Integritetspolicy

Den här versionen är senast uppdaterad den 2024-08-22.

1. Hur behandlar vi dina personuppgifter? 

Vi på HPI Health Profile Institute AB vill att du ska känna dig trygg med hur vi behandlar dina personuppgifter. Därför är vi öppna med hur vi samlar in och hanterar den information som vi sparar om dig. Vi ser till att dina personuppgifter alltid är skyddade hos oss och att behandlingen lever upp till kraven i Dataskyddsförordningen (GDPR), interna riktlinjer och övriga relevanta lagkrav. Eftersom vi hanterar känsliga personuppgifter för våra kunders räkning har vi utsett ett dataskyddsombud som granskar att gällande regler följs.

2. Ansvar och kontaktuppgifter

HPI Health Profile Institute AB ansvarar för hur dina personuppgifter behandlas. Om du har några frågor om hur vi hanterar dina personuppgifter eller vill utöva dina rättigheter enligt GDPR, vänligen kontakta oss på följande sätt:

Kontaktuppgifter till den personuppgiftsansvarige  

Postadress: HPI Health Profile Institute AB, Magnus Ladulåsgatan 65, 118 27 Stockholm
E-post: support@hpi.se

Kontaktuppgifter till dataskyddsombudet 

E-post: dso@carasent.com

3. Vad är en personuppgift? 

Med personuppgifter avses all information som direkt eller indirekt identifierar en individ. Detta innefattar information som namn, kontaktinformation, geolokalisering och andra uppgifter som rör en individs identitet.

4. Vad är personuppgiftsbehandling? 

Behandling av personuppgifter omfattar alla åtgärder som utförs på personuppgifter, oavsett om de är automatiserade eller inte. Några exempel på sådana åtgärder är att personuppgifter samlas in, lagras och lämnas ut. Vi kan till exempel ha sparat dina personuppgifter om du arbetar hos en kund eller leverantör till oss, eller om du själv har lämnat dina uppgifter till oss i samband med att du har deltagit i något evenemang. Om du söker arbete eller anställs hos oss informerar vi dig separat om hur dina personuppgifter behandlas i samband därmed.

5. Vilka personuppgifter behandlar vi om dig? 

I slutet av den här policyn (under rubrik 11) hittar du detaljerad information om vilka typer av personuppgifter vi samlar in om dig, i vilket syfte och utifrån vilken laglig grund. Vi informerar dig även om potentiella mottagare samt lagringstid för olika typer av personuppgifter.

6. Hur skyddar vi dina personuppgifter? 

Vi vidtar lämpliga säkerhetsåtgärder för att skydda dina personuppgifter och förhindra obehörig åtkomst eller obehörig användning. Våra säkerhetsrutiner innefattar regelbundna uppdateringar och tester, kryptering och säkerhetskopiering av data. Tillgången till personuppgifter är begränsad till anställda som behöver det för att kunna utföra sina arbetsuppgifter. Dessutom utbildar vi våra anställda om vikten av konfidentialitet för att upprätthålla säkerheten för personuppgifter.

7. Hur delar vi dina personuppgifter? 

Vi kommer endast att dela dina personuppgifter med de tredje parter som beskrivs i denna policy. Vi ser då alltid till att vidta de säkerhetsåtgärder som krävs för att skydda dina personuppgifter. När vi delar dina personuppgifter med våra personuppgiftsbiträden kommer de dessutom endast att behandla uppgifterna enligt våra instruktioner. En mer specifik beskrivning av hur vi delar personuppgifter kan du läsa nedan.

Carasentkoncernen 

I en del situationer kan vi ha ett berättigat intresse av att dela dina personuppgifter med andra bolag inom Carasentkoncernen, vilken består av Carasent Sverige, Carasent ASA, Carasent Norge AS, Metodika AB, HPI Health Profile Institute AB och Medrave Software AB. Syftet med att dela personuppgifter inom Carasentkoncernen är ofta att uppnå interna administrativa ändamål. Det kan till exempel handla om sådana personuppgifter som behövs för bokföringen, vilken delvis sköts centralt inom Carasentkoncernen. Om vi behöver dela dina personuppgifter med andra bolag inom Carasentkoncernen ställer vi samma höga säkerhetskrav som om vi själva hade behandlat personuppgifterna.

