Integritetspolicy

1. Inledning och tillämpningsområde

1.1. Denna integritetspolicy ("Policyn") beskriver hur Daily Wins AB, organisationsnummer 559XXX-XXXX, med säte i Göteborg, Sverige ("Bolaget", "vi", "oss" eller "vår"), i egenskap av personuppgiftsansvarig, behandlar personuppgifter i enlighet med Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning, nedan benämnd "GDPR" eller "Förordningen"), samt tillämplig svensk dataskyddslagstiftning, inbegripet men inte begränsat till lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning ("Dataskyddslagen").

1.2. Policyn är tillämplig på samtliga fysiska personer ("Registrerade", "du", "dig" eller "din") vars personuppgifter behandlas av Bolaget i samband med tillhandahållandet av Bolagets digitala eventhanteringsplattform tillgänglig via domänen event.dailywins.se ("Plattformen" eller "Tjänsten"), inbegripet men inte begränsat till registrering av användarkonto, anmälan till och deltagande i events, workshops, föreläsningar och andra aktiviteter arrangerade av eller i samarbete med Bolaget.

1.3. Genom att skapa ett användarkonto på Plattformen, anmäla dig till ett event eller på annat sätt använda Tjänsten bekräftar du att du har tagit del av och förstått innehållet i denna Policy samt att du samtycker till att dina personuppgifter behandlas i enlighet med de villkor som anges häri. För det fall du inte accepterar villkoren i denna Policy ombeds du att avstå från att använda Plattformen och Tjänsten.

1.4. Bolaget förbehåller sig rätten att när som helst och utan föregående meddelande ändra, modifiera, lägga till eller ta bort delar av denna Policy. Det åligger dig som Registrerad att regelbundet ta del av Policyn för att hålla dig informerad om eventuella ändringar. Din fortsatta användning av Plattformen efter att ändringar har publicerats utgör ett godkännande av de reviderade villkoren.

2. Personuppgiftsansvarig och kontaktuppgifter

2.1. Personuppgiftsansvarig för den behandling av personuppgifter som sker inom ramen för Tjänsten är:

2.2. För frågor, synpunkter eller klagomål avseende Bolagets behandling av personuppgifter, eller för att utöva någon av de rättigheter som tillkommer dig enligt tillämplig dataskyddslagstiftning, vänligen kontakta Bolaget via ovanstående e-postadress. Bolaget kommer att besvara din förfrågan utan onödigt dröjsmål och senast inom en (1) månad från mottagandet av förfrågan, om inte omständigheterna kräver en förlängning av denna tidsfrist i enlighet med artikel 12.3 GDPR.

3. Kategorier av personuppgifter som behandlas

3.1. Bolaget behandlar följande kategorier av personuppgifter om Registrerade i samband med tillhandahållandet av Tjänsten:

3.1.1. Identitets- och kontaktuppgifter

Härmed avses uppgifter som möjliggör identifiering av och kommunikation med den Registrerade, inbegripet men inte begränsat till: fullständigt namn (för- och efternamn), e-postadress, telefonnummer (i förekommande fall), samt uppgift om arbetsgivare eller företagstillhörighet (i förekommande fall). Dessa uppgifter samlas in direkt från den Registrerade i samband med registrering av användarkonto eller anmälan till event.

3.1.2. Kontouppgifter och autentiseringsdata

Härmed avses uppgifter som är nödvändiga för att administrera den Registrerades användarkonto och säkerställa behörig åtkomst till Plattformen, inbegripet: användar-ID (unikt identifikationsnummer), e-postadress kopplad till kontot, samt kryptografiskt hashade lösenordsuppgifter. Lösenord lagras uteslutande i krypterad form med användning av industristandardalgoritmer och är inte åtkomliga i klartext för Bolagets personal eller tredje part.

3.1.3. Eventrelaterade uppgifter

Härmed avses uppgifter som relaterar till den Registrerades interaktion med events på Plattformen, inbegripet: uppgifter om vilka events den Registrerade har anmält sig till, datum och tidpunkt för anmälan, registreringsstatus (bekräftad, avbokad, väntelista), eventuell position på väntelista, datum och tidpunkt för eventuell avbokning, samt historik över tidigare deltagande i events arrangerade via Plattformen.

