1. Introduktion
På samma sätt som samhället i helhet har Oh My Interactive AB “Oh My”, våra kunder, anställda och leverantörer påverkats av digitalisering och globalisering vilket har lett till betydande ökning av användning och spridning av personuppgifter. Digitalisering betyder ökade möjligheter, men också ett större behov av skydd för de registrerade personuppgifter och integritet. Denna policy beskriver de övergripande principerna som gäller för personuppgiftsbehandling inom Oh My.
1.1. Syfte
Syftet med denna policy är att definiera Oh My:s ansvar samt utse roller och ansvar för att följa dataskyddsförordningen (GDPR).
1.2. Mål
Målsättningen är att Oh My:s behandling av personuppgifter sker på laglig grund och i enlighet med GDPR:s principer för att säkerställa för våra kunder, anställda och leverantörer att vi hanterar deras personuppgifter på ett säkert och öppet sätt.
1.3. Definitioner
I denna policy används följande definitioner:
Personuppgiftsansvarig:
Den fysiska eller juridiska personen, den offentliga myndigheten, byrå eller annat organ som, ensam eller gemensamt med andra, bestämmer syftet och sättet att behandla personliga data.
Personuppgiftslämnare:
Den levande person till vilken personuppgifterna gäller. En personuppgiftslämnare definieras i denna policy som en person som Oh My har någon form av relation med, t.ex. kund, anställd, konsult eller annat.
Personuppgiftsbiträde:
En fysisk eller juridisk person, offentlig myndighet, institution eller annan som behandlar personuppgifter för den personuppgiftsansvariges räkning.
Personuppgift:
All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet räknas enligt personuppgiftslagen som personuppgifter. Även bilder (foton) och ljudupptagningar på individer som behandlas i dator kan vara personuppgifter även om inga namn nämns. Krypterade uppgifter och olika slags elektroniska identiteter, som exempelvis IP-nummer, räknas som personuppgifter om de kan kopplas till fysiska personer.
Personuppgiftsbehandling:
Alla former av åtgärder med personuppgifter är personuppgiftsbehandling, till exempel insamling, registrering, organisering, strukturering, lagring, bearbetning, ändring, framtagning, läsning, användning, utlämning, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
1.4 Omfattning
Omfattningen av denna policy är begränsad till personuppgiftsbehandling som krävs enligt de allmänna uppgifterna Skyddsförordning (GDPR). Detta omfattar Oh My, externa konsulter som utför uppgifter på uppdrag av Oh My och personuppgiftsbiträden som utför databehandling på uppdrag av Oh My.
Utöver de allmänna riktlinjerna i denna policy måste detaljerade krav i lokala dataskyddslagar, i tillämpliga fall, följas av anställda vid behandling av personuppgifter.
I det fallet Oh My är personuppgiftsbiträde för en extern organisation ska databehandlingen vara gjord i enlighet med denna policy, om inget annat anges i ett personuppgiftsbiträdesavtal mellan Oh My och den personuppgiftsansvarige.
1.5 Målgrupper
Integritetspolicyn gäller all personal som utför uppgifter på uppdrag av Oh My avseende behandling av personuppgifter. Det är också avsett att ligga till grund för information till personuppgiftslämnare rörande personuppgiftsbehandling. Det gäller även för personuppgiftsbiträden som utför personuppgifter på uppdrag av Oh My.
2 Roller och ansvar
2.1. VD
VD ska säkerställa att Oh My är ordentligt organiserade med delegerat ansvar och tillräckliga resurser för behandling av personuppgifter inom bolaget. VD nås via vd@ohmy.se
2.2. CIO
Chief Information Officer (CIO) har ansvaret att identifiera informationssäkerhetsrisker, föreslå lämplig informationskontroll och uppföljning av informationssäkerhetskontrollerna. CIO nås via cio@ohmy.se
2.4 Personuppgiftsansvarig
Personuppgiftsansvarig är alltid ansvarig för behandling av personuppgifter. Personuppgiftsansvarig är alltid den juridiska personen som kontrollerar och beslutar om hantering av personuppgifter.
2.5 Ansvarig för Personuppgiftsfrågor / Privacy Officer (PO)
Rollens uppgift är att säkerställa tillhandahållande av GDPR i sin organisation. PO nås via po@ohmy.se
2.6 Personuppgiftsbiträde
Externa leverantörer av IT-verksamhet, molntjänster och liknande där personuppgifter behandlas för Oh My:s räkning kallas personuppgiftsbiträden. Ett personuppgiftsbiträde ska utföra uppgifterna som finns specificerade i ett personuppgiftsbiträdesavtal.
