top of page

INTEGRITETSPOLICY

Detta dokument handlar först och främst om tre viktiga punkter. 

  • Tydliggöra ansvaret för att skydda dina rättigheter och din. 

  • Förklara hur vi använder de personuppgifter du delar med oss. 

  • Tydliggöra vilka uppgifter vi samlar in och vad vi gör, och inte gör med dem.

  • Parter och ansvar för behandlingen av dina personuppgifter 

RTIM System Sweden AB, 559390-0201 (nedan RTIM) är ett svenskt bolag som tillhandahåller en systemtjänst för hantering av återanvändningsbara lastbärare nedan kallas ”Tjänsten”. RTIM är personuppgiftsbiträde för behandling av dina personuppgifter i Tjänsten och har då ansvar för de organisatoriska och tekniska säkerhetsåtgärder.  

 

Personuppgiftsansvarig för behandlingen av dina uppgifter i Tjänsten är “Kunden” som är det registrerade bolaget hos oss. Du som är användare och har egna inloggningsuppgifter till Tjänsten kallas nedan för “Användaren”. I Tjänsten finns rollen “Systemadministratör” som är företrädare för Kunden i Tjänsten med ansvar att beställa tjänster, tilldela rättigheter och ge instruktioner till RTIM avseende behandlingen av data, inkl. personuppgifter i Tjänsten. 

 

RTIM är personuppgiftsansvarig för behandlingen av de personuppgifter som du delar med oss när: 

 

  • Du får inloggningsuppgifter och blir användare av Tjänsten 

  • Du har en fråga och/eller kontaktar oss 

  • Du besöker vår hemsida och accepterar cookies 

  

Vilka personuppgifter behandlar vi om dig? 

Vilka personuppgifter som behandlas varierar beroende på vilken företagsform du har. När du beställer Tjänsten samlar vi in dina kontaktuppgifter och företagsuppgifter. Alla användare har registrerade kontaktuppgifter, inloggningsuppgifter samt Online identifikationer hos oss för att kunna använda Tjänsten. 

 

Har du en fråga eller kontaktar oss gällande något ärende kan mängden personuppgifter och vilka det är variera beroende på vilken kommunikationskanal som används.  

 

Kategorier av personuppgifter är oftast kontaktuppgifter, onlineidentifikationer, företagsuppgifter samt ärendet i sig som ostrukturerat material, vilket innehåller de personuppgifter du valt att dela med oss. En detaljerad lista över vilka personuppgifter som förekommer inom de olika kategorier, vid vilka tillfällen och vilken laglig grund behandlingen baseras på, finns i bilaga 1.  

 

Information om vad cookies är och hur vi hanterar cookies finns beskrivet på vår sida Om Cookies på hemsidan rtim.net/cookies 

 

Varför behandlar vi dina personuppgifter? 

RTIM samlar in dessa personuppgifter om dig som användare och kund för att kunna tillhandahålla Tjänsten, fullgöra åtaganden gentemot dig enligt avtal, samt ge dig bästa möjliga upplevelse av både Tjänsten och vår hemsida.  

 

Det behövs för att vi ska kunna identifiera dig, administrera ditt konto, för statistiska ändamål, för att du skall kunna utnyttja tjänsten och för kunna skicka meddelanden/notifikationer till dig (vilket du kan avregistrera dig från).  

 

När du kontaktar oss via någon av våra kommunikationskanaler används informationen om dig för att kunna hantera ärendet, kunna kontakta dig och bidrar till att förbättra vår service genom att spara ärendet vid återkommande frågor. Som besökare på RTIMs hemsida samtycker du till cookies för behandlingen av dina uppgifter. 

  

Vilka delar vi personuppgifter med? 

I användningen av vissa program eller funktioner i programmen kan vi komma att dela personuppgifter med underleverantörer till RTIM både inom och utanför EU/EES. En fullständig översikt avseende mottagare och platser för respektive behandling av personuppgifter i Tjänsten, finns tillgänglig i detta dokument.  

 

Leverantörerna har motsvarande skyldigheter gällande behandlingen av personuppgifter som du som kund avtalat med oss och framgår av Personuppgiftsbiträdesavtalet.  

  

Hur länge sparar vi dina personuppgifter? 

