Integritetspolicy
INTEGRITETSPOLICY
1. INLEDNING OCH SYFTE
1.1.Denna integritetspolicy (”Integritetspolicyn”) gäller mellan Noord Mind AB, org.nr 559523-7511 (”Noord”), och deltagare (”Deltagaren”) i samband med användning av Noords tjänster, besök på Noords webbplats, deltagande i retreats, kontakt via e-post, bokningssystem eller via Noords sidor på sociala medier (gemensamt kallat ”Kanalerna”).
1.2.Noord är personuppgiftsansvarig för den behandling av personuppgifter (”Personuppgifter”) som sker i samband med Deltagarens interaktion med Noord genom Kanalerna, eller som annars lämnas till oss direkt av Deltagaren eller via tredje part.
1.3.Syftet med denna Integritetspolicy är att säkerställa att du som Deltagare känner dig trygg i hur vi hanterar dina Personuppgifter i enlighet med:
·Dataskyddsförordningen (EU 2016/679 – ”GDPR”),
·kompletterande svensk lagstiftning, såsom Lag (2018:218) med kompletterande bestämmelser till GDPR, och
·tillämpliga riktlinjer från Integritetsskyddsmyndigheten och Europeiska kommissionen.
1.4.Genom att använda Noords tjänster eller i övrigt kommunicera med oss via Kanalerna, samtycker du – där så krävs – till att dina Personuppgifter behandlas enligt denna Integritetspolicy, i den mån behandlingen är nödvändig för att vi ska kunna tillhandahålla våra tjänster, uppfylla rättsliga skyldigheter eller i övrigt utifrån vårt berättigade intresse.
1.5.Om du inte tillhandahåller nödvändig information, eller inte lämnar uttryckligt samtycke i de fall då detta krävs, kan vissa av Noords tjänster eller funktioner komma att begränsas.
1.6.Eventuella ändringar i denna Integritetspolicy kommuniceras via Noords webbplats eller annan relevant kanal. Den senaste versionen finns alltid tillgänglig på www.noorddarkness.com. Noord ser över denna policy minst en gång per år och vid större förändringar i behandling, teknik eller rättspraxis.
2. PERSONUPPGIFTSANSVARIG OCH KONTAKTUPPGIFTER
2.1.Noord Mind AB, org.nr 559523-7511, är personuppgiftsansvarig för den behandling av Personuppgifter som sker enligt denna Integritetspolicy.
2.2.Har du frågor om hur vi behandlar dina Personuppgifter, vill du utöva dina rättigheter enligt GDPR, eller har du andra integritetsrelaterade synpunkter, är du välkommen att kontakta oss via:
E-post: hello@noorddarkness.com
Adress: Noord Mind AB, c/o The Park, Hagaplan 4, 113 68 Stockholm
Hemsida: www.noorddarkness.com
2.3.Vi behandlar alla ärenden som rör personuppgifter skyndsamt och i enlighet med tillämplig dataskyddslagstiftning.
3. PERSONUPPGIFTSBEHANDLING, ÄNDAMÅL OCH LAGLIG GRUND
3.1.Med Personuppgift avses all slags information som direkt eller indirekt kan hänföras till en identifierbar fysisk person. I samband med att Noord tillhandahåller tjänster, hanterar bokningar eller kommunicerar med Deltagare behandlar vi personuppgifter i enlighet med denna Integritetspolicy.
3.2.Noord behandlar Personuppgifter i syfte att:
·Administrera bokningar, intresseanmälningar och kontaktförfrågningar från Deltagaren
·Tillhandahålla och följa upp tjänster såsom retreat, samtal och tillval
·Kommunicera viktig information före, under och efter deltagande i retreat
·Möjliggöra betalning och uppfylla rättsliga skyldigheter (t.ex. bokföringskrav)
·Förbättra kvalitet, mäta kundnöjdhet och följa upp användningen av våra tjänster
·Bedriva forskning och utveckling kopplat till retreatupplevelser (om separat samtycke lämnats). All eventuell forskning sker endast efter särskilt och informerat samtycke enligt punkt 4.5.
