Personuppgiftspolicy

Denna Policy beskriver den personuppgiftsbehandling som RISE utför såsom personuppgiftsansvarig i de bolag som anges nedan. Detta innebär att det RISE-bolag som behandlar personuppgiften är den juridiska person som är ytterst ansvarig för behandlingen och som bestämmer över dess ändamål och medel.

I RISE-koncernen ingår följande hel och delägda bolag:

• RISE Research Institutes of Sweden AB, 556464-6874
• AstaZero AB, 556802-4946
• RISE Lignodemo AB, 556139-9485
• Innventia UK Ltd, 6 270 672
• Institut de la Corrosion RCS, 441396595
• SSPA Sweden AB, 556224-1918
• MoRe Research Örnsköldsvik AB, 556599-2277
• RISE ACREO AB, 556534-9007
• RISE Processum AB, 556641-7357
• RISE Fire Research, 982 930 057
• RISE PFI AS, 986 164 901
• SEEL Swedish Electric Transport Laboratory AB, 559155-5536

RISE behandlar personuppgifter om mottagare av RISE marknadsföringsmaterial (”Mottagare”), i anledning av att:

• Mottagaren eller dennes arbets- eller uppdragsgivare har eller har haft en affärsrelation med RISE, för eller har fört diskussioner/förhandlingar med RISE om en sådan affärsrelation
• Mottagaren eller dennes arbets- eller uppdragsgivare har anmält Mottagaren till någon av RISE kurser/föreläsningar/seminarier eller andra event (Event)
• Mottagaren eller dennes arbets- eller uppdragsgivare har anmält Mottagarens intresse av att mottaga RISE nyhetsbrev, inbjudningar och enkätundersökningar
• Mottagaren har besökt RISE webbplats www.ri.se (läs mer om cookies på www.ri.se

Personuppgifter som RISE behandlar

De personuppgifter som RISE behandlar om sina Mottagare är namn, adress, telefonnummer, e-postadress, personnummer, IP-adress samt det material på vilket Mottagaren kan förekomma, såsom inspelningar och efterbildningar av Event, till exempel ljud, bild och film. Utöver det behandlas i vissa fall ytterligare personuppgifter som lämnats till RISE av Mottagaren eller dennes arbets- eller uppdragsgivare.

Från vilka källor RISE hämtar Mottagares personuppgifter

Utöver de uppgifter som Mottagaren själv lämnar till RISE kan RISE också komma att samla in personuppgifter från Mottagarens arbets- eller uppdragsgivare, från offentliga register eller från andra tredje parter med vilka RISE samverkar inom ramen för sitt uppdrag och Eventet.

Ändamål och laglig grund

Med stöd av avtal eller berättigat intresse behandlar RISE personuppgifter för följande ändamål:

• Hantera och genomföra de olika Event som Mottagaren eller dennes arbets- eller uppdragsgivare anmält Mottagarens deltagande till, samt diverse kommunikation, administration och informationsspridning kring dessa.

Denna behandling krävs för att RISE ska kunna fullgöra sina skyldigheter enligt avtalet som ingåtts med eller diskuterats eller förhandlats med RISE.

Om avtalet är ingånget med Mottagarens arbets- eller uppdragsgivare så sker denna behandling istället med stöd av RISE berättigade intresse som laglig grund, där RISE intresse av att fullgöra sina skyldigheter och ta tillvara sina rättigheter enligt det ingångna eller förhandlade avtalet bedöms inte göra stora intrång i Mottagarens integritet och att denne rimligen kan förvänta sig denna behandling.

Med stöd av berättigat intresse behandlar RISE personuppgifter även för följande ändamål:

• Kommunikation avseende inbjudningar till och information om RISE kommande Event.
• Marknadsföring av RISE verksamhet och projekt genom att publicera dokumentationen på RISE interna och externa kommunikationskanaler, till exempel www.ri.se, sociala medier, etc.

Om RISE anser att denna behandling ligger i RISE berättigade intresse, inte gör oproportionerligt stora intrång i Mottagarens integritet, och om RISE antar att Mottagaren rimligen kan förvänta sig denna behandling så kommer behandlingen att genomföras med stöd av berättigat intresse som laglig grund.

Till vilka personuppgifter lämnas

Endast personer inom RISE som inom ramen för sin anställning har behörighet till de system där personuppgifterna behandlas har tillgång till dessa.

RISE kan komma att lämna ut personuppgifter till personuppgiftsbiträden som hanterar information för RISE räkning, till exempel leverantörer av tillhandahållande, support och underhåll av IT- och molntjänster, leverantörer av bland annat marknads- och kundundersökningar, etc.

RISE delar Mottagares personuppgifter med andra bolag inom RISE-koncernen om det är nödvändigt för att möjliggöra för RISE-koncernen att använda samma IT-system, t.ex. ekonomisystem, kundregister etc., för att kunna samordna sina uppdrag på ett effektivt sätt.

RISE publicerar Mottagarens personuppgifter (såsom exempelvis foton tagna på event) på internet, bl.a. på www.ri.se, sociala medier etc., vilket innebär att personuppgifterna blir synliga för internetsidornas besökare.

RISE kan också komma att dela Mottagares personuppgifter med tredje parter som är enskilt personuppgiftsansvariga, till exempel tredje part med vilka RISE samverkar inom ramen för sitt uppdrag, försäkringsbolag i händelse av en inträffad skada, myndigheter om sådant utlämnande krävs enligt lag, etc.

Lagringstider och gallring

RISE behandlar Mottagares personuppgifter så länge som det är nödvändigt i förhållande till de ändamål för vilka dessa samlats in.

De personuppgifter som behandlas för marknadsförings-ändamål gallras efter 18 månader från det att RISE senast skickat nyhetsbrev eller annan marknadsföring till Mottagaren.

De personuppgifter som behandlas för Event-ändamål gallras 12 månader efter Mottagarens deltagande på det aktuella Eventet. Information om allergier raderas direkt efter Eventets genomförande.

RISE behandlar personuppgifter om medlemmar i RISE forsknings- eller samverkansnätverk (”Medlem”), i anledning av att Medlem eller dennes arbets- eller uppdragsgivare har eller har haft en affärsrelation med RISE avseende Medlemmens medlemskap i RISE nätverk, eller för eller har fört diskussioner/förhandlingar med RISE om en sådan affärsrelation.

Personuppgifter som RISE behandlar

De personuppgifter som RISE behandlar om sina Medlemmar är namn, telefonnummer, e-postadress samt personnummer, som RISE har erhållit ifrån dig eller din arbets- eller uppdragsgivare.

Från vilka källor RISE hämtar Medlemmars personuppgifter

Utöver de uppgifter som Medlemmen själv lämnar till RISE kan RISE också komma att samla in personuppgifter från Medlemmens arbets- eller uppdragsgivare, från offentliga register eller från andra tredje parter med vilka RISE samverkar inom ramen för sitt uppdrag.

Ändamål och laglig grund

Med stöd av avtal eller berättigat intresse behandlar RISE personuppgifter för följande ändamål:

• Hantera och genomföra aktuell avtalsrelation avseende de olika nätverk som Medlemmen eller dennes arbets- eller uppdragsgivare anmält Medlemmens deltagande till, samt diverse kommunikation, uppföljning och administration i anledning Medlemmens deltagande i dessa nätverk.
• Fakturahantering och betalningar avseende medlemskap i nätverken.

Denna behandling krävs för att RISE ska kunna fullgöra sina skyldigheter enligt avtalet som ingåtts med eller diskuterats eller förhandlats med RISE. Om avtalet är ingånget med Medlemmens arbets- eller uppdragsgivare så sker denna behandling istället med stöd av RISE berättigade intresse som laglig grund, där RISE intresse av att fullgöra sina skyldigheter och ta tillvara sina rättigheter enligt det ingångna eller förhandlade avtalet bedöms inte göra stora intrång i Medlemmens integritet och att denne rimligen kan förvänta sig denna behandling.

Med stöd av berättigat intresse behandlar RISE personuppgifter även för följande ändamål:

• Marknadsföring av RISE verksamhet, projekt och event.
• Fastställa, göra gällande och försvara rättsliga anspråk.
• Efterleva gällande lagar och förordningar, t.ex. bokföringslagen.
• Genomförande, hantering, administration och, uppföljning och utvärdering av kundundersökningar.

Om RISE anser att denna behandling ligger i RISE berättigade intresse, inte gör oproportionerligt stora intrång i Medlemmens integritet, och om RISE antar att Medlemmen rimligen kan förvänta sig denna behandling så kommer behandlingen att genomföras med stöd av berättigat intresse som laglig grund.

Till vilka personuppgifter lämnas

RISE tillämpar lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifter mot bl.a. förlust, missbruk och obehörig åtkomst. Endast personer inom RISE som inom ramen för sin anställning har behörighet till de system där personuppgifterna behandlas har tillgång till dessa.

RISE delar personuppgifter till personuppgiftsbiträden som hanterar information för RISE räkning avseende t.ex. leverantörer av tillhandahållande, support och underhåll av IT- och molntjänster, leverantörer av marknads-och kundundersökningar, etc.

RISE delar Medlemmars personuppgifter med andra bolag inom RISE-koncernen om det är nödvändigt för att möjliggöra för RISE-koncernen att använda samma IT-system, t.ex. ekonomisystem, kundregister etc., för att kunna samordna sina uppdrag på ett effektivt sätt.

RISE kan också komma att dela Medlemmars personuppgifter med tredje parter som är enskilt personuppgiftsansvariga, t.ex. tredje part med vilka RISE samverkar inom ramen för sitt uppdrag, övriga nätverksmedlemmar, försäkringsbolag i händelse av en inträffad skada, myndigheter om sådant utlämnande krävs enligt lag, etc.

 Lagringstider och gallring

RISE behandlar Medlemmars personuppgifter så länge som det är nödvändigt i förhållande till de ändamål för vilka dessa samlats in.

Personuppgifter som sparas för ändamål kopplat till affärsrelation sparas så länge som det finns rättigheter och skyldigheter att tillvarata i sådan affärsrelation och så länge som det finns rättsliga förpliktelser för RISE att behålla uppgifterna.

Därefter kommer personuppgifterna att gallras bort. De personuppgifter som behandlas för marknadsförings-ändamål gallras efter 18 månader.

Här hittar du information om insamling, behandling, lagring och delning av personuppgifter avseende arbetssökande och kandidater (”Kandidater”). RISE, eller det bolag som uttryckligen angivits som personuppgiftsansvarig avseende rekryteringen eller kommande anställning (”Personuppgiftsansvarig”), behandlar personuppgifter om Kandidaten, i anledningen av att denne:

• Besöker vår karriärsida och/eller
• Ansluter sig till vårt kandidatnätverk, skapar en profil i vårt rekryteringsverktyg och får information om aktuella eller framtida lediga tjänster hos oss och/eller
• Ansöker om en tjänst hos oss, via vår Karriärsida eller en tredjepartstjänst och/eller
• Blir rekommenderad av våra anställda eller partners, eftersom de anser att profilen är av intresse för våra nuvarande eller framtida lediga tjänster.
• Denna Policy beskriver också vilka rättigheter du har när vi behandlar dina personuppgifter, och hur du kan utöva dessa rättigheter.

Personuppgifter som RISE behandlar

De personuppgifter som Personuppgiftsansvarig behandlar är namn, adress, telefonnummer, e-postadress, personnummer, bild, utbildnings- och yrkeslivskompetens samt CV, uppgifter från eventuella referenser, andra uppgifter som lämnas i ansökningshandlingar eller på annat sätt i rekryteringsprocessen, eventuella resultat från rekryteringstester såsom t.ex. MAP och Matrigma, samt eventuella intervjuanteckningar.

I rekryteringsprocessen rekommenderas Kandidaten att inte inlämna några s.k. känsliga personuppgifter (t.ex. kön, religiös åskådning eller annat) då dessa uppgifter inte är relevanta för rekryteringsprocessen. Om Kandidaten ändå har valt att inlämna sådana uppgifter så kommer Personuppgiftsansvarig att behandla och efter eget tycke även radera dem, med stöd av den lagliga grund som åberopas vid insamlingen och det frivilliga samtycke Kandidaten anses ha angivit vid inlämnandet av sådana uppgifter.

När Kandidater besöker vår karriärsida samlar vi in uppgifter om Kandidatens enhet, såsom IP-adress, webbläsartyp och version, sessionsbeteende, trafikkälla, skärmupplösning, föredraget språk, geografisk plats, operativsystem och enhetsinställningar/användning. Vi samlar också in tekniska och statistiska data om Kandidatens användning av webbplatser, såsom information om vilka URL:er denne besöker och dennes aktivitet på webbplatsen. Läs mer i vår cookie-policy på www.ri.se.

Från vilka källor RISE hämtar Kandidaters personuppgifter

Utöver de uppgifter som Kandidaten själv lämnar till RISE kan RISE också komma att samla in personuppgifter från andra källor, t.ex. andra bolag i RISE-koncernen och Skatteverket. Vissa uppgifter samlas in vid anställningstillfället och andra uppgifter samlas in löpande under anställningstiden.