Tjänsteleverantörer  

Som personuppgiftsansvarig kommer vi i vissa fall att behöva hjälp av samarbetspartners, leverantörer eller tjänsteleverantörer för att kunna utföra behandlingen av dina personuppgifter. Till exempel använder vi leverantörer (som är våra personuppgiftsbiträden) för IT- och ekonomisystem. Vi anlitar endast personuppgiftsbiträden som kan garantera att uppgifterna skyddas genom tillräckliga tekniska och organisatoriska säkerhetsåtgärder.

Myndigheter 

Vi har ibland en lagstadgad skyldighet att lämna ut personuppgifter på begäran av myndigheter. Dessutom kan vi behöva lämna ut personuppgifter för att fastställa, utöva eller försvara rättsliga anspråk som riktas mot oss.

8. Överföringar utanför EU/EES 

Vi strävar alltid efter att behandla dina personuppgifter inom EU/EES. Vissa av våra personuppgiftsbiträden kan dock vara verksamma i länder utanför detta område. Främst handlar det om vissa systemleverantörer som har sina huvudkontor i USA, vilket innebär att personuppgifterna potentiellt kan vara åtkomliga därifrån även om själva servrarna är placerade inom EU/EES. Om dina personuppgifter överförs till ett land utanför EU/EES ser vi till att de behandlas säkert och att skyddsnivån motsvarar den som tillhandahålls inom EU/EES. Du är välkommen att kontakta oss om du vill ha information om till vilka länder våra personuppgiftsbiträden är verksamma och vilka skyddsåtgärder vi har vidtagit. Kontaktuppgifter finns i början av den här policyn (under rubrik 2).

Överföringar utanför EU/EES sker endast ske om någon av följande förutsättningar är uppfyllda:

  • Mottagarlandet har en adekvat skyddsnivå som är likvärdig med den inom EU, enligt ett beslut av Europeiska kommissionen.
  • Överföringen kan grundas på Europeiska kommissionens standardavtalsklausuler. Detta är ett rättsligt bindande och verkställbart instrument som garanterar uppgifternas säkerhet.
  • Särskilda situationer och enskilda fall.

9. Dina rättigheter 

Vi ansvarar för att dina personuppgifter behandlas i enlighet med gällande lagstiftning. I detta avsnitt beskrivs dina rättigheter när det gäller vår hantering av dina personuppgifter. Om du har några frågor eller vill utöva en rättighet, vänligen kontakta oss via e-post eller genom att skriva till vår postadress som anges högst upp i denna policy. Vi kommer att svara på din begäran inom en månad. För att skydda dina personuppgifter kan vi behöva verifiera din identitet innan vi behandlar din begäran.

Rätt till tillgång  

Vi är måna om att vara transparenta med hur vi hanterar dina personuppgifter. Om du vill veta vilken information vi har om dig kan du be om en kopia av denna. Denna kopia kommer bland annat att innehålla information om varför vi har dina personuppgifter, vilken typ av personuppgifter det är, vilka mottagare vi delar dem med, hur länge vi behåller dem och varifrån vi har samlat in dem.

Rätt till rättelse  

Om du hittar några fel i de personuppgifter vi har om dig kan du be oss att åtgärda dem. Du kan också be oss att lägga till information som saknas.

Rätt till radering  

Du kan be oss att radera dina personuppgifter. Det finns dock undantag från denna rättighet, till exempel när vi enligt lag är skyldiga att behålla uppgifterna. Denna skyldighet kan bland annat finnas i lagstiftning kopplat till bokföring, skatteregler och arbetsrätt. Dessutom kan vi behöva fortsätta att behandla dina uppgifter för att fastställa, hävda eller försvara rättsliga anspråk. Om vi inte kan radera dina uppgifter kommer vi att se till att de inte används baserat på några andra ändamål än de som förhindrar att de raderas.