·Möjliggöra riktad och relevant marknadsföring av våra tjänster (i förekommande fall)
3.3.Den lagliga grunden för Noords behandling av Personuppgifter är i huvudsak:
·Fullgörande av avtal (t.ex. vid bokning av retreat eller samtal)
·Samtycke från Deltagaren (t.ex. för hälsodata, marknadsföring eller forskning)
·Rättslig förpliktelse (t.ex. bokföringsskyldighet enligt svensk lag)
·Noords berättigade intresse (t.ex. för kommunikation, utveckling av tjänster, eller hantering avklagomål) när detta väger tyngre än den registrerades intressen
3.4.I vissa fall behandlas känsliga uppgifter – såsom uppgifter om hälsa eller allergier – endast när det är nödvändigt för att tillhandahålla tjänsten och efter uttryckligt samtycke från Deltagaren. Mer om detta under punkt 4.
4. KÄNSLIGA PERSONUPPGIFTER
4.1.Med känsliga personuppgifter avses enligt EU:s dataskyddsförordning (GDPR) uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska data, biometriska data som används för att entydigt identifiera en person, samt uppgifter om hälsa, sexualliv eller sexuell läggning.
4.2.Noord kan behandla känsliga personuppgifter i följande sammanhang:
·Hälsouppgifter och behov kopplade till fysisk eller psykisk hälsa som Deltagaren frivilligt lämnar i Hälsodeklarationen, i syfte att möjliggöra ett tryggt och anpassat deltagande i retreaten (exempelvis vid anpassning av måltider eller säkerhetsbedömning).
·Biometriska och psykometriska data i de fall Deltagaren aktivt valt tillvalet Premium Biometriskt & Psykometriskt Paket enligt avsnitt 3.8 i de Allmänna villkoren. Denna datainsamling kan inkludera rörelsemönster, vilopositioner, fysiologiska signaler (t.ex. pulsvariation) och självrapportringar. Datan används endast för att främja återhämtning, självreglering och självinsikt.
·Noord använder inte biometriska data i syfte att entydigt identifiera Deltagaren, utan endast i syfte att möjliggöra individuell återkoppling, analys och självreglering inom ramen för retreaten.
4.3.All behandling av känsliga uppgifter sker enligt:
·Artikel 9.2 a i Dataskyddsförordningen (GDPR) – vilket innebär att den registrerade har lämnat uttryckligt samtycke till behandlingen för ett eller flera specifika ändamål.
·Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, särskilt kapitel 2 § 3 och § 5.
4.4.Deltagaren måste uttryckligen samtycka till att känsliga personuppgifter behandlas, antingen genom Hälsodeklarationen eller genom separat val av Premium Biometriskt & Psykometriskt Paket. Utan samtycke kommer ingen sådan databehandling att ske, med undantag för de hälsouppgifter som är nödvändiga för den obligatoriska säkerhetsbedömningen enligt Hälsodeklarationen. Dessa uppgifter krävs för att Noord ska kunna bedöma om deltagande är lämpligt och säkert utifrån fysiska och psykiska förutsättningar. Deltagare som inte lämnar nödvändig information i Hälsodeklarationen kan nekas deltagande i retreaten.
4.5.Om data från det biometriska tillvalet också ska användas för forskningsändamål, krävs ett separat, informerat samtycke. Noord behandlar inte sådana uppgifter för forskning utan att särskilt godkännande har lämnats. Deltagaren informeras i så fall om ändamål, typ av data, lagringstid och eventuell vidareanvändning i samband med samtyckesförfrågan. All vidareanvändning av icke-anonymiserad data för forskningsändamål kräver ett nytt och informerat samtycke. Avidentifiering av biometriska data sker enligt gängse etiska forskningsprinciper, och endast godkända forskningspartners får tillgång till denna typ av information.
