Personuppgiftspolicy för Blodkollen Sverige AB

Denna personuppgiftspolicy, som är en integrerad del av våra villkor för Blodkollen, beskriver den behandling av personuppgifter som sker inom ramen för Blodkollen och de tjänster som erbjuds via vår hemsida www.blodkollen.se.

Tjänsterna tillhandahålls av Blodkollen Sverige AB, org. nr. 556747-5883, Fleminggatan 45, 112 32 Stockholm, som även är personuppgiftsansvarig för behandlingen.
Dataskyddsombud; Lovisa Ryding, e-post; [email protected]

Från och med den 25 maj 2018 börjar en ny Dataskyddsförordning (GDPR) gälla som då ersätter personuppgiftslagen (PUL). Från och med detta datum tillämpas GDPR på all behandling av personuppgifter på Blodkollens tjänster.

Våra användares förtroende är av yttersta vikt för oss och Blodkollen Sverige AB har därför strikta rutiner för att skydda din integritet. Denna personuppgiftspolicy förklarar vilka personuppgifter vi behandlar om vår användare, hur vi samlar in och använder personuppgifterna samt hur vi skyddar våra användares integritet. Vi ansvarar för den behandling av personuppgifter som sker inom ramen för våra tjänster.

Genom att använda våra tjänster accepterar du att dina personuppgifter behandlas i enlighet med denna personuppgiftspolicy. Om du inte kan godta vår personuppgiftshantering eller våra andra villkor ber vi dig avstå från att använda våra tjänster.

Vi vill uppmärksamma dig på att den personuppgiftsbehandling som sker inom ramen för Blodkollens verksamhet använder en fakturabetalningstjänst som regleras i personuppgiftspolicyn för Svea webpay. Kortbetalningstjänsten hos Svea webpay är en e-handelslösning och är certifierad för PCI-DSS Level 1 för högsta säkerhet. För att läsa mer om Svea webpays behandling av dina personuppgifter vänligen se Sveas personuppgiftspolicy. För denna behandling är Blodkollen således inte personuppgiftsansvarig.

1. Centrala begrepp
Personuppgifter är information som direkt eller indirekt kan knytas till en fysisk, levande, person. Exempel på personuppgifter är namn, adress, telefonnummer och e-postadress.  MEN även uppgifter om IP-nummer och ditt nyttjande av våra tjänster kan utgöra personuppgifter.

Behandling av personuppgifter innefattar all hantering av personuppgifter, till exempel insamling, registrering och lagring.

Personuppgiftsansvarig är den som ensam eller tillsammans med annan bestämmer ändamål och medel för behandlingen av personuppgifterna och som ytterst ansvarar för att behandlingen sker i enlighet med tillämplig personuppgiftslagstiftning.

Personuppgiftsbiträde är den som ensam eller tillsammans med annan part förser personuppgiftsansvarig med nödvändig information eller som på annat sätt utför behandling av personuppgifter på uppdrag av personuppgiftsansvarig.

2. Uppgifter som samlas in
Vi samlar in information om dig när du registrerar ett användarkonto och när du använder våra tjänster. För att ge dig en tydlig bild av hur personuppgiftsbehandlingen går till har vi delat in personuppgifterna i två kategorier utifrån hur de samlas in:

Uppgifter som du själv lämnar till oss

När du genomför ett köp på Blodkollen.se registreras du som användare. Vid ett köp så lämnar du följande uppgifter om dig själv; namn, adress, personnummer, mobilnummer och e-postadress.

I vissa fall samlar vi även in uppgifter om dig som kan ses som känsliga personuppgifter (även kallade ”särskilda kategorier av personuppgifter”) såsom vilka läkemedel du använder eller varför du valt att använda vår tjänst. Personuppgifter i den här kategorin tillhandahåller du alltid aktivt och frivilligt till oss genom att t.ex. fylla i webbformulär, skicka meddelanden eller ge oss feedback genom funktioner skapade för det syftet. Att ange den här typen av uppgifter utgör inte något krav för att du ska kunna använda våra tjänster, men det kan ge dig en anpassad och förbättrad upplevelse av våra tjänster. Genom att ange personuppgifter av känsligare karaktär samtycker du till att vi behandlar även dessa om dig. 