RTIM sparar personuppgifter om dig som kund så länge det finns en kundrelation eller är nödvändigt för att uppnå de ändamål som beskrivs i denna policy. Om avtalet upphör kommer RTIM radera alternativt anonymisera dina uppgifter inom en rimlig tid efter uppsägning, om inte annan svensk eller europeisk lag, domstol eller myndighet säger något annat.  

 

Dina uppgifter kan sparas baserat på intresseavvägning om det finns säkerhets- eller ekonomiska skäl. Hur länge dina personuppgifter som användare lagras hos oss varierar beroende på syftet till att de samlats in. Uppgifter i Tjänsten raderar systemadministratören, men vid de fall det inte finns en teknisk funktion för radering behöver din systemadministratör kontakta oss.  

  

Vilka rättigheter har du? 

Du som är registrerad hos oss har flera rättigheter som du bör känna till. 

  • Du har rätt att kostnadsfritt en gång per år, förutsatt att du har berättigade skäl, begära ett registerutdrag över vilken information som finns registrerad om dig. 

  • Du har i vissa fall även rätt till dataportabilitet av personuppgifterna. 

  • Du har rätt till att få dina personuppgifter korrigerade om de är felaktiga, ofullständiga eller missvisande och rätt att begränsa behandlingen av personuppgifter tills de blir ändrade. 

  • Du har rätten att bli glömd, men radering av personuppgifter kan inte ske om det krävs för att fullgöra avtalet eller om annan svensk eller europeisk lag, domstols- eller myndighetsbeslut säger annat, samt om det baseras på intresseavvägning. Skulle du tycka att det inte finns berättigade skäl eller att intresseavvägningen är felaktig har du rätt att invända mot behandlingen. 

  • Du har också rätt att dra in ett samtycke, lämna klagomål om behandlingen till Datainspektionen, motsätta dig automatiskt beslutsfattande, profilering och invända direktmarknadsföring. 

 Vill du veta mer?

​Har du frågor om denna policy och behandlingen av dina personuppgifter, vill radera eller ändra felaktiga uppgifter kan du kontakta oss genom de kontaktuppgifter som finns på vår hemsida. 

 

Kategorier av personuppgifter:

  

När 

Beställning av Tjänst 

Kategori av uppgifter 

Företagsuppgifter 

Kontaktuppgifter 

Personuppgifter 

Organisationsnummer, företagsnamn, adress, namn, E-post & telefon 

Laglig grund 

Fullgöra våra kontraktuella åtaganden gentemot dig 

När 

Användare av Tjänsten 

Kategori av uppgifter 

Kontaktuppgifter

Inloggningsuppgifter 

Onlineidentifikation 

Personuppgifter 

Namn, E-post, telefon, användarnamn & IP-adress 

Laglig grund 

Fullgöra våra kontraktuella åtaganden gentemot dig 

 

Underbiträden för behandlingen av personuppgifter:

Behandling:

SMS & E-post 

Brevo

Leverantör:

Brevo 
Land:

EU (Paris, France) 

Behandling:

IT infrastruktur 

Leverantör:

Microsoft Azure 

Land:

EU

Behandling:

Bokföring, ekonomi & faktura

Leverantör:

Fortnox 

Land:

Sverige

 

Behandling:

Användaruppgifter, lösenord & inloggning

Leverantör:

Firebase (google) 

Land:

EU

PERSONUPPGIFTSBITRÄDESAVTAL

Inledning 

Kunden och Leverantören har ingått ett SaaS avtal (nedan kallat ”SaaS avtalet”) angående de tjänster (”Tjänsterna”) som Leverantören ska tillhandahålla Kunden. Med anledning av SaaS avtalet kommer Leverantören att behandla personuppgifter för Kundens räkning. Detta personbiträdesavtal (”Avtalet”) har upprättats för att bl.a. uppfylla kravet i artikel 28 i dataskyddsförordningen – d.v.s. Europaparlamentets och Rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG som tillsammans med de nationella lagar som stiftas till följd av denna förordning och de bindande vägledningar, utlåtanden, rekommendationer och beslut från tillsynsmyndigheter, domstolar eller annan myndighet i det följande gemensamt benämns ”Tillämplig Dataskyddslagstiftning” – om att det ska finnas ett skriftligt avtal mellan en personuppgiftsansvarig och ett personuppgiftsbiträde för behandlingen av personuppgifter. 

