1. Om Bounded och denna integritetspolicy
Bounded Systems AB (“Bounded”, “vi”, “oss”) tillhandahåller en molnbaserad plattform som hjälper organisationer att få kontroll över digitala leverantörer, system, avtal, riskbedömningar och beroenden.
Den här integritetspolicyn beskriver hur vi behandlar personuppgifter när du besöker våra webbplatser, kontaktar oss, använder vår tjänst, deltar i möten eller event, anmäler dig till kommunikation från oss eller på annat sätt har kontakt med Bounded.
Policyn gäller när Bounded behandlar personuppgifter som personuppgiftsansvarig. Det innebär att vi bestämmer varför och hur personuppgifterna behandlas. Det gäller till exempel när vi hanterar kontaktuppgifter, kundrelationer, användarkonton på administrativ nivå, fakturering, support, säkerhetsloggar, webbplatsdata och marknadskommunikation.
När en kund använder Boundeds plattform kan kunden lägga in information om exempelvis leverantörer, avtal, system, riskbedömningar, beroenden och annan operativ dokumentation. Sådan information kallas i denna policy för kunddata.
I den mån kunddata innehåller personuppgifter behandlar vi normalt uppgifterna som personuppgiftsbiträde för kundens räkning. Då är det kunden som är personuppgiftsansvarig, och vår behandling regleras av det personuppgiftsbiträdesavtal som gäller mellan kunden och Bounded.
Om vi tillhandahåller juridiska konsulttjänster enligt ett separat uppdrag kan Bounded vara personuppgiftsansvarig eller personuppgiftsbiträde beroende på uppdragets innehåll och villkoren i det enskilda uppdraget.
2. Personuppgiftsansvarig och kontaktuppgifter
Personuppgiftsansvarig är:
Bounded Systems AB
Kalendegatan 29B
211 35 Malmö
Sverige
E-post: legal@boundedsystems.com
Webbplatser: https://bounded.se/ och https://www.boundedsystems.com/
Tillsynsmyndighet i Sverige är Integritetsskyddsmyndigheten (IMY).
3. Vilka personuppgifter vi behandlar
Vi behandlar främst begränsade personuppgifter som behövs för att driva våra webbplatser, hantera kundrelationer, tillhandahålla vår tjänst på administrativ nivå, hantera support, uppfylla avtal och kommunicera med kunder, användare och andra kontakter.
När du kontaktar oss, bokar ett möte, fyller i ett formulär, ingår avtal med oss eller deltar i ett event kan vi behandla namn, arbetsrelaterad e-postadress, telefonnummer om du lämnar det, arbetsgivare, roll eller titel, land samt innehåll i meddelanden, mötesanteckningar och annan kommunikation.
Om du är administratör eller användare i en kunds konto eller kundmiljö i tjänsten behandlar vi de uppgifter som behövs för att skapa, administrera och säkra ditt användarkonto. Det kan omfatta namn, arbetsrelaterad e-postadress, identifierare för kundmiljö eller konto, roll, behörigheter, autentiseringsuppgifter, inställningar för federerad inloggning eller enkel inloggning, såsom SSO, samt identifierare från kundens identitetsleverantör. Vi behandlar även tekniska säkerhetsuppgifter, till exempel inloggningshändelser, uppgift om multifaktorautentisering är aktiverad, tidsstämplar och relevanta åtkomstloggar.
För kundadministratörer, fakturakontakter och andra affärskontakter kan vi behandla uppgifter om avtalad tjänst, abonnemangsnivå, fakturor, betalningsstatus, fakturakontakt och relevant avtalshistorik. Om kortbetalning används hanteras kortuppgifter av vår betalningsleverantör. Vi lagrar inte fullständiga kortnummer.
När du besöker våra webbplatser eller använder tjänsten kan vi behandla tekniska uppgifter som behövs för drift, säkerhet, felsökning och förbättring. Det kan omfatta IP-adress, tidsstämplar, webbläsare, enhet, operativsystem, språk, ungefärlig plats baserad på IP-adress, tekniska loggar, felrapporter och övergripande användningsdata. Vi begränsar sådan mätning till vad som behövs för säkerhet, tillförlitlighet och förbättring av tjänsten. När det är möjligt använder vi aggregerad eller pseudonymiserad information.
När du kontaktar oss för support eller lämnar feedback kan vi behandla supportärenden, e-postmeddelanden, chattar, bilagor, anteckningar från samtal eller möten, enkätsvar, feedback och felbeskrivningar.
