Personuppgiftspolicy
Följande personuppgiftspolicy har antagits av EQL Pharma AB, nedan kallat Bolaget, den 3 september 2018 och ska tillämpas från och med detta datum.
Innehållsförteckning
Personuppgiftspolicy
1 BAKGRUND
2 VAD, VARFÖR OCH HUR LÄNGE BEHANDLAR VI?
2.1 Allmänt
2.2 Kunder
2.3 Leverantörer
2.4 Särskilt om känsliga uppgifter
3 HUR BEHANDLAR VI PERSONUPPGIFTER?
3.1 Allmänt
3.2 EQL delar uppgifter med extern part
4 VAD HAR DEN REGISTRERADE FÖR RÄTTIGHETER?
4.1 Rätt till tillgång
4.2 Rätt till rättelse, radering eller begränsning
4.3 Rätt att invända
4.4 Rätt till dataportabilitet
4.5 Rätt att återkalla samtycke
4.6 Rätt att klaga till Datainspektionen
5 KONTAKTUPPGIFTER
6 ÄNDRINGAR AV POLICYN
1. BAKGRUND
EQL Pharma AB, org. nr. 556713–3425, (”EQL”), är ett aktiebolag. EQL Pharma är specialiserat på att utveckla och sälja generika, det vill säga läkemedel som är medicinskt likvärdiga med originalläkemedel. EQL har ca 8 anställda.
Inom EQLs verksamhet behandlas diverse personuppgifter. Det är av största vikt att all sådan behandling utförs på ett korrekt sätt som inte riskerar att göra intrång i den personliga integriteten hos den vars personuppgifter behandlas. EQL ska i alla lägen se till att personuppgifter behandlas på ett lagenligt och korrekt sätt, samt att samtliga som behandlar personuppgifter för EQLs räkning har de kvalifikationer och den kunskap som krävs för behandling av sådana uppgifter.
Denna personuppgiftspolicy (”Policyn”) innehåller regler och riktlinjer för den behandling av personuppgifter som görs av EQL i egenskap av personuppgiftsansvarig, oavsett vilken typ av personuppgifter det är fråga om och vems personuppgifter det rör.
2. VAD, VARFÖR OCH HUR LÄNGE BEHANDLAR VI?
2.1 Allmänt
EQL samlar in och behandlar personuppgifter inom de områden och funktioner som listas nedan.
I flera fall när vi begär in personuppgifter gör vi det i syfte att uppfylla lagstadgade eller avtalsenliga krav eller krav som är nödvändiga för att ingå ett avtal med exempelvis en anställd, en kund eller leverantör. I fall den registrerade inte tillhandahåller de uppgifter som vi begär kan det i vissa fall medföra att vi inte kan ingå ett avtal eller fullgöra våra förpliktelser i ett avtal med den registrerade.
Nedan finner du de områden inom vilka EQL behandlar personuppgifter. I anslutning till respektive område anges även ändamålen och den lagliga grunden för behandlingen, vilka som mottar uppgifterna samt lagringsperiod m.m.
Hur länge lagras uppgifterna?
EQL lagrar aldrig uppgifter längre än nödvändigt med hänsyn till ändamålen med behandlingen. EQL genomför därför regelbundna gallringar bland personuppgifter och tar bort de uppgifter som inte längre
behövs. När en anställning upphör finns som utgångspunkt ingen anledning att spara den f.d. anställdes personuppgifter. Detta inkluderar den anställdes e-postkonto och uppgifter om den anställde på EQLs webbplats. Gallring ska i sådana fall ske snarast möjligt efter anställningens upphörande.
Från detta finns dock viktiga undantag. För att uppfylla sina åtaganden i enlighet med arbetsrättslig, skatterättslig och socialförsäkringsrättslig lagstiftning behöver EQL spara vissa uppgifter om den anställde även under en period efter anställningens upphörande. Exempelvis måste uppgifter sparas för att uppfylla rättsliga skyldigheter avseende beskattning eller bokföring, åligganden rörande den anställdes företrädesrätt till återanställning i lag (1982:80) om anställningsskydd samt för att hantera rättsliga krav som kan tänkas riktas mot EQL. Det krävs ibland också att uppgifter bevaras för utbetalning av exempelvis pension eller avgångsvederlag. I dessa undantagsfall lagras uppgifter i 2 år respektive 10 år (rörande bokföring, beskattning och preskriptionstider).