Leverantörens behandling av personuppgifter för Kundens räkning 

Kunden är i egenskap av personuppgiftsansvarig ansvarig för att behandling av personuppgifter sker i enlighet med Tillämplig Dataskyddslagstiftning. Kunden garanterar att denne har rätt att behandla personuppgifter samt att behandlingen är i enlighet med Tillämplig Dataskyddslagstiftning. 

 

Parterna är överens och bekräftar att SaaS avtalet, detta Avtal och Leverantörens Integritetspolicy (bilaga 3, Integritetspolicy) utgör Kundens samtliga instruktioner för behandlingen av personuppgifter (”Instruktionerna”). Leverantören har inget ansvar för otydligheter i sådan instruktion och är heller inte skyldig att vidta någon åtgärd utöver vad som uttryckligen efterfrågats av Kunden. Ändringar av och tillägg till Instruktioner ska överenskommas skriftligen i behörig ordning. 

 

Kunden har dock rätt att – under förutsättning att Leverantören erhåller skälig ersättning härför och med den begränsning som anges i det följande – göra de ändringar av och tillägg till Instruktionerna som Kunden är skyldig att lämna för att uppfylla Tillämplig Dataskyddslagstiftning. Om Leverantören meddelar Kunden inom rimlig tid att Leverantören har sakliga skäl för att motsätta sig Kundens ändrade instruktioner för uppfyllandet av Tillämplig Dataskyddslagstiftning, har endera Part rätt att skriftligen säga upp SaaS avtalet inklusive detta Avtal med iakttagande av en uppsägningstid om [6] månader. 

 

Leverantören ska omedelbart informera Kunden om Leverantören saknar instruktion om hur denne ska behandla personuppgifter i en specifik situation eller om en instruktion enligt detta Avtal eller i annat fall strider mot Tillämplig Dataskyddslagstiftning. 

 

Leverantören åtar sig att endast behandla personuppgifter i enlighet med Instruktionerna, såvida det inte föreligger skyldighet för Leverantören att utföra behandling enligt svensk eller europeisk lagstiftning eller enligt beslut från domstol eller myndighet (i vilket fall Leverantören är skyldigt att informera Kunden om det rättsliga kravet innan uppgifterna behandlas, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt denna rätt). Leverantören har även rätt att behandla personuppgifter i syfte att tillhandahålla, underhålla och lämna support i förhållande till Tjänsterna. Leverantören har även rätt att behandla personuppgifter i syfte att utveckla och förbättra Tjänsterna. 

 

Leverantören ska vid behandlingen av personuppgifter följa Tillämplig Dataskyddslagstiftning. 

Säkerhetsåtgärder 

Leverantören ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas vilka framgår av Leverantörens Integritetspolicy. Åtgärderna ska innebära en säkerhetsnivå som överensstämmer med Tillämplig Dataskyddslagstiftning och som är lämplig med beaktande av: 

  • De tekniska möjligheter som finns, 

  • Vad det skulle kosta att genomföra åtgärderna, 

  • De särskilda risker som finns med behandlingen av personuppgifterna, och 

  • Hur pass känsliga de behandlade personuppgifterna är. 

Avtalade åtgärder enligt ovan åstadkommer en säkerhetsnivå som Kunden bedömer lämplig. Kunden svarar för att de åtgärder som anges i detta avsnitt 3 uppfyller Kundens skyldigheter enligt Tillämplig Dataskyddslagstiftning. 

 

Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens omfattning, sammanhang och ändamål samt riskerna för fysiska personers rättigheter och friheter, ska Leverantören vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt 

  • pseudonymisering och kryptering av personuppgifter, 

  • förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos de system och tjänster som behandlar personuppgifter, 

  • förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident, och 

  • ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.  

 

Parterna kan besluta om utökad eller tillkommande skyddsåtgärd efter skriftlig överenskommelse därom. Leverantören har för sådana åtgärder rätt till särskild ersättning enligt av Leverantören vid var tid tillämpad prislista. 

Sekretess 

Leverantören är skyldigt att säkerställa att endast personer som har ett direkt behov av tillgång till personuppgifter för att kunna infria Leverantörens åtaganden i enlighet med SaaS avtalet har tillgång till sådan information. Leverantören ska se till att samtliga anställda, konsulter och övriga som är involverade i behandlingen är bundna av sekretess samt att de är informerade om hur behandling av personuppgifterna får ske. 

 

Överföring till tredje land 

Överföring av personuppgifter till en stat utanför EU och EES kräver Kundens skriftliga samtycke i förväg och får endast ske om villkor för överföring till tredje länder som framgår av Tillämplig Dataskyddslagstiftning har uppfyllts. 

