Integritetspolicy för Rethink

Integritetspolicy för Rethink

1. Introduktion

Denna integritetspolicy beskriver hur Nanometer AB (org.nr. 559257-6697), som bedriver verksamhet under namnet Rethink ("vi", "oss", "vår"), samlar in, använder, skyddar och delar personuppgifter. Vi värnar om din integritet och strävar efter att alltid behandla dina personuppgifter i enlighet med gällande dataskyddslagstiftning, inklusive den allmänna dataskyddsförordningen (GDPR) och kompletterande svensk lagstiftning.

2. Vem är personuppgiftsansvarig?

Nanometer AB är personuppgiftsansvarig för behandlingen av dina personuppgifter.

  • Juridiskt namn: Nanometer AB
  • Adress: Vasagatan 48, 11120, Stockholm
  • E-post: info@rethinktattoo.com

Om du har frågor om vår behandling av personuppgifter eller vill utöva dina rättigheter, vänligen kontakta vårt dataskyddsombud:

  • Namn: Anton Zetterberg
  • E-post: Anton@rethinktattoo.com
  • Telefon: 0046732345337

3. Vilka personuppgifter samlar vi in?

Vi samlar in personuppgifter som du frivilligt tillhandahåller oss när du använder våra tjänster, besöker vår webbplats, bokar tider, fyller i formulär eller på annat sätt interagerar med oss. De kategorier av personuppgifter vi samlar in kan inkludera:

  • Grundläggande identitets- och kontaktuppgifter: Namn, adress, telefonnummer, e-postadress.
  • Betalningsinformation: Information som behövs för betalning av tjänster (t.ex. kortuppgifter, faktureringsinformation).
  • Hälsodata: Information om tidigare behandlingar, hudtyp och annan medicinsk information som en sjuksköterska och/eller hudterapeut anser nödvändig för att utföra våra tjänster på ett säkert och effektivt sätt. Detta är en särskild kategori av personuppgifter som behandlas med extra försiktighet.
  • Tekniska data: IP-adress, webbläsarhistorik, information om enhet och operativsystem.
  • Kommunikationsdata: Innehåll i kommunikation med oss via chatt, e-post eller andra kanaler.

4. För vilka ändamål behandlar vi dina personuppgifter och vilken är den rättsliga grunden?

Vi behandlar dina personuppgifter för följande ändamål och med stöd av nedanstående rättsliga grunder:

Tidsbokning och klienthantering (inkl. hantering av bokningar, påminnelser, kundregister)

Avtal: Behandlingen är nödvändig för att fullgöra vårt avtal med dig (t.ex. att boka och utföra en behandling).

Utförande av behandlingar (inkl. dokumentation av hälsodata för säker och effektiv behandling)

Samtycke: För behandling av hälsodata inhämtar vi ditt uttryckliga samtycke via behandlingsformulär innan behandlingen påbörjas. Rättslig förpliktelse: I vissa fall kan lagstiftning kräva dokumentation av hälsodata.

Marknadsföring och kommunikation (t.ex. nyhetsbrev, erbjudanden, information om tjänster)

Samtycke: För direktmarknadsföring inhämtar vi ditt samtycke via bokningsvillkor och Cookie Script-inställningar. Berättigat intresse: För kommunikation som bedöms vara av berättigat intresse (t.ex. information om liknande tjänster till befintliga kunder) efter en intresseavvägning.

Betalningshantering (inkl. fakturering och hantering av betalningar)

Avtal: Nödvändigt för att fullgöra avtalet om köp av tjänst. Rättslig förpliktelse: För att uppfylla bokföringslagens krav.

Intern administration (t.ex. personalhantering, ekonomisk uppföljning)

Rättslig förpliktelse: För att uppfylla lagkrav (t.ex. arbetsrätt, skatterätt, bokföring). Avtal: För att fullgöra anställningsavtal.

Forskning och analys (t.ex. för att förbättra tjänster, förstå kundbeteende, segmentering)

Berättigat intresse: För att analysera och förbättra våra tjänster, under förutsättning att ditt intresse av skydd för personuppgifter inte väger tyngre. Samtycke: För mer omfattande analys eller om det involverar känsliga data utöver vad som är nödvändigt för behandlingen.