Ändamål och laglig grund

Med stöd av RISE berättigade intresse behandlar RISE personuppgifter för följande ändamål:

Granska ansökningshandlingarna samt bedöma och utvärdera Kandidaten såsom Kandidat utifrån de uppgifter som denne själv lämnat till Personuppgiftsansvarig i sina ansökningshandlingar enskilt och i förhållande till andra kandidater.
Hantera rekryteringsadministrationen kring till exempel kommunikation med Kandidat, inbokningar av intervjuer och föra intervjuanteckningar.
Genomföra personlighetstester i rekryteringsprocessen samt analysera och hantera dessa.
Spara information om Kandidatens användning av Karriärsidan, med hjälp av cookies och andra spårningstekniker för att säkerställa säkerheten på Karriärsidan samt för att webbplatsen ska fungera korrekt. Läs mer i vår cookie-policy på www.ri.se.

Denna behandling krävs för att Personuppgiftsansvarig ska kunna rekrytera Medarbetare med rätt kompetens till verksamheten, vilket utgör Personuppgiftsansvarigs berättigade intresse.

Med stöd av samtycke behandlar RISE personuppgifter för följande ändamål:

• Spara Kandidatens personuppgifter i Personuppgiftsansvarigs kandidatnätverk för att kunna informera om eventuella framtida lediga tjänster.
• Spara information om Kandidatens användning av Karriärsidan, med hjälp av cookies och andra spårningstekniker för att kunna optimera webbplatser, föra statistik samt genomföra marknadsföringsaktiviteter. Läs mer i vår cookie-policy på www.ri.se.

Om Personuppgiftsansvarig avses genomföra dessa behandlingar så kommer särskilt samtycke att inhämtas innan dessa påbörjas.

Med stöd av rättslig förpliktelse behandlar RISE personuppgifter för följande ändamål:

• Förhandla med berörda fackliga organisationer vid tillsättning av chefer med personalansvar
• För att tillvarata Personuppgiftsansvarigs rättigheter enligt diskrimineringslagen, och
• Andra rättsliga förpliktelser.

Till vilka Kandidaters personuppgifter lämnas

Personuppgiftsansvarig kan komma att lämna ut personuppgifter till andra bolag inom koncernen för att möjliggöra hantering av personuppgifter för ovan ändamål.

Personuppgiftsansvarig kan komma att lämna ut personuppgifter till personuppgiftsbiträden som hanterar information för Personuppgiftsansvarigs räkning, till exempel leverantörer av tillhandahållande, support och underhåll av IT- och molntjänster, leverantörer av rekryteringsverktyg och rekryteringstjänster etc.

Personuppgiftsansvarig kan komma att lämna ut personuppgifter till andra aktörer som är självständigt personuppgiftsansvariga, om sådant utlämnande krävs enligt gällande lag, eller för att Personuppgiftsansvarig har ett berättigat intresse av att lämna ut dessa, till exempel fackliga organisationer, myndigheter, tredje part för att tillvarata Personuppgiftsansvarigs rättigheter, till exempel i samband med arbetsrättslig tvist, etc.

Lagringstider och gallring

De personuppgifter som behandlas för tillsättande av utannonserad tjänst, sparas så länge som rekryteringsprocessen pågår, och i den mån det krävs för att Personuppgiftsansvarig ska kunna försvara eventuella rättsliga anspråk. Därefter raderas uppgifterna, såvida inte Kandidaten har gett sitt medgivande till att lagringstiden förlängs, t.ex. genom att söka en ny utannonserad tjänst hos oss eller ansluta till vårt kandidatnätverk.

Om Kandidaten inte går vidare från den inledande rekryteringsprocessen och gett sitt medgivande till att bli kontaktad för framtida lediga tjänster behåller vi dennes personuppgifter så länge som denne ger sitt medgivande. Om Kandidaten endast ansluter till vårt kandidatnätverk sparar vi Kandidatens personuppgifter så länge som denne ger sitt medgivande.

Om Kandidaten blir rekommenderad av våra anställda eller partners sparas personuppgifterna så länge som denne ger sitt medgivande. Lagringstiderna för cookies anges i vår Cookie-policy på www.ri.se.

Här hittar du information om insamling, behandling, lagring och delning av personuppgifter avseende medarbetare, oavsett anställningsform (”Medarbetare”). RISE behandlar Medarbetares personuppgifter i enlighet med vad som framgår av denna informationstext. Vissa delar gäller endast anställda, andra delar gäller även för konsulter, uppdragstagare, praktikanter och examensarbetare.

Personuppgifter som RISE behandlar

De personuppgifter som RISE behandlar om sina Medarbetare är namn, födelsedatum, personnummer (eller motsvarande), anställningsnummer, kön, telefonnummer, adress, e-postadress, befattning, organisatorisk tillhörighet, foto, anställningsdatum, tid för avslutad anställning, ev avgångsorsak, anställningstid, chefsroll, sysselsättningsgrad, nationalitet, medborgarskap, språkpreferens, arbetare/tjänsteman, utbildning/kompetens, utbildningsnivå, högsta avslutade utbildning samt där så erfordras andra grundläggande personuppgifter.

Personalhantering:
Närmast anhörig och kontaktuppgifter till desamma, arbetstid, kostnadsställe, meriter, utvärderingar, arbetsprestation, i förekommande fall skriftliga varningar, befattningsvärdering, löneuppgifter, bankkontonummer, skatteuppgifter, semestersaldo, försäkrings- och pensionsförsäkringsuppgifter, facklig tillhörighet, kollektivavtalstillhörighet, hälsoinformation, frånvaro, sjukskrivningar, arbetsförmåga, rehabiliteringsåtgärder, arbetsrelaterade incidenter, uppehållstillstånd, arbetstillstånd, reseuppgifter, kortnummer för företagskort, resefakturor och traktamenten samt där så erfordras andra personuppgifter för personalhantering.

Kommunikation & säkerhet:
Personuppgifter som krävs för att ge Medarbetare tillgång till RISE lokaler, datasystem och nätverk, bl.a. arbets-epost, IP-adresser och användar-id för inloggning, datornummer, enhets-id, loggning av inloggning i RISE IT-miljö, samt andra typer av personuppgifter som loggas vid användande av datasystem och nätverk samt vid inpassering till RISE lokaler. Uppgifter om kundtjänst och support, såsom frågor från Medarbetaren eller dess chef/HR som avser Medarbetarens anställning eller IT-utrustning eller support som givits Medarbetaren i förhållande till dessa.

Från vilka källor RISE hämtar Medarbetares personuppgifter

Utöver de uppgifter den anställde själv lämnar till RISE kan RISE också komma att samla in personuppgifter från andra källor, t.ex. Skatteverket. Vissa uppgifter samlas in vid anställningstillfället och andra uppgifter samlas in löpande under anställningstiden.

