Personuppgiftspolicy

Uppdaterad: 2020-09-30

1 Inledning

1.1 Bakgrund

Memira behandlar personuppgifter i enlighet med EUs dataskyddsförordning (GDPR, General Data Protection Regulation).

För att det ska vara tillåtet att behandla personuppgifter måste det alltid finnas ett stöd i dataskyddsförordningen, en så kallad rättslig grund. I denna personuppgiftspolicy beskrivs hur Memira (”Memira”, ”vi”, ”oss”) fullföljer de förpliktelser som följer av dataskyddsförordningen.

I denna personuppgiftspolicy beskrivs hur Memira samlar in och behandlar personuppgifter. Policyn beskriver ändamålet med behandlingen, hur länge behandlingen sker, hur informationen används och vem som får ta del av den. I tillägg till detta beskrivs också hur din information skyddas, vilka rättigheter du har avseende dina personuppgifter och hur du kommer i kontakt med oss. Vid frågor om Memiras integritetsskydd är du alltid välkommen att kontakta oss genom att skicka ett e-postmeddelande till [dataprotection@memira.eu].

1.2 Grundläggande begrepp

I dataskyddsförordningen används följande begrepp vars betydelse och tillämpning även ska gälla denna personuppgiftspolicy.

Personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

Behandling: en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller inte, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

Personuppgiftsansvarig: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt.

Personuppgiftsbiträde: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.

Tredje part: en fysisk eller juridisk person, offentlig myndighet, institution eller organ som inte är den registrerade, den personuppgiftsansvarige, personuppgiftsbiträdet eller de personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar är behöriga att behandla personuppgifterna.

Personuppgiftsincident: en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

1.3 Ändring av personuppgiftspolicy

Memira förebehåller sig rätten att ändra denna personuppgiftspolicy. Om policyn ändras kommer du att informeras om förändringen påverkar behandlingen av dina personuppgifter. Senaste versionen av Memiras personuppgiftspolicy finns alltid tillgänglig på www.memira.se. Högst upp på första sidan av denna policy ser du datum för senaste uppdatering.

2 Memiras behandling av personuppgifter

2.1 Personuppgiftsansvarig och dataskyddsombud

Memira Holding AB (org.-nummer: 556684-0079) är personuppgiftsansvarig och ansvarar för behandlingen av dina personuppgifter hos Memira, vilket innebär att Memira är ansvarig för att dina uppgifter behandlas på ett korrekt och säkert sätt i enlighet med tillämplig lagstiftning. Memira kan komma att lämna ut personuppgifter till samarbetspartners (personuppgiftsbiträden), men de har då inte rätt att behandla uppgifterna för andra syften än Memira och endast enligt Memiras uttryckliga instruktioner. Memiras kontaktuppgifter finner du sist i denna personuppgiftspolicy.

Memira har utsett ett dataskyddsombud (”Dataskyddsombudet”). Dataskyddsombudet har bland annat till uppgift att övervaka att Memiras behandling av personuppgifter sker i enlighet med tillämplig lagstiftning. Dataskyddsombudets kontaktuppgifter är [dataprotection@memira.eu].

2.2 Rättslig grund – avtal, rättslig förpliktelse, samtycke eller intresseavvägning

Det finns flera olika rättsliga grunder som ger Memira rätt att behandla dina personuppgifter. Att fullgöra ett avtal som finns upprättat med dig är en rättslig grund. Andra rättsliga grunder är för att fullgöra en rättslig förpliktelse t.ex. enligt patientdatalagen eller bokföringslagen, inhämtande av samtycke eller genom en intresseavvägning.

Har Memira inhämtat ett samtycke från dig kan du när som helst, helt eller delvis, återkalla ditt samtycke.

En intresseavvägning innebär att Memiras behandling av dina personuppgifter endast är tillåten om Memiras intresse att behandla personuppgiften anses väga tyngre än ditt intresse av integritetsskydd. Vänligen notera att du alltid har rätt att invända mot behandling av dina personuppgifter som baseras på en intresseavvägning.