Uppgifter som inkommer från andra källor

Om du väljer att köpa någon av våra tjänster som innebär att du lämnar ett blodprov till oss kommer vi att skicka provexemplaret till en extern part för analys. Svaret på den analysen/analyserna blir då personuppgifter om dig som vi inhämtar från en annan källa. När vi skickar prover för analys samarbetar vi enbart med betrodda samarbetspartners, som agerar som våra personuppgiftsbiträden.

Tekniska data

Vi samlar även in tekniska data innehållandes ditt IP-nummer, webbläsarinställningar, språkinställningar, operativsystem och plattform för att kunna anpassa visningen av tjänsterna på hemsidan till den enhet (exempelvis en stationär dator eller en mobil) du använder. Syftet med detta är att ge dig en bättre användarupplevelse. Dessa uppgifter sparas inte efter att du avslutat din session på hemsidan.

3. Vad används dina personuppgifter till?
Vi behandlar dina personuppgifter, både de uppgifter som du själv lämnar och de uppgifter som inkommer från andra källor, för att vi ska kunna fullgöra vårt avtal med dig. Vi behandlar och delar med oss av en del av dina personuppgifter till andra bolag, detta gäller vid remissgenererande, provtagning, analysering, rapportering av svar, samt via vår fakturatjänst, i syfte att tillhandahålla och administrera din tillgång till tjänsten. Sådan utlämning sker dock under alla omständigheter med iakttagande av din integritet.

Som en del i vår erbjudna tjänst behandlar vi även dina personuppgifter för att besvara kundserviceärenden, ge dig erbjudanden. och rekommendationer i olika ärenden samt skicka dig information via e-post. Vi har i denna del gjort en intresseavvägning och funnit att denna tilläggstjänst är uppskattad och ofta till nytta för våra kunder, utan att utgöra ett oproportionerligt ingrepp i den personliga sfären. Vårt intresse av att följa upp och erbjuda ytterligare tjänster har därför ansetts motiverat och berättigat.

Om du har en aktiv kundrelation med Blodkollen kommer du även att motta utskick från oss via e-post. Dessa utskick innehåller information om våra tjänster, erbjudanden och andra nyheter vi tror intresserar våra kunder.  Du kan när som helst ta bort dig från dessa maillistor genom att avregistrera dig via en länk längst ner i dessa utskick eller genom att kontakta oss på [email protected]

Vi behandlar tekniska data om dig i syfte att anpassa och förbättra din användning av våra tjänster. Denna behandling är nödvändig för att tillgodose vårt berättigade intresse av att anpassa och förbättra våra tjänster, och för att tillhandahålla bästa möjliga tjänst till våra användare. Vi har gjort en intresseavvägning och begränsat mängden personuppgifter till att enbart omfatta de personuppgifter som är nödvändiga för oss enligt detta ändamål. I möjligaste mån är dessa uppgifter avidentifierade eller pseudonymiserade.

4. Säkerhetsåtgärder
De personuppgifter vi har om dig är krypterade och med hjälp av underleverantörer bevakar och uppdaterar vi säkerheten aktivt och regelbundet. Inloggning till våra tjänster sker via BankID, som är ett vedertaget system samt det tryggaste alternativet på marknaden vid uppgiftslämning. På detta sätt tryggar vi att ingen annan än du själv får tillgång till uppgifter som finns om dig på Blodkollen. Du ansvarar dock för att inte lämna ut dina inloggningsuppgifter till någon annan. Vid misstanke om missbruk av våra tjänster kan vi komma att låsa aktuellt konto.

Samtliga personuppgiftsbiträden och underleverantörer arbetar under sekretessavtal och/eller vårdbunden sekretess.

5. Överföring av personuppgifter
I syfte att utföra remissgenerering, provtagning, analys och svarsrapportering, överförs dina personuppgifter till remissinstans som behandlar dina personuppgifter i rollen som personuppgiftsbiträde. Därifrån kan sedan provtagningslaboratorium och analyserande laboratorium se och behandla din beställning. Samtliga provtagningslaboratorier och analyserande laboratorier är baserade i Sverige och är lagligt bundna av vårdsekretess samt via personuppgiftsbiträdesavtal. Ditt analysresultat levereras sedan direkt till ditt personliga journalkonto på Blodkollen.