5. Med vilka delar vi dina personuppgifter?

Vi delar endast dina personuppgifter med betrodda tredjepartsleverantörer när det är nödvändigt för att uppfylla de ändamål för vilka vi samlat in uppgifterna, eller när det krävs enligt lag. Dessa mottagare kan inkludera:

  • Betalningshanterare: För att hantera betalningar för våra tjänster (t.ex. Stripe, Klarna).
  • Molntjänstleverantörer: För lagring och hantering av data (t.ex. Microsoft Azure).
  • Marknadsföringsplattformar: För att skicka e-post och SMS-marknadsföring (t.ex. Klaviyo, Meta).
  • Analysleverantörer: För att analysera webbplatstrafik och kundbeteende (t.ex. Google Analytics, Funnel.io).
  • Kommunikationsplattformar: För kundsupport och kommunikation (t.ex. Intercom).
  • Redovisnings- och HR-system: För ekonomisk administration och personalhantering (t.ex. Fortnox).
  • Övriga tjänsteleverantörer: Som stöder vår verksamhet (t.ex. Senja för recensioner, Canva/Figma för design, Google Workspace för intern samverkan).

Vi har avtal med dessa leverantörer för att säkerställa att de behandlar dina personuppgifter säkert och i enlighet med våra instruktioner och gällande dataskyddslagstiftning.

6. Överföring av personuppgifter till tredjeländer

Rethink strävar efter att all behandling och lagring av personuppgifter sker inom EU/EES. Vår primära datalagring sker i Microsoft Azure-datacenter i Sverige.

Vi har verifierat med våra tredjepartsleverantörer att ingen behandling eller åtkomst av personuppgifter sker utanför EU/EES. Vi är dock medvetna om att vissa globala tjänster, även om de har datacenter inom EU, kan ha moderbolag eller personal i tredjeländer som potentiellt kan få åtkomst till data. Rethink antar att dessa leverantörer uppfyller sina egna GDPR-skyldigheter och att inga överföringar utanför EU/EES sker utan rättslig grund och lämpliga skyddsåtgärder. Vi är medvetna om att detta antagande utgör en risk då det inte aktivt verifierats för alla leverantörer.

7. Hur länge sparar vi dina personuppgifter? 

Vi sparar dina personuppgifter endast så länge det är nödvändigt för de ändamål för vilka de samlades in, eller så länge det krävs enligt lag. Därefter raderas eller anonymiseras uppgifterna säkert.

  • Kunddata (grundläggande identitet, kontakt): 3 år efter senaste aktivitet eller avslutad kundrelation, om inte längre lagring krävs av annan lag (t.ex. bokföringslagen).
  • Bokningshistorik och data kring behandlingar (inkl. hälsodata): 10 år efter den senaste behandlingen, med hänsyn till patientdatalagstiftning och eventuella krav för medicinsk uppföljning eller ansvarsfrågor.
  • Betalningsinformation: 7 år enligt bokföringslagen.
  • Marknadsföringsdata (leads, segmentering): 540 dagar efter senaste interaktion om ingen konvertering till kund, eller så länge samtycke finns och inte återkallas.
  • IP-adresser och webbläsarhistorik (för analys): 14 månader (standard för Google Analytics) eller kortare om syftet uppfylls tidigare.
  • Intern administration (anställdas data): Enligt arbetsrättsliga och skatterättsliga krav, t.ex. 7 år efter avslutad anställning för vissa uppgifter.

8. Automatiserat beslutsfattande och profilering

Vi använder automatiserad segmentering för att kategorisera kunder baserat på deras interaktioner med oss och var de befinner sig i sin kundresa (så kallade "stages"). Detta sker genom att analysera data från vårt CRM-system (Azure) och webbanalysverktyg (Google Analytics).

