1. INLEDNING

I detta integritetsmeddelande kan du läsa om hur Sveriges Takentreprenörer (org. nr.: 802013–1457) ("vi", "vår" eller "oss") behandlar personuppgifter i samband med auktorisationsprocessen. Ansökan om auktorisation sker via den digitala plattform (”Plattformen”) som tillhandahålls av AlfaSafe AB (org. nr.: 559358–3544).

Detta integritetsmeddelande gäller för varje person vars uppgifter behandlas inom ramen för auktorisationsprocessen. Det omfattar:

  1. auktorisationssökande företag och deras företrädare eller andra individuella användare,
  2. anställda hos auktorisationssökande företag vars uppgifter lämnas som en del av ansökan,
  3. referenspersoner som deltar i processen på inbjudan av ett auktorisationssökande företag, samt
  4. våra representanter, administratörer och handläggare som hanterar auktorisationsärenden.

Hänvisningar till ”du” eller ”din” avser dig som registrerad vars personuppgifter behandlas i auktorisationsprocessen.

Här förklarar vi bland annat vilka personuppgifter som behandlas, varför behandlingen sker, hur länge uppgifterna sparas, vilka som kan få tillgång till dem och vilka rättigheter du har enligt EU:s allmänna dataskyddsförordning (”GDPR”).

2. DEFINITIONER

I detta integritetsmeddelande används definitioner som överensstämmer med de som finns i EU:s allmänna dataskyddsförordning 2016/679 ("GDPR"), såsom "personuppgifter", "behandling", "registrerad", ”tillsynsmyndighet”, "personuppgiftsansvarig", "personuppgiftsbiträde" med flera. Var och en av dessa definitioner har samma innebörd som anges i artikel 4 i GDPR. För en fullständig lista och exakta definitioner, vänligen se denna artikel.

3. PERSONUPPGIFTSANSVARIG 

Sveriges Takentreprenörer är personuppgiftsansvarig

Vi är personuppgiftsansvariga för behandling av personuppgifter när det är vi som bestämmer medel och ändamål för behandlingen, i enlighet med principen om ansvarsskyldighet. Vår behandling av personuppgifter sker i enlighet med GDPR, de grundläggande dataskyddsprinciperna och kompletterande svensk dataskyddslagstiftning. Om inte annat anges, är vi personuppgiftsansvariga för den behandling av personuppgifter som anges i detta integritetsmeddelande.

Vi har inte utsett något dataskyddsombud. Om du har frågor om vår behandling av personuppgifter kan du kontakta oss via kontaktuppgifterna i avsnittet “14. Frågor eller klagomål".

Plattformsleverantörens behandling av personuppgifter

I samband med auktorisationsprocessen behandlar plattformsleverantören, AlfaSafe AB, vissa personuppgifter för vår räkning och enbart i den utsträckning som rör uppgifter som lämnas via eller registreras i Plattformen. För sådan behandling agerar plattformsleverantören som vårt personuppgiftsbiträde, och behandlingen regleras i ett personuppgiftsbiträdesavtal i enlighet med artikel 28 i GDPR.

Plattformsleverantören behandlar också personuppgifter avseende bland annat plattformens drift, användarkonton, loggar, supportärenden och andra administrativa funktioner i egenskap av självständigt personuppgiftsansvarig. Sådan behandling omfattas därför inte av detta integritetsmeddelande. Information om plattformsleverantörens egen personuppgiftsbehandling finns i deras integritetsmeddelande, tillgängligt på https://www.alfasafe.se/privacy-policy.

4. HUR VI FÅR TILLGÅNG TILL DINA PERSONUPPGIFTER

Uppgifter som du själv lämnar: Vi kan få tillgång till personuppgifter direkt från dig när du använder auktorisationstjänsten via Plattformen. Det kan ske när du:

  • fyller i eller kompletterar en auktorisationsansökan,
  • laddar upp bilagor, intyg eller andra handlingar som innehåller dina personuppgifter,
  • besvarar frågor eller lämnar dina personuppgifter som en del av ansökningsprocessen, eller
  • lämnar dina personuppgifter i egenskap av referensperson efter att ha blivit inbjuden av ett auktorisationssökande företag. Ditt deltagande som referensperson är frivilligt, och vi får endast del av dina personuppgifter om du väljer att skicka in dem via auktorisationstjänsten på Plattformen.