För att kunna tillhandahålla dig tjänsten arbetar vi även i ett nära samarbete med en data och systemleverantör hos vilka Blodkollens plattform är placerad. Samtliga berörda företag är etablerade i Sverige och agerar som personuppgiftsbiträden. Överföring av personuppgifter till biträden och underleverantörer utförs endast efter noggrann övervägning och med lämpliga personuppgiftsbiträdesavtal på plats. Alla personuppgiftsbiträden som tillhandahåller tjänster till oss är alltid underställda strikt sekretess och kommer inte att tillåtas att använda uppgifterna för andra ändamål än att leverera tjänster till oss. Vi kommer därför alltid säkerställa att inte fler personuppgifter än nödvändigt för överföringens specifika ändamål överförs till personuppgiftsbiträdet. När så är möjligt kommer vi även att vidta åtgärder för att pseudonymisera dina personuppgifter innan de överförs till någon av våra personuppgiftsbiträden.

Vi kommer inte att dela, sälja, överlåta eller på annat sätt lämna ut personuppgifter utöver vad som anges i denna personuppgiftspolicy om vi inte är skyldiga att göra det till följd av rättslig skyldighet eller om vi först har fått ditt samtycke.

6. Lagring och radering av personuppgifter
Dina personuppgifter lagras inte längre än det är nödvändigt för att kunna uppfylla ändamålen med behandlingen såsom de beskrivs i denna personuppgiftspolicy. Dina personuppgifter raderas eller anonymiseras när de inte längre är relevanta för de ändamål som de har samlats in för.

Din adress och telefonnummer lagras i 5 år. Blodprovssvar och relaterad information journalförs i enlighet med patientdatalagen (2008:355)

7. Rättning, blockering och radering
Genom att skriva till Blodkollen och ange de uppgifter du använt vid registrering eller korrespondens, får du veta vilka uppgifter Blodkollen har registrerat om dig. Du har dessutom rätt att när som helst be att få ett utdrag på dessa personuppgifter, begära att vi rättar, blockerar eller raderar personuppgifter i enlighet med vad som anges i tillämplig lag. När vår behandling av dina personuppgifter sker med stöd av ditt samtycke har du även rätt att begära att vi överför dessa personuppgifter till en annan personuppgiftsansvarig. Denna rätt till så kallad ”dataportabilitet” avser dock enbart personuppgifter som du själv har tillhandahållit.

Anser du att vår behandling inte sker på ett korrekt sätt har du rätt att invända mot vår behandling, eller begära att vi begränsar vår behandling av dina personuppgifter. Om du vill använda någon av dessa rättigheter ber vi dig att kontakta vårt dataskyddsombud Lovisa Ryding, e-post; [email protected]

Du kan begära att radera ditt konto hos oss. Din adress, telefonnummer, mail och namn raderas samt möjligheten att se några svar blockeras då och kan inte längre ses.

Blodprovssvar och relaterad information kan blockeras men inte raderas om spårbarhet på dessa uppgifter krävs enligt patientdatalagen (2008:355).

Det är vår förhoppning att alla frågor kring Blodkollens behandling av dina personuppgifter ska kunna lösas genom direkt kontakt med oss eller vårt dataskyddsombud, men du har alltid rätt att vända dig till Datainspektionen om du har någon invändning avseende vår behandling av dina personuppgifter. Våra kontaktuppgifter finner du längst ner i denna policy. Kontaktuppgifter till Datainspektionen finns på myndighetens hemsida.

8. Ändringar i personuppgiftspolicyn
Vi kommer att regelbundet uppdatera denna personuppgiftspolicy för att säkerställa eventuella behov av ändringar i hur vi behandlar personuppgifter. Vi rekommenderar därför våra användare att ta del av den vid tiden publicerade policyversionen inför varje nyttjande av vår hemsida och våra tjänster. Om vi avser göra väsentliga förändringar som kräver ditt samtycke kommer vi att meddela dig i god tid om detta.

9. Kontaktuppgifter
För att utöva rättigheterna enligt ovan eller om du har frågor om vår behandling, får du gärna kontakta oss på Blodkollen Sverige AB, org. nr. 556747-5883, Fleminggatan 45, 112 32 Stockholm,
e-post; [email protected]

Dataskyddsombud; Lovisa Ryding, e-post; [email protected]

Denna personuppgiftspolicy antogs den 4 maj 2018.