Personuppgiftspolicy
[20-12-04]
Personuppgiftshantering i Cybernodens arbete
RISE är koordinator för arbetet med Cybernoden, och därför regleras personuppgiftshantering i nodens arbete av RISE-policyn ”Behandling av Personuppgifter – Nätverksmedlem”, se texten nedan. Om denna policy eventuellt behöver uppdateras utifrån nodens arbete så kommer medlemmarna att informeras om detta.
Behandling av Personuppgifter – Nätverksmedlem
RISE Research Institutes of Sweden AB (RISE), i egenskap av personuppgiftsansvarig, behandlar personuppgifter om medlem i RISE forsknings- eller samverkansnätverk (hänvisas i denna text såsom ”Medlem”), i anledning av att Medlem eller dennes arbets- eller uppdragsgivare har eller har haft en affärsrelation med RISE avseende Medlemmens medlemskap i RISE nätverk, eller för eller har fört diskussioner/förhandlingar med RISE om en sådan affärsrelation.
Detta dokument ger information om insamling, behandling, lagring och delning av personuppgifter avseende individuellt identifierbara Medlemmar. Detta inkluderar nuvarande, tidigare och kommande Medlemmar som behandlas av RISE.
Personuppgifter som RISE behandlar
De personuppgifter som RISE behandlar om sina Medlemmar är namn, telefonnummer, e-postadress samt personnummer, som RISE har erhållit ifrån dig eller din arbets- eller uppdragsgivare.
Från vilka källor RISE hämtar Medlemmars personuppgifter
Utöver de uppgifter som Medlemmen själv lämnar till RISE kan RISE också komma att samla in personuppgifter från Medlemmens arbets- eller uppdragsgivare, från offentliga register eller från andra tredje parter med vilka RISE samverkar inom ramen för sitt uppdrag.
Ändamål och laglig grund
Med stöd av avtal eller berättigat intresse behandlar RISE personuppgifter för följande ändamål:
• Hantera och genomföra aktuell avtalsrelation avseende de olika nätverk som Medlemmen eller dennes arbets- eller uppdragsgivare anmält Medlemmens deltagande till, samt diverse kommunikation, uppföljning och administration i anledning Medlemmens deltagande i dessa nätverk.
• Fakturahantering och betalningar avseende medlemskap i nätverken.
Denna behandling krävs för att RISE ska kunna fullgöra sina skyldigheter enligt avtalet som ingåtts med eller diskuterats eller förhandlats med RISE. Om avtalet är ingånget med Medlemmens arbetseller uppdragsgivare så behandlas denna information istället med stöd av RISE berättigade intresse som laglig grund, där RISE intresse av att fullgöra sina skyldigheter och ta tillvara sina rättigheter enligt det ingångna eller förhandlade avtalet bedöms inte göra stora intrång i Medlemmens integritet och att denne rimligen kan förvänta sig denna behandling.
Med stöd av berättigat intresse behandlar RISE personuppgifter för följande ändamål:
• Marknadsföring av RISE verksamhet, projekt och event.
• Fastställa, göra gällande och försvara rättsliga anspråk.
• Efterleva gällande lagar och förordningar, t.ex. bokföringslagen.
• Genomförande, hantering, administration och, uppföljning och utvärdering av kundundersökningar.
Om RISE anser att denna behandling ligger i RISE berättigade intresse, inte gör oproportionerligt stora intrång i Medlemmens integritet, och om RISE antar att Medlemmen rimligen kan förvänta sig denna behandling så kommer behandlingen att genomföras med stöd av berättigat intresse som
laglig grund.
Till vilka personuppgifter lämnas
RISE tillämpar lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifter mot bl.a. förlust, missbruk och obehörig åtkomst. Endast personer inom RISE som inom ramen för sin anställning har behörighet till de system där personuppgifterna behandlas har
tillgång till dessa.
RISE delar personuppgifter till personuppgiftsbiträden som hanterar information för RISE räkning avseende t.ex. leverantörer av tillhandahållande, support och underhåll av IT- och molntjänster, leverantörer av marknads-och kundundersökningar, etc.
RISE delar Medlemmars personuppgifter med andra bolag inom RISE-koncernen om det är nödvändigt för att möjliggöra för RISE-koncernen att använda samma IT-system, t.ex. ekonomisystem, kundregister etc., för att kunna samordna sina uppdrag på ett effektivt sätt.
RISE kan också komma att dela Medlemmars personuppgifter med tredje parter som är enskilt personuppgiftsansvariga, t.ex. tredje part med vilka RISE samverkar inom ramen för sitt uppdrag, övriga nätverksmedlemmar, försäkringsbolag i händelse av en inträffad skada, myndigheter om sådant utlämnande krävs enligt lag, etc.
Lagringstider och gallring
RISE behandlar Medlemmars personuppgifter så länge som det är nödvändigt i förhållande till de ändamål för vilka dessa samlats in.
Personuppgifter som sparas för ändamål kopplat till tidigare, aktuell eller kommande affärsrelation sparas så länge som det finns rättigheter och skyldigheter att tillvarata i sådan affärsrelation och så länge som det finns rättsliga förpliktelser för RISE att behålla uppgifterna. Därefter kommer personuppgifterna att gallras bort.
De personuppgifter som behandlas för marknadsförings-ändamål gallras efter 18 månader.
Överföring av personuppgifter till tredje land
RISE strävar efter att alltid behandla personuppgifter inom EES. Informationen kan dock i vissa situationer komma att överföras till, och behandlas i, land utanför EES av annan leverantör eller underleverantör. I dessa fall vidtar RISE alla rimliga legala, tekniska och organisatoriska åtgärder för att säkerställa att informationen hanteras säkert och med en adekvat skyddsnivå.
Rättigheter
Medlemmen har rätt att få information om vilka personuppgifter som RISE behandlar om denne, samt att begära rättelse, begränsning eller radering av dessa uppgifter, genom att kontakta RISE dataskyddsombud på dpo@ri.se. Medlemmen har också rätt att inge klagomål avseende RISE behandling av dennes personuppgifter till Datainspektionen.
Personuppgiftsansvarig för behandlingen av personuppgifter är
RISE Research Institutes of Sweden AB, Org.nr. 556464-6874
Box 857
501 15 Borås