5. INFORMATION TILL ANNAN
5.1.Utan Deltagarens uttryckliga tillstånd delar Noord inte Personuppgifter med tredje part på annat sätt än vad som framgår av denna Integritetspolicy eller i enlighet med tillämplig lagstiftning. Undantag görs om Noord är skyldigt att lämna ut uppgifter enligt lag, myndighetsbeslut eller inom ramen för ett pågående rättsligt, administrativt eller indrivningsförfarande där Noord är part.
5.2.Deltagarens Personuppgifter kan delas med andra bolag inom Noord-koncernen, innefattande men inte begränsat till Noord Ark AB (org.nr 559347-2793) och Noord MindTech AB (org.nr 559446-7223), om det är nödvändigt för att tillhandahålla avtalade tjänster, hantera supportärenden eller för att utveckla verksamheten. Sådan delning sker alltid inom ramen för tillämpliga dataskyddsregler.
5.3.Noord anlitar underleverantörer och samarbetspartners för tekniska och operativa funktioner, inklusive men inte begränsat till hosting, bokningssystem, datalagring, kundsupport, och betalningslösningar. Dessa aktörer fungerar som personuppgiftsbiträden och får endast behandla Personuppgifter på uppdrag av Noord och i enlighet med personuppgiftsbiträdesavtal. Endast uppgifter som är nödvändiga för att tillhandahålla den aktuella tjänsten delas.
5.4.För vissa tilläggstjänster, t.ex. betalning eller tredjepartsverktyg inom mätning och återkoppling, kan Deltagaren komma att omdirigeras till externa leverantörer som är självständigt personuppgiftsansvariga. I dessa fall ansvarar dessa leverantörer själva för den fortsatta behandlingen av Deltagarens uppgifter. Noord hänvisar Deltagaren till respektive leverantörs egen integritetspolicy för information om deras behandling.
5.5.I vissa fall kan Noord ingå forskningssamarbeten med betrodda externa aktörer såsom universitet eller forskningsinstitut. Ingen identifierbar personuppgift kommer att delas med sådana parter utan föregående och informerat samtycke från Deltagaren. Noord kan dock komma att dela anonymiserad och/eller aggregerad data, som inte kan kopplas till en enskild individ, för forsknings- eller analysändamål. Exempel på tredjepartsmottagare kan inkludera universitet som utför godkänd forskning, leverantörer av tekniska plattformar för datainsamling (t.ex. wearables), eller certifierade återkopplingsverktyg som används under retreaten. All sådan delning sker först efter separat, informerat samtycke.
5.6.Om Deltagaren valt att delta i Premium Biometriskt & Psykometriskt Paket, och samtyckt till detta enligt villkor i bokningsflödet, kan viss icke-identifierbar eller aggregerad data användas i analys- och utvecklingssyfte av såväl Noord som dess forskningspartners. Eventuell delaktighet i forskning som innefattar identifierbara uppgifter kräver alltid särskilt skriftligt samtycke.
6. LAGRING OCH GALLRING AV PERSONUPPGIFTER
6.1.Noord lagrar Personuppgifter endast så länge det är nödvändigt för att uppfylla de ändamål för vilka uppgifterna samlades in enligt denna Integritetspolicy, inklusive för att tillhandahålla avtalade tjänster, uppfylla rättsliga förpliktelser eller hantera framtida förfrågningar, t.ex. om uppföljande stöd eller deltagarintyg.
6.2.Deltagarens kontaktuppgifter, uppgifter från Hälsodeklarationen och uppgifter kopplade till retreatdeltagande lagras normalt i upp till 12 månader efter avslutad tjänst, såvida inte längre lagring krävs enligt tvingande lag, exempelvis bokföringslagen (som kräver lagring i 7 år).
6.3.Biometriska och psykometriska uppgifter som samlats in inom ramen för ett godkänt Premiumtillval gallras eller avidentifieras inom 6 månader efter retreatens avslut, om inte separat samtycke givits till längre lagring för forskningsändamål. Avidentifierad och aggregerad data kan därefter sparas i längre tid i syfte att förbättra Noords verksamhet och stödverktyg.