Vi kan även komma att behandla uppgifter i samband med medarbetarundersökningar. Sådana undersökningar genomförs för att EQL ska kunna identifiera brister och därefter kunna arbeta med och säkerställa en bättre arbetsmiljö. I dessa fall kan automatiserat beslutsfattande, inbegripen profilering, förekomma.
Vissa av de personuppgifter EQL behandlar till följd av anställningen kan utgöra känsliga uppgifter. Häribland kan nämnas sjukdomstillstånd eller facklig tillhörighet. Se mer om EQLs hantering av känsliga uppgifter nedan.
2.2 Kunder
Vilken är den lagliga grunden för behandlingen?
För att kunna ingå och hantera avtal med våra kunder behandlar EQL personuppgifter tillhörande personer som är företrädare för våra kunder. Vissa personuppgifter kan också behandlas på grund av att EQL har en rättslig skyldighet till det, exempelvis personuppgifter på fakturor till följd av bokföringsskyldighet.
Vilka personuppgifter behandlas och vem är mottagare?
Vi behandlar personuppgifter avseende företrädare på bolag som vi har kundavtal med. Personuppgifter som behandlas kan bland annat vara namn, telefonnummer, e-post, personnummer och kopia på ID/körkort.
Vi kan även behandla personuppgifter avseende företräde på bolag som är potentiella kunder. Personuppgifter som behandlas kan bland annat vara namn, telefonnummer, adress och e-post.
De som mottar uppgifterna är huvudsakligen för avtalet relevanta personer på säljavdelningen, ekonomiavdelningen, QA ansvarig, marknadsavdelningen, chefer och avtalsadministratörer. Även helpdesk och tekniker kan komma att motta uppgifterna.
För vilka ändamål behandlas personuppgifterna?
För de fall när det finns ett befintligt kundavtal, behandlar EQL enbart personuppgifter som är relevanta för kundförhållandet och som krävs för fullgörandet av avtalet. Personuppgifter så som företrädares namn, e-post och telefonnummer behandlas för att kunna föra dialog med kunden och i stort kunna administrera kundavtalet. Personuppgifter så som personnummer eller körkort behandlas enbart om så behövs för att administrera fakturering, kreditvärdering eller dylikt.
För de fall EQL behandlar personuppgifter avseende företrädare för potentiella kunder, görs detta i syfte att ta kontakt med kunden för att kunna ge kunden intressanta erbjudanden och information via telefon, e-post eller för att administrera inbokade möten. Som framgår av punkten 4.3 har företrädaren alltid rätt att invända mot behandling för direktmarknadsföring.
Hur länge lagras personuppgifterna?
EQL lagrar aldrig uppgifter längre än nödvändigt med hänsyn till ändamålen med behandlingen. EQL genomför därför regelbundna gallringar bland lagrade personuppgifter och tar bort de uppgifter som inte längre behövs efter det att kundrelationen upphört.
EQL kan dock behöva lagra personuppgifterna efter det att kundrelationen upphört, bland annat för att administrera eventuella garantier och reklamationsfrister eller hantera rättsliga krav som kan tänkas riktas mot EQL. Undantagsvis sparas därför personuppgifter viss tid efter kundförhållandets upphörande eller tills att personen invänt mot direktmarknadsföring.
Personuppgifter avseende företrädare för potentiella kunder tas bort när dialogen med kunden upphört, under förutsättning att ingen kundrelation inletts, eller direkt om personen invänder mot direktmarknadsföring.
Personuppgifter kan också mer generellt behöva lagras för att säkerställa uppfyllelse av legala skyldigheter, exempelvis avseende bokföring. Om sådan skyldighet föreligger kan personuppgifterna sparas i upp till 10 år.
2.3 Leverantörer
Vilken är den lagliga grunden för behandlingen?