Om du anmäler dig till nyhetsbrev, laddar ner material, deltar i ett webinar eller på annat sätt interagerar med vår kommunikation kan vi behandla namn, kontaktuppgifter, organisation, roll, kommunikationspreferenser, anmälningar till event eller webinar, nedladdningar, kampanjdata, samtycken och avregistreringar.
Vi använder också cookies och liknande tekniker. Nödvändiga cookies används för att webbplatsen och tjänsten ska fungera. Analyscookies, marknadsföringscookies och liknande tekniker används bara när det krävs samtycke och du har lämnat sådant samtycke.
4. Kunddata i tjänsten
Med kunddata avses information som kunden eller dess användare laddar upp, skapar eller hanterar i tjänsten. Det kan till exempel vara leverantörsregister, systemregister, avtalsunderlag, beroendekartor, risk- och efterlevnadsfält, dokumentation, analysresultat och annan information som kunden behandlar i tjänsten.
I den mån kunddata innehåller personuppgifter behandlar Bounded normalt dessa uppgifter som personuppgiftsbiträde för kundens räkning. Det innebär att vi behandlar uppgifterna enligt kundens instruktioner och enligt det personuppgiftsbiträdesavtal som gäller mellan kunden och Bounded.
Denna integritetspolicy beskriver främst den behandling där Bounded är personuppgiftsansvarig. För kunddata i tjänsten gäller i första hand kundens egen information till registrerade och det personuppgiftsbiträdesavtal som reglerar Boundeds behandling för kundens räkning.
Om du vill utöva dina rättigheter avseende uppgifter som behandlas i en kunds konto eller kundmiljö i tjänsten ska du i första hand kontakta den organisation som använder tjänsten. Vi hjälper kunden att hantera sådana förfrågningar enligt personuppgiftsbiträdesavtalet.
5. Varifrån vi får personuppgifter
Vi får oftast personuppgifter direkt från dig, till exempel när du fyller i ett formulär, kontaktar oss, bokar ett möte, ingår avtal, skickar ett supportärende eller deltar i ett event.
Vi kan också få uppgifter från din organisation, till exempel när en administratör bjuder in dig till tjänsten eller tilldelar dig en roll. Om din organisation använder federerad inloggning eller enkel inloggning, såsom SSO, får vi de uppgifter från identitetsleverantören som behövs för autentisering och behörighetsstyrning.
Vissa uppgifter skapas automatiskt när du besöker våra webbplatser eller använder tjänsten, till exempel tekniska loggar, enhetsinformation och säkerhetsrelaterade händelser. Vi kan också få uppgifter från våra leverantörer, till exempel system för hosting, autentisering, betalningar, CRM, support, e-postutskick, samtyckeshantering och analys.
Vi köper inte personuppgifter från datamäklare.
6. Varför vi behandlar personuppgifter och rättslig grund
Vi behandlar personuppgifter bara när det finns ett tydligt ändamål och en rättslig grund enligt GDPR.
| Ändamål | Exempel på behandling | Rättslig grund |
|---|---|---|
| Tillhandahålla och säkra webbplatsen | Visa sidor, hantera teknisk drift, förebygga missbruk och felsöka problem | Berättigat intresse och, i vissa fall, rättslig förpliktelse |
| Hantera kontakt och försäljning | Besvara förfrågningar, boka möten, följa upp dialoger och administrera affärskontakter | Berättigat intresse och/eller åtgärder innan avtal ingås |
| Skapa och administrera användarkonton | Hantera administratörer, användare, roller, behörigheter, autentisering och säkerhetsloggar | Avtal och berättigat intresse |
| Tillhandahålla tjänsten på administrativ nivå | Drift, åtkomstkontroll, säkerhet, felsökning och kundadministration | Avtal och berättigat intresse |
| Fakturering och betalning | Skapa fakturor, hantera betalningsstatus och uppfylla bokföringskrav | Avtal och rättslig förpliktelse |
| Support, drift- och servicemeddelanden | Hantera supportärenden, skicka driftmeddelanden, felsöka och följa upp problem | Avtal och berättigat intresse |
| Säkerhet, diagnostik och förbättring | Loggar, felrapporter, aggregerad analys och teknisk förbättring | Berättigat intresse; samtycke när sådan rättslig grund krävs enligt dataskydds- eller cookie-regler |
| Marknadsföring och nyhetsbrev | Skicka nyhetsbrev, inbjudningar, webinarinformation och relevant kommunikation | Samtycke där det krävs; annars berättigat intresse med möjlighet att avregistrera sig |
| Hantera samtycken och preferenser | Spara cookieval, avregistreringar och kommunikationsinställningar | Rättslig förpliktelse och berättigat intresse |
| Efterlevnad och rättsliga krav | Uppfylla lagkrav, hantera rättsliga anspråk, svara på begäranden från myndigheter och skydda våra rättigheter | Rättslig förpliktelse och berättigat intresse |
När vi använder berättigat intresse som rättslig grund gör vi en intresseavvägning. Det innebär att vi bedömer vårt intresse av behandlingen, om behandlingen är nödvändig och hur den påverkar den registrerade. Vi använder inte berättigat intresse om den registrerades intressen, rättigheter eller friheter väger tyngre.
