen konto, dvs. når Allderma er behandlingsansvarlig. Denne personvernerklæringen gjelder for alle ansatte og ansatt personell i selskapet vårt, inkludert ledelse, offiserer, ansatte og andre personer som handler for eller på vegne av selskapet.

Det overordnede formålet med denne personvernerklæringen er å etablere roller og ansvar i organisasjonen vår, samt å etablere standarder og prinsipper som skal sikre at innsamling og behandling av personopplysninger i selskapet utføres i samsvar med gjeldende databeskyttelseslovgivning (som definert nedenfor).

‍

Definisjoner

Behandling (av personopplysninger) er enhver handling eller rekke handlinger iverksatt med hensyn til personopplysninger, enten de er automatisert eller ikke, for eksempel innsamling, registrering, organisering, lagring, behandling, endring, begrensning, justering, sletting eller ødeleggelse, avsløring ved overføring, formidling eller annen levering av data, kompilering eller sammenkobling.

Behandlingsjournaler refererer til registeret over behandlingsoperasjoner som Allderma er forpliktet til å oppbevare for behandling av personopplysninger i henhold til art. 30i GDPR.

Lovgivning om databeskyttelse henviser til europaparlaments- og rådsforordning (EU) 2016/679 av 27. april 2016 om beskyttelse av fysiske personer med hensyn til behandling av personopplysninger og om fri bevegelse av slike data (')GDPR«) og enhver annen nasjonal eller europeisk lov, forskrift eller direktiv som fra tid til annen gjelder for behandling av personopplysninger av selskapet.

Personopplysninger er alle opplysninger knyttet til en identifisert eller identifiserbar fysisk person som er i live. Identifiserbar fysisk person betyr en person som kan identifiseres, direkte eller indirekte, særlig ved henvisning til en identifikator som navn, identifikasjonsnummer, stedsdata eller elektroniske identifikatorer eller en eller flere faktorer som er spesifikke for den fysiske personens fysiske, fysiologiske, genetiske, psykologiske, økonomiske, kulturelle eller sosiale identitet.

Datakontrollør er den juridiske personen som, alene eller sammen med andre, bestemmer formålene og midlene for behandlingen av personopplysninger.

Behandler av personopplysninger er en juridisk enhet som behandler personopplysninger på vegne av behandlingsansvarlig, f.eks. Alldermas leverandører.

Personvernmyndighet (IMY) gjennomføre kontroller på grunnlag av klager fra enkeltpersoner, data i massemediene eller på eget initiativ. Tiltak inkluderer feltinspeksjoner og inspeksjoner ved spørreskjemaer eller annen kontroll via e-post, telefon eller brev.

‍

Grunnleggende prinsipper for Alldermas personuppgavebehandling

Vi skal overholde gjeldende databeskyttelseslovgivning til enhver tid når vi behandler personopplysninger.

Vi behandler kun personopplysninger på en lovlig, korrekt og gjennomsiktig måte i forhold til den registrerte og behandlingsansvarlig. Dette betyr blant annet at vår behandling av personopplysninger må overholde følgende grunnleggende prinsipper:
‍

• Dokumentert personopplysningsansvarFor hver behandling av personopplysninger, der vi bestemmer formål og midler, må det være ett eller flere selskaper i selskapet som har blitt ansett for å være behandlingsansvarlig for personopplysninger. Ansvaret for behandlingsoperasjoner der selskaper i selskapet er behandlingsansvarlig, skal dokumenteres i databehandlingsregisteret.
• Juridisk gruntAll behandling av personopplysninger skal utføres på grunnlag av et dokumentert rettslig grunnlag.
• Formålsbegrensning: Dataene skal samles inn for spesifikke, eksplisitt oppgitte formål og kan ikke senere behandles på en uforenlig måte.
• Oppgaveminimering: Bare personopplysninger som er tilstrekkelige, relevante og ikke for omfattende i forhold til formålet skal samles inn.
• Korrekthet: Dataene skal være nøyaktige og oppdaterte, og det skal være mulig å spore endringer.
• Lagringsminimering: Opplysningene skal ikke oppbevares lenger enn det som er nødvendig i forhold til formålet.
• Konfidensialitet: Personopplysninger skal beskyttes med hensiktsmessige tekniske og organisatoriske sikkerhetstiltak for å forhindre uautorisert eller uautorisert behandling og tap, ødeleggelse eller forvrengning av dataene.

