Coachande samtal som hjälper människor må bättre i sig själva, i sina liv och i sina relationer med andra.
REGISTERFÖRTECKNING
Vilka system och/eller företag som har tillgång till mina och mina kunders personliga information och varför jag använder mig av deras tjänster
I mitt arbete använder jag mig av tjänster tillhandahållna av följande företag och system, vilka är listade nedan. Dessa företag och system har tillgång till alla eller en del av de personuppgifter jag samlar in i mitt arbete. Enligt GDPR är jag som företagare skyldig att se till att de system och/eller företag vars tjänster jag använder mig av hanterar mina kunders personuppgifter på ett sätt som uppfyller kraven i GDPR. Läs vidare om vart och ett av dem och hur vårt samarbete utifrån GDPR ser ut.
1. Wix.com. Denna hemsida är byggd via och finns på Wix-plattformen. Via Wix har jag mitt bokningssystem (där betalningssystemen är inkluderade) samt min företagsmejl. (Utifrån ett samarbete mellan Wix och Google är min företagsmejl även kopplad till Gmail, och det är från den plattformen jag skickar och tar emot mejl. Se vidare under punkt 10 nedan.) Dessa funktioner är tjänster Wix tillhandahåller för att jag ska kunna utföra mitt arbete: erbjuda och ta emot betalning för video- och mejlkonsultationer samt skicka ut mitt nyhetsbrev, och därför behöver Wix få tillgång till de personuppgifter som används för detta (namn, e-postadress samt betalningsuppgifter). Wix beskriver i sin integritetspolicy att företaget hanterar och utför överföringar av personlig data på ett sätt som är förenligt med GDPR-lagen, både inom och utanför EU. Wix lagrar min och mina kunders personliga data så länge mitt konto hos dem (= min hemsida) är aktivt och eventuellt längre om det finns särskilda anledningar för detta. Läs gärna vidare under punkt 12 i deras integritetspolicy som finns här: About Privacy | WIX
2. PayPal. Om man väljer att betala för en konsultation via alternativet PayPal fyller kunden i sina betalningsuppgifter (namn, adress, telefonnummer, e-postadress samt betalkortsuppgifter). Av dessa uppgifter tillåts jag enbart se eller ta del av kundens namn och e-postadress. PayPal beskriver i sin integritetspolicy att de hanterar internationella överföringar av persondata på ett sätt som är godkänt av Europeiska kommissionen, som bland annat ser till att EU-lagarna följs. PayPal lagrar personlig data så länge jag i mitt arbete använder mig av PayPals betalningstjänst plus en period på 10 år, såvida det inte finns särskilda anledningar för att behålla den längre. Läs gärna vidare i deras integritetspolicy som finns här: PayPal Privacy Statement
3. Stripe. Stripe är en tjänst som möjliggör för en kund att betala med kort, till exempel Visa eller MasterCard, via min hemsida. Om man väljer att betala för en konsultation via alternativet Stripe fyller kunden i sina betalningsuppgifter (namn, adress, telefonnummer, e-postadress samt betalkortsuppgifter). Av dessa uppgifter tillåts jag enbart se eller ta del av kundens namn, e-postadress samt betalkortets fyra sista siffror, dess utgångsdatum och cvc-kod. Stripe beskriver på sitt sekretesscenters hemsida att de vid internationell överföring av personlig data har skyddsåtgärder så att överföringarna ska utföras på ett godkänt sätt enligt bland annat GDPR och Europeiska kommissionen. Stripe lagrar personlig data så länge man använder sig av tjänster från dem, såvida det inte finns särskild anledningar för att behålla den längre. Läs gärna vidare i deras integritetspolicy som finns här: Privacy Policy (stripe.com) samt på deras sekretsscenter här: Stripe Privacy Center
4. Swish. Kunder bosatta i Sverige har möjlighet att välja Swish som ett betalningssätt på min hemsida. I Swish företagsapp får jag enbart tillgång till kundens namn och telefonnummer. (På utcheckningssidan behöver kunden dock fylla i sina faktureringsuppgifter (namn, e-post samt adress) för att bokningen ska kunna gå igenom. Var god läs vidare om detta i min integritetspolicy under rubriken "Hur jag samlar in information".) Swish beskriver att kunders personuppgifter behandlas i enlighet med dataskyddsförordningen (GDPR). Swish behåller personuppgifter så länge som krävs för att uppfylla syftet med behandlingen av dem och för att uppfylla gällande lagkrav, inklusive under en tid om minst sju år för behandling som avser räkenskapsinformation enligt bokföringslagen. Läs gärna vidare i deras integritetspolicy här: Microsoft Word - Swish Integritetspolicy 2021-01-25.docx (ctfassets.net)