Underbiträden 

För att Leverantören ska kunna uppfylla skyldigheterna enligt SaaS avtalet och detta Avtal har Leverantören rätt att anlita underbiträde enligt bestämmelserna i detta avsnitt [6]. 

 

Kunden samtycker till att de underbiträden som listas nedan kan komma att anlitas som underbiträde. Om Leverantören avser att ändra, ta bort eller lägga till ett underbiträde kommer Leverantören att informera om detta så att Kunden har möjlighet att göra invändningar mot sådana förändringar inom 30 dagar från mottagandet av Leverantörens besked härom. Om Leverantören, trots Kundens invändning, ändå vill ersätta eller anlita ett nytt underbiträde ska Kunden ha rätt att säga upp SaaS avtalet inklusive detta Avtal inom 30 dagar från Leverantörens besked om detta. Uppsägning ska ske skriftligen med iakttagande av [6] månaders uppsägningstid. 

Underbiträden för behandlingen av personuppgifter:

Behandling:

SMS & E-post 

Brevo

Leverantör:

Brevo 
Land:

EU (Paris, France) 

Behandling:

IT infrastruktur 

Leverantör:

Microsoft Azure 

Land:

EU

Behandling:

Bokföring, ekonomi, faktura

Leverantör:

Fortnox 

Land:

Sverige

 

Behandling:

Användaruppgifter, lösenord, inloggning

Leverantör:

Firebase (google) 

Land:

EU

Om underbiträdet inte uppfyller de skyldigheter som följer av personuppgiftsbiträdesavtalet, är Leverantören ansvarigt gentemot Kunden för utförandet av underbiträdets skyldigheter. 

 

Personuppgiftsincident 

Vid en personuppgiftsincident som omfattar personuppgifter som behandlas på uppdrag av Kunden ska Leverantören omedelbart undersöka incidenten och vidta lämpliga åtgärder för att mildra dess potentiella negativa effekt och förhindra upprepning. Leverantören ska även omedelbart tillhandahålla Kunden en beskrivning av incidenten. Beskrivningen ska åtminstone beskriva personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs, förmedla namnet på den person som kan tillhandahålla mer information eller svara på frågor, beskriva de sannolika konsekvenserna av personuppgiftsincidenten, och beskriva de åtgärder som Leverantören har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter. 

Utlämnande av uppgifter 

Leverantören ska inte till tredje part lämna ut eller annars röja personuppgifter som omfattas av detta Avtal om det inte följer av Avtalet eller av lag, domstols- eller myndighetsbeslut. I de fall Leverantören måste lämna ut sådan information ska Leverantören meddela Kunden detta, såvida detta inte är förbjudet enligt aktuell lag, domstols- eller myndighetsbeslut. 
 

Leverantören ska utan oskäligt dröjsmål underrätta Kunden om en registrerad begär information som rör dess behandling av personuppgifter under detta Avtal samt hänvisa den registrerade till Kunden. Leverantören ska bistå Kunden med att besvara en sådan förfrågan för det fall Kunden så önskar. 

 

Om Leverantören åläggs av myndighet att lämna ut uppgifter eller vidta annan åtgärd till följd av personuppgiftshanteringen för Kundens räkning, har Leverantören rätt till ersättning enligt av Leverantören vid var tid tillämpad prislista för nedlagt arbete. Leverantören har även rätt till ersättning för annat arbete som föranleds av Leverantörens skyldigheter enligt detta avsnitt [8]. 

Tillvaratagande av registrerades rättigheter 

Leverantören ska, med hänsyn taget till behandlingens art, hjälpa Kunden genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att Kunden kan fullgöra sin skyldighet att svara när den registrerade vill utöva sina rättigheter. Leverantören ska utföra rättelse, utdrag eller utplåning av personuppgifter som omfattas av detta Avtal enligt instruktioner från Kunden. Därtill ska Leverantören vara Kunden behjälplig för tillvaratagandet av de registrerades rättigheter enligt Tillämplig Dataskyddslagstiftning. 

 

För sådana åtgärder har Leverantören rätt till ersättning enligt av Leverantören vid var tid tillämpad prislista. 

