Gå till huvudinnehåll

Så behandlar vi dina personuppgifter

Denna beskrivning är tillämplig oavsett vilket bolag inom Castellum-koncernen du har din relation med. Notera dock att det är det bolag inom den region som har ingått avtal med det företag som du representerar som är personuppgiftsansvarig för den behandling som görs av dina personuppgifter. Om ditt företag har ett avtalsförhållande med ett Kungsleden-bolag är det Kungsleden AB som är personuppgiftsansvarig. Begreppet ”Castellum” i detta dokument innefattar även Kungsleden-bolagen.

Vilka personuppgifter kommer att behandlas?

Castellum samlar in och behandlar följande uppgifter; namn, telefonnummer, adress, e-postadress, titel, personnummer hos firmatecknare, personnummer och kreditupplysning i förhållande till samarbetspartners som är enskilda firmor, material från eventuell kameraövervakning samt eventuell ytterligare information som kan komma att lämnas av dig i samband med kommunikation med oss (dina ”personuppgifter”). I vissa situationer kan vi också komma att behandla personuppgifter rörande t.ex. omständigheter eller uppgifter som är relevanta för vår affärsrelation.

Varför behandlar vi dina personuppgifter?

Castellum behandlar dina personuppgifter i syfte att administrera vår affärsrelation (inklusive för att säkerställa fullgörande av åtaganden, för hantering av fakturor, för uppföljning kring leveranser, etc.), för att möjliggöra översyn av hur byggarbeten fortlöper samt säkerställa att endast behöriga personer har tillgång till byggarbetsplatser genom t.ex. kameraövervakning, samt för att vi ska kunna hålla kontakten med dig. Vi kan också komma att behandla dina personuppgifter för att skicka nyheter om vår verksamhet eller inbjudningar till event till dig (inklusive att för att administrera sådana event t.ex. vad gäller deltagare, förtäring och matpreferenser).

Vi kan även komma att behandla dina personuppgifter vid marknadskommunikation så som publicering av inlägg, nyhetsbrev, bilder, filmer etc. på sociala medier (t.ex. Facebook, LinkedIn och Instagram) samt för publicering av inlägg, bilder och filmer för internt bruk (t.ex. på vårt intranät). Om vi skulle vilja behandla dina personuppgifter i sådant syfte kommer du att få särskild information om den personuppgiftsbehandlingen som det medför samt lämna särskilt samtycke till att vi behandlar dina personuppgifter för det syftet.

Varifrån hämtar vi personuppgifter?

Personuppgifterna samlas in direkt från dig. Uppgifter kan också komma att samlas in från din arbetsgivare. Vid kreditupplysning samlas information in från kreditupplysningsföretag. Castellum kan även komma att uppdatera personuppgifterna för att se till att Castellum inte ska behandla utdaterade personuppgifter om dig. Uppdateringar av personuppgifterna kan exempelvis komma att ske med hjälp av Bisnode Sverige AB:s tjänster.

Vem har tillgång till dina personuppgifter?

Vi har vidtagit lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda dina personuppgifter mot bl.a. förlust och obehörig åtkomst. Endast personer hos Castellum har tillgång till dina personuppgifter och dessa kommer bara att behandlas i enlighet med ändamålen ovan.

Vi kan dock komma att dela dina personuppgifter med övriga bolag inom Castellum-koncernen i syfte att dela med oss av relevanta kontakter och att överföra kunskap om vad som framkommit i kommunikation med dig, samarbeta kring val av leverantörer, samarbetspartners etc. Vi kan också komma att dela dina personuppgifter med våra leverantörer som utför tjänster för vår räkning. Därutöver kan vi komma att dela dina personuppgifter för att kunna genomföra enkäter, evenemang och marknadsföring eller för att kunna kommunicera genom kommunikationskanaler och hantera dokumentation. Dina personuppgifter kan också behöva delas med vår bank, våra revisorer, myndigheter, försäkringsbolag, säkerhetsbolag, parkeringsbolag, samverkansorgan och inkassobolag.

Hur länge sparas dina personuppgifter?

Dina personuppgifter kommer att sparas och behandlas av oss tills de inte längre är nödvändiga med hänsyn till ändamålet för behandlingen, om det inte finns särskilda krav i lagstiftning som innebär att uppgifterna måste sparas längre.

