2019-08-22

For information in English - click here!

I anslutning till uppdraget kommer Aspia AB (org. nr 559137-8350) (nedan ”Aspia”, ”oss” och/eller ”vi”), att behandla ett antal personuppgifter i egenskap av personuppgiftsansvarig. I denna information vill vi informera dig som kundföreträdare om vår personuppgiftsbehandling i egenskap av personuppgiftsansvarig. 

Syftet med denna information är att du som företrädare, firmatecknare, ägare eller liknande (“företrädare”) för vår uppdragsgivare ska få information om hur vi behandlar dina personuppgifter och vilka rättigheter du har. Vi behandlar dina personuppgifter i enlighet med tillämplig dataskyddslagstiftning, inklusive dataskyddsförordningen, och vidtar de tekniska och organisatoriska åtgärder som krävs för att skydda personuppgifterna. För information om hur vi behandlar personuppgifter för marknadsföringssyften, eller inom ramen för vår säljprocess, hänvisas till vår integritetspolicy på vår webbplats.

Uppdragsgivaren åtar sig att vidarebefordra denna information till samtliga företrädare för uppdragsgivaren vars personuppgifter Aspia kan komma att behandla enligt nedan. 

Vilka personuppgifter behandlar vi?

Registrering av kontaktpersoner i kundregister och administration av kunduppdraget

Inför och under uppdraget kommer Aspia att behandla kontaktuppgifter (t.ex. namn, personnummer, adress, telefonnummer och e-postadress) samt information i anledning av uppdragsavtalet (t.ex. signatur av uppdragsavtal eller information som du ger oss i samband med korrespondens) till uppdragsgivarens företrädare i Aspias kundregister. Detta för att kunna administrera uppdraget och fakturera för utfört arbete. Vi baserar denna behandling på vårt berättigade intresse och för att kunna fullgöra uppdragsavtalet. Vi sparar denna information så länge som krävs för att uppfylla uppdragsavtalet, eller så länge som krävs enligt arkiverings- och bokföringsregler (minst sju år).

Åtgärder för kundkännedom och anti-penningtvätt enligt penningtvättslagen

Personuppgifter behandlas om företrädare inför antagandet av uppdragsgivare och/eller uppdrag och löpande under uppdraget för att att uppnå och upprätthålla tillräcklig kundkännedom och vidta samt dokumentera åtgärder enligt lagen om åtgärder mot penningtvätt och finansiering av terrorism ("penningtvättslagen"). Sådan behandling är nödvändig för att fullgöra rättsliga förpliktelser som åvilar oss. Vi behandlar dina kontaktuppgifter (t.ex. namn, personnummer, adress, telefonnummer och e-postadress) och i vissa fall kopior av identitetshandlingar. Vi kontrollerar även bakgrundsinformation om dig i företagsledande position/ägare (för att kontrollera verklig huvudman), och även information som rör fällande domar i brottmål samt överträdelser. Personuppgifter som behandlas för penningtvättskontroll kommer att bevaras i minst fem år efter att avtalsförhållandet upphört, men kan i vissa fall bevaras i tio år. 

Riskbedömning och kundkännedom enligt branschstandard

Vi behandlar dina kontaktuppgifter (t.ex. namn, personnummer, adress, telefonnummer och e-postadress) samt viss publikt tillgänglig information för att utföra riskbedömning av våra uppdrag och uppdragsgivare, i enlighet med branschstandarder (t.ex. branschorganisationen FAR och Svensk standard för redovisnings- och lönetjänster, Reko). Vi gör även en kontroll av finansiell situation för detta syfte. Den lagliga grunden för riskbedömningen är en intresseavvägning, där vi har ett berättigat intresse av att kunna hantera risker i verksamheten samt en professionell skyldighet att efterleva FAR:s regelverk. Personuppgifter som ingår i riskbedömnings- och kundkännedomsprocessen kommer att bevaras tio år efter att avtalsförhållandet upphört.

Affärsuppföljning och statistik 

Efter att ett uppdrag slutförts kan Aspia komma att behandla företrädares kontaktuppgifter (t.ex. namn, adress, telefonnummer och e-postadress) för att genomföra affärsuppföljning och statistik. Detta med stöd av en intresseavvägning för att tillgodose vårt berättigade intresse av att genomföra affärsuppföljning och ta fram övergripande statistik, t.ex. för att utvärdera kundnöjdhet eller föra intern rapportering till ägare och intressenter (t.ex. banker). Behandlingen kommer att ske under tiden för uppdragsavtalet och för att uppfylla syftet med denna behandling. Vi kommer bevara denna information i tre år efter att avtalsförhållandet upphört. Vi kommer att spara statistik över aggregerad information (där informationen inte kan identifiera dig som registrerad).

