Integritetspolicy

Personuppgiftspolicy inkl. cookie information

Senast uppdaterad 2021-06-29

Cookies

Vi använder oss av cookies vilket är små textfiler som lagras i besökarens webbläsare i syfte att anpassa erbjudanden och innehåll på vår hemsida.  Vid ditt första besök får du möjlighet att göra val i om bara nödvändiga eller fler cookies skall användas. Om du senare vill ändra detta val behöver du rensa cookies i din webbläsares inställningar detta brukar ofta gå att göra för enskilda sidor.

Copyright

Allt material på www.oderland.se är copyrightskyddat av Oderland Webbhotell AB där annat ej anges. Andra varumärken och produkter som nämns på vår hemsida är troligen upphovsrättsskyddade och varumärkesskyddade av respektive ägare.

GDPR / Personuppgifter / Integritet

Vi tar våra kunders integritet på allvar och har ett starkt fokus på att våra lösningar skall vara så säkra som möjligt och på att skydda dina personuppgifter.

Vi behandlar personuppgifter i enlighet med GDPR och Dataskyddsförordningen.

Personuppgiftsansvarig är Oderland Webbhotell AB som kan nås på support@oderland.se och 031-3616161 där mail oftast är den bästa kontaktmetoden för den här typen av frågor. Vi har även en support-artikel med vanliga frågor och svar runt GDPR plus länkar till all dokumentation du kan tänkas behöva och våra avtal.

Tillsynsmyndighet är Integritetsskyddsmyndigheten (IMY) som kan nås på imy@imy.se 08-6576100 och de kan också ta emot frågor och klagomål.

De personuppgifter vi behandlar om våra kunder regleras av denna Integritetspolicy/Personuppgiftspolicy. De personuppgifter våra kunder i sin tur väljer att behandla, tex. i form av lagring, i våra tjänster regleras av vårt Personuppgiftsbiträdesavtal (DPA/PUBA).
Övriga villkor för tjänsterna regleras av vårt Användaravtal (TOS).

Behandling kan också komma att ske för att uppfylla lagstiftning eller bistå myndigheter tex. i utredning av misstänkt brottslighet.

Anledning till att vi samlar in personuppgifter

Vi samlar in personuppgifter om våra kunder för att kunna leverera våra tjänster inkl. support till dem och även delge regelbunden relevant information om våra tjänster. Exempelvis så behöver vi kontaktuppgifter för att veta vem som äger en tjänst för fakturering och bokföring. Vissa tjänster som domäner behöver också registreras i offentliga register som WHOIS för att fungera. Vi skickar även ut ett nyhetsbrev varje månad med uppdateringar om vad vi gör för förändringar och förbättringar i våra tjänster och sätt att arbeta.

Vilka rättsliga grunder vi har för att behandla personuppgifter och hur länge lagrars personuppgifterna?

PersonuppgifterLöpande gallringRadering efter avslutat och färdigbetalt kundkontoRättslig grund
BokföringsuppgifterNejJa, 7 årAvtal
KunduppgifterNejJa, 7 årAvtal
KortuppgifterNejStripes lagkrav (USA)Samtycke + Intresseavvägning
Ärenden/TicketsNej3 mån (12 mån**)Avtal + Intresseavvägning
Chattar (Externa)2 mån2 månAvtal + Intresseavvägning
Chattar (Interna)7 dagar7 dagarAvtal + Intresseavvägning
Övriga mail till oderland.se0-24 mån***0-24 mån***Avtal + Intresseavvägning
LoggarUpp till 3 månUpp till 3 månAvtal
Backuper3 mån (12 mån**)3 mån (12 mån**)Avtal
Data kunden lagrarNejJaAvtal

** Managed Server
*** Mail med personuppgifter skall i första hand föras över till lämpligt system tex. ärendehanteringssystemet och därefter raderas och i andra hand raderas inom 24 månader.