Uppgifter som lämnas av ett auktorisationssökande företag: Vi kan också få tillgång till personuppgifter om dig genom det auktorisationssökande företaget i samband med att företaget ansöker om auktorisation eller kompletterar en pågående ansökan. Det kan ske om du är anställd hos företaget eller annars förekommer i ansökningsunderlaget, till exempel genom att dina personuppgifter lämnas som del av kompetens-, erfarenhets- eller behörighetsinformation. Källan till personuppgifterna är i dessa fall det auktorisationssökande företaget, exempelvis din arbetsgivare eller dess företrädare, som lämnar uppgifterna inom ramen för ansökningsprocessen.

När vi behandlar personuppgifter som inte har samlats in direkt från dig lämnar vi denna information till dig senast inom en (1) månad från det att uppgifterna togs emot, eller tidigare om vi tar kontakt med dig inom ramen för ärendet.

När vi får personuppgifter om dig från ett auktorisationssökande företag gäller detta integritetsmeddelande på samma sätt, inklusive information om behandlingen och dina rättigheter enligt GDPR.

Personuppgifter som genereras inom handläggningsprocessen: Vissa personuppgifter genereras även av oss under handläggningen av auktorisationsärenden, till exempel:

  • interna anteckningar, bedömningar och beslut som rör det specifika ärendet, och
  • tidsstämplar eller annan ärendemässig metadata (t.ex. när en ansökan skickas in, kompletteras eller granskas och av vem).
5. KATEGORIER AV PERSONUPPGIFTER VI BEHANDLAR

Vi behandlar endast personuppgifter som är adekvata, relevanta och nödvändiga för att kunna genomföra och handlägga auktorisationsprocessen, i enlighet med principen om uppgiftsminimering.

Vi behandlar främst identifierande uppgifter, kontaktuppgifter, arbetsrelaterade uppgifter, uppgifter som förekommer i ansöknings- och referensunderlag samt uppgifter som genereras inom handläggningsprocessen. Information om vilka specifika personuppgifter behandlingen avser anges i avsnitt 7 nedan.

6. RÄTTSLIG GRUND FÖR BEHANDLINGEN AV PERSONUPPGIFTERNA 

Vi behandlar personuppgifter endast för särskilda, uttryckligt angivna och berättigade ändamål i enlighet med principen om ändamålsbegränsning. Behandlingen grundas främst på någon av följande rättslig grunder:

  • Samtycke (Artikel 6.1.a GDPR): Du har gett ditt samtycke till vår behandling av dina personuppgifter för specifika ändamål. Du kan när som helst återkalla samtycket utan att det påverkar tidigare laglig behandling.
  • Rättslig förpliktelse (Artikel 6.1.c GDPR): Vi måste behandla dina personuppgifter enligt lagkrav. 
  • Berättigat intresse (Artikel 6.1.f GDPR): Behandlingen av dina personuppgifter är nödvändig för våra eller en tredje parts berättigade intressen, efter en avvägning mot dina rättigheter och friheter. 

I vissa fall är det frivilligt att lämna personuppgifter till oss, men utan dem kan vi till exempel inte handlägga en auktorisationsansökan, hantera vissa begäranden eller ge fullgod support. 

För att vi ska kunna handlägga och pröva en auktorisationsansökan krävs att vissa uppgifter lämnas (t.ex. uppgifter om företagets företrädare och underlag som visar att auktorisationskraven uppfylls). Om sådana uppgifter inte lämnas kan vi inte pröva ansökan eller fatta beslut om auktorisation. För referenspersoner är det frivilligt att lämna uppgifter; om referensuppgifter inte lämnas kan det dock påverka möjligheten att genomföra referenstagning som del av bedömningen.

Vid behandling baserad på berättigat intresse har vi genomfört en intresseavvägning och bedömt att det finns ett berättigat intresse och att behandlingen inte inskränker din rätt till privatliv och integritet.

7. ÄNDAMÅLET MED BEHANDLINGEN AV PERSONUPPGIFTERNA

Nedan beskriver vi de ändamål för vilka vi behandlar personuppgifter inom ramen för auktorisationsprocessen, vilka kategorier av personuppgifter som behandlas, vilken rättslig grund som används, eventuella mottagare av personuppgifterna samt hur länge personuppgifterna lagras.