Rätt till dataportabilitet  

Du har i vissa fall rätt att föra över dina uppgifter till en annan personuppgiftsansvarig om en sådan överföring är tekniskt möjlig. Detta gäller specifikt för de uppgifter som du själv har lämnat till oss och endast om vi behandlar uppgifterna baserat på ditt samtycke eller för att fullgöra ett avtal med dig.

Rätt till begränsning av behandling  

Du har rätt att begära begränsning av vår behandling av dina personuppgifter. Om du har upptäckt att uppgifterna om dig är felaktiga kan du begära att behandlingen begränsas under den tid vi kontrollerar uppgifternas riktighet. Om du har invänt mot vårt berättigade intresse som laglig grund för behandlingen kan du begära att behandlingen begränsas under den tid vi bedömer om vårt berättigade intresse väger tyngre än ditt intresse av att få uppgifterna raderade.

Rätt att göra invändningar  

Du har rätt att invända mot viss behandling som grundar sig på vårt berättigade intresse, till exempel marknadsföring i nyhetsbrev. Du har alltid möjlighet att avregistrera dig från marknadsföringsutskick i varje e-postmeddelande med direktmarknadsföring som vi skickar till dig. Du kan invända mot direktmarknadsföring och analyser som utförs för direktmarknadsföringsändamål utan att ange någon anledning. Om du invänder mot direktmarknadsföring kommer vi inte längre att behandla dina personuppgifter för det ändamålet. När det gäller personuppgifter som behandlas för annat ändamål än marknadsföring kommer vi i varje enskilt fall att bedöma om vårt berättigade intresse av behandlingen väger tyngre än dina intressen, rättigheter och friheter.

Rättigheter i samband med automatiserat beslutsfattande och profilering  

Du har rätt att få information om logiken bakom och konsekvenserna av eventuellt automatiserat beslutsfattande av oss. I dagsläget tillämpar vi inte någon form av automatiserat beslutsfattande. Du kommer att informeras om detta skulle förändras. Automatiserat beslutsfattande kan till exempel bestå i avslag på e-rekrytering via Internet utan någon personlig kontakt. Med profilering avses varje form av automatiserad behandling av personuppgifter för att bedöma någons personliga egenskaper såsom arbetsprestation, ekonomiska situation, hälsa, personliga preferenser, intressen etc.

Rätt att lämna in klagomål  

Om du har några klagomål angående vår behandling av dina personuppgifter kan du vända dig till Integritetsskyddsmyndigheten via följande länk.

10. Ytterligare information

Vi uppdaterar denna policy kontinuerligt för att säkerställa att den korrekt beskriver hur vi hanterar dina personuppgifter. Vid väsentliga ändringar av policyn kommer vi alltid att meddela dig separat. Vi uppmuntrar dig att läsa vår integritetspolicy regelbundet för att hålla dig informerad om hur vi använder dina personuppgifter. Den senaste versionen finns alltid tillgänglig på hpi-plustoo/integritetspolicy. 

11. En översikt över hur vi behandlar dina personuppgifter

Du som besöker vår webbplats

För information om hur vi hanterar cookies, vänligen se vår cookiepolicy.

Du som använder våra produkter och tjänster

När du använder våra produkter och tjänster behandlar vi i regel endast dina personuppgifter i rollen som personuppgiftsbiträde till våra kunder, vilka är personuppgiftsansvariga. Det innebär att den Företagshälsa eller arbetsmiljöaktör som du är kopplad till ingår personuppgiftsbiträdesavtal med oss och ger instruktioner om hur vi ska behandla dina personuppgifter. Kontakta därför den Företagshälsa eller arbetsmiljöaktör som du är kopplad till om du har frågor om hur dina personuppgifter behandlas när du använder våra produkter och tjänster.

Du som är anställd hos våra kunder eller potentiella kunder

  • Personuppgifter: Namn, e-post, postadress, bankkontonummer.
  • Ändamål: Bokföring. Sköta bokföring av intäkter och kostnader.
  • Rättslig grund: Rättslig förpliktelse.
  • Mottagare: Leverantör av ekonomisystem, Bolagsverket, andra bolag inom Carasentkoncernen (ekonomi sköts centralt).
  • Lagringstid: Sparas i 7 år.