2.3 Personuppgifter som lagras och samlas in

Memira samlar in och lagrar information om dig som du själv lämnar till Memira. Den information som samlas in om dig omfattar både sådan information som du själv har lämnat till oss eller till tredje part samt sådan information som samlas in automatiskt vid användning av vår hemsida. De typer av personuppgifter som lagras och samlas in är:

 

KATEGORIER AV PERSONUPPGIFTERSYFTE MED BEHANDLINGENLAGLIG GRUND
• Person- och kontaktinformation, och
• Patientdata
För att på ett säkert och ändamålsenligt sätt kunna tillhandahålla våra tjänster och för att säkerställa korrekt klinisk behandling och uppföljning.Behandlingen är nödvändig för att fullgöra avtalet med dig, d.v.s. när du genomför en operation hos Memira, och för att fullgöra Memiras rättsliga förpliktelser

• Person- och kontaktinformation, och • Patientdata
För fakturering och bokföring.Behandlingen är nödvändig för att fullgöra avtalet med dig, d.v.s. när du genomför en operation hos Memira, och för att fullgöra Memiras rättsliga förpliktelser
• Person- och kontaktinformation, och
• Patientdata
För att kunna hålla kontakten med dig avseende t.ex. besvarande av frågor via e-post eller via kundservice.Behandlingen är nödvändig för att fullgöra avtalet med dig, d.v.s. när du genomför en operation hos Memira.
• Person- och kontaktinformation, och
• Patientdata
För att kunna uppfylla författningsreglerade krav, exempelvis patientdatakrav, bokföringskrav och säkerhetskrav.Behandlingen är nödvändig för att fullgöra Memiras rättsliga förpliktelser.
• Person- och kontaktinformation, och
• Betalningsinformation
För att kunna möjlig¬göra del¬betalning eller kredit. Vid sådan behandling överförs även dina uppgifter till kreditföretaget (se köpvillkor).Behandlingen är nödvändig för att fullgöra avtalet med dig, d.v.s. när du genomför ett köp, och för att fullgöra Memiras rättsliga förpliktelser.
• Person- och kontaktinformation,
• Köphistorik och
• Patientdata
För att hantera reklamations- och garantiärenden, samt för att hantera individanpassade beställningar.Behandlingen är nödvändig för att fullgöra avtalet med dig, d.v.s. när du genomför ett köp, och för att fullgöra Memiras rättsliga förpliktelser.
• Person- och kontaktinformationFör att kunna möjliggöra marknadsföring, inklusive utskick av generell karaktär via e-post, SMS och postalt.Behandlingen är nödvändig för Memiras berättigade intresse av att marknadsföra sina tjänster till dig (intresseavvägning).
• Person- och kontaktinformation
• Enhetsinformation
För att kunna möjliggöra analys och seg¬mentering för riktade kampanjer.Behandlingen är nödvändig för Memiras berättigade intresse av att marknadsföra sina tjänster till dig (intresseavvägning).
• Person- och kontaktinformation
• Enhetsinformation
För att kunna visa dig relevanta jobberbjudanden efter att du besökt memira.se/jobbBehandlingen är nödvändig för Memiras berättigade intresse av att marknadsföra lediga tjänster till dig. Vi samlar in datan via godkännande av cookiepolicyn på vår karriärsida, memira.se/jobb.
• Person- och kontaktinformation
• Patientdata
För att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten behandlar Memira dina personuppgifter för statistiska ändamål. Detta görs bland annat genom kundenkäter för att analysera upplevelsen hos Memira samt upplevelse av resultat av våra produkter och tjänster. I den mån det är möjligt i förhållande till ändamålet anonymiseras dina personuppgifter när de används för statistiska syftenBehandlingen är nödvändig för Memiras berättigade intresse av att förbättra sina tjänster genom att uppnå en säkrare och behandling för patienterna samt att attrahera fler kunder och att öka graden av åter-kommande kunder (intresseavvägning).
• EnhetsinformationInsamling i syfte att utveckla vår hemsida för att anpassa den bättre utifrån hur Memiras hemsida (www.memira.se) används.Behandlingen är nödvändig för Memiras berättigade intresse av att förbättra, effektivisera, förenkla och utveckla hemsidan www.memira.se och i syfte att attrahera fler kunder och att öka graden av återkommande kunder (intresseavvägning).
  • Person– och kontaktinformation: Namn, titel, yrke, kön, användar-ID, födelsedata, personnummer, adress, telefon-/mobilnummer, e-post;
  • Patientdata: Journaluppgifter inklusive hälsouppgifter (se även punkt 2.2.1 nedan);
  • Betalningsinformation: Betal- och kreditkortsinformation (kortnummer, CVV-kod och giltighetsdatum), fakturainformation och bankkontonummer;
  • Köphistorik: Information om tidigare köp samt garanti- och reklamationsärenden hos Memira.
  • Enhetsinformation: IP-adress, MAC-adress, cookies eller liknande; och
  • Andra personuppgifter som du väljer att lämna till oss.