7.1 Handläggning, bedömning, beslut och kommunikation i auktorisationsärenden

  • Ändamål: Vi behandlar personuppgifter för att ta emot, bedöma och pröva ansökningar om auktorisation, dokumentera överväganden samt fatta beslut och säkerställa att de krav som gäller för auktorisationen är uppfyllda, inklusive att kommunicera med auktorisationssökande företag och deras företrädare, exempelvis för att begära, ta emot och hantera kompletteringar i ärendet.
  • Kategorier av personuppgifter: Förnamn, efternamn, personnummer eller samordningsnummer; e-postadress, telefonnummer; uppgifter om anställning, befattning, roll eller funktion; yrkes- eller kompetensrelaterade uppgifter (t.ex. utbildningar, certifikat, kompetensbevis eller erfarenhet); behörighetsnummer (t.ex. certifikatnummer, yrkesbevisnummer eller kompetensbevisnummer); uppgifter, handlingar och bilagor som lämnas i ansöknings- och referensunderlag eller i övrigt inom ramen för auktorisationsprocessen; interna handläggningsanteckningar, ärenderelaterad metadata, kompletteringshistorik, beslut, tidsstämplar samt systemhändelser kopplade till handläggningen; meddelanden och annan kommunikationsinformation som lämnas inom ramen för dialogen mellan parterna; system- och åtkomstuppgifter såsom användaridentifierare, loggar och annan teknisk information kopplad till handläggningen.
  • Behandling: Insamling, registrering, organisering, strukturering, lagring, granskning, läsning, användning, dokumentation, framtagning samt tillhandahållande till behöriga mottagare; arkivering samt radering eller anonymisering; samt hantering av meddelanden och kompletteringsdialog i ärendet.
  • Rättslig grund: Behandlingen grundar sig på vårt berättigade intresse (artikel 6.1 f GDPR) av att kunna administrera, handlägga och bedöma auktorisationsansökningar på ett korrekt, effektivt och strukturerat sätt. Detta inkluderar behovet av tydlig dokumentation och nödvändig kommunikation med det auktorisationssökande företaget för att säkerställa en transparent och välfungerande handläggningsprocess. Behandlingen bedöms vara proportionerlig och innebära en begränsad integritetspåverkan, eftersom personuppgifterna är nödvändiga för ärendets hantering och endast behandlas inom ramen för den avgränsade auktorisationsprocessen.
  • Mottagare: Behöriga handläggare och beslutsfattare hos oss samt personuppgiftsbiträden.
  • Lagringstid: Personuppgifterna som behandlas för handläggning, bedömning, dokumentation och beslut i auktorisationsärenden lagras från det att en auktorisationsansökan ges in eller personuppgifterna annars registreras inom ärendet. Vid beviljad auktorisation lagras uppgifterna under hela auktorisationens giltighetsperiod om tolv (12) månader samt under ytterligare tre (3) månader därefter. Den efterföljande lagringsperioden syftar till att möjliggöra efterkontroll av beslutsunderlaget samt att ge det auktorisationssökande företaget möjlighet att återanvända tidigare lämnade uppgifter vid en förnyad ansökan och endast uppdatera förändringar. Om auktorisation inte beviljas raderas eller anonymiseras personuppgifterna utan onödigt dröjsmål efter att auktorisationsprocessen avslutats, om inte fortsatt lagring krävs enligt lag eller för att fastställa, göra gällande eller försvara rättsliga anspråk.