‍

Når behandlingen av personopplysninger er lovlig

Generell informasjon om rettslig grunnlag

Behandling av personopplysninger er lovlig bare hvis minst ett av følgende betingelser er oppfylt:

• Den registrerte har har gitt sitt samtykke behandlingen av hans/hennes personopplysninger for ett eller flere spesifikke formål.
• Behandlingen er nødvendig for å oppfylle en reduksjonl som den registrerte er part i, eller å iverksette tiltak på forespørsel fra den registrerte før inngåelse av en slik avtale.
• Behandlingen er nødvendig for å oppfylle en juridisk forpliktelse som er kontrollørens ansvar.
• Behandling er nødvendig for å beskytte interesser som er av grunnleggende betydning for den registrerte eller for en annen fysisk person.
• Behandlingen er nødvendig for utførelsen av en oppgave av allmenn interesse eller som en del av den behandlingsansvarliges utøvelse av myndighet.
• Behandlingen er nødvendig for formål knyttet til den behandlingsansvarliges eller en tredjeparts legitime interesser med mindre interessene eller grunnleggende rettigheter og friheter til den registrerte oppveier og krever beskyttelse av personopplysninger.

Det rettslige grunnlaget for vår behandling av personopplysninger skal fastsettes og dokumenteres i behandlingsregisterets behandlingsregister. Ved usikkerhet skal konsultasjon gjøres med Alldermas General Privacy Manager (GPM).

‍

Rettslig grunnlag for behandling av personopplysninger ved rekruttering

Behandlingen er nødvendig for å kunne behandle søknaden til personen som søker om ansettelse hos oss og er basert på samtykket du gir i forbindelse med søknaden. Vi har ingen interesse i å vite om fagforeningsmedlemskap, trosbekjennelse, seksuell legning, politiske synspunkter, sykdommer eller andre data som er irrelevante for rekruttering.

For visse spesifikke behandlinger i forbindelse med rekruttering kan du trenge ytterligere, supplerende eller annerledes informasjon om individuell behandling av personopplysninger.

‍

Rettigheter til den registrerte

Et grunnleggende aspekt ved databeskyttelseslovgivningen er at den inneholder visse lovbestemte og bindende rettigheter for registrerte hvis personopplysninger behandles. Som behandlingsansvarlig har Allderma en forpliktelse til å legge til rette for utøvelsen av sine rettigheter i henhold til GDPR.

Hvis en person ønsker å vite hvilke data som er registrert om ham eller henne, eller hvis personen ønsker å utøve andre av sine rettigheter under GDPR, blir du henvist til Alldermas GPM.

Den registrerte har også rett til å trekke tilbake eventuelle samtykker gitt. Tilbaketrekking av samtykke skal ikke påvirke lovligheten av behandling basert på samtykke før tilbaketrekking.

Den registrerte har blant annet rett til:

• Rett til innsyn av sine personopplysninger, noe som betyr at den registrerte har rett til å få bekreftelse på om personopplysninger knyttet til den registrerte behandles, og i så fall også ha tilgang til personopplysningene og visse tilleggsinformasjoner om behandlingen.
• Rett til dataportabilitet, som betyr at den registrerte under visse omstendigheter har rett til tilgang til personopplysninger for å kunne overføre personopplysningene til en annen behandlingsansvarlig.
• Rett til korrigering, sletting eller begrensning av behandlingen av deres personopplysninger og retten til å motsette seg behandlingen.
• Rett til å klage til den nasjonale databeskyttelsesmyndigheten (i Sverige IMY) hvis behandlingen av deres personopplysninger ikke er i samsvar med kravene i EU/EØS-lovgivningen om databeskyttelse.
• Rett til å trekke tilbake samtykke hvis og i den grad det er gitt spesifikt samtykke til viss behandling.
• Retten til innsigelse angående interesseavveining når behandlingen skjer på grunnlag av såkalt interesseavveining i samsvar med art. 6 nr. 1 bokstav f GDPR.
• Rett til å protestere mot direkte markedsføring i behandlingen av deres personopplysninger. Da vil personopplysningene ikke lenger bli behandlet for slike formål.

‍

Lagring og sletting av personopplysninger

I henhold til personvernforordningen kan personopplysninger ikke lagres lenger enn tillatt ved lov, eller på annen måte nødvendig for formålene dataene behandles for. Data som ikke lenger er tillatt å lagres, skal slettes og destrueres permanent (tynning). Under spesielle forhold kan tynning utføres ved å anonymisere personopplysningene i stedet for å ødelegge dem. Anonymisering betyr at all informasjon som gjør det mulig å spore dataene til en registrert, slettes ugjenkallelig.

Hvis det er spesifikke lover eller forskrifter som krever oppbevaring av personopplysninger i en viss periode, for eksempel i skatte-, regnskaps- eller hvitvaskingslovgivningen, gjelder slike bestemmelser før personvernforordningen. Regnskapsloven sier for eksempel at regnskapsopplysninger skal oppbevares i syv år fra det året regnskapsåret ble avsluttet.

Hovedregelen i selskapet er at personopplysninger som ikke er underlagt spesifikke lover eller forskrifter (i tillegg til personvernforordningen) skal slettes når vi ikke lenger trenger dataene for å oppfylle formålet med behandlingen.

‍

Sikkerhet i behandlingen av personopplysninger

Generell

Allderma skal treffe hensiktsmessige tekniske og organisatoriske tiltak for å forhindre ødeleggelse, endring eller forvrengning av personopplysninger. Dette betyr at en sikkerhetsvurdering må gjennomføres fra sak til sak, og at ulike prosesser/systemer krever forskjellige nivåer av sikkerhetstiltak avhengig av informasjonens følsomhet, risiko for inntrenging (og andre risikoer) og sårbarhet.

Risikoanalyse

Før vi begynner å behandle personopplysninger, må det gjennomføres en innledende risikoanalyse for å ta stilling til:

‍

• hensiktsmessige tekniske og organisatoriske sikkerhetstiltak for den aktuelle behandlingen, basert på en vurdering av informasjonsfølsomhet, relevante risikoer og sårbarhet,
• Hvis behandlingen er tilpasset utenfra og oppfyller våre krav til personvern ved design og informasjonssikkerhet.
• når behandlingen sannsynligvis vil medføre en høy risiko for de registrertes rettigheter og friheter, for eksempel ved bruk av ny teknologi eller ved at registrerte ikke kan forventes å vite at de blir utsatt for behandlingen; Hvis en slik høy risiko blir identifisert, skal den ansvarlige personen informeres og avgjøre om ytterligere analyse i form av en konsekvensvurdering for databeskyttelse er nødvendig.

‍

Overføring av personopplysninger

‍

Overføring til personopplysningstilskudd

Allderma kan overføre personopplysninger til en ekstern part, som behandler personopplysninger på våre vegne og som instruert av oss. En slik ekstern part er en persondatabehandler for oss og må alltid signere en assistanseavtale med Allderma. Alldermas General Privacy Manager (GPM) er ansvarlig for å sikre at en slik mal holdes oppdatert i samsvar med gjeldende databeskyttelseslovgivning fra tid til annen.

