Syftet med denna policy är att säkerställa att all information som behandlas av företaget skyddas på ett adekvat sätt för att upprätthålla:
Konfidentialitet – endast behöriga personer har tillgång till information.
Integritet/Riktighet – informationen är korrekt och skyddad mot obehörig ändring.
Tillgänglighet – informationen är tillgänglig när den behövs.
Policyn är utformad i enlighet med ISO/IEC 27001:2022 och EU:s dataskyddsförordning (GDPR).
Ledningen ansvarar för att informationssäkerhetspolicyn är aktuell och efterlevs.
Alla medarbetare ansvarar för att följa policyn och rapportera incidenter.
Dataskyddsombud (DPO) eller utsedd person ansvarar för att GDPR efterlevs.
ISO-samordnare ansvarar för riskbedömning, incidenthantering och uppföljning.
Alla användares personuppgifter behövs för att kunna ge dig tillgång till Tjänsten, för att du ska kunna använda Tjänsten, kunna skapa en behandlingshistorik åt dig som kund, kunna identifiera dig samt veta vilka användare och kunder som använder Tjänsten.
Vi behandlar också uppgifterna för att skicka utvärdering och genomföra uppföljning som du samtycker till. När du kontaktar oss via någon av kommunikationskanalerna till Eventful AB används informationen om dig för att kunna hantera ärendet, kunna kontakta dig och för att kunna förbättra vår service genom att spara ärendet vid återkommande frågor. Besöker du hemsidan www.eventful.se samtycker du till cookies för behandlingen av dina uppgifter.
Personuppgifter är all slags information som direkt eller indirekt kan hänföras till en fysisk per-son som är i livet. T.ex. kan bilder och ljudupptagningar som behandlas i dator vara personupp-gifter även om inga namn nämns. Krypterade uppgifter och olika slags elektroniska identiteter (t.ex. IP-nummer) är personuppgifter ifall de kan kopplas till fysiska personer.
Behandling av personuppgifter är allt som sker med personuppgifterna. Varje åtgärd som vidtas med personuppgifter utgör en behandling, oberoende av om den utförs automatiserat eller ej. Exempel på vanliga behandlingar är insamling, registrering, organisering, strukturering, lagring, bearbetning, överföring och radering.
Företaget behandlar personuppgifter enligt följande principer:
Registrerade har rätt till:
(Rekrytering, HR)
Ändamål
Behandlingar som utförs
Kategorier av personuppgifter
Rekrytering av kompetens
Hantering av ansökningar
Personligt brev, CV, namn, address, telefonnummer, mailadress
Laglig grund: Personuppgifterna lagras efter samtycke med respektive sökande.
Lagringsperiod: Lagring under rekryteringstiden samt ev. längre efter samtycke.
(Säljprocessen)
Ändamål
Behandlingar som utförs
Kategorier av personuppgifter
Hantering av offert/avtal
Kundregistrering i CRM, kund-register i SharePoint, webb-tjänster. Mötesanteckningar. Projekt- och kunddokumentation. E-post. E-signering. Fakturering. Offerthantering.
Namn. Organisationsuppgifter. Kontaktuppgifter (t.ex. adress, titel, roll, e-post och telefonnummer). Köphistorik eller offertförfrågningar. Anteckningar om behov, budget, beslutstid-punkt. Segmentering (t.ex. typ av kund, storlek, produktom-råde). IP-adress. Betalningshistorik. Betalningsinformation.
Laglig grund: Fullgörande av avtal. Denna insamling av dina kontaktuppgifter krävs för att vi ska kunna fullgöra åtaganden enligt avtalet.
Lagringsperiod: Så länge avtalet gäller och för en tid om 24 månader därefter i syfte att kunna hantera eventuella reklamationsärenden för information inte kommer att användas i prospekteringsarbete.
(Marknadsprocessen)
Ändamål
Behandlingar som utförs
Kategorier av personuppgifter
Marknadsföring, värva nya kunder.
Lista över prospekts, leadsgenerering, sociala medier, nyhetsbrev, eventbokning, mässkontakter
Namn. Kontaktuppgifter (t.ex. titel, e-post och telefonnummer). Klickhistorik i nyhetsbrev. Nedladdningar av material (t.ex. whitepapers, guider). Delta-gande i webbinarier eller mäs-sor. Respons på kampanjer. Samtycke till marknadsföring. Kommunikationspreferenser (t.ex. e-post, telefon, SMS)
Laglig grund: Berättigat intresse. Behandlingen är nödvändig för att tillgodose vårt och ev. nya kunder. Berättigade intresse av att fördjupa kontakten.
Lagringsperiod: Så länge intresse föreligger. Avregistrering på personens begäran görs löpande.