För att kunna ingå och hantera avtal med leverantörer behandlar EQL personuppgifter tillhörande personer som är företrädare för leverantörerna. Vissa personuppgifter kan också behandlas på grund av att EQL har en rättslig skyldighet till det, exempelvis personuppgifter på fakturor till följd av bokföringsskyldighet.
Vilka personuppgifter behandlas och vem är mottagare?
Vi behandlar personuppgifter avseende företrädare på leverantörsbolag som vi har eller avser att ingå avtal med. Personuppgifter som behandlas kan bland annat vara namn, telefonnummer, e-post, adress och yrkestitel.
De som mottar uppgifterna är huvudsakligen EQLs inköpsavdelning, ansvarig chef, VD, ekonomiavdelningen, QA ansvarig och IT-avdelningen.
För vilka ändamål behandlas personuppgifterna?
EQL behandlar personuppgifterna för att generellt kunna administrera inköpsavtal, hantera fakturor och för att kunna ställa frågor till leverantören EQL kan ha avseende de varor eller tjänster som vi köper.
Hur länge lagras personuppgifterna?
EQL lagrar aldrig uppgifter längre än nödvändigt med hänsyn till ändamålen med behandlingen. EQL genomför därför regelbundna gallringar bland lagrade personuppgifter och tar bort de uppgifter som inte längre behövs efter det att avtalsrelationen upphört.
EQL kan dock behöva lagra personuppgifterna efter det att avtalsrelationen upphört, bland annat för att administrera eventuella garantier och reklamationsfrister, hantera rättsliga krav som kan tänkas riktas mot EQL. Undantagsvis sparas därför personuppgifter i 2 år från avtalsförhållandets upphörande.
Personuppgifter kan också mer generellt behöva lagras för att säkerställa uppfyllelse av legala skyldigheter, exempelvis avseende bokföring. Om sådan skyldighet föreligger kan personuppgifterna sparas i upp till 10 år.
2.4 Särskilt om känsliga uppgifter
Med känsliga uppgifter avses i Policyn sådana personuppgifter som avslöjar ras eller etniskt ursprung, personliga åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.
EQL behandlar aldrig känsliga uppgifter utan samtycke från den registrerade eller utan att det föreligger sådant stöd som framgår av artikel 9 Dataskyddsförordningen, exempelvis för att fullgöra skyldigheter eller utöva särskilda rättigheter inom arbetsrätt, social trygghet och socialt skydd eller när behandlingen är nödvändig för att skydda den registrerades eller annans grundläggande intressen, när registrerad är fysiskt eller rättsligt förhindrad att ge samtycke, i vissa fall inom ramen för facklig verksamhet, om uppgifterna redan offentliggjorts av den registrerade, om det är nödvändigt med hänsyn till ett viktigt allmänt intresse, om det är nödvändigt av skäl som hör samman med bland annat bedömning av arbetstagares arbetskapacitet eller tillhandahållande av hälso- och sjukvård eller om det är nödvändigt med hänsyn till statistiska ändamål.
Vid varje behandling av känsliga uppgifter vidtar EQL alltid lämpliga säkerhetsåtgärder för att skydda uppgifterna. Personuppgifter är aldrig tillgängliga för fler personer än vad som är nödvändigt.
3. HUR BEHANDLAR VI PERSONUPPGIFTER?
3.1 Allmänt
När EQL samlar in, behandlar och lagrar personuppgifter ska detta i varje fall ske på ett lagligt, korrekt, öppet och ändamålsenligt sätt och endast i den mån EQL bedömer det nödvändigt. EQL ska genomgående behandla personuppgifter på ett sätt som undviker att kränka den registrerades personliga integritet. I samtliga fall av personuppgiftsbehandling är EQL mycket noga med att personuppgifterna skyddas av lämpliga säkerhetsåtgärder.