7.2. Hantering av referenspersoner

  • Ändamål: Vi behandlar personuppgifter om referenspersoner för att kunna genomföra kvalitativa bedömningar av ett auktorisationssökande företags arbetsutförande. Deltagande som referensperson är frivilligt och förutsätter lämnat samtycke.
  • Kategorier av personuppgifter: Förnamn, efternamn, e-postadress, telefonnummer, yrkesroll samt annan information som referenspersonen själv väljer att lämna inom ramen för referenstagningen; meddelanden eller övrig kommunikationsinformation som lämnas i dialogen med handläggare.
  • Behandling: Insamling, registrering, lagring, läsning, användning, strukturering, dokumentation, tillhandahållande till behöriga mottagare samt radering eller anonymisering.
  • Rättslig grund: Samtycke (artikel 6.1 a GDPR).
  • Mottagare: Behöriga handläggare och beslutsfattare hos oss samt behöriga personuppgiftsbiträden.
  • Lagringstid: Personuppgifter om referenspersoner lagras från det att referenspersonen frivilligt lämnar sina uppgifter inom ramen för auktorisationsprocessen. Om referensuppgifterna utgör underlag för en beviljad auktorisation lagras uppgifterna under hela auktorisationens giltighetsperiod om tolv (12) månader samt under ytterligare tre (3) månader därefter, i syfte att möjliggöra efterkontroll av beslutsunderlaget. Om referenspersonen återkallar sitt samtycke raderas samtliga personuppgifter och lämnade uppgifter utan onödigt dröjsmål. Om auktorisation inte beviljas och samtycket inte återkallas tidigare raderas eller anonymiseras uppgifterna utan onödigt dröjsmål efter att auktorisationsprocessen avslutats.

7.3. Det auktorisationssökande företagets förteckning över sina anställda  

  • Ändamål: Att möjliggöra för det auktorisationssökande företaget att registrera, administrera och tillhandahålla en förteckning över sina anställda och deras kompetenser, roller och övriga relevanta uppgifter inom ramen för auktorisationsansökan, samt att erbjuda företaget en tidsbegränsad möjlighet att exportera förteckningen för användning vid kommande års ansökan.
  • Behandling: Insamling, registrering, organisering, strukturering, lagring, visning, läsning, användning, dokumentation, exportering, tillhandahållande till behöriga mottagare samt radering eller anonymisering efter lagringsperiodens slut.
  • Kategorier av personuppgifter: Förnamn, efternamn, personnummer eller samordningsnummer; e-postadress, telefonnummer; uppgifter om anställning, befattning, roll eller funktion; yrkes- eller kompetensrelaterade uppgifter (t.ex. utbildningar, certifikat, kompetensbevis eller erfarenhet); behörighetsnummer (t.ex. certifikatnummer, yrkesbevisnummer eller kompetensbevisnummer); annan information som det auktorisationssökande företaget väljer att registrera om sina anställda inom ramen för ansökan; system- och åtkomstuppgifter i den utsträckning de genereras vid registrering och hantering av förteckningen (t.ex. användaridentifierare och teknisk metadata).
  • Rättslig grund: Behandlingen grundar sig på vårt berättigade intresse (artikel 1 f GDPR) av att kunna genomföra auktorisationsprocessen på ett effektivt, strukturerat och tillförlitligt sätt. Förteckningen över det auktorisationssökande företagets anställda är nödvändig för att vi ska kunna bedöma företagets kompetens och uppfyllelse av de krav som ställs för auktorisationen. Behandlingen bedöms vara proportionerlig och innebära en begränsad integritetspåverkan, eftersom uppgifterna endast används för att pröva ansökan och lagras under en tydligt avgränsad period.
  • Mottagare: Behöriga handläggare och administratörer hos oss, det auktorisationssökande företagets egna behöriga administratörer samt behöriga personuppgiftsbiträden.
  • Lagringstid: Personuppgifter som ingår i det auktorisationssökande företagets förteckning över anställda lagras från det att uppgifterna registreras i Plattformen. Vid beviljad auktorisation lagras uppgifterna under hela auktorisationens giltighetsperiod om tolv (12) månader samt under ytterligare tre (3) månader därefter. Den efterföljande tremånadersperioden ger det auktorisationssökande företaget möjlighet att återanvända uppgifterna som underlag vid en förnyad auktorisationsansökan och endast uppdatera förändringar. Om företaget väljer att inte förnya sin auktorisation raderas eller anonymiseras samtliga personuppgifter utan onödigt dröjsmål efter att den ytterligare tremånadersperioden har löpt ut, om inte fortsatt lagring krävs enligt lag.