FAR:s regelverk samt kvalitetskontroller 

Aspia är medlem i branschorganisationen FAR och arbetar i enlighet med Svensk standard för redovisnings- och lönetjänster, Reko. Reko är en erkänd kvalitetsstandard och därigenom normgivande för god sed vid utförande av redovisnings- och lönetjänster. Med medlemskapet i FAR följer att Aspia är föremål för regelbundna kvalitetskontroller. Inom ramen för sådan kontroll, kan personuppgifter som Aspia erhållit och behandlat inom ramen för ett utfört uppdrag, komma att behandlas på nytt, i syfte att kontrollera kvalitén av utfört arbete i enlighet med Aspias berättigade intresse att efterleva FAR:s regelverk som laglig grund. Personuppgifter som vi behandlar för detta syfte är sådana personuppgifter som ingår i vår uppdragsdokumentation (t.ex. kontaktuppgifter, underlag för antagande/omprövning av uppdraget, uppdragsavtal, uppdragsplanering, dokumentation som visar utfört arbete, tjänstenoteringar, råd och rapporteringar, rutinbeskrivningar m.m. i enlighet med Rekos ramverk). Personuppgifter som ingår i vår uppdragsdokumentation och som är nödvändiga för efterlevnad av FAR:s regelverk och för att kunna utföra kvalitetskontroller kommer att bevaras i tio år efter att avtalsförhållandet upphört.

Fastställa, göra gällande alternativt försvara rättsliga anspråk 

Vi kommer att bevara uppdragsdokumentation med stöd av en intresseavvägning för att tillgodose vårt berättigade intresse att dokumentera uppdraget. De personuppgifter som är nödvändiga för att uppfylla det syftet kommer därmed också att bevaras. Vid ett eventuellt skadeärende kan de bevarade personuppgifterna som förekommer i uppdragsdokumentationen (t.ex. namn, adress, telefonnummer och e-postadress och personuppgifter som används för bakgrundkontroller och riskbedömningar, se ovan) komma att behandlas för att kunna fastställa eller göra gällande ett rättsligt anspråk alternativt försvara Aspia mot ett sådant. Personuppgifterna kommer att bevaras för en tid av tio år efter avslutat uppdrag för att tillgodose det syftet. 

Varifrån samlas uppgifterna in? 

Personuppgifterna som behandlas av oss för ovan syften erhålls direkt från företrädaren, från uppdragsgivaren, dess koncernbolag, Skatteverket, Bolagsverket eller andra publika källor och databaser.

Överföring och utlämning av personuppgifter

Vi är skyldiga att tillse att den information som behandlas med anledning av uppdraget inte blir tillgänglig för obehöriga, vilket innebär att personuppgifter kommer att behandlas konfidentiellt. I vissa situationer behöver vi överföra personuppgifterna, vilket kommer ske i enlighet med dataskyddsförordningen, se nedan.

Personuppgiftsbiträden 

För att uppfylla ändamålen med vår personuppgiftsbehandling, anlitas tjänste- och systemleverantörer av IT, arkiveringstjänster, e-posttjänster, försystem inom ramen för våra uppdragstjänster (t.ex. för lönetjänster, redovisningstjänster, skatte- och rådgivningstjänster), leverantörer av publika databaser och bevakningssystem, filhanteringssystem och andra som behandlar personuppgifter på Aspias uppdrag (i egenskap av personuppgiftsbiträden). Aspias personuppgiftsbiträden får endast behandla personuppgifterna enligt Aspias instruktioner. De är även skyldiga enligt lag att vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda uppgifterna.

Bolag inom Aspiakoncernen

Vi kan också komma att dela personuppgifter med andra bolag inom Aspiakoncernen, för administrativa syften, intern rapportering och de behandlingar som beskrivs i detta integritetsmeddelande.