‍

Overføring til parter med persondataansvar

Allderma kan overføre personopplysninger til en annen ekstern part, som har sitt eget persondataansvar, forutsatt at vi har et rettslig grunnlag for slik overføring. Et slikt rettslig grunnlag kan for eksempel være at overføringen utgjør en juridisk forpliktelse for oss, eller en kundeavtale som gir oss rett til å overføre dataene.

‍

Overføring av personopplysninger til et tredjeland

Hvis og i den grad vår behandling av personopplysninger innebærer overføring av personopplysninger til, lagret eller på annen måte behandlet utenfor EU/EØS, er det nødvendig med ytterligere tiltak for at behandlingen skal være lovlig. Det er tilstrekkelig at personopplysningene er tilgjengelige fra et sted utenfor EU/EØS, eller at noen infrastruktur eller ressurs er lokalisert utenfor EU/EØS, for at ytterligere tiltak skal være nødvendig. Ved overføring av personopplysninger utenfor EU/EØS-området skal den registrerte informeres om formålet og omfanget av overføringen.

Tiltakene vi iverksetter for å sikre at behandling av personopplysninger utenfor EU/EØS er lovlig, må alltid dokumenteres og godkjennes av Alldermas General Privacy Manager (GPM).

‍

Myndighetens forespørsel om informasjon

Allderma og dets ansatte er forpliktet til å gi informasjon om vår behandling av personopplysninger og relaterte omstendigheter hvis IMY ber om det. Andre myndigheter kan også ha rett til å motta informasjon som inneholder personopplysninger fra oss, for eksempel den svenske håndhevingsmyndigheten, det svenske skatteverket eller det svenske miljøkriminalitetsmyndigheten. Det kan også være en plikt til å utlevere opplysninger til politi eller påtalemyndighet i løpet av en strafferettslig etterforskning, med opplysninger som bare skal utleveres etter skriftlig anmodning fra etterforskeren eller påtalemyndigheten.

I tillegg til regelmessige og obligatoriske overføringer av personopplysninger til myndigheter som vi har en juridisk forpliktelse til å rapportere (f.eks. lønnsdata til Skatteetaten og informasjon om sykefravær til Försäkringskassan), skal personopplysninger kun utleveres til myndigheten etter samråd med Alldermas General Privacy Manager (GPM).

Alldermas General Privacy Manager (GPM) er ansvarlig for samarbeidet med IMY. Alle kontakter med IMY, eller andre myndigheter angående spørsmål om behandling av personopplysninger, på vegne av Allderma, bør henvises til Alldermas General Privacy Manager (GPM).

‍

Rapportering

Alldermas General Privacy Manager (GPM) skal rapportere årlig eller etter behov til ledelsen om vår behandling av personopplysninger og i tillegg umiddelbart rapportere til ledelsen dersom det oppstår alvorlige mangler, personvernrisiko eller problemer.

Rapporten skal inneholde resultatene av overvåking og kontroll av personopplysninger utført i samsvar med denne personvernerklæringen, inkludert:

‍

• Hvis behandlingen er tilpasset utenfra og oppfyller våre krav til innebygd databeskyttelse (privacy by design) og informasjonssikkerhet.
• Antall persondatainnbrudd
• Vår overholdelse av gjeldende databeskyttelseslovgivning og denne personvernerklæringen.
• Eventuelle kontakter med Privacy Protection Authority; og
• Endringer i gjeldende databeskyttelseslovgivning og tilsynspraksis angående behandling av personopplysninger.

‍

Kontaktopplysninger

Hvis du har spørsmål om behandlingen av dine personopplysninger, denne policyen eller hvis du ønsker å utøve rettighetene som er angitt ovenfor, er du velkommen til å kontakte oss som nedenfor.

‍

Allderma AB (559156-4322)

Box 1890, 116 74, Stockholm

Telefonnummer: 010-889 93 10

E-post: gpm@allderma.se

‍

Denne policyen er godkjent av Allderma AB.

‍

Sist oppdatert: 20.8.2025

‍