7.4. Administration av våra egna administratörer och handläggare

  • Ändamål: Vi behandlar personuppgifter om våra egna administratörer och handläggare för att administrera och hantera behörigheter, säkerställa korrekt handläggning samt upprätthålla en säker och kontrollerad användarhantering inom auktorisationsprocessen.
  • Kategorier av personuppgifter: Förnamn, efternamn, e-postadress, telefonnummer, användaridentifierare, åtkomstuppgifter samt systemrelaterad information kopplad till aktiviteter i ärenden inom auktorisationstjänsten på Plattformen; loggar, åtgärdsloggar och annan teknisk metadata som genereras genom användarens aktiviteter.
  • Behandling: Registrering, lagring, läsning, användning, strukturering, behörighetshantering, loggning av åtgärder, dokumentation samt radering eller anonymisering.
  • Rättslig grund: Behandlingen grundar sig på vårt berättigade intresse (artikel 6.1 f GDPR) av att administrera användarkonton och behörigheter på ett säkert och korrekt sätt. Detta är nödvändigt för att förhindra obehörig åtkomst, säkerställa informationssäkerhet och möjliggöra en välfungerande hantering av auktorisationsärenden. Behandlingen bedöms vara proportionerlig och innebära en begränsad integritetspåverkan, eftersom uppgifterna enbart används för att stödja interna säkerhets- och behörighetsrutiner.
  • Mottagare: Endast behöriga användare samt personuppgiftsbiträden.
  • Lagringstid: Loggar och åtkomsthistorik sparas under den tid som krävs för säkerhet, spårbarhet och incidenthantering enligt våra interna regler, dock högst tre (3) månader efter att en auktorisationsprocess har avslutats. Påbörjade auktorisationsansökningar avslutas per automatik efter tolv (12) månader. Inaktiva användarkonton tas bort efter tre (3) år.

7.5 Fullgörande av rättsliga skyldigheter och regelefterlevnad

  • Ändamål: Vi behandlar personuppgifter för att uppfylla rättsliga skyldigheter som åligger oss enligt lag, inklusive krav kopplade till bokföring och redovisning, att hantera och dokumentera begäranden om registrerades rättigheter enligt GDPR samt att utreda, dokumentera och, när så krävs, anmäla personuppgiftsincidenter och informera berörda registrerade. Ändamålet omfattar även att kunna tillhandahålla underlag vid granskning eller revision.
  • Kategorier av personuppgifter: Förnamn, efternamn, personnummer eller samordningsnummer, e-postadress, telefonnummer, bokföringsrelaterade uppgifter (t.ex. angiven referensperson), uppgifter som är nödvändiga för att hantera rättighetsbegäran samt incidentrelaterad information såsom loggar, beskrivningar och dokumentation av vidtagna åtgärder; system- och åtkomstuppgifter i den utsträckning de är relevanta för att utreda eller dokumentera incidenter; kommunikationsuppgifter som ingår i hanteringen av rättighetsbegäranden.
  • Behandling: Insamling, registrering, lagring, strukturering, läsning, användning, diarieföring eller arkivering, dokumentation, intern analys och utredning, utlämnande till myndigheter vid lagkrav, tillhandahållande till behöriga personuppgiftsbiträden, samt radering eller anonymisering i enlighet med lag.
  • Rättslig grund: Rättslig förpliktelse (artikel 6.1 c GDPR).
  • Mottagare: Myndigheter när detta krävs enligt lag (t.ex. Skatteverket, Integritetsskyddsmyndigheten, Polisen). Uppgifterna kan även delas med behöriga personuppgiftsbiträden, såsom ekonomi- och redovisningstjänster, revisionsbyråer eller IT-säkerhetsleverantörer som bistår vid incidentutredningar.
  • Lagringstid:
    Bokföring: sparas i upp till sju (7) år från utgången av det kalenderår då räkenskapsåret avslutades, enligt bokföringslagen.

Begäranden om registrerades rättigheter: sparas normalt i tre (3) år efter att ärendet avslutats, eller längre om det krävs för att hantera en pågående rättslig process.

Incidentdokumentation: sparas normalt i tre (3) år efter avslutad incidentutredning, eller längre om det krävs på grund av tillsyn, rättsprocess eller pågående utredning.

8. HUR LÄNGE VI SPARAR PERSONUPPGIFTER

Vi lagrar personuppgifter endast så länge det är nödvändigt för de ändamål för vilka de samlades in eller så länge det krävs för att uppfylla rättsliga skyldigheter, i enlighet med principen om lagringsminimering.

Den exakta lagringsperioden beror på vilken behandling som personuppgifterna ingår i. Lagringstider för respektive behandling anges i avsnitt 7 i detta integritetsmeddelande.