2.7 Anställda
Alla anställda är personligen ansvariga för en laglig och korrekt behandling av personuppgifter i
deras dagliga arbete. Genom att följa Oh My:s styrande dokument rörande personuppgiftsbehandling bidrar medarbetarna till efterlevnad av korrekt personuppgiftsbehandling.
3 Dataskyddskrav
3.1 Rättslig grund för bearbetning
Personuppgifter får endast behandlas om vissa villkor är uppfyllda, till exempel (A) om den person till vilken personuppgifterna hänför sig har givit sitt medgivande till behandlingen. (B) Behandlingen är nödvändig för utförandet av ett kontrakt som personen är part i. (C) Behandlingen är nödvändig för att Oh My ska uppfylla en laglig skyldighet. eller (D) Oh My:s legitima intresse att behandla personuppgifter uppväger individens intresse att inte få sina personuppgifter behandlade.
3.2 Principer för behandling av personuppgifter
- Laglighet, korrekthet och öppenhet - Vid behandling av personuppgifter inom Oh My ska vi säkerställa att behandlingen är laglig, och att vi är transparenta mot personuppgiftslämnare.
- Uppgiftsminimering - Inom Oh My samlar vi aldrig in och hanterar mer personuppgifter än vad som krävs för att uppfylla uppgifternas ändamål. Det betyder att vi måste fråga oss själva i varje samling av personliga data om det är nödvändigt. Om syftet med databehandling har löpt ut måste vi ta bort personuppgifter som inte längre behövs.
- Ändamålsbegränsning - Vid insamling av personuppgifter måste vi ha ett tydligt och legitimt syfte med insamlingen och behandlingen. Om ändamålet inte längre är giltigt, måste vi ta bort de personuppgifter som behandlas enligt det ändamålet. Om vi vill behandla personuppgifter för ett nytt syfte får det inte vara oförenligt med det ursprungliga syftet, exempelvis utanför vad den berörda personuppgiftslämnaren rimligen skulle förvänta sig. Vi måste också se till att informera personuppgiftslämnaren om detta, och med vilken juridisk grund vi behandlar personuppgifterna.
- Noggrannhet - Personuppgifter måste vara korrekta och aktuella. Personuppgifter som är felaktig eller ofullständig bör raderas eller korrigeras.
- Lagringsminimering - Personuppgifter ska endast lagras så länge som nödvändigt för de ändamål för vilka uppgifterna behandlas, eller enligt vad som krävs enligt gällande lag. När den tiden har löpt ut ska personuppgifterna raderas permanent på ett säkert sätt. Om vi vill behålla personuppgifter under en längre period än vad som krävs för ändamålet måste vi se till att uppgifterna inte längre kan kopplas ihop till en person, direkt eller indirekt (anonymisering). För personuppgifter som vi mottagit från en person vi har en kundrelation med, behåller vi dessa under den tidsperiod som utgör praxis bestämd av den nationella dataskyddsmyndigheten.
- Integritet och konfidentialitet - Personuppgifterna ska skyddas bland annat mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse. Oh My ska därför vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna.
- Ansvarsskyldighet - Oh My ansvarar för att principerna om personuppgiftsbehandling följs när personuppgifter behandlas och ska kunna visa på vilket sätt man följer dem.
3.3 Personuppgiftslämnarens rättigheter
Oh My ska svara på personuppgiftslämnarens önskemål på det sätt som krävs enligt gällande lag eller på annat sätt anses vara rimligt praktiskt och lämpligt i samråd med vår PO.
- Öppenhet och information - Personer vars personuppgifter behandlas bör informeras på ett tydligt sätt. Ett sådant meddelande bör vara koncist, enkelt tillgänglig, skrivas i tydligt och enkelt språk och måste innehålla viss specifik Information.
- Rätt till information - En individ kan begära att få information om Oh My:s behandling av personuppgifter.
- Rätt till rättelse och radering - En individ kan begära att ens personuppgifter ska korrigeras eller raderas.
- Rätt att göra invändningar - En individ har i vissa fall rätt att invända mot den personuppgiftsansvariges behandling av hans eller hennes personuppgifter.