Ändamål och laglig grund för behandling av Medarbetares personuppgifter

Med stöd av avtal och rättslig förpliktelse behandlar RISE personuppgifter för följande ändamål:

• administration (registrering av Medarbetare i IT-system, hantering och utbetalning av lön, lönerevision, ledighet, frånvaro, tidrapportering, förmåner, interna rapporter, statistik, projektuppföljning, allmän administration av anställningen, kontaktlistor, organisations-schema, utbildning, hantering av skatter och sociala avgifter, redovisning, etc.)
• pensions-, försäkring-, arbetsmiljö- och rehabiliteringsärenden (hantera utredning och anmälan om arbetsskada, kontakt med företagshälsovård, pensionsavsättningar, etc.)
• arbetsrättsliga ärenden och facklig samverkan (förhandla eller genomföra överläggningar med fackliga organisationer, genomföra utvecklingssamtal och löneöversyn, meddela besked och varsel om upphörande av tidsbegränsad anställning, hantera uppsägning, tillämpning om regler om turordning och företrädesrätt, genomföra utredningar och genomförande av åtgärder mot trakasserier enligt diskrimineringslagen, etc.)
• efterlevnad av lagar, förordningar och regler

Denna behandling krävs för att RISE ska kunna fullgöra sina skyldigheter enligt anställningsavtalet och gällande kollektivavtal samt efterleva arbetsrättens och arbetsmiljörättens regelverk, Dataskyddslagstiftningen, säkerhetsskyddslagstiftning, samt övriga lagar, förordningar och regler som är tvingande för RISE verksamhet.

Med stöd av RISE berättigade intresse behandlar RISE personuppgifter för följande ändamål:

• växel- och receptionslösningar
• hantering av IT-stöd (tillhandahålla och upprätthålla stöd och verktyg som är nödvändigt för effektivt genomförande, planering, analysering och uppföljning av arbetsuppgifter, t.ex., licenser, behörigheter, applikationer, abonnemang, databaser, kontaktlistor och telefonkatalog, etc.)
• möjliggöra tjänsteresor, hotell, logi och eventdeltagande
• tredjeparts-relationer (hantera relationer, åtaganden, skyldigheter, instruktioner, etc. till tredje parter, t.ex. finansiärer, uppdragsgivare, samarbetspartners och andra affärsrelationer)
• forskning- och utvecklingsrelaterade aktiviteter (projektansökningar, rapportering, statistik, publicering och arkivering av projektresultat, immaterialrättsligt skydd av uppfinningar, etc.)
• rekryteringsrelaterade aktiviteter (hantera, publicera och administrera rekryteringsannonser)
• kommunikation och marknadsföring (informations- och kunskapsspridning och annan marknadsföring av RISE verksamhet och projekt i RISE interna och externa kommunikationskanaler – t.ex. på RISE intranät, internet, sociala medier, etc.)
• support och kommunikation i anledning av anställningen och utförandet av Medarbetarens arbetsuppgifter och arbetsprestation
• kompetensutveckling (kartläggning av arbetsuppgifter, kompetens och utbildning, analyser rörande utbildningsnivå, kompetensutvecklingsåtgärder, utvärdering och bedömningar, utbildningsåtgärder, etc.)
• förmånshantering (möjliggöra erbjudande om, erbjuda, administrera och vidmakthålla avtal om förmåner och förmånshantering)
• säkerhet och sekretess (kontrollera och motverka obehörigt intrång i RISE-koncernens lokaler och IT-miljö, loggning av inloggning och inloggningsförsök samt aktiviteter i RISE IT-miljö, användande av passerkort, kontakt med närstående vid akut händelse, etc.)
• fastställa, göra gällande eller försvara rättsliga anspråk
• regelefterlevnad (kontroll och uppföljning av intern regelefterlevnad av vid var tid tillämpliga RISE policys och Uppförandekod, undersöka eventuellt otillåten verksamhet, hantera eventuella inkomna anmälningar om överträdelser i RISE visselblåsarsystem, etc.)
• verksamhetsutveckling (utvärdera och utveckla RISE verksamhet, genomföra medarbetarundersökningar, etc.)
• genomföra arbetsuppgifter inom ramen för RISE uppdrag

Om RISE anser att behandling ligger i RISE berättigade intresse, inte gör oproportionerligt stora intrång i Medarbetarens integritet och om RISE anser att behandlingen ligger inom ramen för dennes anställning/uppdrag hos RISE och bedömer att Medarbetaren rimligen kan förvänta sig denna behandling så kommer behandlingen att genomföras med stöd av intresseavvägning som laglig grund.

Om behandling inte uppfyller dessa rekvisit, eller om samtycke krävs enligt Dataskyddslagstiftningen, så inhämtas särskilt samtycke innan behandlingen genomförs.

Till vilka Medarbetares personuppgifter lämnas

Endast personer inom RISE som har behov av att behandla personuppgifter i enlighet med ovan angivna ändamål har tillgång till uppgifterna.

RISE delar personuppgifter med andra bolag inom RISE-koncernen t.ex. om det är nödvändigt för att möjliggöra för RISE-koncernen att använda samma IT-system, t.ex. ekonomisystem, affärssystem, HR-system, lönesystem etc., för att kunna hantera koncerngemensamma stödfunktioner på ett effektivt sätt.

RISE kan komma att lämna ut personuppgifter till personuppgiftsbiträden som hanterar information för RISE räkning, t.ex. leverantör av företagshälsovård, ledar- och medarbetarundersökningar, rekryteringstjänster, förmånsportal, löneadministration IT- och molntjänster, etc.

RISE kan också komma att dela personuppgifter med tredje parter som är enskilt personuppgiftsansvariga om sådant utlämnande krävs för ändamålet för vilket uppgifterna samlats in, t.ex. Försäkringskassan, Migrationsverket och andra myndigheter, tredje part med vilken RISE har eller förväntas ha ett avtalsförhållande (t.ex. kund- och samarbetspartner, leverantör av företagshälsovård, försäkringslösningar, resehantering, logistik, transport, hotell, konferens, reklam- och mediebyråer, sociala medier, etc.), eller annan tredje part om det krävs för det ändamål för vilket uppgifterna samlats in.

För det fall RISE delar personuppgifter med tredje parter så kommer RISE vidta alla rimliga åtgärder för att tillgodose att lämpliga skyddsåtgärder är på plats för att säkerställa en lämplig skyddsnivå för personuppgifterna som krävs enligt Dataskyddslagstiftningen.

Lagringstider och gallring

RISE behandlar Medarbetares personuppgifter så länge som det är nödvändigt i förhållande till de ändamål för vilka dessa samlats in.

Vissa personuppgifter raderas i samband med att anställningen eller uppdraget avslutas. Andra personuppgifter lagras under en längre tid eftersom det finns rättsliga förpliktelser för RISE att fortsätta att behandla dessa, t.ex. för att upprätta arbetsgivarintyg eller för att styrka att korrekta skatteavdrag har gjorts, alternativt för att RISE behöver behålla personuppgifterna för att tillvarata sina rättigheter.

Efterhand som möjligheterna att rikta krav mot RISE löper ut (preskription) så kommer dessa att gallras ut.

Uppgifter om anställningstid sparas till dess anställd uppnått pensionsålder, och underlag för inbetalningar till pensionsförsäkringar sparas så länge den anställde är i livet.

Här hittar du information om insamling, behandling, lagring och delning av personuppgifter avseende kontaktpersoner hos kund eller affärspartner (”Kontaktpersoner”). RISE behandlar personuppgifter tillhörande Kontaktpersoner, i anledning av att Kontaktpersonen eller dennes arbets- eller uppdragsgivare har eller har haft en affärsrelation med RISE, eller för eller har fört diskussioner/förhandlingar med RISE om en kommande affärsrelation.

Personuppgifter som RISE behandlar

De personuppgifter som RISE behandlar om sina Kontaktpersoner är namn, adress, telefonnummer, e-postadress och i vissa fall personnummer. Utöver det behandlas i vissa fall ytterligare personuppgifter som lämnats till RISE av Kontaktpersonen eller dennes arbets-eller uppdragsgivare.

Från vilka källor RISE hämtar kontaktpersoners personuppgifter

Utöver de uppgifter som Kontaktpersonen själv lämnar till RISE kan RISE också komma att samla in personuppgifter från Kontaktpersonens arbets- eller uppdragsgivare, från offentliga register eller från andra tredje parter med vilka RISE samverkar inom ramen för sitt uppdrag.

 Ändamål och laglig grund

Med stöd av avtal eller berättigat intresse behandlar RISE Kontaktpersoners personuppgifter för följande ändamål:

• Genomförande, hantering, administration, uppföljning etc. av aktuell affärsrelation och dess leveranser, tillhörande kommunikation genom telefon, e-post, sms eller andra kommunikationsvägar samt fakturahanterings- och betalningsändamål.

Denna behandling krävs för att RISE ska kunna fullgöra sina skyldigheter enligt avtalet som ingåtts med eller diskuterats eller förhandlats med RISE.

Om avtalet är ingånget med Kontaktpersonens arbets- eller uppdragsgivare så sker denna behandling istället med stöd av RISE berättigade intresse som laglig grund, där RISE intresse av att fullgöra sina skyldigheter och ta tillvara sina rättigheter enligt det ingångna eller förhandlade avtalet bedöms inte göra stora intrång i Kontaktpersonens integritet och att denne rimligen kan förvänta sig denna behandling.

Med stöd av berättigat intresse behandlar RISE Kontaktpersoners personuppgifter även för följande ändamål:

• Genomförande, hantering, administration och, uppföljning och utvärdering av kundundersökningar.
• Marknadsföring av RISE verksamhet, projekt och event.
• Fastställa, göra gällande och försvara rättsliga anspråk.
• Efterleva gällande lagar och förordningar, t.ex. bokföringslagen.

Till vilka personuppgifter lämnas

Endast personer inom RISE som inom ramen för sin anställning har behörighet till de system där personuppgifterna behandlas har tillgång till dessa.

RISE kan komma att lämna ut personuppgifter till personuppgiftsbiträden som hanterar information för RISE räkning, t.ex. leverantörer av tillhandahållande, support och underhåll av IT- och molntjänster, leverantörer av bl.a. marknads- och kundundersökningar, etc.

RISE delar Kontaktpersoners personuppgifter med andra bolag inom RISE-koncernen om det är nödvändigt för att möjliggöra för RISE-koncernen att använda samma IT-system, t.ex. ekonomisystem, kundregister etc., för att kunna samordna sina uppdrag på ett effektivt sätt.

RISE kan också komma att dela Kontaktpersoners personuppgifter med tredje parter som är enskilt personuppgiftsansvariga, t.ex. tredje part med vilka RISE samverkar inom ramen för sitt uppdrag, Boverket i certifierings-sammanhang, försäkringsbolag i händelse av en inträffad skada, myndigheter om sådant utlämnande krävs enligt lag, etc.

Lagringstider och gallring

RISE behandlar Kontaktpersoners personuppgifter så länge som det är nödvändigt i förhållande till de ändamål för vilka dessa samlats in.

Personuppgifter som sparas för ändamål kopplat till affärsrelation sparas så länge som det finns rättigheter och skyldigheter att tillvarata i sådan affärsrelation och så länge som det finns rättsliga förpliktelser för RISE att behålla uppgifterna. Därefter kommer personuppgifterna att gallras bort.

De personuppgifter som behandlas för marknadsförings-ändamål gallras efter 18 månader.

RISE behandlar personuppgifter tillhörande kontaktpersoner hos RISE Anbudsgivare och Leverantörer (”Kontaktpersoner”), i anledning av att Kontaktpersonen eller dennes arbets-eller uppdragsgivare har eller har haft en affärsrelation med RISE, eller för eller har fört diskussioner/förhandlingar med RISE om en kommande affärsrelation.

Personuppgifter som RISE behandlar

De grundläggande personuppgifter som RISE behandlar om sina Kontaktpersoner är namn, adress, telefonnummer, e-postadress, CV och i vissa fall personnummer. Utöver det behandlas i vissa fall ytterligare personuppgifter som lämnats till RISE av Kontaktpersonen eller dennes arbets- eller uppdragsgivare.

Från vilka källor RISE hämtar kontaktpersoners personuppgifter

Utöver de uppgifter som Kontaktpersonen själv lämnar till RISE kan RISE också komma att samla in personuppgifter från Kontaktpersonens arbets- eller uppdragsgivare.

Ändamål och laglig grund

Med stöd av avtal eller berättigat intresse behandlar RISE Kontaktpersoners personuppgifter för följande ändamål:

• Hantera, analysera och administrera inlämnade anbud samt kommunikation i anledning av anbudet, samt tilldela avtal till den vinnande anbudsgivaren.
• Hantera, administrera och fullgöra beställningar och kommunikation i anledning av beställningar eller avseende andra frågor som kan uppstå i anledning av anbudet eller det tilldelade avtalet.
• Genomförande, hantering, administration, uppföljning etc. av aktuell affärsrelation och dess leveranser, tillhörande kommunikation genom telefon, e-post, sms eller andra kommunikationsvägar samt fakturahanterings- och betalningsändamål.