De uppgifter som behövs för vår bokföring (exempelvis alla beställningar, fakturor och betalningar) och skatteunderlag måste enligt lag sparas i minst sju år. Notera att vissa uppgifter sparas längre, t.ex. sparas uppgifter kring fakturor för uppföljningssyften längre än sju år. I övrigt sparas uppgifter som huvudregel till dess att vi inte längre har en affärsrelation med det bolag som du representerar, eller till dess att du inte längre representerar detta bolag. Personuppgifter som behandlas för att skicka nyheter om vår verksamhet eller inbjudningar till event till dig sparas så länge du fortsatt är en kontaktperson hos det bolag som du representerar. Personuppgifter som behandlas för att administrera event raderas normalt inom 30 dagar efter avslutat event.

Vad har Castellum för rätt att behandla dina personuppgifter?

Behandlingen av dina personuppgifter i syfte att hantera vår affärsrelation görs med grund i en s.k. intresseavvägning. Detta innefattar behandling av dina personuppgifter för att kunna kontakta dig, skicka nyheter eller inbjudningar till event till dig samt behandling genom eventuell kameraövervakning. Castellum anser sig ha rätt att behandla dina personuppgifter eftersom behandlingen är nödvändig för ändamål som rör Castellums berättigade intressen.

För det fall vi begär matpreferenser, vilket kan utgöra personuppgifter om din hälsa som utgör en särskild kategori av personuppgifter, baserar vi behandlingen på samtycke. Du har alltid rätt att återkalla ditt samtycke genom att kontakta oss.  

Så här tänkte vi

Castellums berättigade intresse i detta fall är att kunna kontakta dig, underhålla den affärsrelation som skapats och hålla en fortsatt god relation med dig genom att t.ex. skicka nyheter eller inbjudningar till event till dig. Castellum har vägt sitt berättigade intresse mot den eventuella integritetskränkning Castellums behandling skulle kunna innebära. Castellum gör bedömningen att risken för integritetskränkning är begränsad eftersom kontaktpersoner i sin yrkesroll, bör kunna förvänta sig att vissa uppgifter behandlas i ovan nämnda syften. De personuppgifter som behandlas kan inte anses vara särskilt integritetskänsliga personuppgifter. De personuppgifter som behandlas är också begränsade till vad som behövs för att fullgöra ändamålen med personuppgiftsbehandlingen. Castellum gör därför bedömningen att Castellum har rätt att behandla personuppgifterna efter en intresseavvägning.

Castellums berättigade intresse vad gäller behandlingen av material från övervakning av byggarbetsplatser är att möjliggöra översyn av hur byggarbeten fortlöper samt säkerställa att endast behöriga personer har tillgång till en byggarbetsplats. Castellum har vägt sitt berättigade intresse mot den eventuella integritetskränkning Castellums behandling av dina personuppgifter skulle kunna innebära. Castellum gör bedömningen att det finns en risk för integritetskränkning, men att användningen av uppgifterna är så begränsad att den risken ändå är begränsad. Castellum gör därför bedömningen att Castellums intresse att behandla dina personuppgifter väger tyngre och har rätt att behandla personuppgifterna efter denna intresseavvägning.

Dina personuppgifter behandlas även när vi sparar underlag för t.ex. vår bokföring (exempelvis alla beställningar, fakturor och betalningar) och skatteunderlag. Denna behandling grundas på vår skyldighet att fullgöra våra rättsliga förpliktelser.

Vad händer om du inte lämnar ut dina personuppgifter?

Att du tillhandahåller de personuppgifter som anges ovan är nödvändigt för att Castellum ska kunna kontakta dig och vidta de åtgärder som anges ovan. Om uppgifterna som anges ovan, som samlats in från dig inte lämnas kan nämnda åtgärder inte vidtas av Castellum.

Sker någon tredjelandsöverföring?

Castellum strävar efter att inte överföra uppgifter till ett land eller bolag som befinner sig utanför EU/EES. Vi använder dock tredjepartscookies på vår webbplats. Användandet av tredjepartcookies innebär att dina personuppgifter kan överföras till tredje part som befinner sig i ett tredje land (t.ex. USA). Du har möjlighet att själv begränsa användningen av cookies och du hittar mer information om detta i vår cookie-policy.