__________________________________________

  • Personuppgifter: Namn, mejladress, telefonnummer, IP-adress, elektronisk signatur.
  • Ändamål: E-signering. Möjliggöra elektronisk signering av avtal.
  • Rättslig grund: Berättigat intresse.
  • Mottagare: Leverantör av e-signeringstjänst.
  • Lagringstid: Under avtalstiden eller så länge som krävs för bokföring (7 år).

__________________________________________

  • Personuppgifter: Namn och e-post.
  • Ändamål: Kontaktformulär på webbplatsen.
  • Rättslig grund: Berättigat intresse.
  • Mottagare: Leverantör av supportsystem, ärendehantering.
  • Lagringstid: Sparas under avtalstiden, eller så länge som det behövs för t.ex. bistå kund.

__________________________________________

  • Personuppgifter: Namn, mejladress, yrkestitel.
  • Ändamål: Kundavtal. Lagra kundavtal och kommunikation.
  • Rättslig grund: Berättigat intresse.
  • Mottagare: Leverantör för dokumentlagring, andra bolag inom Carasentkoncernen.
  • Lagringstid: Under avtalstiden eller så länge som krävs för bokföring (7 år).

__________________________________________

  • Personuppgifter: Namn, mejladress, telefonnummer, köphistorik, kommunikationshistorik, yrkestitel, förskrivarkod, HSAID, beställarkod, nyttjande av tjänst.
  • Ändamål: Kundregister. Hantera kundinformation och kommunikation.
  • Rättslig grund: Avtal.
  • Mottagare: Leverantör för dokumentlagring och e-post.
  • Lagringstid: Under avtalstiden eller tills avaktivering i systemet.

__________________________________________

  • Personuppgifter: Namn, mejladress, IP-adress, loggar, supportärenden.
  • Ändamål: Kundsupport. Erbjuda support enligt avtal.
  • Rättslig grund: Avtal.
  • Mottagare: Leverantör av supportsystem.
  • Lagringstid: Under avtalstiden eller tills avaktivering i systemet.

Du som är anställd hos våra kunder eller potentiella kunder

  • Personuppgifter: Namn, e-post, postadress, bankkontonummer.
  • Ändamål: Bokföring. Sköta bokföring av intäkter och kostnader.
  • Rättslig grund: Rättslig förpliktelse.
  • Mottagare: Leverantör av ekonomisystem, Myndighet, Andra bolag inom Carasentkoncernen (ekonomi sköts centralt).
  • Lagringstid: Sparas i 7 år.

__________________________________________

  • Personuppgifter: Namn, e-post, yrkestitel.
  • Ändamål: Leverantörsavtal. Lagra leverantörsavtal och tillhörande kommunikation Sköta bokföring av intäkter och kostnader.
  • Rättslig grund: Berättigat intresse
  • Mottagare: Leverantör som används för internt arbete såsom dokumentlagring, e-post m.m., i vissa fall andra bolag inom Carasentkoncernen (ekonomi sköts centralt).
  • Lagringstid: Sparas under avtalstiden, eller så länge som det behövs för t.ex. bokföring (7 år).

__________________________________________

Du som deltar under webbinarium och event, eller medverkar i kundcase

  • Personuppgifter: Namn och foto.
  • Ändamål: Kundcase. Informera om våra tjänster och produkter genom att visa upp våra kunders vardag.
  • Rättslig grund: Avtal.
  • Mottagare: Framgår av respektive avtal.
  • Lagringstid: Framgår av respektive avtal.

__________________________________________

  • Personuppgifter: Namn och e-post.
  • Ändamål: Webbinarium. Informera om våra tjänster och produkter, möjliggöra interaktiva undersökningar bland deltagare samt följa upp efter webbinairum med ytterligare material, erbjudanden och inbjudningar.
  • Rättslig grund: Berättigat intresse.
  • Mottagare: Leverantör av webbinariumplattform.
  • Lagringstid: Sparas ej.