Denna behandling krävs för att RISE ska kunna fullgöra sina skyldigheter enligt avtalet som ingåtts med eller diskuterats eller förhandlats med RISE.

Om avtalet är ingånget med Kontaktpersonens arbets- eller uppdragsgivare så sker denna behandling istället med stöd av RISE berättigade intresse som laglig grund, där RISE intresse av att fullgöra sina skyldigheter och ta tillvara sina rättigheter enligt det ingångna eller förhandlade avtalet bedöms inte göra stora intrång i Kontaktpersonens integritet och att denne rimligen kan förvänta sig denna behandling.

Med stöd av berättigat intresse behandlar RISE Kontaktpersoners personuppgifter även för följande ändamål:

• Genomförande, hantering, administration samt uppföljning och utvärdering av leverantörsundersökningar.
• Marknadsföring av RISE verksamhet, projekt och event.
• Efterleva gällande lagar och förordningar, t.ex. bokföringslagen.
• Fastställa, göra gällande och försvara rättsliga anspråk.

Kontaktpersonen bör rimligen kunna förvänta sig denna behandling som inte bedöms göra stora intrång i Kontaktpersonens integritet.

Till vilka personuppgifter lämnas

RISE tillämpar lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifter mot bl.a. förlust, missbruk och obehörig åtkomst. Endast personer inom RISE som inom ramen för sin anställning har behörighet till de system där personuppgifterna behandlas har tillgång till dessa.

RISE lämnar ut personuppgifter till personuppgiftsbiträden som hanterar information för RISE räkning, t.ex. leverantörer av tillhandahållande, support och underhåll av IT- och molntjänster, leverantörer av bl.a. leverantörsundersökningar, etc.

RISE delar personuppgifter med andra bolag inom RISE-koncernen om det är nödvändigt för att möjliggöra för RISE-koncernen att använda samma IT-system (t.ex. ekonomisystem, leverantörsregister etc.), för att kunna samordna sina uppdrag på ett effektivt sätt.

RISE delar personuppgifter med tredje parter som är enskilt personuppgiftsansvariga, t.ex. tredje part med vilka RISE samverkar inom ramen för sitt uppdrag, försäkringsbolag i händelse av en inträffad skada, myndigheter om sådant utlämnande krävs enligt lag, etc.

Lagringstider och gallring

RISE behandlar personuppgifter så länge som det är nödvändigt i förhållande till de ändamål för vilka dessa samlats in.

Personuppgifter som sparas för ändamål kopplat till affärsrelation sparas så länge som det finns rättigheter och skyldigheter att tillvarata i sådan affärsrelation och så länge som det finns rättsliga förpliktelser för RISE att behålla uppgifterna. Därefter kommer personuppgifterna att gallras bort.

Här hittar du information om insamling, behandling, lagring och delning av personuppgifter avseende personer som besöker, tillträder eller vistas i RISE lokaler (”Besökare”).

Personuppgifter som RISE behandlar

De personuppgifter som RISE behandlar om sina besökare är namn och Besökarens företag, arbetsgivare eller uppdragsgivare.

Från vilka källor RISE hämtar medlemmars personuppgifter

Utöver de uppgifter som Besökaren själv lämnar till RISE kan RISE också komma att samla in personuppgifter från andra källor, till exempel Besökarens arbetsgivare.

Ändamål och laglig grund

Med stöd av RISE berättigade intresse behandlar RISE personuppgifter för följande ändamål:

säkerhets- och sekretesskäl (t.ex. för att säkerställa att inga besökare befinner sig i RISE lokaler vid brand eller annan säkerhetsincident, eller för att fastställa, göra gällande eller försvara RISE rättigheter avseende säkerhet och sekretess). RISE anser att denna behandling ligger i RISE berättigade intresse och inte gör oproportionerligt stora intrång i Besökarens integritet. RISE anser också att denna behandling ligger inom ramen för besöket i eller tillträdet till RISE lokaler och antar att Besökaren rimligen kan förvänta sig denna behandling.

Till vilka personuppgifter lämnas

Endast personer inom RISE som har behov av att behandla personuppgifter i enlighet med ovan angivna ändamål har tillgång till uppgifterna.

RISE lämnar ut personuppgifter till personuppgiftsbiträden som hanterar information för RISE räkning avseende t.ex. leverantörer av IT-system.

RISE lämnar ut personuppgifter till tredje man om RISE är skyldig att lämna ut uppgifterna enligt gällande lag, till myndigheter eller andra tredje parter föra att tillvarata RISE intressen, till exempel vid inbrott i RISE lokaler eller andra inträffade säkerhetsincidenter, eller i samband med nödfall där hälsa och säkerhet för besökare eller annan person är i fara.

Lagringstider och gallring

RISE behandlar besökares personuppgifter så länge som det är nödvändigt i förhållande till de ändamål för vilka dessa samlats in.

Vissa personuppgifter raderas i samband med att besöket avslutas. Andra personuppgifter lagras upp till 3 månader för att RISE behöver behålla personuppgifterna för att tillvarata sina rättigheter avseende säkerhet och sekretess.

Här hittar du information om insamling, behandling, lagring och delning av personuppgifter avseende deltagare (”Deltagare”) i forskningsprojekt, samverkansprojekt, centrumbildning eller forskningsstudie (”Forskningsprojekt”). RISE behandlar personuppgifter tillhörande Deltagare i Forskningsprojekt i anledning av att Deltagaren eller dennes arbets- eller uppdragsgivare deltar eller har deltagit i Forskningsprojekt (eller i ansökan därom).

Personuppgifter som RISE behandlar

De grundläggande personuppgifter som RISE behandlar om sina Deltagare är namn, adress, telefonnummer, e-postadress, bild, personnummer, ekonomisk information (t.ex. lön och bank-kontonummer), CV samt utbildningsnivå.

Från vilka källor RISE hämtar Deltagares personuppgifter

Utöver de personuppgifter som RISE samlar in från Deltagaren själv, kan RISE också komma att samla in personuppgifter från Deltagarens arbets- eller uppdragsgivare, från offentliga register, från övriga projektparter, eller från andra tredje parter med vilka RISE samverkar inom ramen för sitt uppdrag.

Ändamål och laglig grund

Med stöd av avtal eller berättigat intresse behandlar RISE Deltagares personuppgifter för följande ändamål:

• Ansöka om Forskningsprojekt och ersättning för sådant.
• Planera, genomföra och administrera Forskningsprojekt samt tillhörande kommunikation genom telefon, e-post, sms eller andra kommunikationsvägar.