2.3.1    Särskilda kategorier av personuppgifter

Memira kan komma att behandla känsliga personuppgifter (s.k. särskilda kategorier av personuppgifter) om dig som är patient hos oss. Känsliga personuppgifter är sådana personuppgifter som lagstiftaren har bedömt förtjänar ett särskilt skydd, eftersom de till sin natur är särskilt integritetsingripande. Som huvudregel får inte känsliga personuppgifter behandlas, men det finns ett antal undantag från förbudet. Hälsouppgifter är en typ av känsliga personuppgifter. Memira måste behandla hälsouppgifter för att kunna utföra sina tjänster för dig som patient och kund. Det finns undantag från förbudet för att behandla känsliga personuppgifter för de fall behandlingen är nödvändig av skäl som hör samman med tillhandahållande av hälso- och sjukvård. Baserat på detta har Memira rätt att behandla dina hälsouppgifter trots att de är att betrakta som känsliga personuppgifter. Vänligen notera att behandlingen också måste ha en rättslig grund för att vara laglig (läs mer om rättslig grund nedan).

2.3 Ändamål och rättslig grund av personuppgiftsbehandling

Det främsta syftet med att behandla dina personuppgifter är för att Memira ska kunna uppfylla våra åtaganden gentemot dig som patient och kund, samt för att utveckla, upprätthålla och kvalitetssäkra Memiras processer och verksamhet. Nedan följer en närmare beskrivning av våra olika typer av behandlingar av dina personuppgifter och den rättsliga grunden kopplad respektive till ändamål.

För information om hur vi hanterar cookies och annan typ av tracking se 7 Användning av cookies, samt  https://www.memira.se/kakor-cookies/

3. Överföring av personuppgifter

Memira strävar efter att behandla dina personuppgifter inom EU/EES. Memira överför inte dina personuppgifter till land utanför EU/EES utöver vad som anges nedan. Om personuppgifter överförs till något land utanför EU/EES, kommer Memira att vidta åtgärder för att se till att personuppgifterna fortsätter vara skyddade och även vidta de åtgärder som krävs för att på lagligt sätt överföra personuppgifter till länder utanför EU/EES. I egenskap av personuppgiftsansvarig tar Memira ansvar för att det upprättas personuppgiftsbiträdesavtal med tredje part om personuppgifter blir föremål för behandling utanför Memira, samt för att bara anlita personuppgiftsbiträden som ger tillräckliga garantier om att dina personuppgifter skyddas på ett lämpligt sätt.

Memira lämnar ut personuppgifter till tredje part i situationer då detta är en lagstadgad skyldighet eller för att fullfölja Memiras åtagande mot dig som kund. Dina personuppgifter kommer inte att överföras eller säljas till tredje part i reklamsyfte. Memira lämnar även ut dina personuppgifter till tredje part för uppdatering och påföring av information från folkbokföringen eller andra offentliga register.

Memira tar hjälp av tredje part vid t.ex. genomförande av kundnöjdhetsundersökningar eller hantering av försäkringsärenden, vilket innebär att dina personuppgifter kan komma att överföras till tredje part som levererar sådana tjänster.

För dig som önskar betala via delbetalning vidarebefordrar Memira ditt personnummer till betalnings- och kreditföretag som behöver detta i kreditupplysningssyfte och upprättande av tillhörande kreditavtal.

De personuppgifter som Memira samlar in om dig genom din användning av Memiras webbplats kan överföras till IT-leverantör i land utanför EU/EES som är värd för, utvecklar och ger support för webbplatsen www.memira.se, samt till Google i USA, genom Google Analytics. Memira har säkerställt att dina rättigheter garanteras vid överföringen till USA genom Googles anslutning till EU-US Privacy Shield. Mer information finns tillgänglig på www.privacyshield.gov.