- Rätten att invända - Gäller när personuppgifter behandlas för att utföra en uppgift av allmänt intresse, som ett led i myndighetsutövning eller efter en intresseavvägning.
- En individ har rätt att klaga mot Oh My:s behandling av sina Personuppgifter.
- En individ har rätt till ersättning för skada.
3.4 Personuppgiftsansvarige och personuppgiftsbiträdets skyldigheter
När bearbetningen ska utföras av ett personuppgiftsbiträde på uppdrag av den personuppgiftsansvarige, ska personuppgiftsansvarige endast använda sig av personuppgiftsbiträden som kan lämna tillräckliga garantier för att ha implementerat tillräckligt tekniskt och organisatoriskt skydd, för att kunna möta kraven från GDPR och därmed skydda personuppgiftslämnaren
Det ska finnas ett rättsligt bindande avtal mellan personuppgiftsansvarige och personuppgiftsbiträdet som uppfyller kraven i dataskyddslagarna och vilken fördelning av ansvar som gjorts mellan parterna avseende personuppgiftsbehandlingen:
- Dataskydd genom “privacy by design” - Varje ny tjänst eller affärsprocess som introduceras av Oh My och som innebär behandling av personuppgifter bör vara utformad för att ta hänsyn till skyddet av sådana data, till exempel genom att se till att nödvändiga säkerhetsåtgärder är inbyggda i dess design ("privacy by design"). Varje sådan ny tjänst eller affärsprocess ska också utformas för att se till att som standard endast personuppgifter som är nödvändiga för det specifika syftet med behandlingen behandlas ("privacy by default").
- Konsekvensbedömning av dataskydd - Där det finns höga risker vid behandling av personuppgifter, i synnerhet när det rör nya teknologier, molntjänster och andra IT-system, bör Oh My före en sådan bearbetning genomföra en konsekvensbedömning. Oh My ska då följa datainspektionens riktlinjer om konsekvensbedömning.
- Rapportering av personuppgiftsincidenter - anställda som misstänker att denna policy eller relevanta dataskyddslagar har brutits ska kontakta Oh My:s PO omedelbart för att Oh My ska kunna följa lagstadgade anmälningskrav.
- Tillhandahållande av personuppgiftslämnarens rättigheter - som anges i kapitel 3.1 i denna policy.
- Säkerhetsåtgärder - En anställd som har tillgång till personuppgifter får endast bearbeta uppgifterna i enlighet med syftet för behandlingen, och får inte dela, distribuera eller på annat sätt avslöja personuppgifterna till en tredje part om inte instrueras att göra det av Oh My. Lämpliga tekniska och organisatoriska åtgärder bör genomföras skydda personuppgifter mot oavsiktlig eller olaglig förstörelse, oavsiktlig dataförlust eller ändring, obehörigt utlämnande eller åtkomst och andra olagliga former av
bearbetning. Lämpliga skyddsåtgärder i förhållande till risken skall vidtas. - Överföring av personuppgifter utanför EU och EEA är endast tillåten när den importerande enheten har lämnat tillräckliga garantier för att personuppgifter kommer att skyddas tillräckligt. Detta kan åstadkommas genom att använda en av EU:s standardiserade dataöverföringsavtal. Kontakta PO för ytterligare information.
- Utbildning och medvetenhet - Oh My ger tillräcklig utbildning för alla anställda, baserad på anställdas roll och ansvar.
4. Personuppgiftshantering på Oh My
4.1 Personuppgifter där Oh My är personuppgiftsansvarig
4.1.1 Uppgifter på våra företagskunder
För att kunna uppfylla avtalet med kund registreras kontaktuppgifter som exempelvis, faktura- och leveransadress. Dessa uppgifter registreras i vårt affärssystem och behandlas i fakturerings- och bokföringssyfte.
4.1.2 Leverantörer & underleverantörer
Eftersom vi köper en del tjänster som vi kan vara i behov av så behandlas personuppgifter även på dig som leverantör eller underleverantör. Detta för att vi ska kunna göra utbetalningar eller kontakta dig på ett eller annat sätt så att du effektivt ska kunna utföra ditt uppdrag eller erbjuda din produkt eller tjänst.
Detta gäller följande kategorier av registrerade:
- Medarbetare på ett leverantörsföretag
- Frilansare
- Konsulter
- Arvodister
4.1.3 Potentiella medarbetare
Vi behandlar även uppgifter i och med att det inkommer jobbansökningar till oss.