6.4.Noord genomför regelbundna gallringsrutiner där Personuppgifter som inte längre är nödvändiga för ändamålet anonymiseras eller raderas på ett säkert sätt, i enlighet med gällande dataskyddslagstiftning och vägledning från Integritetsskyddsmyndigheten.
6.5.Deltagaren har när som helst rätt att begära radering av sina Personuppgifter enligt artikel 17 i GDPR (“rätten att bli bortglömd”), med undantag för uppgifter som måste sparas enligt lag eller som krävs för att Noord ska kunna försvara sig mot rättsliga anspråk.
7. SÄKERHET OCH SKYDD AV PERSONUPPGIFTER
7.1.Noord vidtar lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda Personuppgifter mot obehörig åtkomst, olaglig behandling, oavsiktlig förlust, förstörelse eller skada. Dessa åtgärder omfattar bland annat kryptering, åtkomstkontroller, loggning och regelbundna säkerhetsgranskningar.
7.2.Endast särskilt behöriga medarbetare och underleverantörer med tystnadsplikt har tillgång till Personuppgifter i den utsträckning det krävs för att de ska kunna utföra sina uppgifter i relation till Noords tjänster. All behandling sker enligt principen om minsta åtkomst (“need-to-know”).
7.3.För känsliga uppgifter såsom information från Hälsodeklarationen och biometrisk/psykometrisk data gäller särskilt höga säkerhetskrav. Dessa uppgifter hanteras i separata system med begränsad åtkomst, och lagras krypterat när så är tekniskt möjligt.
7.4.Vid eventuellt personuppgiftsincident (t.ex. dataintrång) följer Noord gällande regler i Dataskyddsförordningen (GDPR) och underrättar berörda registrerade och tillsynsmyndighet (Integritetsskyddsmyndigheten) om det är nödvändigt enligt artiklarna 33–34 i GDPR.
8. RÄTT ATT BEGÄRA INFORMATION (REGISTERUTDRAG)
8.1.Deltagaren har rätt att begära ett registerutdrag som visar vilka personuppgifter Noord behandlar om denne, i enlighet med artikel 15 i dataskyddsförordningen (GDPR). Begäran ska vara skriftlig, undertecknad av Deltagaren och skickas per post till den adress som anges under avsnitt 14 i denna policy.
8.2.I begäran bör Deltagaren specificera vilka uppgifter som efterfrågas, exempelvis vilka kontaktkanaler, tidsperioder eller sammanhang behandlingen avser, för att Noord ska kunna tillhandahålla relevant information.
8.3.Registerutdrag tillhandahålls kostnadsfritt en (1) gång per kalenderår. Vid upprepade eller uppenbart ogrundade förfrågningar kan Noord ta ut en administrativ avgift eller neka begäran, i enlighet med artikel 12.5 i GDPR.
8.4.Noord skickar normalt registerutdraget inom 30 dagar från att begäran mottagits. Om begäran är omfattande eller om det föreligger hinder, kan denna period förlängas med ytterligare 30 dagar enligt artikel 12.3 GDPR. Deltagaren kommer då att informeras om skälen till förseningen.
9. RÄTT TILL RÄTTELSE
9.1. Deltagaren har rätt att få felaktiga eller ofullständiga personuppgifter rättade utan onödigt dröjsmål, enligt artikel 16 i GDPR. Detta gäller även uppdatering av kontaktuppgifter eller andra uppgifter som påverkar deltagandet i retreat.
9.2. För att begära rättelse ska Deltagaren kontakta Noord via de kontaktuppgifter som anges i avsnitt 14. En begäran om rättelse bör vara tydlig och innehålla den korrekta informationen som ska ersätta tidigare uppgift.
9.3. Noord kan neka rättelse om uppgifterna är korrekta eller om begäran är uppenbart ogrundad eller orimlig. I sådana fall informeras Deltagaren om skälen till avslaget.
9.4. Om rättelse sker, informerar Noord i förekommande fall även de mottagare (t.ex. underleverantörer eller samarbetspartners) som tidigare fått tillgång till uppgifterna, såvida det inte är omöjligt eller kräver oproportionerliga ansträngningar.