Personuppgifter kan behöva sparas längre om det krävs enligt lag, om de behövs för ett pågående ärende eller för att fastställa, göra gällande eller försvara rättsliga anspråk. Vid begäran om radering kan vi därför behöva behålla vissa personuppgifter när det krävs för att uppfylla en rättslig skyldighet eller för att hantera en tvist.

När personuppgifter inte längre behöver bevaras raderas eller anonymiseras de i enlighet med våra interna gallringsrutiner och tillämplig lagstiftning.

9. VART VI BEHANDLAR PERSONUPPGIFTER

Målsättningen är att alltid behandla personuppgifter inom Europeiska unionen (EU) eller Europeiska ekonomiska samarbetsområdet (EES). I vissa fall kan dock personuppgifter överföras och behandlas utanför EU/EES. För att säkerställa ett adekvat skydd av dina personuppgifter vid sådana överföringar vidtar vi lämpliga skyddsåtgärder. Det kan inkludera att använda standardavtalsklausuler som godkänts av Europeiska kommissionen samt andra kompletterande skyddsåtgärder när så krävs enligt GDPR och vägledning från EU:s dataskyddsmyndigheter. Du kan kontakta oss för mer information om vilka skyddsåtgärder som används och, i förekommande fall, få en kopia av relevanta standardavtalsklausuler.

10. MOTTAGARE AV PERSONUPPGIFTER

Vi behandlar personuppgifter med omsorg och delning av personuppgifter sker i enlighet med tillämplig dataskyddslagstiftning.

  1. Myndigheter: Vi kan dela personuppgifter om vi är rättsligt skyldiga, exempelvis enligt tillämplig lagstiftning eller vid en myndighetsutredning (t.ex. till Polisen, Skatteverket eller Integritetsskyddsmyndigheten). Vi kan även dela personuppgifter om det krävs för att förebygga, upptäcka eller utreda brott, eller för att skydda vår verksamhet och våra användare mot bedrägeri, intrång eller andra säkerhetshot.
  2. Tjänsteleverantörer och personuppgiftsbiträden: Vi samarbetar med tjänsteleverantörer som behandlar personuppgifter för vår räkning, t.ex. IT-leverantörer och andra aktörer som bistår i auktorisationsprocessen. Dessa agerar som våra personuppgiftsbiträden och får endast behandla personuppgifterna enligt våra instruktioner, vilka regleras i personuppgiftsbiträdesavtal enligt artikel 28 i GDPR.
  3. Andra självständiga personuppgiftsansvariga: I vissa fall kan vi dela personuppgifter med externa parter som är självständiga personuppgiftsansvariga och som ansvarar för sin egen behandling av personuppgifterna. Detta kan exempelvis ske i samband med affärstransaktioner, såsom försäljning, fusion, omstrukturering eller samarbetsprojekt där en extern part har ett berättigat affärsmässigt intresse av att hantera vissa personuppgifter. Den mottagande parten ansvarar själv för att informera de registrerade och för att säkerställa att behandlingen sker i enlighet med GDPR.
11. DINA RÄTTIGHETER ENLIGT GDPR

Som registrerad enligt GDPR har du följande rättigheter:

  • Rätt till information: Du har rätt att få tydlig information om hur vi behandlar dina personuppgifter, inklusive ändamål, kategorier av uppgifter och eventuella mottagare. Denna information finns i detta integritetsmeddelande. Om dina personuppgifter inte har samlats in direkt från dig, har du även rätt att få information om varifrån uppgifterna kommer och vilken typ av källa som använts.
  • Rätt till tillgång: Du kan begära en kopia av dina personuppgifter som vi behandlar och få information om behandlingen, inklusive eventuella gränsöverskridande överföringar och skyddsåtgärder.
  • Rätt till rättelse: Om dina personuppgifter är felaktiga eller ofullständiga har du rätt att få dem korrigerade. Vi informerar i sådana fall berörda mottagare av dina personuppgifter om detta, ifall det är möjligt och inte för betungande för oss. Du har även rätt till information om vilka mottagarna är.
  • Rätt till radering ("rätten att bli bortglömd"): Du kan begära att vi raderar de personuppgifter vi behandlar om dig om de inte längre är nödvändiga för de ändamål de samlades in för, om behandlingen sker olagligt, om du återkallar ditt samtycke eller invänder mot behandling som grundas på berättigat intresse och inga tvingande skäl väger tyngre. Vi kan dock vara skyldiga att behålla vissa uppgifter enligt lag, till exempel bokföringsregler, men dessa uppgifter blockeras då från att användas för andra syften. Om radering sker informeras i möjligaste mån berörda mottagare, och du har rätt att få information om vilka dessa är.
  • Rätt till begränsning av behandling: Du kan begära att vi begränsar behandlingen av dina personuppgifter, exempelvis om du bestrider deras riktighet eller om behandlingen är olaglig men du motsätter dig radering. Vid begränsning får vi endast lagra uppgifterna, behandla dem med ditt samtycke eller för att fastställa, utöva eller försvara rättsliga anspråk. Vi informerar dig när begränsningen upphör.
  • Rätt till dataportabilitet: Om vi behandlar dina personuppgifter baserat på samtycke eller avtal som rättslig grund, har du rätt att få dem i ett strukturerat, maskinläsbart format och att få dem överförda till en annan personuppgiftsansvarig, där det är tekniskt möjligt.
  • Rätt att invända: Du kan invända mot vår behandling av dina personuppgifter om den grundas på berättigat intresse som rättslig grund. Vi får endast fortsätta behandlingen om vi kan visa berättigade skäl som väger tyngre än dina intressen. Du har dock alltid rätt att invända mot behandling för direktmarknadsföring, vilket innebär att vi omedelbart måste upphöra med sådan behandling.
  • Rätt att inte bli föremål för automatiserat beslutsfattande: Du har rätt att slippa beslut som enbart baseras på automatiserad behandling, inklusive profilering, om besluten väsentligt påverkar dig. Undantag gäller om beslutet är nödvändigt för ett avtal eller krävs enligt lag. I sådana fall har du rätt att begära mänsklig granskning av beslutet. Vi fattar inga automatiserade beslut, varken med eller utan profilering.
12. HUR DU UTÖVER RÄTTIGHETERNA

Du kan kontakta oss via de kontaktuppgifter som anges i slutet av integritetsmeddelandet om du vill utöva någon av dina rättigheter enligt GDPR. Att utöva dina rättigheter är kostnadsfritt, såvida din begäran inte är upprepande, ogrundad eller orimlig, då vi har rätt att ta ut en rimlig avgift eller neka begäran.

För att säkerställa att vi behandlar begäran korrekt kan vi behöva verifiera din identitet. Vi besvarar din begäran inom en månad, men vid komplexa ärenden eller hög arbetsbelastning kan svarstiden förlängas med upp till två månader. I sådana fall informerar vi dig om förlängningen inom den första månaden.

Observera att vissa rättigheter är begränsade enligt GDPR och endast gäller under specifika förutsättningar. Om vi inte kan uppfylla din begäran informerar vi dig om skälen, i enlighet med gällande lag.

13. ÄNDRINGAR I DETTA INTEGRITETSMEDDELANDE

Vi uppdaterar detta integritetsmeddelande vid behov för att hålla informationen korrekt och aktuell. Du ansvarar för att läsa den senaste versionen som alltid finns tillgänglig på vår webbplats.  Om vi gör väsentliga ändringar som påverkar hur vi behandlar dina personuppgifter, informerar vi dig om detta om det krävs enligt lag.

15. FRÅGOR ELLER KLAGOMÅL 

Om du har frågor om detta integritetsmeddelande eller vår behandling av dina personuppgifter kan du kontakta oss via följande kontaktuppgifter:

  • E-post: stenberg@branschkansliet.se.
  • Postadress: Sveriges Takentreprenörer, Box 22307, 104 22 Stockholm.
  • Telefonnummer: 070-897 67 56.

Om du är missnöjd med vår behandling av dina personuppgifter kan du lämna klagomål till den svenska dataskyddsmyndigheten, Integritetsskyddsmyndigheten (IMY):

  • Telefon: 08-657 61 00.
  • E-post: imy@imy.se.
  • Postadress: Integritetsskyddsmyndigheten, Box 8114, 104 20 Stockholm.

Om du är bosatt i ett annat land inom EU/EES-området, kan du även vända dig till tillsynsmyndigheten i ditt bosättningsland. En lista över medlemsländernas tillsynsmyndigheter finns här: https://edpb.europa.eu/about-edpb/about-edpb/members_en