4.1.4 Registerade på vårt nyhetsbrev
Oh My ger ut ett nyhetsbrev som skickas ut ett par gånger per år. Mer om hur vi behandlar dessa uppgifter finns på https://ohmy.se/personuppgifter/
4.2. Vad vi använder dina personuppgifter till
När vi bearbetar dina personuppgifter gör vi det med ditt samtycke och/eller på behovsbasis, i syfte att kunna driva vår verksamhet, uppfylla våra avtalsenliga och juridiska skyldigheter, skydda våra system eller uppfylla andra berättigade intressen, främst relaterade till sälj-och marknadsföringsaktiviteter.
4.2.1 Fullgöra förpliktelser som uppdragsgivare
För att Oh My ska kunna fullgöra sina förpliktelser som uppdragsgivare och för att säkerställa en säker
och effektiv administration är det nödvändigt för Oh My att samla in, behandla och lagra personuppgifter på frilansare, konsulter och andra underleverantörer. Endast personuppgifter som har ett samband med uppdraget behandlas.
4.2.2 Kundsupport
Vi använder uppgifter för att ge support- och stödtjänster till dig så att du kan utnyttja våra Tjänster.
4.3 Typer av personuppgifter som vi behandlar och för vilka ändamål
Vi använder inte uppgifter till annat ändamål än vad som står beskrivet i denna policy. De data vi behandlar kan innefatta följande:
4.3.1 Namn och kontaktuppgifter
Vi samlar in för- och efternamn, e-postadress, postadress, telefonnummer, leveransuppgifter och andra liknande kontaktuppgifter. Dessa uppgifter behandlas för att vi ska kunna fullgöra avtal med våra kunder, för att vi ska kunna administrera och föra register på frilansare, för att vi ska kunna kontakta dig i rekryteringssyfte.
4.3.2 Personnummer och betalningsinformation
För att kunna uppfylla våra avtal med leverantörer, underleverantörer, kunder och arvodister behöver vi inhämta betalningsinformation. Notera att personnummer endast registreras på arvodister för att vi ska kunna registrera och utbetala avtalade arvoden.
4.3.3 Enhets- och användningsdata
Det kan innefatta även information om operativsystem, också IP-adress, enhets-id, nationella inställningar och språkinställningar.
4.3.4 Film och Foto
Gäller enbart vid kunduppdrag där vi tillhandahåller tjänster som innefattar film och foto.
4.3.5 Support och feedbackuppgifter
Vi samlar också in information som du tillhandahåller oss och innehållet i meddelanden som du skickar till oss, såsom feedback eller frågor och information du lämnar för kundsupport.
4.3.6 Känsliga personuppgifter
Vi behandlar i regel ingen känslig information, undantaget ett fåtal intervjusituationer där innehållet i sig kan vara av känslig natur. Ni som medverkar måste i dessa situationer aktivt lämna ert samtycke till medverkan och att innehållet publiceras öppet. Dock är det vår företagskund i fråga som agerar personuppgiftsansvarig i dessa situationer. Det är således dem som ansvarar för inhämtning och lagring av samtycket.
4.4 Vilka dina personuppgifter kan komma att delas till och varför vi delar dem
I de fall där vi delar information om dig med andra har vi sett till att dessa företag följer våra krav för dataskydd och de är inte tillåtna att använda personuppgifter de tar emot för något annat syfte än vad som avtalats.
4.5 System och molnleverantörer
Det kan ibland vara nödvändigt för oss att dela din information med externa bolag för att underlätta vår verksamhet, leverera våra tjänster samt fullgöra våra skyldigheter. Det kan exempelvis handla om system-och molnleverantörer vi använder oss av för att föra vårt arbete framåt. Dessa får dock inte gå och titta i vår data utan explicit tillåtelse.
4.6 E-post och annan ostrukturerad data
Oh My har en särskild intern policy för behandling av personuppgifter i e-post och annan ostrukturerad data. För det första måste vi ha en rättslig grund för att hantera e-post. Oh My kan likt andra företag och privata organisationer därför som regel behandla personuppgifter i inkommande e-post med stöd av en intresseavvägning. Policyn säger också att Oh My ska inte använda e-post för att systematisk hantering av personuppgifter, samt att gallring skall ske.
4.7 Övrigt
Slutligen kan vi komma att behöva lämna ut eller spara dina uppgifter när vi anser att det är nödvändigt för att:
- Följa lagen eller rättslig process och ge ut information till polis och andra behöriga myndigheter.