7. Mottagare och delning av personuppgifter
Vi delar bara personuppgifter när det behövs för de ändamål som anges i denna integritetspolicy, när det krävs enligt lag eller när det annars finns en tillämplig rättslig grund.
Personuppgifter kan delas med leverantörer som hjälper oss att tillhandahålla och driva vår verksamhet, till exempel leverantörer av hosting, autentisering, e-post, support, CRM, analysverktyg och betalningstjänster. Dessa leverantörer får bara behandla personuppgifter enligt våra instruktioner och för de ändamål som de anlitas för. De omfattas av krav på sekretess, säkerhet och dataskydd.
Vi kan också dela personuppgifter med professionella rådgivare, till exempel juridiska rådgivare, revisorer och skatterådgivare, när det behövs för rådgivning, revision, bokföring eller hantering av rättsliga frågor.
Vid företagsöverlåtelse, fusion, finansiering, omstrukturering eller liknande transaktion kan personuppgifter behöva delas med relevanta motparter och rådgivare, men bara i den utsträckning det är nödvändigt och med lämpliga skyddsåtgärder.
Vi kan även lämna ut personuppgifter till myndigheter, domstolar eller andra offentliga organ om det krävs enligt lag, myndighetsbeslut eller för att skydda våra rättigheter, säkerheten i våra tjänster eller andra berättigade intressen.
Vi säljer inte personuppgifter.
8. Överföring till länder utanför EU/EES
Bounded är baserat i Sverige och vår utgångspunkt är att personuppgifter behandlas inom EU/EES. Vissa leverantörer eller koncernbolag till leverantörer kan dock finnas i länder utanför EU/EES, till exempel USA.
När personuppgifter överförs till ett land utanför EU/EES säkerställer vi att det finns en tillämplig överföringsmekanism och lämpliga skyddsåtgärder. Det kan till exempel vara ett beslut från EU-kommissionen om adekvat skyddsnivå eller EU-kommissionens standardavtalsklausuler.
När det behövs använder vi kompletterande tekniska och organisatoriska åtgärder, till exempel kryptering, åtkomstbegränsningar, minimering och avtalsmässiga begränsningar. Undantag enligt GDPR artikel 49 används bara när det är strikt nödvändigt, till exempel för att fastställa, göra gällande eller försvara rättsliga anspråk.
För kunddata som behandlas i tjänsten regleras internationella överföringar och skyddsåtgärder i personuppgiftsbiträdesavtalet.
9. Hur länge vi sparar personuppgifter
Vi sparar personuppgifter bara så länge det behövs för de ändamål som beskrivs i denna integritetspolicy eller så länge vi måste spara dem enligt lag. Därefter raderas eller anonymiseras uppgifterna.
| Typ av uppgift | Lagringstid |
|---|---|
| Webbplats- och marknadsföringsuppgifter | Normalt upp till 24 månader efter senaste interaktion, eller tills du återkallar samtycke eller avregistrerar dig |
| Uppgifter som behövs för att respektera avregistreringar | Så länge det behövs för att säkerställa att vi inte skickar marknadsföring till dig |
| Säkerhets- och serverloggar | Normalt upp till 12 månader, längre om det krävs för att utreda incidenter eller uppfylla rättsliga skyldigheter |
| Administrativa kontouppgifter | Under avtalstiden och normalt upp till 6 månader efter att avtalet upphör, om inte längre lagring krävs |
| Faktura- och bokföringsuppgifter | Så länge som krävs enligt bokförings- och skattelagstiftning |
| Supportärenden | Så länge det behövs för att hantera ärendet och följa upp tjänsten, normalt upp till 24 månader |
| Kunddata som behandlas som personuppgiftsbiträde | Raderas eller återlämnas enligt personuppgiftsbiträdesavtalet; om inget annat avtalats raderas personuppgifter i tjänsten senast 6 månader efter att avtalet upphör, om inte lag kräver längre lagring |
Vi kan spara uppgifter längre om det är nödvändigt för att fastställa, göra gällande eller försvara rättsliga anspråk.
