Integritetspolicy

1. Om denna integritetspolicy

Denna integritetspolicy beskriver hur Compass behandlar personuppgifter i samband med tillhandahållandet av tjänsten. Policyn gäller för användare av Compass och för kontaktpersoner hos våra kundorganisationer.

2. Personuppgiftsansvarig och personuppgiftsbiträde

När Compass används av en kundorganisation behandlar Compass personuppgifter i tjänsten normalt som personuppgiftsbiträde för kundorganisationen (som är personuppgiftsansvarig). Behandlingen sker enligt kundens instruktioner och regleras i ett personuppgiftsbiträdesavtal (DPA).

För viss behandling som krävs för att administrera vår affärsrelation (t.ex. avtal, fakturering, support och säkerhetsrelaterad drift) kan Compass vara personuppgiftsansvarig.

3. Vilka personuppgifter vi behandlar

Beroende på hur tjänsten används kan vi behandla följande kategorier av personuppgifter:

• Kontouppgifter: namn, e-postadress, organisations-/tenant-tillhörighet, roll/behörighet.
• Tekniska uppgifter: IP-adress, enhets-/webbläsaruppgifter, tidsstämplar, inloggnings- och säkerhetsloggar.
• Auditlogg: händelser kopplade till administrering och användning av tjänsten (t.ex. skapande/ändring av objekt, behörighetsändringar).
• Supportkommunikation: uppgifter du lämnar när du kontaktar supporten (t.ex. e-post, ärendeinnehåll).
• Innehåll i tjänsten: den information som kundorganisationen väljer att lägga in i Compass och som kan innehålla personuppgifter.

4. Ändamål med behandlingen

Vi behandlar personuppgifter för att:

• tillhandahålla, drifta och säkra tjänsten (inkl. autentisering, åtkomststyrning och incidenthantering),
• administrera kundrelationen (avtal, fakturering och kontakt),
• hantera supportärenden och felsökning,
• uppfylla rättsliga skyldigheter och skydda våra rättsliga intressen.

5. Rättslig grund

För behandling där kundorganisationen är personuppgiftsansvarig är det kundorganisationen som ansvarar för att säkerställa rättslig grund enligt GDPR.

För behandling där Compass är personuppgiftsansvarig baseras behandlingen normalt på avtal (för att fullgöra vårt åtagande gentemot kunden), berättigat intresse (t.ex. för säker drift och att förebygga missbruk) och i vissa fall rättslig förpliktelse.

6. Mottagare, underbiträden och tredjelandsöverföring

Vi kan anlita leverantörer (underbiträden) för drift och support av tjänsten, exempelvis för hosting, logghantering och e-postleverans. Vi ställer krav på lämpliga tekniska och organisatoriska skyddsåtgärder.

Om personuppgifter överförs utanför EU/EES säkerställer vi att överföringen sker med lämpliga skyddsåtgärder, exempelvis EU-kommissionens standardavtalsklausuler (SCC), när så krävs.

7. Lagringstid

Personuppgifter lagras så länge det är nödvändigt för att uppfylla ändamålen med behandlingen. Lagringstid kan påverkas av kundens instruktioner (för data i tjänsten), avtalstid, säkerhetsbehov samt rättsliga krav (t.ex. bokföring). Backuper kan innebära att raderad information kvarstår under en begränsad period.

8. Säkerhet

Vi använder tekniska och organisatoriska säkerhetsåtgärder som är avsedda att skydda personuppgifter, inklusive kryptering vid överföring (TLS), åtkomstkontroller med rollbaserade behörigheter och loggning av relevanta säkerhets- och administrationshändelser. Data är logiskt separerad per kundorganisation (tenant).

9. Dina rättigheter

Du har rättigheter enligt GDPR, bland annat rätt till tillgång, rättelse, radering, begränsning, dataportabilitet och att invända mot viss behandling.

För personuppgifter som behandlas i tjänsten på uppdrag av din organisation bör du i första hand kontakta din organisationsadministratör (personuppgiftsansvarig). För frågor om Compass behandling som personuppgiftsansvarig kan du kontakta oss enligt nedan.

Du har även rätt att lämna klagomål till Integritetsskyddsmyndigheten (IMY).

10. Kontakt

Kontakta oss vid frågor om integritet och dataskydd via supportsidan eller via e-post: [privacy@dindomän.se].

Personuppgiftsansvarig (för vår egen behandling): [Bolagsnamn], org.nr [xxxxxx-xxxx], adress [adress].