Du som tar emot nyhetsbrev

  • Personuppgifter: Namn och e-post.
  • Ändamål: Nyhetsbrev. Informera om våra tjänster och produkter.
  • Rättslig grund: Berättigat intresse.
  • Mottagare: Leverantör av nyhetsbrevstjänst.
  • Lagringstid: Du kan när som helst avregistrera dig från våra utskick genom att klicka på avregistreringslänken i det senaste utskicket du fick från oss. Om du inte själv avregistrerar dig behandlar vi personuppgifterna så länge som det är nödvändigt för att uppnå syftet med behandlingen, t.ex. så länge din arbetsgivare har avtal med oss.

Du som söker jobb hos oss

  • Personuppgifter: Namn, e-post, foto, video, loggar, uppgifter som personen själv lämnar.
  • Ändamål: Anställningsintervju. Sköta rekrytering och möjliggöra anställning.
  • Rättslig grund: Berättigat intresse.
  • Mottagare: Leverantör som används för internt arbete såsom dokumentlagring, e-post m.m., andra bolag inom Carasentkoncernen (HR sköts centralt).
  • Lagringstid: Raderas efter avslutade rekryteringsprocess.

__________________________________________

  • Personuppgifter: Namn, telefonnummer, e-post, postadress, info i CV, info i personligt brev.
  • Ändamål: Ansökningshandlingar. Sköta rekrytering och möjliggöra anställning.
  • Rättslig grund: Berättigat intresse.
  • Mottagare: Leverantör av rekryteringssystem, andra bolag inom Carasentkoncernen (HR sköts centralt).
  • Lagringstid: Sparas i 2 år (rättslig förpliktelse enligt diskrimineringslagen). Med sökandes samtycke kan handlingarna sparas längre. Nytt samtycke inhämtas som utgångspunkt årligen.

__________________________________________

  • Personuppgifter: Namn, e-post, telefonnummer.
  • Ändamål: Bakgrundskontroll, beställning. Sköta rekrytering och möjliggöra anställning. Utlämnande av uppgifter för att möjliggöra beställning och mottagande av rapporter.
  • Rättslig grund: Berättigat intresse.
  • Mottagare: Leverantör av bakgrundskontroller, andra bolag inom Carasentkoncernen (HR sköts centralt).
  • Lagringstid: Raderas efter avslutade rekryteringsprocess.

__________________________________________

  • Personuppgifter: Namn, personnummer, e-post, telefonnummer.
  • Ändamål: Bakgrundskontroll, granskning. Mottagande av uppgifter för att sköta rekrytering och möjliggöra anställning. Vi får endast rapport från leverantören efter den arbetssökandes godkännande.
  • Rättslig grund: Berättigat intresse.
  • Mottagare: Leverantör av bakgrundskontroller, andra bolag inom Carasentkoncernen (HR sköts centralt).
  • Lagringstid: Leverantören raderar uppgifterna automatiskt 72h efter att vi har öppnat rapporten i systemet. Vid nedladdning av rapporten raderas uppgifterna efter avslutad rekryteringsprocess.

__________________________________________

  • Personuppgifter: Namn, mejladress, telefonnummer, användarID, testresultat.
  • Ändamål: Motivationstest. Sköta rekrytering och möjliggöra anställning.
  • Rättslig grund: Berättigat intresse.
  • Mottagare: Leverantör av motivationstest, andra bolag inom Carasentkoncernen (HR sköts centralt).
  • Lagringstid: För de som inte anställs, 2 år enligt diskrimineringslagen. För de som anställs, under hela anställningstiden och raderas därefter.

__________________________________________

  • Personuppgifter: Namn, e-post, telefonnummer.
  • Ändamål: Referenstagning. Sköta rekrytering och möjliggöra anställning.
  • Rättslig grund: Samtycke.
  • Mottagare: Leverantör av rekryteringssystem, Leverantör som används för internt arbete såsom dokumentlagring, e-post m.m. Andra bolag inom Carasentkoncernen (HR sköts centralt).
  • Lagringstid: Raderas efter avslutade rekryteringsprocess.