Granskning 

Leverantören ska ge Kunden tillgång till all information som krävs för att visa att de skyldigheter som följer av Tillämplig Dataskyddslagstiftnings krav på personuppgiftsbiträden har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av Kunden eller av Kunden utsedd revisor. I det fall Kunden önskar genomföra en inspektion ska Kunden informera Leverantören om detta i skälig tid i förväg och samtidigt specificera inspektionens innehåll och omfattning. 

 

Leverantörens skäliga kostnader i samband med genomförande av sådan granskning får debiteras Kunden. 

 

En granskning enligt ovan förutsätter att Kunden, eller av Kunden utsedd revisor, har träffat nödvändiga sekretessåtaganden och följer Leverantörens säkerhetsbestämmelser på platsen där inspektionen ska genomföras samt att inspektionen genomförs utan att den riskerar att hindra Leverantörens verksamhet eller skyddet för andra kunders information. 

 

Information som samlas in som en del av granskningen ska raderas efter fullgjord inspektion eller när den inte längre behövs för ändamålet med granskningen. 

Kontaktpersoner 

För huvudansvaret gällande kommunikationen mellan Parterna, ska en kontaktperson utses för respektive part. Parterna ska underrätta varandra om valet av kontaktperson och om eventuella tillfälliga eller bestående ändringar av kontaktperson. Om kontaktpersonen ska besitta särskild befogenhet ska detta tydligt framgå av Avtalet. Kontaktperson ska utan oskäligt dröjsmål meddela motpartens kontaktperson om förhållanden som kan innebära förändring av förutsättningar avseende personuppgiftshanteringen. 

Ersättning 

Leverantören har rätt till ersättning enligt av Leverantören vid var tid tillämpad prislista för sådan behandling av personuppgifter och därtill hörande åtgärder som inte uttryckligen överenskommits av Parterna vid detta Avtals ingående.

 

Ansvar 

För den händelse en eller flera registrerade riktar krav på ersättning mot Kunden på grund av Leverantörens eller dess underbiträdes behandling av personuppgifter och Kunden av behörig domstol slutligt befinns skyldigt att utge sådan ersättning, ska Leverantören gottgöra Kunden för den ersättning som det tvingas utge (inklusive skäliga rättegångskostnader). Detta förutsätter dock att skadan uppkommit som en följd av att Leverantören inte har fullgjort sina skyldigheter enligt detta Avtal eller Tillämplig Dataskyddslagstiftning. Leverantörens ansvar förutsätter också att Kunden informerar Leverantören om den registrerades krav så snart som möjligt efter att Kunden fått del av det, att Leverantören har rätt till full insyn i processen och att Kunden inte vidtar några åtgärder eller gör några medgivanden, eller ingår några uppgörelser eller förlikningar utan Leverantörens skriftliga godkännande. 

 

Enligt samma förutsättningar som ovan åtar sig Leverantören också att ersätta Kunden för sanktionsavgifter som behörig myndighet ålagt Kunden till följd av att Leverantören inte har fullgjort sina skyldigheter enligt Tillämplig Dataskyddslagstiftning eller i strid med Instruktionerna. 

 

Leverantörens ansvar för andra skador regleras i SaaS avtalet. 

 

Leverantören åtar sig inget ansvar för indirekt skada, såsom utebliven vinst och dylikt. Leverantörens totala ansvar med anledning av detta Avtal är, såvida inte uppsåt eller grov vårdslöshet föreligger, begränsat till ett belopp som motsvarar 100 procent av den ersättning Leverantören uppburit under det första år som SaaS avtalet varit i kraft. 

Ändringar i avtalet 

Ändringar av och tillägg till detta Avtal jämte bilagor härtill ska för att vara bindande vara skriftligen avfattade och behörigen undertecknade av parterna. 

Upphörande av personuppgiftsbehandling 

Vid Avtalets upphörande ska på Kundens begäran personuppgifter tillhörande Kunden återföras eller raderas utan oskäligt dröjsmål. Sådan begäran ska ske skriftligen senast tre [3 ] månader före Avtalets upphörande. 

 

Leverantören ska även i skälig utsträckning bistå i annan överföring enligt ovan samt i överflyttandet av tjänst till annat biträde om Kunden inom tre [3] månader i förväg skriftligen begär det. För Leverantörens arbete enligt denna punkt [15 ] utgår ersättning enligt av Leverantören vid var tid tillämpad prislista.

 

Tvist 

Tvist med anledning av detta personuppgiftsavtal avgörs enligt vad som överenskommits i SaaS avtalet. 

bottom of page