3.1.4. Gästuppgifter

I de fall den Registrerade anmäler en eller flera gäster till ett event behandlar Bolaget följande uppgifter om sådana gäster: gästens fullständiga namn, e-postadress samt uppgift om arbetsgivare eller företagstillhörighet (i förekommande fall). Den Registrerade ansvarar för att inhämta erforderliga samtycken från gäster innan sådana uppgifter lämnas till Bolaget.

3.1.5. Tekniska uppgifter och metadata

Härmed avses uppgifter som genereras automatiskt i samband med den Registrerades användning av Plattformen, inbegripet: IP-adress (Internet Protocol-adress), information om webbläsartyp och version, operativsystem, enhetstyp, tidsstämplar för åtkomst och interaktioner, samt sessionsinformation lagrad i tekniskt nödvändiga cookies. Dessa uppgifter samlas in för att säkerställa Plattformens tekniska funktionalitet, för felsökningsändamål samt för att upprätthålla IT-säkerhet.

3.1.6. Kompletterande uppgifter från externa källor

I syfte att förbättra kvaliteten på Bolagets tjänster och möjliggöra effektiv kundrelationshantering kan Bolaget, i enlighet med vad som närmare anges i avsnitt 4 nedan, komplettera de uppgifter som samlats in direkt från den Registrerade med uppgifter från externa källor. Sådana kompletterande uppgifter kan innefatta: yrkestitel, befattning, LinkedIn-profiladress (URL), samt verifierad kontaktinformation.

4. Ändamål med behandlingen och rättslig grund

4.1. Bolaget behandlar personuppgifter för de ändamål och med stöd av de rättsliga grunder som anges nedan. Behandlingen sker alltid i enlighet med principerna om laglighet, korrekthet, öppenhet, ändamålsbegränsning, uppgiftsminimering, riktighet, lagringsminimering, integritet och konfidentialitet samt ansvarsskyldighet, såsom dessa principer definieras i artikel 5 GDPR.

4.2. Fullgörande av avtal (artikel 6.1 b GDPR)

4.2.1. Behandling av personuppgifter är nödvändig för att fullgöra det avtal som ingås mellan Bolaget och den Registrerade när denne skapar ett användarkonto och/eller anmäler sig till ett event. Detta innefattar behandling för följande ändamål: (i) skapande och administration av användarkonto; (ii) hantering av eventanmälningar, inbegripet bekräftelse av registrering, hantering av väntelista och eventuell tilldelning av plats vid avbokning; (iii) utskick av bokningsbekräftelser, påminnelser och annan serviceinformation relaterad till events; (iv) tillhandahållande av kalenderfiler (iCal-format) för integration med den Registrerades kalenderprogram; (v) hantering av avbokningar och ändringar av registreringar; samt (vi) kommunikation avseende ändringar i eventinformation såsom tid, plats eller program.

4.3. Fullgörande av avtal - kundrelationshantering (artikel 6.1 b GDPR)

4.3.1. Som en integrerad del av den tjänst som tillhandahålls via Plattformen ingår överföring av personuppgifter till Bolagets system för kundrelationshantering (Customer Relationship Management, "CRM") i syfte att möjliggöra uppföljning och administration av kundrelationer. Denna behandling är nödvändig för fullgörandet av avtalet mellan Bolaget och den Registrerade och omfattar: (i) synkronisering av kontaktuppgifter och eventhistorik till CRM-systemet; (ii) skapande och underhåll av kundprofiler för att möjliggöra personlig service; (iii) dokumentation av kundinteraktioner; samt (iv) planering och genomförande av uppföljningsaktiviteter efter events.