10. RÄTT ATT BLI RADERAD (“RÄTTEN ATT BLI BORTGLÖMD”)
10.1. Deltagaren har enligt artikel 17 i GDPR rätt att begära radering av sina personuppgifter i följande fall:
·Uppgifterna är inte längre nödvändiga för de syften de samlades in eller behandlades för.
·Behandlingen grundar sig på samtycke som Deltagaren återkallar, och ingen annan laglig grund föreligger.
·Behandlingen sker för direktmarknadsföring och Deltagaren motsätter sig fortsatt behandling.
·Deltagaren invänder mot behandling som grundas på berättigat intresse, och det inte finns övervägande berättigade skäl.
·Behandlingen strider mot dataskyddslagstiftning.
·Radering krävs för att uppfylla en rättslig skyldighet enligt EU-rätt eller nationell rätt.
10.2. För att begära radering ska Deltagaren kontakta Noord skriftligen via kontaktuppgifterna i avsnitt 14. Begäran ska vara tydlig och innehålla relevant underlag för varför radering önskas.
10.3. Noord kan avslå en begäran om radering om:
·Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse (t.ex. bokföringsskyldighet enligt Bokföringslagen).
·Uppgifterna krävs för att fastställa, göra gällande eller försvara rättsliga anspråk.
10.4. Om radering sker, informerar Noord i förekommande fall de mottagare som tidigare fått del av uppgifterna, såvida det inte är oproportionerligt svårt.
11. RÄTT TILL BEGRÄNSNING AV BEHANDLING
11.1. Deltagaren har enligt artikel 18 i GDPR rätt att begära att behandlingen av personuppgifter begränsas i följande fall:
·Deltagaren bestrider att uppgifterna är korrekta. Behandlingen begränsas då under den tid som Noord verifierar uppgifternas riktighet.
·Behandlingen är olaglig, men Deltagaren motsätter sig att uppgifterna raderas och begär i stället en begränsning av användningen.
·Noord behöver inte längre uppgifterna för ändamålen med behandlingen, men Deltagaren behöver dem för att fastställa, göra gällande eller försvara rättsliga anspråk.
·Deltagaren har invänt mot behandling med stöd av berättigat intresse, i väntan på kontroll av om Noords intresse väger tyngre än Deltagarens.
11.2. Begränsning innebär att de aktuella uppgifterna får lagras men inte behandlas på annat sätt, förutom:
·med samtycke från Deltagaren
·för att fastställa, göra gällande eller försvara rättsliga anspråk
·för att skydda en annan fysisk eller juridisk persons rättigheter
·av hänsyn till ett viktigt allmänt intresse för EU eller en medlemsstat
11.3.Noord informerar Deltagaren innan en begränsning upphör att gälla.
12. RÄTT TILL INVÄNDNING
12.1.Deltagaren har rätt att när som helst invända mot behandlingen av sina Personuppgifter när denna behandling grundar sig på Noords berättigade intresse (intresseavvägning). En sådan invändning ska göras skriftligen och innehålla specifik information om vilken behandling Deltagaren invänder mot. När en invändning har gjorts får Noord endast fortsätta behandla Personuppgifterna om det finns tvingande berättigade skäl som väger tyngre än Deltagarens intressen, rättigheter och friheter, eller om behandlingen sker för att fastställa, göra gällande eller försvara rättsliga anspråk.
12.2.Om Deltagarens Personuppgifter behandlas för direktmarknadsföring har Deltagaren alltid rätt att invända mot sådan behandling. När en sådan invändning görs upphör Noord omedelbart med den aktuella behandlingen i marknadsföringssyfte.
13. RÄTT TILL DATAPORTABILITET
13.1.Om Deltagaren har lämnat sina Personuppgifter till Noord har Deltagaren, i vissa fall, rätt att få ut dessa i ett strukturerat, allmänt använt och maskinläsbart format, samt att överföra dem till en annan personuppgiftsansvarig (”dataportabilitet”).