Vår och din användning av sociala medier innebär även att dina personuppgifter i regel överförs till tredje part som befinner sig i tredje land (USA). Du kan välja att inte samtycka till att synas i våra sociala medier, att inte följa oss eller att inte interagera med oss i sociala medier för att begränsa eller helt undvika att dina personuppgifter överförs till USA.

Överförs personuppgifter till tredje land (ex. USA) vidtar vi dock alltid lämpliga skyddsåtgärder för att på bästa sätt skydda dina personuppgifter. Sådana lämpliga skyddsåtgärder kan bland annat vara:

  • att vi säkerställer att EU-kommissionen har beslutat att landet som personuppgifterna överförs till uppnår en “adekvat” skyddsnivå som motsvarar den skyddsnivå som dataskyddsförordningen säkerställer, vilket gäller för sociala medier som Facebook, Instagram och LinkedIn vilka alla är certifierade enligt EU-US Data Privacy Framework (DPF).
  • att vi ingår EU-kommissionens standardklausuler med mottagaren av personuppgifterna i tredje land. När personuppgifter överförs till tredje land med stöd av EU-kommissionens standardavtalsklausuler bedömer vi om det finns lagstiftning i mottagarlandet som påverkar skyddet för dina personuppgifter. Om det krävs vidtar vi särskilda tekniska och organisatoriska åtgärder så att skyddet för dina uppgifter kvarstår vid överföringen. Med anledning av amerikansk säkerhetslagstiftning finns dock en viss risk att amerikanska myndigheter, i syfte att bekämpa brottslighet eller försvara nationell säkerhet, kan bereda sig tillgång till personuppgifter som överförs till USA trots våra tekniska och organisatoriska säkerhetsåtgärder.

Du kan kontakta oss och begära att få en kopia på skyddsåtgärderna, se kontaktuppgifter nedan.

Dina rättigheter

När dina personuppgifter behandlas har du följande rättigheter enligt dataskyddsförordningen (GDPR). Mer information finns på Integritetsskyddsmyndighetens (IMY) webbplats www.imy.se/privatperson/dataskydd/dina-rattigheter/.

Rätt till information (registerutdrag)

Du har rätt att begära att få en bekräftelse från oss om vi behandlar personuppgifter som rör dig samt i sådant fall begära tillgång till de personuppgifter som vi behandlar om dig, ett så kallat registerutdrag. Du har dessutom rätt att få följande information:

  1. ändamålet med behandlingen,
  2. vilka typer av personuppgifter som behandlas,
  3. vilka personuppgifterna har delats med, inklusive överföringar till tredjeland och vilka skyddsåtgärder som har vidtagits,
  4. lagringsperiod,
  5. dina rättigheter,
  6. varifrån personuppgifterna kommer, och
  7. om automatiserat beslutsfattande förekommer.

Om du begär tillgång till de personuppgifter som vi behandlar om dig kommer du få en kopia på personuppgifterna. Eventuella extra kopior kan medföra en avgift baserat på administrativa kostnader. Om du begär personuppgifterna elektroniskt kommer vi normalt att tillhandahålla kopian av personuppgifterna i elektroniskt format, om inget annat önskas.

Rätt till rättelse

Du har rätt att begära att vi utan onödigt dröjsmål rättar felaktiga personuppgifter som vi behandlar om dig. Beroende på ändamålet med behandlingen har du också rätt att komplettera ofullständiga personuppgifter.

Rätt till radering

Du har rätt att begära att vi utan onödigt dröjsmål raderar dina personuppgifter om:

  1. uppgifterna inte längre är nödvändiga att behandla utifrån de ändamålen som uppgifterna samlades in,
  2. du har återkallat ditt samtycke och behandlingen grundar sig på samtycke,
  3. du invänder mot en behandling som grundar sig på en intresseavvägning och dina skäl att inte få uppgifterna behandlade väger tyngre är våra skäl att behandla personuppgifterna,
  4. du har invänt mot direktmarknadsföring,
  5. behandlingen är olaglig, och
  6. radering krävs för att uppfylla en rättslig skyldighet.

Vi har en rätt att neka din begäran om radering för att kunna uppfylla en rättslig förpliktelse eller fastställa, göra gällande eller försvara rättsliga anspråk.

Om uppgifterna raderas på din begäran har vi en skyldighet att informera dem som vi eventuellt har lämnat ut uppgifterna till om att du har begärt att personuppgifterna raderas.

Rätt till begränsning av behandling

Du har rätt att begära att vår behandling av dina personuppgifter under vissa omständigheter begränsas.

Möjligheten till begränsning gäller om:

  1. du bestrider personuppgifternas korrekthet (under tiden vi kontrollerar personuppgifternas korrekthet),
  2. behandlingen är olaglig och du motsätter dig att uppgifterna raderas och i stället begär en begränsning av deras användning,
  3. vi inte längre behöver uppgifterna med du behöver dem för att för att kunna fastställa, göra gällande eller försvara rättsliga anspråk, eller
  4. du har invänt mot en behandling som grundar sig på en intresseavvägning (under tiden som vi kontrollerar om våra skäl att behandla personuppgifterna väger tyngre än dina skäl att få uppgifterna raderade).

Om vi har begränsat behandlingen av dina uppgifter meddelar vi dig innan begränsningen av behandlingen upphör.

Rätt att göra invändningar

Du har rätt att när som helst göra invändningar mot behandling av personuppgifter som grundar sig på en intresseavvägning. Om vi inte har ett skäl som väger tyngre än dina intressen får inte vi längre behandla dina personuppgifter efter en invändning.

Om du invänder mot direktmarknadsföring får inte vi längre behandla personuppgifterna för sådana ändamål. 

Rätt till dataportabilitet

Om vår behandling av dina personuppgifter är automatiserad och grundar sig på samtycke eller avtal har du rätt att få ut uppgifterna i ett strukturerat, allmänt använt och maskinläsbart format. Du har dessutom rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig.

Om det är möjligt har du rätt att begära att vi överför personuppgifterna direkt till en annan personuppgiftsansvarig.

Personuppgiftsansvar och kontaktuppgifter

Du har rätt att inge klagomål till Integritetsskyddsmyndigheten om du anser att vi behandlar dina personuppgifter på ett sätt som står i strid med GDPR. Du hittar Integritetsskyddsmyndighetens kontaktuppgifter på www.imy.se.

Om du har några frågor kring hur dina personuppgifter behandlas är du välkommen att kontakta Castellums dataskyddsombud på dso.castellum@insatt.com.

Personuppgiftsansvarig för behandlingen av dina personuppgifter är det bolag inom den region enligt listan nedan som det företag som du representerar har ingått avtal med. Om ditt företag har ett avtalsförhållande med ett Kungsleden-bolag är det Kungsleden AB som är personuppgiftsansvarig.

Castellum AB; org.nr 556475-5550.
Adress: Box 2269, 403 14 Göteborg
Telefonnummer: 08-503 052 00
E-post: gdpr@castellum.se

Castellum Mitt AB; org.nr 556121-9089
Adress: Box 1824, 701 18 Örebro
Telefonnummer: 08-503 052 00
E-post: gdpr@castellum.se

Castellum Stockholm AB; org.nr. 556002-8952
Adress: Box 70414, 107 25 Stockholm.
Telefonnummer: 08-503 052 00
E-post: gdpr@castellum.se

Castellum Väst AB; org.nr. 556122-3768
Adress: Box 8725, 402 75 Göteborg.
Telefonnummer: 08-503 052 00
E-post: gdpr@castellum.se

Castellum Öresund AB; org.nr. 556476-7688
Adress: Box 3158, 200 22 Malmö.
Telefonnummer: 08-503 052 00
E-post: gdpr@castellum.se

Castellum Mälardalen AB, org.nr. 559292-6678
Adress: Box 1187, 721 29 Västerås.
Telefonnummer: 08-503 052 00
E-post: gdpr@castellum.se

Kungsleden AB; org.nr 556545-1217
Adress: Box 70414, 107 25 Stockholm
Telefonnummer: 08-503 052 00
E-post: gdpr@castellum.se