4.4. Fullgörande av avtal - anrikning av kontaktuppgifter (artikel 6.1 b GDPR)

4.4.1. I syfte att säkerställa korrekta och uppdaterade kontaktuppgifter samt för att möjliggöra relevant och anpassad kommunikation kan Bolaget, som en del av tjänsten, komplettera insamlade uppgifter med information från externa datakällor. Sådan anrikning sker inom ramen för avtalsförhållandet och kan innefatta: (i) verifiering och komplettering av kontaktuppgifter; (ii) inhämtning av yrkesrelaterad information såsom befattning och arbetsgivare; samt (iii) identifiering av professionella nätverksprofiler.

4.5. Berättigat intresse (artikel 6.1 f GDPR)

4.5.1. Viss behandling av personuppgifter sker med stöd av Bolagets berättigade intresse, där Bolaget har gjort en avvägning mellan Bolagets intressen och den Registrerades intressen, grundläggande rättigheter och friheter, och bedömt att Bolagets intressen väger tyngre. Sådan behandling omfattar: (i) analys av aggregerad och anonymiserad data i syfte att förbättra Tjänsten och utveckla nya funktioner; (ii) upprätthållande av IT-säkerhet och skydd mot obehörig åtkomst, dataintrång och annan skadlig verksamhet; (iii) förebyggande och utredning av missbruk av Tjänsten; samt (iv) framtagande av statistik över eventdeltagande för interna affärsändamål. Den Registrerade har rätt att när som helst invända mot behandling som grundar sig på berättigat intresse, varvid Bolaget kommer att göra en förnyad bedömning av om behandlingen kan fortsätta.

4.6. Rättslig förpliktelse (artikel 6.1 c GDPR)

4.6.1. Bolaget kan vara skyldigt att behandla personuppgifter för att uppfylla rättsliga förpliktelser enligt tillämplig lag, inbegripet men inte begränsat till: (i) bokförings- och redovisningsskyldigheter enligt bokföringslagen (1999:1078); (ii) skyldigheter enligt skattelagstiftning; samt (iii) skyldigheter att tillhandahålla information till behöriga myndigheter enligt lag eller myndighetsbeslut.

5. Överföring av personuppgifter till tredje part

5.1. För att kunna tillhandahålla Tjänsten anlitar Bolaget externa tjänsteleverantörer som i egenskap av personuppgiftsbiträden behandlar personuppgifter för Bolagets räkning. Bolaget har ingått personuppgiftsbiträdesavtal i enlighet med artikel 28 GDPR med samtliga leverantörer som behandlar personuppgifter på Bolagets uppdrag. Dessa avtal säkerställer att personuppgifter behandlas i enlighet med Bolagets instruktioner och tillämplig dataskyddslagstiftning.

5.2. Bolaget anlitar följande kategorier av personuppgiftsbiträden:

5.2.1. Infrastruktur- och databasleverantör

Bolaget använder Supabase Inc., ett bolag registrerat i USA med adress 970 Toa Payoh North #07-04, Singapore, för tillhandahållande av databas- och autentiseringstjänster. Supabase lagrar och behandlar personuppgifter i datacenter belägna inom EU och/eller USA. För överföringar till USA förlitar sig Bolaget på EU-kommissionens beslut om adekvat skyddsnivå för det EU-U.S. Data Privacy Framework och/eller standardavtalsklausuler antagna av EU-kommissionen i enlighet med artikel 46.2 c GDPR. Supabase behandlar följande kategorier av personuppgifter: samtliga uppgifter enligt avsnitt 3.1.1-3.1.5 ovan.

5.2.2. E-posttjänstleverantör

Bolaget använder Microsoft Corporation (Microsoft 365 / Microsoft Graph API) för utskick av transaktionsrelaterade e-postmeddelanden såsom bokningsbekräftelser, påminnelser och serviceinformation. E-post skickas via bolagets egna Microsoft 365-brevlådor. Microsoft behandlar personuppgifter i datacenter belägna inom EU/EES i enlighet med EU-U.S. Data Privacy Framework och standardavtalsklausuler. Microsoft behandlar följande kategorier av personuppgifter: namn, e-postadress, samt innehåll i meddelanden (eventinformation, kalenderbifogningar).