4. Dina rättigheter

När Memira behandlar dina personuppgifter har du vissa lagstadgade rättigheter som rör dina personuppgifter och du har möjlighet att påverka Memiras behandling av dina personuppgifter och vad som sparas. För att åberopa dessa rättigheter skickar du en skriftlig begäran, som är undertecknad av dig, till postadressen som finns angiven sist i denna personuppgiftspolicy.

4.1 Rätt till information

I denna personuppgiftspolicy beskrivs hur dina personuppgifter behandlas hos Memira och den finns alltid tillgänglig på www.memira.se. Du ska få denna information både när uppgifter om dig samlas in och när du själv begär det. Därutöver finns det vissa tillfällen när särskild information ska ges till dig, till exempel om det inträffar ett dataintrång eller liknande (en personuppgiftsincident) och det finns risk för till exempel identitetsstöld eller bedrägeri.

4.2 Begäran om utdrag

Du har utan kostnad rätt att begära ut ett utdrag över vilka av dina personuppgifter som Memira har registrerade. Detta utdrag innehåller också information om hur dessa personuppgifter behandlas, information om varifrån dessa personuppgifter har inhämtats, för vilka ändamål personuppgifterna behandlas, hur länge de kommer att sparas (eller kriterierna som används för att fastställa denna period) och till vilka mottagare personuppgifter lämnats ut.

4.3 Begäran om rättelse

Du har alltid rätt att vända dig till Memira, som personuppgiftsansvarig, för att få dina uppgifter rättade. Det innebär också att du har rätt att komplettera med sådana personuppgifter som saknas och som är relevanta med hänsyn till ändamålet med personuppgiftsbehandlingen. Om uppgifter rättas på din begäran måste Memira säkerställa att tredje part, som dina uppgifter lämnats ut till, får information om rättelsen. Det gäller dock inte om det skulle visa sig omöjligt eller innebär en alltför betungande insats.

4.4 Begäran om radering

Du har rätt att vända dig till Memira och be om att de uppgifter som avser dig raderas. Personuppgifterna måste raderas i följande fall:

 

  • Om uppgifterna inte längre behövs för de ändamål som de samlades in för;
  • Om behandlingen grundar sig på ditt samtycke och du återkallar samtycket;
  • Om behandlingen sker för direktmarknadsföring och du motsätter sig att uppgifterna behandlas;
  • Om du motsätter sig personuppgiftsbehandling efter en intresseavvägning och det inte finns berättigade skäl som väger tyngre än ditt intresse;
  • Om personuppgifterna har behandlats olagligt; eller
  • Om radering krävs för att uppfylla en rättslig skyldighet.

 

Om du begär att dina uppgifter raderas måste Memira också informera dem som Memira har lämnat ut uppgifter till om raderingen. Det gäller dock inte om det skulle visa sig omöjligt eller innebär en alltför betungande insats. Memira är i vissa fall skyldig att behandla dina personuppgifter trots att du har begärt att dessa ska tas bort.

4.5 Rätt till dataportabilitet

Du har rätt till dataportabilitet, det vill säga en rätt att under vissa förutsättningar få ut och överföra dina personuppgifter i ett strukturerat, allmänt använt och maskinläsbart format till en annan personuppgiftsansvarig.

4.6 Rätt till begränsning av behandling

Under vissa omständigheter kan du begära begränsning av fortsatt behandling av dina personuppgifter samt en rätt att invända mot behandlingen under de förutsättningar som tillämplig personuppgiftslagstiftning medger (exempelvis om du ifrågasätter om personuppgifterna är korrekta eller om behandlingen är laglig).

4.7 Rätt att klaga hos tillsynsmyndighet

Om du anser att Memira behandlar uppgifter om dig i strid med dataskyddsförordningen har du rätt att lämna in ett klagomål till Datainspektionen (som kommer att ändra namn till Integritetsskyddsmyndigheten under 2018). Datainspektionen tar del av alla klagomål och bedömer om tillsyn ska inledas och lämnar därefter besked till dig som fört fram klagomålet. Datainspektionen måste meddela om tillsyn ska inledas eller inte inom tre månader efter att ha tagit emot klagomålet. Om du som klagande inte får besked inom den tiden, kan du vända dig till domstol för att begära besked.

