Integritetspolicy


Uppdaterad 2021-11-24

Docue Technologies Sweden AB ("Tjänsteleverantör")
Vasagatan 16, 11120 Stockholm
Org.nr. 559348-2192

1. Allmänt

Denna integritetspolicy beskriver hur vi som personuppgiftsansvarig samlar in och behandlar dina personuppgifter i samband med att du registrerar dig för och använder vår tjänst docue.com. Vi behandlar alla personuppgifter i enlighet med kraven i EU:s allmänna dataskyddsförordning (GDPR). Våra användare kan omfatta både privatpersoner och juridiska personer. Beroende på sammanhanget kan bestämmelserna i denna integritetspolicy tillämpas på antingen privatpersoner, juridiska personer eller både och.

Denna integritetspolicy utgör, tillsammans med våra användarvillkor, ett avtal om behandling av personuppgifter i sådana situationer där vi anses behandla personuppgifter för din räkning eller för det företag du företräder (s.k. ”DPA” = data processing agreement). Juridiskt är vi då personuppgiftsbiträde och du eller det företag du företräder personuppgiftsansvarig.

2. Ändamål och syften med behandlingen av personuppgifter

Vi behandlar personuppgifter så att vi kan identifiera användarna av docue.com-webbtjänsten och vidarebefordra de handlingar som du upprättat i tjänsten till de önskade mottagarna. Dessutom kan vi använda personuppgifterna för meddelanden om tjänsten, direktmarknadsföring, fakturering och statistikföring.

Vår kommunikation kan vara personligt riktad. Vi kan till exempel skicka innehåll till en användare som profilerat sig som entreprenör som vi har bedömt som potentiellt intressant för entreprenören. Vårt syfte är att filtrera bort de meddelanden som sannolikt inte intresserar dig. Behandlingen av dina personuppgifter grundar sig på det kundavtal som du ingår med Tjänsteleverantören när du registrerar dig i vår tjänst. Det är en förutsättning för att öppna ditt användarkonto att du under registreringsprocessen tillhandahåller obligatoriska uppgifter.

3. Personuppgifter som ska behandlas

Vi behandlar en eller flera av följande personuppgifter:

- För- och efternamn
- Personbeteckning
- Postadress
- Telefonnummer
- E-postadress
- Professionell referensgrupp (tjänsteman, studerande, osv.)
- Tekniska data som samlas in genom kakor (t.ex. IP-adress, webbläsartyp)
- Kreditkortsuppgifter och bankkontoinformation

Utan ditt separata befullmäktigande eller lagenliga förpliktelse kommer vi inte att granska, redigera eller radera avtalsmaterial eller dokumentation eller relaterade underteckningar på ditt användarkonto. Du kan självständigt bjuda in personer som användare i vår tjänst. Du ansvarar för att du rätt att behandla de personuppgifter som du matar in i vår tjänst när du skapar innehåll och bjuder in andra. Du är också ansvarig för andra skyldigheter i dataskyddslagstiftningen i anslutning till sådana uppgifter, med undantag av skyddsmetoderna, som vi själva har åtagit oss i enlighet med kapitel 7 nedan. Se till exempel till att du inte delar användarrättigheterna till ditt konto med personer som inte har rätt att granska nämnda uppgifter. Du anses vara personuppgiftsansvarig för de personuppgifter du själv anger i dokument- och underteckningsbasen på ditt konto, medan Tjänsteleverantören är personuppgiftsbiträde.

4. Regelmässiga datakällor

I regel samlar vi in nödvändiga personuppgifter från dig, antingen direkt eller via kakor, när du registrerar dig i vår webbtjänst och uppdaterar uppgifterna på ditt användarkonto. I vissa fall kan dina uppgifter matas in i vårt system av en tredje part – till exempel din arbetskamrat som bjuder dig in och använda det gemensamma kontot för ert företag. I dessa fall har du möjlighet att korrigera och radera dina uppgifter från vår tjänst inom den ram som anges i punkten ”Den registrerades rättigheter”. I dessa situationer uppmuntrar vi dig att i första hand kontakta den part som uppgav dina uppgifter.