5.2.3. CRM-systemleverantör

Bolaget använder Pipedrive OÜ, ett bolag registrerat i Estland, för kundrelationshantering. Pipedrive behandlar personuppgifter inom EU/EES. Pipedrive behandlar följande kategorier av personuppgifter: namn, e-postadress, telefonnummer, företagstillhörighet, samt information om eventdeltagande och kundinteraktioner.

5.2.4. Leverantör av kontaktanrikningstjänster

Bolaget använder Surfe SAS, ett bolag registrerat i Frankrike, för anrikning och verifiering av kontaktuppgifter. Surfe behandlar personuppgifter inom EU/EES. Surfe behandlar följande kategorier av personuppgifter: namn, e-postadress, företagstillhörighet, samt yrkesrelaterad information såsom befattning och LinkedIn-profiladress.

5.3. Utöver ovanstående personuppgiftsbiträden kan Bolaget komma att lämna ut personuppgifter till tredje part om det krävs enligt lag, domstolsbeslut eller myndighetsbeslut, eller om det är nödvändigt för att skydda Bolagets rättsliga intressen.

6. Överföring av personuppgifter till tredje land

6.1. Som framgår av avsnitt 5 ovan kan personuppgifter komma att överföras till och behandlas i länder utanför EU/EES-området ("tredje land"), i synnerhet USA. Sådan överföring sker endast om mottagarlandet har bedömts ha en adekvat skyddsnivå enligt beslut av EU-kommissionen i enlighet med artikel 45 GDPR, eller om lämpliga skyddsåtgärder har vidtagits i enlighet med artikel 46 GDPR.

6.2. De lämpliga skyddsåtgärder som Bolaget vidtar för överföringar till tredje land inkluderar: (i) användning av standardavtalsklausuler antagna av EU-kommissionen enligt kommissionens genomförandebeslut (EU) 2021/914; (ii) förlitan på EU-kommissionens beslut om adekvat skyddsnivå, där sådant beslut föreligger; samt (iii) i förekommande fall, kompletterande tekniska och organisatoriska skyddsåtgärder såsom kryptering och pseudonymisering.

6.3. Du har rätt att på begäran erhålla en kopia av de standardavtalsklausuler eller andra lämpliga skyddsåtgärder som tillämpas vid överföring av dina personuppgifter till tredje land. Kontakta Bolaget enligt uppgifterna i avsnitt 2 för att utöva denna rätt.

7. Cookies och liknande teknik

7.1. Plattformen använder cookies och liknande tekniker för att säkerställa Plattformens grundläggande funktionalitet. En cookie är en liten textfil som lagras på den Registrerades enhet (dator, mobiltelefon eller surfplatta) när denne besöker Plattformen.

7.2. Bolaget använder uteslutande tekniskt nödvändiga cookies (även benämnda "strikt nödvändiga cookies") som är essentiella för att Plattformen ska fungera korrekt. Dessa cookies kräver inte den Registrerades samtycke enligt artikel 5.3 i Europaparlamentets och rådets direktiv 2002/58/EG (e-dataskyddsdirektivet) eftersom de är strikt nödvändiga för att tillhandahålla en tjänst som den Registrerade uttryckligen har begärt.

7.3. Följande tekniskt nödvändiga cookies används på Plattformen:

7.4. Bolaget använder inga spårningscookies, marknadsföringscookies, analyscookies eller cookies från tredje part för reklamändamål. Bolaget använder inte heller några tekniker för webbfyrar (web beacons), pixeltaggar eller liknande spårningstekniker.

8. Lagringstider

8.1. Bolaget lagrar personuppgifter endast så länge som det är nödvändigt för att uppfylla de ändamål för vilka uppgifterna samlades in, eller så länge som krävs enligt tillämplig lag. När lagringstiden har löpt ut raderas eller anonymiseras personuppgifterna på ett säkert sätt.

8.2. Följande lagringstider tillämpas för respektive kategori av personuppgifter:

8.3. Oaktat ovanstående kan Bolaget behålla personuppgifter under längre tid om det krävs för att uppfylla rättsliga förpliktelser (exempelvis bokföringslagens krav på sju års arkivering av räkenskapsinformation), för att fastställa, göra gällande eller försvara rättsliga anspråk, eller om den Registrerade har lämnat sitt samtycke till längre lagringstid.