  • Logik: Vi kategoriserar kunder baserat på deras status i kundresan (t.ex. Learner, Explorer, Lead, Pay Go, Client, CRP, Completed, Promoter, Site / Social Visitor, Blog / Chat / DM / Booking Flow / Other, Consult booked / Digital Lead, Paying 1-10 treatments, Bought CRP, Done).
  • Betydelse och konsekvenser: Denna segmentering påverkar hur och när vi kommunicerar med dig. Till exempel kan du få anpassade erbjudanden, information om relevanta tjänster eller påminnelser baserat på din status i kundresan. Syftet är att göra vår kommunikation mer relevant och effektiv för dig.
  • Dina rättigheter: Du har rätt att invända mot denna typ av profilering för direktmarknadsföringsändamål.

9. Hur skyddar vi dina personuppgifter? (Datasäkerhet)

Vi vidtar lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda dina personuppgifter mot obehörig åtkomst, förlust, missbruk eller ändring. Dessa åtgärder inkluderar:

  • Kryptering: All data är krypterad både vid överföring och i vila.
  • Åtkomstkontroller: Endast behörig personal med tjänstebehov har åtkomst till data, och all åtkomst loggas. Vi använder rollbaserade behörigheter och säkerhetspolicyer i både backend och frontend.
  • Säkerhetskopiering och återställning: Regelbundna säkerhetskopior av all kritisk data.
  • Incidenthantering: En plan för att hantera personuppgiftsincidenter finns på plats.

10. Dina rättigheter som registrerad

Enligt GDPR har du som registrerad flera rättigheter gällande dina personuppgifter:

  • Rätt till information: Du har rätt att få information om hur dina personuppgifter behandlas.
  • Rätt till tillgång: Du har rätt att få veta om vi behandlar personuppgifter om dig och, om så är fallet, få en kopia av dessa uppgifter.
  • Rätt till rättelse: Du har rätt att få felaktiga eller ofullständiga personuppgifter om dig rättade.
  • Rätt till radering ("rätten att bli bortglömd"): Du har rätt att begära att dina personuppgifter raderas under vissa omständigheter (t.ex. om uppgifterna inte längre är nödvändiga för ändamålet).
  • Rätt till begränsning av behandling: Du har rätt att begära att behandlingen av dina personuppgifter begränsas under vissa omständigheter.
  • Rätt till dataportabilitet: Du har rätt att få ut de personuppgifter du lämnat till oss i ett strukturerat, allmänt använt och maskinläsbart format, och att överföra dessa till en annan personuppgiftsansvarig.
  • Rätt att göra invändningar: Du har rätt att invända mot behandling av dina personuppgifter som grundar sig på berättigat intresse eller allmänt intresse, samt en ovillkorlig rätt att invända mot behandling för direktmarknadsföring.
  • Rättigheter avseende automatiserat beslutsfattande och profilering: Du har rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inklusive profilering, om beslutet har rättsliga följder eller på liknande sätt i betydande grad påverkar dig.

11. Hur du utövar dina rättigheter

Om du vill utöva någon av dina rättigheter, vänligen kontakta vårt dataskyddsombud via e-post eller telefon. Vi kommer att behandla din begäran utan onödigt dröjsmål och senast inom en månad från mottagandet. Om begäran är komplex eller omfattande kan tidsfristen förlängas med ytterligare två månader, varvid vi informerar dig om detta.

12. Klagomål till tillsynsmyndigheten

Om du anser att vi behandlar dina personuppgifter i strid med GDPR har du rätt att lämna in ett klagomål till Integritetsskyddsmyndigheten (IMY), som är tillsynsmyndighet i Sverige.

  • Integritetsskyddsmyndigheten (IMY)
  • Webbplats: www.imy.se
  • E-post: imy@imy.se
  • Telefon: +46 8 657 61 00

13. Ändringar i denna integritetspolicy

Vi kan komma att uppdatera denna integritetspolicy vid behov. Den senaste versionen kommer alltid att finnas tillgänglig på vår webbplats. Vi uppmanar dig att regelbundet granska denna policy för att hålla dig informerad om hur vi skyddar dina personuppgifter.