WHOIS registret för uppgifter om domän-ägare

Uppgifter om vem som äger en domän lagras i ett så kalalt WHOIS register och tills GDPR reglernas effekt på detta register är helt utredda visas inte längre potentiella personuppgifter upp offentligt. Förhandlingar om hur WHOIS skall upprätthållas och utvecklas framöver och samtidigt följa GDPR fortsätter och man kan läsa tex. här om detta. Våra kunder som vill ha ett extra lager av sekretess eller tex. är oroliga att WHOIS-uppgifter i framtiden kan bli publika igen kan köpa till WHOIS-skydd på de domäner som stödjer detta.

Vilka personuppgifter vi behandlar

Det är uppgifter som behövs för att uppfylla de ändamål som specificerats ovanför. Tex. Namn, mail, telefonnummer, adresser och IP-nummer. För att tex. kunna leverera bra hosting med bra support och domäner m.m.

Om personuppgifter du behandlar

Observera att personuppgifter du som kund själv väljer att behandla i våra tjänster är de själva personuppgiftsansvariga för och måste därför själv se till att sin behandling är laglig. Vi som underbiträde har dock även en skyldighet i vår tur att informera den vi agerar underbiträde för om vi upptäcker något som vi anser bryter mot GDPR, men det bör observeras att vi har små möjligheter att övervaka detta systematiskt och det kommer röra sig om unika fall där vi upptäcker något vi känner behöver rapporteras tex. vid ett orelaterat support-ärende.

Var uppmärksam på att det finns besöks-statistik som loggas i webbhotell för domäner du sätter upp i tjänsten. Läs mer om vad som loggas och hur du kan gallra och stänga av loggningen.

Redovisning av leverantörer

Modern IT-infrastruktur förlitar sig på en mängd leverantörer av tjänster och mjukvaror. Vi har tur i att som en hosting leverantör att vi kan hosta köra mycket av våra leverantörers mjukvaror själva på våra egna servrar i Sverige och därmed slipper lagra kunders personuppgifter hos en externa underleverantör. Här redovisas de leverantörer där behandlingar av icke anonymiserade personuppgifter sker utanför våra servrar. Dvs inte de fall där vi hostar mjukvaran eller där endast anonymiserad metadata behandlas.

Vi har sedan tidigare avtal på plats som skall garantera våra kunders integritet och personuppgifter med alla våra leverantörer. Vi fick redan tidigare gå över till Standard Contractual Clauses (SCC) speciellt för våra amerikanska leverantörer av mjukvaror men i och med Schrems II domen så låter vi dessutom inte tekniker gå in och hjälpa oss med problem utan i så fall återskapar vi problemen på en demo-server utan kunddata.

Generellt så är vår målsättning att göra så få behandlingar som möjligt och samla in så lite personuppgifter som möjligt för att kunna uppfylla våra avtal och leverera tjänsterna som kunderna beställt.

Personuppgifter för WHOIS/Domänleverantörer rör det tex. Namn och mailadress. För automatiserade bedrägeriskydd och brandväggar rör det tex. IP-nummer, webbläsare och formulär-data.

Här redovisas de fall där vi inte själva hostar mjukvaran och personuppgift i någon form kan nå dem. Tidigare leverantörer som redovisats här har tagits bort för att öka tydligheten av när och var personuppgifter faktiskt kan komma att behandlas av en underleverantör. De redovisas i formatet: Leverantör, Land, Avtal.