9. Den registrerades rättigheter

9.1. Som Registrerad har du enligt GDPR ett antal rättigheter i förhållande till Bolagets behandling av dina personuppgifter. Nedan följer en redogörelse för dessa rättigheter. För att utöva någon av rättigheterna, vänligen kontakta Bolaget enligt uppgifterna i avsnitt 2.

9.2. Rätt till tillgång (artikel 15 GDPR)

Du har rätt att få bekräftelse på huruvida personuppgifter som rör dig behandlas av Bolaget, och om så är fallet, få tillgång till personuppgifterna tillsammans med information om behandlingens ändamål, kategorier av personuppgifter, mottagare eller kategorier av mottagare, lagringstid, dina rättigheter, rätten att inge klagomål till tillsynsmyndighet, uppgifternas ursprung, samt förekomsten av automatiserat beslutsfattande inklusive profilering. Du har rätt att erhålla en kopia av de personuppgifter som behandlas, varvid första kopian tillhandahålls kostnadsfritt.

9.3. Rätt till rättelse (artikel 16 GDPR)

Du har rätt att utan onödigt dröjsmål få felaktiga personuppgifter som rör dig rättade. Med beaktande av ändamålet med behandlingen har du även rätt att komplettera ofullständiga personuppgifter, bland annat genom att tillhandahålla ett kompletterande utlåtande.

9.4. Rätt till radering ("rätten att bli bortglömd") (artikel 17 GDPR)

Du har rätt att utan onödigt dröjsmål få dina personuppgifter raderade om något av följande gäller: (i) personuppgifterna är inte längre nödvändiga för de ändamål för vilka de samlades in eller på annat sätt behandlades; (ii) du återkallar det samtycke på vilket behandlingen grundar sig och det saknas annan rättslig grund för behandlingen; (iii) du invänder mot behandlingen enligt artikel 21.1 eller 21.2 GDPR och det saknas berättigade skäl som väger tyngre; (iv) personuppgifterna har behandlats på olagligt sätt; (v) personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse; eller (vi) personuppgifterna har samlats in i samband med erbjudande av informationssamhällets tjänster till barn. Rätten till radering gäller inte om behandlingen är nödvändig för att utöva yttrande- eller informationsfrihet, för att uppfylla en rättslig förpliktelse, för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, eller för att fastställa, göra gällande eller försvara rättsliga anspråk.

9.5. Rätt till begränsning av behandling (artikel 18 GDPR)

Du har rätt att kräva att behandlingen av dina personuppgifter begränsas om: (i) du bestrider personuppgifternas korrekthet, under en tid som ger Bolaget möjlighet att kontrollera om personuppgifterna är korrekta; (ii) behandlingen är olaglig och du motsätter dig att personuppgifterna raderas och i stället begär en begränsning av deras användning; (iii) Bolaget inte längre behöver personuppgifterna för ändamålen med behandlingen men du behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk; eller (iv) du har invänt mot behandlingen i enlighet med artikel 21.1 GDPR i väntan på kontroll av huruvida Bolagets berättigade skäl väger tyngre än dina berättigade skäl.

9.6. Rätt till dataportabilitet (artikel 20 GDPR)

Du har rätt att få ut de personuppgifter som rör dig och som du har tillhandahållit Bolaget i ett strukturerat, allmänt använt och maskinläsbart format, samt rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig utan att Bolaget hindrar detta, om behandlingen grundar sig på samtycke eller avtal och behandlingen sker automatiserat. Du har även rätt att få personuppgifterna överförda direkt från Bolaget till en annan personuppgiftsansvarig, om detta är tekniskt möjligt.