5. Vårt personuppgiftsbiträde

Endast personer som har skäl att få tillgång till uppgifterna på grund av sitt arbete eller sin befattning har tillgång till dina personuppgifter. Alla våra anställda är bundna av ett lämpligt sekretessavtal. Våra samarbetspartners som behandlar personuppgifter för vår räkning, samt deras anställda och underleverantörer, förpliktigas av liknande sekretessavtal. Valet av våra partner omfattar en detaljerad dataskyddsbedömning.

Viktiga partner jämte koncernföretag som behandlar personuppgifter för Tjänsteleverantörens räkning är:

· Server: Amazon Web Services Inc.
· Kundkommunikation: Intercom Inc.
· Kundhantering: Chargebee Inc.
· Betalningsrörelse: Paytrail Oyj & Stripe Inc.
· Programvara för ekonomisk förvaltning: Accountor Finago Oy
· Uppföljning av nätverkstrafik: Google Ireland Ltd & Facebook Ireland Ltd

Personuppgifter kan också behandlas i begränsad utsträckning av tjänsteleverantörer, kundtjänstleverantörer, programvaruutvecklare, revisorer och konsulter för de SMS- och e-postgeneratorer vi använder. Valet av dessa partner omfattar en lika noggrann dataskyddsbedömning. Vi informerar om alla betydande ändringar när det gäller våra partner innan ändringarna genomförs. Vi kommer överens om behandlingen skriftligen med var och en av våra partner och förväntar oss att våra partner följer den nivå av dataskydd som anges i denna integritetspolicy. Vid behandlingen av personuppgifter ansvarar vi för våra partners agerande som för vårt eget. Vi utlämnar inget dokumentinnehåll som sparats i vår tjänst eller relaterade personuppgifter till utomstående om det inte krävs enligt lag.

Av tekniska skäl kan dina personuppgifter överföras utanför Europeiska unionen eller Europeiska ekonomiska samarbetsområdet. En förutsättning för överföringen är att Europeiska kommissionen har konstaterat att nivån på dataskyddet i bestämmelselandet är tillräcklig eller att den mottagande parten utanför EU åtar sig att vidta de lämpliga skyddsåtgärder som krävs i dataskyddslagstiftningen (GDPR). På begäran kommer vi att personligen förse dig med aktuell information om alla våra partner som behandlar personuppgifter och ytterligare klargöra de skyddsåtgärder som nämns i föregående punkt i de fall där uppgifterna eventuellt överförs utanför EU.

6. Personuppgifternas lagringstid

Vi kommer som regel att lagra dina personuppgifter så länge som du har ett användarkonto i vår tjänst. Kontot kan raderas via tjänstinställningarna. I vissa fall kan vi radera användarkonton som länge har varit inaktiva. I dessa fall kommer vi att ge dig ett förhandsmeddelande om eventuella raderingsåtgärder.

7. Skydd av personuppgifter

Tillgång till databaser
Våra användares personuppgifter är endast tillgängliga för personer som på grund av sitt arbete eller sin befattning har rätt att få tillgång till sådana uppgifter. Behandlingen av personuppgifter är konfidentiell, vilket säkerställs genom tillsyn och omfattande sekretessavtal. Varje personuppgiftsbiträde har sitt eget användarnamn och lösenord för de databaser som innehåller dina personuppgifter, så att personuppgiftsbiträdena kontinuerligt kan identifieras. Endast anställda och andra som erhållit tillstånd har åtkomst till Tjänsteleverantörens arbetsytor.

Servrar
Dokumentmaterial och användardata lagras på servrar, i vilka förstklassiga säkerhets- och skyddsprinciper används. Det innebär bland annat ett omfattande skydd av datacenter mot eldsvådor och strömavbrott samt noggrann urvalsprocess och åtkomstkontroll för anställda. Alla data säkerhetskopieras regelbundet på en separat säkerhetskopieringsserver. Inkommande och utgående datakommunikation på servrarna övervakas med hjälp av brandväggar. Serverleverantörer övervakar datakommunikationen i realtid och ingriper omedelbart i de hot som identifierats genom analysen.