13.2.Rätten till dataportabilitet gäller endast:
·för sådana Personuppgifter som Deltagaren själv har lämnat till Noord, och
·när behandlingen sker med stöd av samtycke eller för att uppfylla ett avtal mellan Deltagaren och Noord.
13.3.Rätten gäller inte i de fall behandlingen grundas på en intresseavvägning eller rättslig skyldighet, eller om det av tekniska skäl inte är möjligt att överföra uppgifterna på ett säkert och korrekt sätt.
14. RÄTT ATT LÄMNA KLAGOMÅL TILL TILLSYNSMYNDIGHET
14.1.Om Deltagaren anser att Noord behandlar Personuppgifter i strid med gällande dataskyddsregler har Deltagaren rätt att inge klagomål till tillsynsmyndighet. I Sverige är det Integritetsskyddsmyndigheten (IMY) som utövar tillsyn enligt dataskyddsförordningen (GDPR).
14.2.Noord rekommenderar att Deltagaren i första hand kontaktar Noord för att ge möjlighet till intern utredning och lösning innan ärendet tas vidare till IMY.
15. SÄKERHET
Noord vidtar alla rimliga och nödvändiga tekniska och organisatoriska säkerhetsåtgärder enligt tillämplig dataskyddslagstiftning för att skydda Personuppgifter mot obehörig åtkomst, oavsiktlig eller olaglig förlust, ändring, obehörigt röjande eller annan otillåten behandling.
16. AUTOMATISERADE BESLUT OCH PROFILERING
16.1. Noord kan i vissa fall använda automatiserad behandling av biometriska eller psykometriska data (t.ex. sensorisk aktivitet, rörelsemönster eller självrapportringar) i syfte att ge återkoppling till Deltagaren. Detta kan innefatta automatisk analys, kategorisering eller visualisering av upplevelsedata, som ett stöd för självreglering och reflektion.
16.2. Sådan behandling sker aldrig i syfte att fatta beslut som har rättsliga eller på annat sätt betydande konsekvenser för Deltagaren. Alla automatiserade analyser utgör stöd för självreflektion och används inte som underlag för att neka, bevilja eller förändra Deltagarens rättigheter. Noord bekräftar uttryckligen att ingen automatisk analys används för att fatta beslut som påverkar deltagarens rättigheter, tillgång till retreat eller andra viktiga frågor. Alla analyser används uteslutande som stöd för självreflektion.
16.3. Noord använder inte automatiserat beslutsfattande i den mening som avses i artikel 22.1 i GDPR, dvs. behandling som leder till enbart automatiserade beslut med rättslig eller på annat sätt betydande verkan, utan föregående mänsklig granskning.
17. COOKIES OCH LOGGSTATISTIK
Noord använder cookies på sin webbplats för att förbättra användarupplevelsen och säkerställa att webbplatsen fungerar korrekt. Cookies används även för att samla in anonymiserad loggstatistik om besökare, exempelvis för att analysera trafik, identifiera populära sidor och förstå användarbeteenden.
Du kan när som helst välja att radera eller blockera cookies via inställningarna i din webbläsare. För mer information om hur Noord använder cookies hänvisas till vår särskilda [Cookiepolicy].
18. KONTAKTUPPGIFTER OCH BEGÄRAN OM RÄTTIGHETER
För att utöva sina rättigheter enligt denna Integritetspolicy – såsom att begära registerutdrag, rättelse, radering eller dataportabilitet – ska Deltagaren skicka en skriftlig, undertecknad begäran till Noord per post till:
Noord Mind AB
GDPR-ärende
c/o The Park, Hagaplan 4, 113 68 Stockholm
Begäran ska innehålla:
·Namn och kontaktuppgifter
·Kopia av giltig ID-handling (t.ex. pass eller körkort)
·Tydlig beskrivning av vilken rättighet Deltagaren önskar utöva
För allmänna frågor om denna policy eller Noords behandling av Personuppgifter kan Deltagaren kontakta Noord via e-post: hello@noorddarkness.com