5 Skydd av information

Memiras målsättning är att du alltid ska känna dig trygg när du lämnar dina personuppgifter till Memira. Memira har därför vidtagit tekniska och organisatoriska säkerhetsåtgärder för att skydda dina personuppgifter mot otillbörlig åtkomst, förändring och radering. Memira kommer inte att lämna ut dina uppgifter till någon annan, annat än vad som uttryckligen följer av denna personuppgiftspolicy.

För att säkerställa att personuppgifter behandlas på ett säkert och konfidentiellt sätt använder Memira sig av datanätverk som är intrångsskyddade med bland annat brandväggar och lösenordsskydd enligt branschstandard. För att säkerställa integriteten för de personuppgifter som du lämnar via Internet kan Memira komma att använda krypteringsteknik när Memira överför sådana personuppgifter över Internet till Memiras servrar. Memiras säkerhetsrutiner uppdateras ständigt i takt med den tekniska utvecklingen. Memira har dokumenterade rutiner gällande användarintegritet, uppgifters tillgänglighet och sekretess med hänsyn till tillämplig lagstiftning.

6 Bevarande och gallring

Dina personuppgifter kommer att lagras av Memira endast under den period det är nödvändigt för att uppfylla de ändamål som uppgifterna samlades in för eller så länge Memira är skyldig att lagra dina personuppgifter enligt lag eller för att bevaka Memiras rättsliga intressen, t.ex. om det pågår en juridisk process. Därefter kommer dina personuppgifter att raderas.

I de fall din personuppgift är en del av en journalhandling ska den enligt patientdatalagen bevaras minst tio år efter det att den sista uppgiften fördes in i handlingen.

7 Användning av cookies

Memira använder cookiesliknande tekniker i syfte att tillhandahålla vissa funktioner på webbplatsen www.memira.se samt för att förbättra vår webbplats och att leverera en bättre och mer personlig service. Informationen lagras i form av en fil innehållande krypterad inloggningsdata. Informationen används för automatisk inloggning och för att komma ihåg eventuella val av inställningar på webbplatsen. Memira använder cookies i enlighet med Memiras policy för cookies, se https://www.memira.se/kakor-cookies/.

8 Länkar till andra hemsidor

På www.memira.se kan det förekomma länkar till externa webbsidor som Memira inte har bestämmande inflytande över. Dessa omfattas inte av denna personuppgiftspolicy. Memira tar inget ansvar för innehållet på de hemsidor som länkas till från www.memira.se.

9 Överföring av krypterad data och automatisk radering

Vi värnar om skyddet av dina personuppgifter och vidtar åtgärder för att säkerställa deras konfidentialitet och integritet. Som en del av våra tjänster kan vi behöva överföra krypterad data som innehåller följande personuppgifter: telefonnummer, e-postadresser, namn och information om bokningstyp.

Dessa uppgifter kan komma att matchas mot användarkonton hos tredje part, såsom Meta, för att underlätta specifika funktioner eller målinriktad marknadsföring. Vi försäkrar att all överföring av sådan krypterad data sker med nödvändiga tekniska åtgärder för att skydda dess integritet och säkerhet.

Vi vill informera dig om att när överföringen och matchningen av krypterad data har genomförts kommer den ursprungliga krypterade datan automatiskt att raderas från tredje parts system. Detta görs för att minimera lagringsperioden och säkerställa att dina personuppgifter behandlas endast så länge det är nödvändigt för de ändamål som anges i denna policy. Maximal lagringstid är 48h.

Vi följer gällande lagar och bestämmelser för dataskydd och arbetar aktivt för att säkerställa att dina personuppgifter behandlas på ett säkert och ansvarsfullt sätt.

10 Kontakta oss

Om du har frågor eller kommentarer gällande Personuppgiftspolicyn kan du kontakta oss. Om du vill åberopa din rätt att radera eller ändra de uppgifter vi har om dig behöver du göra detta skriftligt, då vi inte kan hantera personuppgifter via email.

(ange rubriken Dataskydd)

Vi värnar om skyddet av dina personuppgifter och vidtar åtgärder för att säkerställa deras konfidentialitet och integritet. Som en del av våra tjänster kan vi behöva överföra krypterad data som innehåller följande personuppgifter: telefonnummer, e-postadresser, namn och information om bokningstyp.

Memira Holding AB

Adress:
Eugeniavägen 12, 9 tr.
179 64 Solna

Telefon:
08-517 588 18

E-post:
dataprotection@memira.eu

Org.-nummer:
556684-0079