Andra personuppgiftsansvariga och myndigheter

Vi kan även komma att lämna ut personuppgifter till andra mottagare än de som angivits ovan, t.ex. för att utföra kvalitetskontroller, utföra riskbedömning, följa tillämpliga lagar eller en begäran/föreläggande från en behörig domstol eller myndighet (t.ex. länsstyrelsen i fråga om kundkännedom och anti-penningtvättsåtgärder, för finansiell rapportering till ägare och banker, för att rapportera till vår branschorganisation FAR, samt för att tillgodose Aspias berättigade intresse av att fastställa, göra gällande och försvara rättsliga anspråk (t.ex. skuldhanteringsföretag och/eller myndigheter, såsom inkasso eller konkursförvaltare). Vi kan även komma att lämna ut uppgifter till försäkringsbolag eller rådgivare i samband med ett rättsligt förfarande i den mån det krävs för att vi ska kunna ta tillvara våra rättmätiga intressen.

Överföring till tredje land utanför EU/EES

Vi strävar efter att behandla alla uppgifter inom EU/EES, men kan i vissa fall komma att överföra personuppgifter till mottagare i länder utanför EU/EES-området och som inte har samma skyddsnivå för personuppgifter som inom EU. För att säkerställa att personuppgifterna är tillräckligt skyddade kommer vi att vidta nödvändiga åtgärder, t.ex. genom att ingå EU-kommissionens standardavtalsklausuler (tillgängliga här: https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en), eller se till att det finns andra lämpliga skyddsåtgärder på plats, såsom t.ex. EU-U.S. Privacy Shield, tillgänglig här: https://www.privacyshield.gov/welcome.

Skyddet för personuppgifter 

Vi ansvarar för att de personuppgifter som behandlas skyddas genom erforderliga tekniska och organisatoriska säkerhetsåtgärder med beaktande av vad som är lämpligt i förhållande till personuppgifternas karaktär och känslighet. Våra system och vår organisation är ordnade så att obehöriga personer inte har tillgång till de personuppgifter som behandlas med anledning av uppdraget. Behandlingen av personuppgifterna sker inte utöver de syften och den tidsperiod som är nödvändig.

Dina rättigheter 

Du har vissa rättigheter förknippade med hur vi behandlar dina personuppgifter, nämligen:

  • Rätt till tillgång (s.k. registerutdrag) - du har rätt att begära att få information om vilka personuppgifter vi behandlar om dig, tex genom att begära ett s.k. registerutdrag. 

  • Rätt till rättelse - om du anser att en personuppgift om dig är felaktig eller ofullständig, har du rätt att begära rättelse av eller komplettera dina personuppgifter.

  • Rätt att motsätta dig behandling för direktmarknadsföringsändamål - du kan närsomhelst avregistrera dig från utskick genom att anmäla detta till oss, t.ex. genom att klicka på en avregistreringslänk i utskicket. 

  • Rätt att motsätta dig behandling som stödjer sig på Aspias berättigade intresse - du har i vissa fall rätt att motsätta dig vår personuppgiftsbehandling, och vi kommer då inte att fortsätta med behandlingen om vi inte har skäl som överväger ditt integritetsintresse.

  • Begränsning av behandlingen - du kan begära begränsning om du t.ex. anser att personuppgifterna är felaktiga eller om du anser att personuppgifterna inte längre är nödvändiga för ändamålet de behandlas.

  • Rätt till radering - du kan i vissa fall begära att personuppgifterna raderas, t.ex. om de inte längre är nödvändiga för ändamålet de behandlas eller om du anser att behandlingen är oförenlig med tillämplig dataskyddslagstiftning.

  • Rätt till dataportabilitet - du har även i vissa rätt att få ut de personuppgifter som rör dig i ett strukturerat, allmänt använt och maskinläsbart format (dataportabilitet) för överföring till annan personuppgiftsansvarig.

Notera att personuppgifter som behandlas för antagande och omprövning av uppdrag, är vi skyldiga att bevara i minst tio år. Det innebär att det inte är tillåtet att radera personuppgifter som ingår i sådan dokumentation dessförinnan och ibland är det inte heller tillåtet att rätta uppgifterna. Av nämnda skäl är det inte möjligt för oss att i sådana fall på begäran från en registrerad begränsa eller inskränka behandlingen. 

Kontaktperson vid frågor 

Har du frågor kan du kontakta oss via personuppgiftsombudet@aspia.se eller Personuppgiftsombudet, Aspia AB, Box 6350, 102 35 Stockholm. Du har även rätt att vända dig till tillsynsmyndigheten (Datainspektionen: www.datainspektionen.se) vid klagomål.