9.7. Rätt att göra invändningar (artikel 21 GDPR)

Du har rätt att när som helst, av skäl som hänför sig till din specifika situation, invända mot behandling av personuppgifter som rör dig som grundar sig på artikel 6.1 e (allmänt intresse) eller 6.1 f (berättigat intresse) GDPR, inbegripet profilering som grundar sig på dessa bestämmelser. Bolaget får då inte längre behandla personuppgifterna såvida inte Bolaget kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än dina intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.

9.8. Rätt att återkalla samtycke

Om behandlingen av dina personuppgifter grundar sig på samtycke har du rätt att när som helst återkalla ditt samtycke. Återkallelse av samtycke påverkar inte lagligheten av behandling som grundar sig på samtycket innan detta återkallades.

9.9. Rätt att inge klagomål till tillsynsmyndighet (artikel 77 GDPR)

Om du anser att Bolagets behandling av dina personuppgifter strider mot GDPR har du rätt att inge klagomål till en tillsynsmyndighet, i synnerhet i den medlemsstat där du har din hemvist, din arbetsplats eller där det påstådda intrånget begicks. I Sverige är tillsynsmyndigheten Integritetsskyddsmyndigheten (IMY).

10. Säkerhetsåtgärder

10.1. Bolaget har vidtagit lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, i enlighet med artikel 32 GDPR. Dessa åtgärder syftar till att skydda personuppgifter mot oavsiktlig eller olaglig förstöring, förlust eller ändring, samt mot obehörigt röjande av eller obehörig åtkomst till personuppgifter.

10.2. De tekniska säkerhetsåtgärder som Bolaget har implementerat omfattar bland annat: (i) kryptering av data under överföring med användning av TLS (Transport Layer Security) 1.2 eller senare version; (ii) kryptering av lösenord med användning av industristandardalgoritmer för hashning (bcrypt); (iii) implementering av Row Level Security (RLS) på databasnivå för att säkerställa att användare endast kan komma åt data som de är behöriga att se; (iv) regelbunden säkerhetskopiering av data; (v) användning av säkra autentiseringsmekanismer inklusive PKCE-flöde (Proof Key for Code Exchange); samt (vi) kontinuerlig övervakning och loggning av systemåtkomst.

10.3. De organisatoriska säkerhetsåtgärder som Bolaget har implementerat omfattar bland annat: (i) begränsning av åtkomst till personuppgifter till personal som behöver uppgifterna för att utföra sina arbetsuppgifter (principen om minsta privilegium); (ii) sekretessåtaganden för personal med åtkomst till personuppgifter; (iii) regelbunden utbildning av personal i dataskydd och IT-säkerhet; samt (iv) etablerade rutiner för hantering av personuppgiftsincidenter.

11. Automatiserat beslutsfattande och profilering

11.1. Bolaget använder inte automatiserat beslutsfattande, inklusive profilering, som har rättsliga följder för den Registrerade eller på liknande sätt i betydande grad påverkar den Registrerade, i den mening som avses i artikel 22 GDPR.

11.2. I den utsträckning Bolaget i framtiden skulle komma att använda sådant automatiserat beslutsfattande kommer Bolaget att implementera lämpliga åtgärder för att skydda den Registrerades rättigheter, friheter och berättigade intressen, i enlighet med tillämplig lag.

12. Ändringar av integritetspolicyn

12.1. Bolaget förbehåller sig rätten att när som helst ändra eller uppdatera denna Policy. Eventuella ändringar träder i kraft när den reviderade Policyn publiceras på Plattformen. Datumet för den senaste uppdateringen anges alltid överst i Policyn.

12.2. Vid väsentliga ändringar av Policyn som påverkar hur Bolaget behandlar dina personuppgifter kommer Bolaget att informera dig genom att publicera ett tydligt meddelande på Plattformen och/eller genom att skicka ett meddelande till den e-postadress som är kopplad till ditt användarkonto, i den utsträckning tillämplig lag så kräver.

12.3. Din fortsatta användning av Plattformen efter att ändringar har publicerats utgör ett godkännande av den reviderade Policyn. Om du inte godkänner ändringarna bör du avstå från att fortsätta använda Plattformen och kan begära att ditt konto och dina personuppgifter raderas i enlighet med avsnitt 9.4.