  • Domäner (se stycke ovan om WHOIS)
    • Traficom (.fi) – FinlandAnvändaravtal och personuppgiftspolicy
    • IIS (.se/.nu) – SverigeAnvändaravtal och personuppgiftspolicy
    • RRProxy/Keystems (.com, .org, .net osv. ) – TysklandUnderbiträdesavtal (DPA)
  • Backup
    • Hostas på våra servrar (externa tekniker får bara tillträde till servrar där vi återskapar fel utan kunddata)
  • OS och Server
    • Hostas på våra servrar (externa tekniker får bara tillträde till servrar där vi återskapar fel utan kunddata)
  • Kontrollpaneler och sidobyggare
    • Hostas på våra servrar (externa tekniker får bara tillträde till servrar där vi återskapar fel utan kunddata)
  • Betalning
    • Stripe (Kortbetalning) – USA – Samtycke och Standard Contractual Clauses med utökade säkerhetsåtgärder.
  • Säkerhet
    • MaxMind (Bedrägeriskydd) – USA – Standard Contractual Clauses med utökade säkerhetsåtgärder.
    • Halon (Spam-skydd) består av två delar
      • Hostas på våra servrar (externa tekniker får bara tillträde till servrar där vi återskapar fel utan kunddata)
      • Anonymiserad metadata analyseras externt. (Dvs det är inte en personuppgift som behandlas)

Utökade säkerhetsåtgärder innebär bland annat att vi systematiskt följer upp leverantörens säkerhetsåtaganden och systematiskt gör riskbedömningar runt personuppgifter till dessa leverantörer. Dessutom är vi redo att byta ut dem vid ev. upptäckta brister.

Hur vi lagrar uppgifter

Vi strävar efter att göra all behandling och lagring av data och personuppgifter i våra datahallar i Sverige. Med det sagt så behöver moderna teknikföretag för vissa delar av leveransen anlita leverantörer där några som vi redovisat ovanför har behandling utomlands.

Överföring av uppgifter sker krypterat och personal har tidsbegränsade och strikt kontrollerade behörigheter för tillgång och har skrivit på GDPR anpassat sekretessavtal. Inga personuppgifter säljs heller vidare till tredje part.

Automatiserat beslutsfattande

Vi använder oss av automatiserat beslutsfattande vid dessa tillfällen:

  • För att förhindra attacker mot servrar loggas och blockeras IP-nummer automatiskt. Så kallad ”brandvägg”. Oftast rör det sig om tillfälliga blockeringar och kunden kan alltid kontakta oss om man misstänker att man blivit blockerad. Detta gör våra kunders tjänster säkrare mot attacker.
  • Vi har ett bedrägeriskydd som automatiskt kan placera en order i manuell hantering om den misstänks vara just bedrägeri av något slag. Detta gör att våra kunders tjänster inte svärtas ner av bedräglig användning av våra tjänster.
  • Automatisk avstängning av icke betalda tjänster. Detta skyddar kunden mot att fakturor byggs upp vid nedlagt företag och kan även vara en signal om att de behöver se över sina kontaktuppgifter så de kan ta emot sina fakturor.
  • E-post från och till våra servrar kan stoppas av automatiska spam-skydd. Kunder kan självklart kontakta oss om mejl fastnat felaktigt i skyddet.

Rättighet till tillgång, ändring och radering

Som kund kan du när som helst kontakta oss för att ändra dina uppgifter. Vi gör detta utan onödig fördröjning om det är möjligt utan att bryta mot gällande lagar.

Du kan också få tillgång till dina personuppgifter på begäran.

Du kan ta tillbaka ev. samtycke till insamling och, om inga lagliga hinder finns, få era uppgifter raderade.

För en komplett lista av rättigheter se Integritetsskyddsmyndighetens sida.

Personuppgiftsincident

Personuppgiftsincidenter skall om de medför risk för de registrerades rättigheter och friheter rapporteras till reglerande myndighet utan onödigt dröjsmål och senast inom 72 timmar samt att Oderland skall informera de registrerade om det finns stor risk att deras rättigheter och friheter kan påverkas.

Uppdatering av Integritetspolicy

Denna policy kommer uppdateras vid behov för att tex. ökad tydlighet, redovisa ändrade leverantörer, uppdaterade behandlingar eller för att bättre följa lagen. Du kan alltid hitta senaste versionen på oderland.se