I flera fall när vi begär in personuppgifter gör vi det, som nämnts ovan, i syfte att uppfylla lagstadgade eller avtalsenliga krav eller krav som är nödvändiga för att ingå ett avtal med en anställd. I fall den registrerade inte tillhandahåller de uppgifter som vi begär kan det i vissa fall medföra att vi inte kan ingå ett avtal eller fullgöra våra förpliktelser i ett avtal med den registrerade. Om den registrerade känner tveksamhet eller oro för att lämna en viss personuppgift kan denne kontakta EQL (se nedan under Kontaktuppgifter), så kan vi ge den registrerade ytterligare information.
3.2 EQL delar uppgifter med extern part
EQL kan, från tid till annan, behöva överlämna information till relevant tredje part (inklusive, men inte begränsat till, situationer där vi har en rättslig skyldighet att göra så). För att i varje sådant fall säkerställa att dina personuppgifter behandlas på ett tryggt och säkert sätt har EQL som rutin att i tillämpliga fall upprätta avtal (biträdesavtal eller dylikt) med varje extern part som behandlar personuppgifter för EQLs räkning. I sådana avtal anges alltid föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade samt våra skyldigheter och rättigheter som personuppgiftsansvarig. Vidare ger EQL alltid dokumenterade instruktioner till personuppgiftsbiträdet som personuppgiftsbiträdet är skyldig att följa.
4. VAD HAR DEN REGISTRERADE FÖR RÄTTIGHETER?
4.1 Rätt till tillgång
Den registrerade har rätt att vända sig till EQL i egenskap av personuppgiftsansvarig och begära tillgång till de personuppgifter som EQL behandlar och även informeras om bland annat ändamålen med behandlingen och vilka som mottagit personuppgifterna.
EQL ska i egenskap av personuppgiftsansvarig förse den registrerade med kostnadsfri kopia på de personuppgifter som behandlas.
4.2 Rätt till rättelse, radering eller begränsning
Den registrerade har rätt att utan onödigt dröjsmål få sina personuppgifter rättade eller, under vissa förutsättningar, begränsade eller raderade. Om registrerad anser att EQL behandlar personuppgifter om denne som är felaktiga eller ofullständiga kan den registrerade kräva att få dessa rättade eller kompletterade.
Den registrerade har även rätt att få sina uppgifter raderade bland annat i fall att de inte längre är nödvändiga.
4.3 Rätt att invända
Den registrerade har rätt att när som helst invända mot behandling av dennes personuppgifter om den lagliga grunden för behandlingen är en intresseavvägning enligt artikel 6.1 (f) Dataskyddsförordningen.
Den registrerade har även rätt att när som helst invända mot behandling av dennes personuppgifter om dessa behandlas för direkt marknadsföring.
4.4 Rätt till dataportabilitet
Den registrerade har rätt till att få ut de personuppgifter som denne tillhandahållit den personuppgiftsansvarige och har rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig. Detta gäller dock under förutsättning att det
- (a) är tekniskt möjligt och
- (b) den lagliga grunden för behandlingen utgörs av samtycke eller att behandlingen varit nödvändig för fullgörande av avtal.
4.5 Rätt att återkalla samtycke
Om personuppgiftsbehandlingen grundar sig på den registrerades samtycke har denne rätt att när som helst återkalla detta samtycke. Sådan återkallelse påverkar inte lagligheten i personuppgiftsbehandlingen innan samtycket återkallades.
4.6 Rätt att klaga till Datainspektionen
Den registrerade har rätt att rikta klagomål till Datainspektionen.
Kontaktuppgifter
Telefonnummer: 08-657 61 00
E-postadress: datainspektionen@datainspektionen.se
5. KONTAKTUPPGIFTER
Vid frågor om Policyn eller vid andra önskemål avseende personuppgifter, vänligen kontakta EQLs personuppgiftsombud.
Kontaktuppgifter
Namn: Christer Fåhraeus
Telefonnummer: 0755-55 12 95
E-postadress: christer.fahraeus@eqlpharma.com
6. ÄNDRINGAR AV POLICYN
EQL förbehåller sig rätten att ändra och uppdatera Policyn. Vid materiella ändringar i Policyn eller om befintlig information ska behandlas på annat sätt än vad som anges i Policyn, kommer EQL informera om detta på lämpligt sätt.