10. Dina rättigheter
Du har rättigheter enligt GDPR. Beroende på situationen kan du ha rätt att få information om hur dina personuppgifter behandlas, begära tillgång till dina personuppgifter, begära rättelse av felaktiga eller ofullständiga uppgifter, begära radering, begära begränsning av behandlingen, invända mot behandling som grundas på berättigat intresse och invända mot direktmarknadsföring.
Du kan också ha rätt att få ut vissa uppgifter i ett strukturerat, allmänt använt och maskinläsbart format, om rätten till dataportabilitet gäller. Om behandlingen grundas på samtycke har du rätt att återkalla samtycket när som helst. Återkallandet påverkar inte lagligheten av behandling som skett innan samtycket återkallades.
Om du vill utöva dina rättigheter för uppgifter där Bounded är personuppgiftsansvarig kan du kontakta oss på legal@boundedsystems.com.
Om din begäran gäller uppgifter som behandlas i en kunds konto eller kundmiljö i tjänsten ska du i första hand kontakta den organisation som använder tjänsten. Vi hjälper kunden enligt personuppgiftsbiträdesavtalet.
Du har också rätt att lämna klagomål till Integritetsskyddsmyndigheten eller till tillsynsmyndigheten i det land där du bor eller arbetar.
11. Cookies och liknande tekniker
Vi använder cookies och liknande tekniker på våra webbplatser och i tjänsten.
Nödvändiga cookies används för att webbplatsen och tjänsten ska fungera, till exempel för säkerhet, inloggning, sessioner och grundläggande funktioner. Dessa cookies kan inte stängas av i våra system eftersom de behövs för att tillhandahålla webbplatsen eller tjänsten.
Analyscookies och marknadsföringscookies används bara när det krävs samtycke och du har lämnat sådant samtycke. De kan till exempel användas för att förstå hur webbplatsen används, förbättra innehåll eller följa upp kampanjer.
Du kan ändra eller återkalla dina cookieval när som helst via vår cookiebanner eller våra cookieinställningar på webbplatsen.
12. Säkerhet
Vi använder tekniska och organisatoriska åtgärder för att skydda personuppgifter mot obehörig åtkomst, förlust, förstöring, ändring och otillåten behandling.
Våra åtgärder omfattar bland annat kryptering vid överföring och lagring, åtkomstkontroller, behörighetsstyrning, multifaktorautentisering för administratörer, loggning och uppföljning av åtkomst, säker utveckling, kontroller vid ändringar, sårbarhetshantering, incidenthantering, backup och kontinuitetsåtgärder.
Vi begränsar åtkomst till personuppgifter till personer som behöver åtkomsten för sitt arbete. Relevanta leverantörer bedöms utifrån vilken typ av uppgifter de behandlar, behandlingens omfattning och den risk behandlingen innebär. Leverantörer som behandlar personuppgifter för vår räkning omfattas av avtalade krav på sekretess, säkerhet och dataskydd.
Mer information om hur vi arbetar med säkerhet finns i dokumentet Säkerhet och dataskydd, som beskriver våra tekniska och organisatoriska säkerhetsåtgärder mer utförligt.
13. Barn
Våra webbplatser och tjänster är inte avsedda för barn under 16 år. Vi samlar inte medvetet in personuppgifter från barn. Om du tror att ett barn har lämnat personuppgifter till oss kan du kontakta oss på legal@boundedsystems.com, så hanterar vi frågan.
14. Ändringar i denna integritetspolicy
Vi kan uppdatera denna integritetspolicy från tid till annan. Den senaste versionen publiceras på våra webbplatser med ett nytt datum för senaste uppdatering.
Om vi gör väsentliga ändringar informerar vi på lämpligt sätt, till exempel via webbplatsen, e-post eller meddelande i tjänsten.
15. Kontakt
Om du har frågor om denna integritetspolicy eller om hur vi behandlar personuppgifter kan du kontakta oss:
E-post: legal@boundedsystems.com
Postadress:
Bounded Systems AB
Att: Privacy
Kalendegatan 29B
211 35 Malmö
Sverige