Denna behandling krävs för att RISE ska kunna fullgöra sina skyldigheter enligt avtalet som ingåtts med eller diskuterats eller förhandlats med RISE avseende Forskningsprojektet. Om avtalet är ingånget med Deltagarens arbets- eller uppdragsgivare så sker denna behandling istället med stöd av RISE berättigade intresse som laglig grund, där RISE intresse är att fullgöra sina skyldigheter och ta tillvara sina rättigheter enligt det ingångna eller förhandlade avtalet. Behandlingen kan inte anses göra betydande intrång i Deltagarens integritet och är något som denne rimligen kan förvänta sig genom sitt deltagande i Forskningsprojekt.

Med stöd av berättigat intresse behandlar RISE Deltagares personuppgifter även för följande ändamål:

• Fullgöra åtaganden gentemot forskningsfinansiär (t.ex. rapportering och redovisning) och eventuella avtalsreglerade åtaganden gentemot övriga parter som deltar i det aktuella Forskningsprojektet (t.ex. utbetalning av ersättning).
• Intern och extern kommunikation av Forskningsprojektet, t.ex. på RISE intranät, www.ri.se, sociala medier och övriga relevanta kommunikationskanaler.
• Uppfylla forskningsetiska principer (t.ex. arkivering av forskningsmaterial, Good Laboratory Practice, Good Manufacturing Practice, etc.)
• RISE kommande Forskningsprojekt och dess tillhörande aktiviteter.
• Marknadsföring av RISE verksamhet, projekt och event.
• Genomförande och utvärdering av kund- och marknadsundersökningar.
• Fastställa, göra gällande och försvara rättsliga anspråk.
• Efterleva gällande lagar och förordningar, t.ex. bokföringslagen.

Denna behandling görs med stöd av RISE berättigade intresse, där RISE intresse av att som forskningsinstitut utveckla kompetens och samarbetsnätverk för att bidra till att stärka svenskt näringsliv och bidra till hållbar tillväxt utgör RISE berättigade intresse.

Med stöd av samtycke behandlar RISE Deltagares personuppgifter för följande ändamål:

• Utvärdera hur studieresultat skiljer sig mellan olika kategorier av registrerade, t.ex. skillnader mellan de olika könen eller andra s.k. känsliga eller integritetskänsliga personuppgifter.
• Om sådan behandling ska genomföras, inhämtar RISE Deltagarens särskilda samtycke innan behandlingen genomförs.

Till vilka personuppgifter lämnas

Endast personer inom RISE som inom ramen för sin anställning har behörighet till de system där personuppgifterna behandlas har tillgång till dessa.

RISE delar Deltagares personuppgifter med andra bolag inom RISE-koncernen om det är nödvändigt för att möjliggöra för RISE-koncernen att använda samma IT-system, t.ex. ekonomisystem, kundregister etc., för att kunna samordna sina uppdrag på ett effektivt sätt.

RISE kan komma att lämna ut personuppgifter till personuppgiftsbiträden som hanterar information för RISE räkning, t.ex. leverantörer av tillhandahållande, support och underhåll av IT- och molntjänster, leverantörer av bl.a. marknads- och kundundersökningar, etc.

RISE kan också komma att dela vissa personuppgifter tillhörande Deltagare med tredje parter som är enskilt personuppgiftsansvariga, t.ex. tredje part med vilka RISE samverkar inom ramen för sitt uppdrag, forskningsfinansiärer, tredje part som deltar i Forskningsprojektet eller som av annan anledning har intresse av forskningsprojektet, försäkringsbolag i händelse av en inträffad skada, myndigheter om sådant utlämnande krävs enligt lag, etc.

Lagringstider och gallring

RISE behandlar Deltagares personuppgifter så länge som det är nödvändigt i förhållande till de ändamål för vilka dessa samlats in. Därefter kommer personuppgifterna att gallras bort.

Personuppgifter som sparas för ändamål kopplat till Forskningsprojekt sparas så länge som det finns rättigheter och skyldigheter att tillvarata i sådan avtalsrelation, så länge som forskningsfinansiären kräver, och så länge som det finns rättsliga förpliktelser eller forskningsetiska principer för RISE att behålla uppgifterna, t.ex. så länge som RISE behöver kunna upprepa experiment och forskningsgenomförande där det finns relevans och intresse av forskningsprojektets resultat och effekt, etc.

Personuppgifter som behandlas för att fastställa, göra gällande och försvara rättsliga anspråk och för att efterleva gällande lagar och förordningar, t.ex. bokföringslagen sparas så länge som sådana anspråk riskerar att bli aktuella, samt så länge som sådana lagar och förordningar ska efterlevas.

Alla anställda genomgår grundläggande dataskyddsutbildning, för att säkerställa förståelse för vikten av att hantera personuppgifter korrekt.

Medarbetare får också ta del av sådana instruktioner och rutiner som de behöver för att var och en ska kunna utföra sitt arbete i linje med Dataskyddslagstiftningen.

Detaljerad information om varje slags behandling av personuppgifter som förekommer i processer, IT-system etc. inom RISE verksamhet finns dokumenterad i RISE registerförteckning. Förteckningen administreras av dataskyddsombudet och hålls löpande uppdaterad som ett heltäckande register i enlighet med kraven i artikel 30 GDPR. Förteckningen visas upp för tillsynsmyndighet på begäran.

Varje behandling av personuppgifter ska ha en specificerad rättslig grund, t.ex. utifrån en intresseavvägning eller genom att den registrerade samtyckt till behandlingen. Inga personuppgifter får behandlas hos RISE utan identifierad och lämplig rättslig grund.

Personuppgifter får endast behandlas för specifika och tydligt angivna ändamål, och endast i den omfattning som är nödvändig, i enlighet med Dataskyddslagstiftningen.

Eventuell vidarebehandling av redan insamlade personuppgifter för nya ändamål ska alltid föregås av en noggrann utvärdering och diskuteras med RISE Juridik.

De personuppgifter som hanteras inom verksamheten ska endast vara tillgängliga för de personer som behöver dem för att utföra sina arbetsuppgifter. För känsliga personuppgifter gäller striktare behörighetsbegränsningar än för mindre känsliga uppgifter.

Personuppgifter som inte längre behövs för det ändamål de samlades in för – och som RISE inte heller är skyldig att bevara av andra skäl – ska raderas löpande i enlighet med gällande gallringsrutiner.

Alla individer vars personuppgifter hanteras av RISE har rätt till information om hur deras personuppgifter hanteras i enlighet med Dataskyddslagstiftningen.

Du har rätt att få information om vilka personuppgifter om dig som RISE behandlar. På begäran kan du kostnadsfritt få en kopia av dessa uppgifter i form av ett registerutdrag. I registerutdraget ingår information om syftet med behandlingen, vilka kategorier av personuppgifter som behandlas, vilka mottagare uppgifterna kan ha, hur länge uppgifterna sparas, varifrån uppgifterna har samlats in samt om automatiserat beslutsfattande förekommer.

Utöver detta lämnas information även inom ramen för specifika processer, exempelvis vid anmälan till evenemang, uppstart av forskningsprojekt, under rekryteringsprocesser samt vid signering av anställningsavtal.

Om RISE behandlar dina personuppgifter med stöd av intresseavvägning som rättslig grund, har du rätt att när som helst invända mot denna behandling. För att vi ska kunna fortsätta behandla dina personuppgifter efter en sådan invändning krävs att vi kan visa ett tvingande berättigat skäl som väger tyngre än dina intressen, rättigheter eller friheter. Om sådant skäl inte föreligger får vi endast behandla uppgifterna för att fastställa, utöva eller försvara rättsliga anspråk.

Du har även rätt att invända mot att dina personuppgifter används för direktmarknadsföring, inklusive profilering, det vill säga analyser av personuppgifter som ligger till grund för marknadsföringsaktiviteter. Direktmarknadsföring omfattar alla former av uppsökande marknadsföring, såsom via post, e-post och sms. Om du invänder mot behandling av dina uppgifter för direktmarknadsföringsändamål kommer vi omedelbart att upphöra med sådan behandling.

Du har rätt att begära att vi begränsar behandlingen av dina personuppgifter om behandlingen är olaglig och du motsätter dig att uppgifterna raderas, men i stället vill att vi begränsar användningen av dem. Du kan också begära begränsning om vi inte längre behöver personuppgifterna för de ändamål de samlades in för, men du behöver dem för att fastställa, göra gällande eller försvara rättsliga anspråk.

Om du anser att de personuppgifter vi behandlar om dig är felaktiga, har du rätt att begära begränsad behandling under den tid vi behöver för att kontrollera uppgifternas riktighet.

Om du invänt mot behandling som grundas på intresseavvägning, har du rätt att begära begränsad behandling under den tid vi utreder om våra berättigade intressen väger tyngre än dina intressen att få uppgifterna raderade.

Om vi beslutar att begränsa behandlingen, får vi endast – utöver att lagra personuppgifterna – behandla dem för att fastställa, göra gällande eller försvara rättsliga anspråk, för att skydda någon annans rättigheter, eller om du har gett ditt samtycke.

Du har rätt att begära att vi rättar felaktiga personuppgifter eller kompletterar ofullständiga uppgifter om dig.

Du har rätt att begära att vi överför personuppgifter om dig till en annan personuppgiftsansvarig (dataportabilitet). Vi kan dock endast tillmötesgå en sådan begäran under vissa förutsättningar: behandlingen måste baseras på samtycke eller vara nödvändig för att fullgöra ett avtal, behandlingen ska ske automatiskt, och överföringen måste vara tekniskt möjlig.

Du har rätt att begära att vi raderar personuppgifter om dig om något av följande gäller:

a) Personuppgifterna inte längre är nödvändiga för de ändamål de samlades in eller behandlades för.
b) Du återkallar ditt samtycke och det finns ingen annan rättslig grund för behandlingen.
c) Du invänder mot en intresseavvägning och ditt skäl väger tyngre än vårt berättigade intresse.
d) Du invänder mot behandling för direktmarknadsföringsändamål.
e) Personuppgifterna behandlas olagligt.
f) Personuppgifterna måste raderas för att uppfylla en rättslig skyldighet som vi omfattas av.
g) Personuppgifter om ett barn under 13 år, för vilket du har föräldraansvar, har samlats in i samband med erbjudande av informationssamhällets tjänster.

Vi kan dock neka din begäran om radering om vi behöver behandla uppgifterna för att uppfylla en rättslig skyldighet, till exempel enligt bokföringslagen. Vidare kan vi neka om behandlingen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk.

Om vi inte kan tillmötesgå din begäran om radering, kommer vi att säkerställa att personuppgifterna endast behandlas för det ändamål som förhindrar raderingen.

Om du har lämnat samtycke till en specifik behandling av dina personuppgifter kan du när som helst återkalla detta samtycke. Återkallelsen görs genom att kontakta oss skriftligt, antingen per post till RISE Research Institutes of Sweden AB, Box 857, 501 15 Borås, eller via e-post till dpo@ri.se.

Alla personuppgifter som finns hos RISE skyddas i enlighet med artikel 32 GDPR, genom säkra servrar eller andra lämpliga tekniska och organisatoriska säkerhetsåtgärder. RISE tillämpar lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifter mot bland annat förlust, missbruk och obehörig åtkomst i enlighet med artikel 32 GDPR.

Endast personer inom RISE organisation, eller inom andra bolag inom RISE-koncernen som har behov av att behandla personuppgifter i enlighet med ovan angivna ändamål har tillgång till uppgifterna.

Det förekommer att RISE lämnar ut personuppgifter till tredje part som är enskilt personuppgiftsansvarig, till exempel vid anlitande av leverantör, i ansökan om / rapportering av forskningsprojekt, försäkringsutredningar, certifieringssammanhang etc.

Laglig grund ska alltid finnas för sådant utlämnande och de registrerade ska ha fått information om att deras uppgifter lämnas ut utanför RISE.

RISE ska endast anlita personuppgiftsbiträden som, genom att vidta lämpliga tekniska och organisatoriska åtgärder, kan garantera att kraven i GDPR uppfylls också när en annan aktör behandlar personuppgifter för vår räkning. Det ska finnas skriftliga biträdesavtal med samtliga leverantörer och andra personuppgiftsbiträden.

RISE strävar efter att alltid behandla de registrerades personuppgifter inom EU/EES. Eftersom RISE använder tjänster som tillhandahålls av exempelvis Microsoft och deras molnlösningar för lagring av data, kan personuppgifter ibland överföras till och behandlas av leverantörer eller underleverantörer i tredje land.

För att säkerställa att de registrerades personuppgifter behandlas på ett säkert sätt, sker överföringar endast till länder som EU-kommissionen anser ha en adekvat skyddsnivå. Om överföring sker till ett land utan adekvat skyddsnivå baseras denna på standardavtalsklausuler godkända av Europeiska kommissionen.

För mer information om dessa klausuler och vilka länder som har adekvat skyddsnivå, vänligen besök EU-kommissionens webbplats.

För att säkerställa att behandlingen sker med en adekvat skyddsnivå kan även andra godkända mekanismer användas, såsom bindande företagsbestämmelser (BCR). Vi säkerställer även genom biträdesavtal och tydliga instruktioner till våra leverantörer och underleverantörer att dessa vidtar alla nödvändiga legala, tekniska och organisatoriska åtgärder för att garantera att personuppgifterna hanteras på ett säkert sätt.