(Inköpsprocessen)
Ändamål
Behandlingar som utförs
Kategorier av personuppgifter
För att kunna fullgöra Eventfuls inköpsrutiner samtkunna fullgöra de krav som ISO-certifieringen ställer på Eventful.
Nödvändig hantering av leverantörsfakturor och leverantörsavtal, leverantörsenkät, för uppfyllande av företagets förpliktelser enligt lagkrav eller myndighetsbeslut.
Namn. Kontaktuppgifter (t.ex. adress, e-post och telefonnummer). Korrespondens via e-post, telefon eller andra kanaler. Mötesanteckningar och beslut kopplade till inköp. Fakturainformation som innehåller personuppgifter. Bedömningar av leverantören (kan innehålla personliga kommentarer). Incidentrapporter eller avvikelser kopplade till leverantör. Användaruppgifter om leverantören har tillgång till Eventfuls system (t.ex. support-portal, licenshantering).
Laglig grund: Fullgörande av avtal. Denna insamling av dina kontaktuppgifter krävs för att vi ska kunna fullgöra våra åtaganden enligt avtalet.
Lagringsperiod: Tills dess att köpet har genomförts (inklusive leverans och betalning) och för en tid om 36 månader därefter.
(Förvaltningsprocessen)
Ändamål
Behandlingar som utförs
Kategorier av personuppgifter
För att kunna fullgöra Eventfuls åtagande kopplat till förvaltningsavtal.
Kundinformationsregistrering i CRM, kundregister i SharePoint. Mötesanteckningar. Projekt- och kunddokumentation. E-post. Integrationer, support.
Kontaktuppgifter (t.ex. adress, e-post och telefonnummer). Korrespondens via e-post, telefon eller andra kanaler. Mötesanteckningar och beslut kopplade till försäljning. Incidentrapporter eller avvikelser kopplade till kund. Användaruppgifter om kunden har tillgång till Eventfuls sy-stem (t.ex. supportportal). Elevinskrivningar, tjänstgöringsinformation, vårdnadshavare, koppling vårdnadshavare – elev.
Laglig grund: Fullgörande av avtal. Denna insamling av kundens kontaktuppgifter och dess persondata tillhörande kundens organisation krävs för att vi ska kunna fullfölja våra åtaganden enligt avtalet.
Lagringsperiod: Enligt PUB-avtal, 30 dagar efter uppsagt förvaltningsavtal.
(Leveransprocessen)
Ändamål
Behandlingar som utförs
Kategorier av personuppgifter
För att kunna fullgöra Eventfuls åtagande kopplat till kunds avtalade leveransprojekt, alternativt beställningar från kund som hanteras som leveransuppgift.
Projektledning i CRM, kund-register i SharePoint. Mötesanteckningar. Projekt- och kunddokumentation. E-post. Integrationer.
Kontaktuppgifter (t.ex. adress, e-post och telefonnummer). Korrespondens via e-post, telefon eller andra kanaler. Mötesanteckningar och beslut. Incidentrapporter eller avvikelser kopplade till kund. Användaruppgifter om kunden har tillgång till Eventfuls system (t.ex. supportportal). Elevinskrivningar, tjänstgöringsinformation, vårdnadshavare, koppling vårdnadshavare – elev.
Laglig grund: Fullgörande av avtal. Denna insamling av kundens kontaktuppgifter och desspersondata tillhörande kundens organisation krävs för att vi ska kunna fullgöra våra åtaganden enligt avtalet.
Lagringsperiod: Enligt PUB-avtal, 30 dagar efter uppsagt förvaltningsavtal (följer förvaltningsprocessen).
Information ska klassificeras enligt följande nivåer:
Företaget genomför regelbundna riskanalyser för att identifiera hot mot informationssäkerheten och personuppgifter. Åtgärder dokumenteras och följs upp. Riskhantering sker enligt Eventfuls rutiner för ledningssystem enligt ISO270001.
Alla säkerhetsincidenter, inklusive personuppgiftsincidenter, ska rapporteras omedelbart. Företaget följer GDPR:s krav på anmälan till Integritetsskyddsmyndigheten (IMY) inom 72 timmar vid allvarliga incidenter.
Tillgång till information och system ges enligt principen om minsta privilegium. Åtkomst via organisationskonto loggas och revideras regelbundet.
Alla medarbetare får utbildning i informationssäkerhet och GDPR vid anställning och regelbundet därefter.
Policyn revideras minst årligen eller vid större förändringar i verksamheten, lagstiftning eller teknisk miljö.
Eventful använder processkartläggning för att identifiera var personuppgifter samlas in, behandlas och lagras. Detta underlag används för att upprätta personuppgiftsbehandlingsregister och säkerställa GDPR-efterlevnad.
Definitioner:
Referenser:
