Integritetspolicy

Vilka vi är

För ETC är personlig integritet viktigt. Vi eftersträvar en hög nivå av dataskydd. I denna policy förklarar vi hur vi samlar in och använder personuppgifter. Vi beskriver också dina rättigheter och hur du kan göra dem gällande.

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

Vad är en personuppgift och vad är en behandling av personuppgifter?

Personuppgifter är alla uppgifter om en levande fysisk person som direkt eller indirekt kan kopplas till den personen. Det handlar inte bara om namn och personnummer utan även om till exempel bilder och e-postadresser.

Behandling av personuppgifter är allt som sker med personuppgifterna i IT-systemen, oavsett om det handlar om mobila enheter eller datorer. Det handlar om till exempel insamling, registrering, strukturering, lagring, bearbetning och överföring. I vissa fall kan även manuella register omfattas.

Personuppgiftsansvarig

För de behandlingar som sker inom ETC Konsts verksamhet är ETC Energi AB personuppgiftsansvarig. (Organisationsnummer 556811-2089, ETC Energi AB, Box 4403, 102 68 Stockholm).

Dessa typer av personuppgifter samlar vi in

När du fyller i ett formulär för att beställa en prenumeration på en av våra tidningar, när du tecknar ett elavtal med vårt elbolag, handlar i vår nätbutik eller beställer någon annan av våra produkter eller tjänster, så tillhandahåller du oss personuppgifter.

När du kontaktar vår kundtjänst eller anmäler dig till ett evenemang låter du oss också få del av dina personuppgifter.

Vilka uppgifter om dig som vi samlar in beror på sammanhanget, men det kan vara något av följande:

  • Namn och kontaktuppgifter: vi samlar in namn, e-postadress, postadress, telefonnummer och liknande.
  • Inloggningsuppgifter: vi samlar in användarnamn och lösenord, som vi sparar i krypterad form på ett säkert sätt.
  • Demografiska uppgifter: vi samlar i vissa fall in uppgifter om ålder och kön.
  • Information för att behandla betalningar med mera: vi samlar in uppgifter som vi behöver för att kunna ta betalt för våra produkter och tjänster. Framför allt handlar det om kortuppgifter och bankkontonummer (läs mer om hur vi hanterar sådana uppgifter längre ner)
  • Uppgifter om köp: vi samlar in uppgifter om dina köp och prenumerationer, summa, tid för köp, utnyttjat erbjudande och liknande.
  • Uppgifter från din enhet, och användningsdata: vi samlar in uppgifter som vi får när du använder våra tjänster, till exempel din IP-adress, vilka webbsidor du besöker mm.

Övriga uppgifter som du lämnar till oss: när du kontaktar vår kundtjänst eller andra representanter för ETC samlar vi in de uppgifter du lämnar till oss. Notera att om du kontaktar eller blir kontaktad av våra journalister inom ramen för den journalistiska verksamheten, så gäller inte allt som står i detta dokument. Den journalistiska verksamheten regleras av Tryckfrihetsförordningen och relaterade lagar.

Inbäddad innehåll från andra webbplatser

Artiklar på denna webbplats kan innehålla inbäddat innehåll (exempelvis videoklipp, bilder, artiklar o.s.v.). Inbäddat innehåll från andra webbplatser beter sig precis på samma sätt som om besökaren har besökt den andra webbplatsen.

Dessa webbplatser kan samla in uppgifter om dig, använda cookie-filer, bädda in ytterligare spårning från tredje part och övervaka din interaktion med sagda inbäddade innehåll, inklusive spårning av din interaktion med detta inbäddade innehåll om du har ett konto och är inloggad på webbplatsen i fråga.

Detta använder vi personuppgifter till

Vi samlar in, bearbetar och analyserar personuppgifter framför allt för några huvudsakliga syften:

  • För att kunna leverera våra Tjänster till våra kunder. Det kan till exempel röra sig om att vi samlar in namn och adress till prenumeranter, så att vi kan skicka tidningar till dem.
  • För att uppfylla våra skyldigheter enligt lagar och avtal, till exempel när personuppgifter behöver lagras för att bokföringen ska bli fullständig och lagenlig.
  • För att kommunicera med de kunder som vi har en relation till. Då kan det gälla både administrativ kommunikation som till exempel när vi svarar i ett kundtjänstärende och marknadsföringskommunikation där vi berättar om olika evenemang och tjänster som vi erbjuder.
  • För att kunna erbjuda personligt anpassade tjänster.
  • För att kunna visa personligt anpassad reklam i våra tjänster, till exempel webbsidor, vilket leder både till att användarna får mer relevant reklam och till att vi förbättrar finansieringen av vår journalistik, våra solcellsparker och så vidare. Ett exempel på när vi använder personuppgifter för att visa personligt anpassad reklam kan vara att vi använder information om din position (som vi ofta får från din dator eller telefon när du surfar på våra webbsidor) för att visa reklam för en tjänst som erbjuds i ditt område.
Så använder vi personuppgifter