5. Handelsbanken. Det är i Handelsbanken jag har mitt företagskonto och Bankgiro. När en kund betalar via Bankgiro ombeds hen att ange sitt för- och efternamn; detta för att jag ska kunna koppla samman en bokning med motsvarande betalning. (På utcheckningssidan behöver kunden dock fylla i sina faktureringsuppgifter (namn, e-post samt adress) för att bokningen ska kunna gå igenom. Var god läs vidare om detta i min integritetspolicy under rubriken "Hur jag samlar in information".) Observera att jag kommer behöva be om kundens kontonummer för att kunna göra en återbetalning till någon som valt att betala med Bankgiro men sedan avbokar sin konsultation. Detta för att kunna genomföra en kontoöverföring från min bank till kundens. Handelsbanken sparar i regel personuppgifter som längst i fem år, men är man kund i banken eller utifrån andra regler och lagar kan det komma att vara längre. Läs gärna vidare i Handelsbankens personuppgiftsdokumet här: Behandling av personuppgifter i koncernen Handelsbanken | Handelsbanken
6. Zoom. Det är via Zoom du och jag samtalar om du har bokat en videokonsultation. Zoom beskriver på sin hemsida att det följer alla tillämpliga integritetslagar, regler och förordningar i de jurisdiktioner där det är verksamt, inklusive GDPR. De skriver vidare att överföring av data styrs av Europeiska kommussionens standardavtalsklausuler. Läs gärna vidare i deras sekretesspolicy här: Zoom | Privacy and Security
7. TerapiJournal. Detta är det dokumentationsprogram jag använder för att föra minnesanteckningar som stöd i mitt arbete. Programmet installeras på den egna datorn och kan användas utan koppling till Internet, vilket gör att ingen information sparas i någon molnfunktion utanför användarens kontroll. Innehållet i journalen är skyddat bakom lösenord och kryptering. Jag för ingen kommunikation med andra journalsystem eller dokumentationsprogram och ber inte heller om mina kunders personnummer. Direkt efter varje "tur" (ett skrivet mejl till eller från mig) i en pågående mejlkonsultation förs minnesanteckningar in i TerapiJournal och mejlet raderas från min företagsmejl. Skulle dokumentationsprogrammet mot förmodan krascha är det mina (krypterade) säkerhetskopior jag använder mig av för att få tillbaka sparad information, och inga utomstående personer kommer att bli inblandade.
8. Strömbergs redovisningsbyrå. Redovisningskonsult i denna byrå ser över och sköter en del av mitt företags bokföring och ekonomi. Det innebär att denna konsult kan komma att ta del av mina kunders personuppgifter utifrån bokföringen. Ett PUB-avtal (personuppgiftsbiträdesavtal) är upprättat mellan mig och Strömbergs redovisningsbyrå vilket innebär att min biträdare, i detta fall min redovisningskonsult, behandlar mina kunders personuppgifter med samma integritet och säkerhet som jag själv och i enlighet med GDPR.
9. Fortnox. Jag använder en av Fortnox tjänster för att löpande kunna sköta min bokföring. Ett PUB-avtal (personuppgiftsbiträdesavtal) är upprättat mellan Fortnox och deras kunder, vilket beskriver att Fortnox lever upp till GDPR-lagen i sin hantering, lagring och överföringar (även tredjelandsöverföringar då detta är aktuellt) av personuppgifter. Hur länge Fortnox sparar personuppgifter varierar beroende på syftet till att de samlats in. Vid ingånget avtal med Fortnox kommer mina uppgifter samt de uppgifter jag samlar in från mina kunder (det vill säga de digitala kvitton jag skickar ut via e-post efter genomförda transaktioner på min hemsida) att sparas så länge avtalet pågår samt ytterligare 10 år.
10. Gmail och Google Workspace. Min företagsmejl (contact@consonancecommunication.com) sköts, trots att den innehåller min domän i sitt namn, via Gmail utifrån ett samarbete som är upprättat mellan Wix med Google Workspace/Gmail. Google beskriver i sin direktkontakt med mig att de har åtagit sig att följa GDPR-lagen och även att hjälpa sina kunder efterleva denna lag. Google Workspace erbjuder ett så kallat "Cloud Data Processing Addendum" (= databehandlingstillägg) till sina kunder, vilket innehåller standardavtalsklausuler som ett sätt att uppfylla säkerhets-, avtals- och dataöverföringskraven enligt EU, brittiska och schweiziska dataskyddslagar. I mitt företag använder jag mig av Gmail som en plattform för mejlkontakt med mina kunder (men, vilket även beskrivs i min integritetspolicy, jag använder inte Gmail som en lagringsyta utan jag raderar mejl löpande efter att jag har svarat på dem) men jag använder mig inte av några andra tjänster från Google Workspace. Läs gärna vidare här: GDPR and Google Cloud