Skydd av datakommunikation och handlingar
Vi krypterar all vår datakommunikation mellan datorn och servern genom SSL-teknik. De handlingar som ska undertecknas krypteras med en säkerhetskod som skickas till mottagaren av underteckningslänken. En 256-bitars HASH-tätning beräknas för varje handling efter att alla underskrifter har samlats in. Tätningen lagras på servern tillsammans med handlingen och med dess hjälp kan man i efterhand upptäcka om handlingen ändras efter underteckningarna. Med andra ord kan tätningen användas för att i efterhand kontrollera om handlingen gjordes i vår tjänst eller inte. All dokumentation lagras i krypterad form på servern.

Användarnas inloggningsuppgifter och användarrättigheter
Varje användare har ett personligt användarnamn och lösenord. Inloggningsuppgifter lagras inte på servern på klarspråk. Om användaren loggar in i vår tjänst från en annan enhet eller webbläsare än vanligt omfattar inloggningen tvåstegsverifiering som ytterligare verifiering. Då måste användaren förutom sitt lösenord ange den engångskod som skickas till användarens telefon för att logga in. På detta sätt bekräftar vi att den användare som loggar in är användarkontots verkliga innehavare.

Information om dataintrång
Inte ens noggranna förfaranden kan garantera att dataintrång i ett datasystem inte är möjligt. Om vi blir medvetna om ett dataintrång som gäller personuppgifter som vi innehar och intrånget sannolikt kommer att utgöra en hög risk för dina rättigheter eller friheter, kommer vi att informera dig om intrånget utan onödigt dröjsmål. Alla sannolika risksituationer kommer att undersökas i detalj och rapporteras till tillsynsmyndigheten.

8. Den registrerades rättigheter

Som registrerad har du flera rättigheter gällande dina personuppgifter. Skicka e-post till adressen support@docue.com, om du vill vidta någon av de åtgärder som anges nedan eller har frågor om dina rättigheter. Vi vidarebefordrar begäran om åtgärder också till våra partner som behandlar personuppgifter.

Observera att eftersom vi inte är ansvariga för innehållet i den dokumentation eller relaterade underteckningar som produceras av våra användare – dig eller andra – på deras egna avtalskonton och av förtroendeskäl inte ens granskar dessa material, kan vi inte utvidga åtgärderna nedan till några personuppgifter som finns i detta material.

Rätt att granska och erhålla information
På din begäran kommer vi att förse dig med alla personuppgifter vi har i vårt kundregister om dig. Vi kommer att förse dig med informationen i ett strukturerat, allmänt använt och maskinläsbart format. Du kan också själv kontrollera den kontakt- och betalningsinformation som du senast angett i dina användarkontoinställningar.

Rätt till rättelse
På din begäran kommer vi att rätta till felaktiga personuppgifter om dig som samlats i vårt kundregister. Du kan också själv uppdatera din kontakt- och betalningsinformation från dina användarkontoinställningar.

Rätt till radering
På din begäran raderar vi alla personuppgifter som rör dig från vårt kundregister om vi inte har en särskild rättslig grund för att behålla uppgifterna (t.ex. obetalda fakturor). Åberopandet av rätten till radering innebär samtidigt att ditt användarkonto stängs.

Rätt att begränsa behandlingen
Du kan begränsa vår behandling av dina personuppgifter om du har en rättslig grund för detta (t.ex. inkorrekta uppgifter).

Rätt att göra invändningar
Du har rätt att invända mot behandlingen av dina personuppgifter i direktmarknadsföringssyfte. Om vi kontaktar dig gör vi detta sannolikt per e-post. I slutet av var och en av våra direktmarknadsföringsmeddelanden finns en knapp, med vilken du enkelt kan ta bort dig från vår direktmarknadsföringslista.

Rätt till klagomål
Du har rätt att överlåta ditt ärende till tillsynsmyndigheten om du anser att behandlingen av personuppgifter som rör dig bryter mot relevant lagstiftning. Dataombudsmannen, som verkar i samband med justitieministeriet, är den nationella tillsynsmyndigheten för frågor som rör personuppgifter.

9. Ytterligare information

Vi ger dig gärna mer information om vår databehandling och dina rättigheter i anslutning till dataskyddet. Inom ramen för branschpraxis och god sed tillåter vi också revision av vår dataskyddspraxis.

Mer detaljerade frågor besvaras av
Elsa Baho
elsa@docue.com