Den viktigaste delen av vår personuppgiftshantering är att vi upprätthåller kundregister för att kunna leverera det du har köpt av oss. Detta register använder vi också för att informera våra kunder om våra produkter och tjänster i enlighet med gällande lagar. När vi gör det kan vi kombinera olika uppgifter vi har om dig för att kunna ta fram ett erbjudande som passar dig. På samma sätt kombinerar vi olika uppgifter för att visa så relevanta annonser som möjligt för dig på våra webbplatser. Vi vill dock gärna understryka att vi inte använder ditt namn, adress, e-post eller telefonnummer för att avgöra vilka annonser som ska visas för dig. De uppgifter som är aktuella i sammanhanget är sådant som vi samlar in från din enhet, information om hur du beter dig på våra webbplatser och dylikt.

Så här delar vi uppgifter med andra

Förutom att företagen inom ETC-gruppen delar personuppgifter med varandra, är det ibland nödvändigt för oss att dela dina personuppgifter med externa leverantörer, för att vi ska kunna bedriva vår verksamhet. Till exempel måste vi ge våra prenumeranters namn och adress till tryckeri- och distributionsföretag för att kunna leverera papperstidningarna. När vi delar dina personuppgifter med andra har vi sett till att de följer lagar och regler för personuppgiftshantering.

Du som betalar med kort på våra webbplatser kan känna dig trygg med att dina uppgifter behandlas på ett säkert sätt. Den typen av uppgifter når faktiskt aldrig våra servrar över huvud taget. Istället skickas de direkt från din enhet till vår leverantör av kortbetalningstjänster. I dagsläget är den leverantören Stripe, Inc. men det kan komma att ändras.

Riskbedömning

Vi ska fortlöpande göra en riskbedömning av den behandling av personuppgifter som vi genomför. Vi ska vidta tekniska och organisatoriska åtgärder för att uppnå en säkerhetsnivå som är lämplig i förhållande till risken. Riskanalys och beslut om åtgärder ska dokumenteras.

Behörigheter

Det ska finnas skriftliga behörighetsinstruktioner för samtliga IT-system som innehåller personuppgifter. Grundprincipen är att behörigheter ska tilldelas så att endast de personer som behöver tillgång till personuppgifterna har åtkomst. Beroende på uppgifternas känslighet kan behörigheterna vara snävare eller vidare.

Incidenthantering

Alla säkerhetsincidenter ska dokumenteras i en incidenthanteringslogg med uppgift om omständigheterna kring personuppgiftsincidenten, dess effekter och de korrigerande åtgärder som vidtagits. Med säkerhetsincident avses en händelse som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. När lagen så föreskriver ska incidenter även rapporteras till Datainspektionen respektive den registrerade.

IT-policy och IT-säkerhetspolicy

Vi har antagit en IT-policy och en IT-säkerhetspolicy där våra anställdas förhållningssätt till IT-miljön regleras mer i detalj.

Konsekvensbedömning

Om en behandling av personuppgifter, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska vi enligt Dataskyddsförordningen före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter: Konsekvensbedömning eller DPIA (Data Protection Impact Assessment).

Även när vi inte når upp till kravet för Konsekvensbedömning ska vi, när det är lämpligt, genomföra en förenklad riskanalys. Analysen blir ett underlag för valet av tekniska och organisatoriska säkerhetsåtgärder.

Inbyggt dataskydd och dataskydd som standard

Vi ska proaktivt utvärdera möjligheterna att genomföra tekniska åtgärder, såsom pseudonymisering och uppgiftsminimering för att effektivt leva upp till kraven i GDPR och skydda den registrerades rättigheter.

Vi ska även genomföra lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas.

Utbildning

Våra anställda ska få relevant information och utbildning om behandling av personuppgifter i enlighet med separat årsplan för utbildning. Vid behov ges fördjupad eller riktad utbildning till dem som hanterar känsliga uppgifter. Deltagandet i utbildningar ska dokumenteras.

Uppföljning och intern revision

Efterlevnaden av denna policy ska kontrolleras med stickprov och intern revision i enlighet med årsplan för internrevision. Vi ska löpande utvärdera om vårt dataskyddsarbete lever upp till lagstiftningens krav och genomföra förändringar när det är påkallat.

Roller och ansvar

ETC MEDIA ABs styrelseordförande har ett övergripande ansvar att driva och övervaka de frågor som behandlas i denna policy. Samtliga chefer är ansvariga för den egna organisationens efterlevnad.

  • Hålla och uppdatera register: Annelie Norell och Kent Vilhelmsson
  • IT-säkerhet och incidenthantering: Anton Borgström
  • Utbildning: Gahangir Sarvari
  • Internrevision: Nina Koivisto