- Skydda våra kunder, exempelvis för att förhindra skräppost eller bedrägeriförsök, eller för att underlätta förhindrande av dödsfall eller allvarlig skada.
- Hantera och upprätthålla säkerheten för våra tjänster, däribland att förhindra eller stoppa en attack på våra system eller nätverk
- Skydda rättigheter eller egendom som tillhör Oh My, inklusive verkställa de villkor som styr användning av tjänsterna, men om vi får information om att någon använder våra tjänster för att handla med stulen immateriell eller fysisk egendom som tillhör Oh My kommer vi inte att själva undersöka en kunds privata innehåll, utan vi kan då överlåta ärendet till en polismyndighet.
5. Kontakta oss
Om du har en fråga om vad som gäller för dina personuppgifter, begäran om registerutdrag, ett klagomål eller en fråga till vår PO, kontaktar du oss genom att maila oss på po@ohmy.se. Vi svarar på frågor inom 30 dagar.
6.Internrevision
Oh My kommer att göra objektiva interna revisioner av denna policy, inklusive dataskydd på periodisk bas. VD på Oh My ansvarar för övergripande övervakning och genomförande av denna policy. PO ansvarar för Oh My dagliga överensstämmelse med denna policy och dataskyddslagar.
The intention of this Privacy Policy is to ensure that Oh My´s processing of personal data is done on lawful grounds and in accordance with the principles of the GDPR and that we handle our customers, employees and suppliers personal data in a safe and transparent way.1. IntroductionIn the same way as for society as a whole, Oh My Interactive AB (“Oh My”), our customers, employees and suppliers are affected by digitization and globalization which has led to a significant increase in the use and spreading of personal data. Digitization means increased opportunities, but also a greater need for protection of the data subjects' personal data and integrity. This policy describes the overall principles that apply to personal data processing within Oh My. 1.1. PurposeThe purpose of this policy is to define Oh My´s responsibility, and appoint roles and responsibilities, in order to comply with the General Data Protection Regulation (GDPR).
1.2. Objectives
The objective is that Oh My´s processing of personal data is done on lawful grounds and in accordance with the principles of the GDPR to ensure that we handle our customers, employees and suppliers personal data in a safe and transparent way.
1.3. Definitions
In this policy the following definitions are used: Data Controller: ‘Controller’ means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data. Data Subject: The natural living person to whom personal data relates to. A Data Subject is in this policy defined as any natural person that Oh My have any kind of relation with, e.g. private customer, employee, consultant and other. Data Processor: A natural or legal person, public authority, institution or other body handling personal data on behalf of the personal data controller. Personal Data: Any type of information that directly or indirectly can be referred to a natural physical and living person is according to the Data Protection Act considered personal data. This means that also photos and sound recordings of individuals that are processed in a computer can be considered personal data, even though no names are used. Encrypted data and different types of electronical identities, such as IP addresses, are also considered personal data if they can be linked to a physical person. Processing: An action or combination of personal data or sets of personal data, whether performed automated or not, such as collection, registration, organization, structuring, storage, processing or modification, production, reading, use, transfer by transmission, dissemination or provision otherwise, adjustment or assembly, restriction, erasure or destruction.
1.4 Scope
The scope of this policy is limited to Personal Data processing as required by the General Data Protection Regulation (GDPR). This covers Oh My, external consultants performing tasks on behalf of Oh My and Data processors performing data processing on behalf of Oh My. In addition to the general guidelines set out in this policy, detailed requirements in local data protection laws must, as applicable, be followed by employees when processing personal data. In the case where Oh My is Data Processor for an external organization the data processing should be done in accordance with this policy, unless otherwise stated in a Data Processing Agreement between Oh My and a Data controller.
1.5 Target groups
The Data Protection Policy applies to all staff, who performs tasks on behalf of Oh My regarding processing of personal data. It is also intended to be the basis for information to data subjects regarding personal data processing. It also applies to data processors who perform personal data processing on behalf of Oh My.
2 Roles and responsibilities
2.1. CEO
The CEO shall ensure that Oh My is appropriately organized with delegated responsibilities and sufficient resources for the processing of personal data within the company. The CEO can be contacted at ceo@ohmy.co
2.2. CIO
The Chief Information Officer (CIO) has the responsibility to identify information security risks, propose appropriate information security controls and follow up compliance towards, and efficiency of, the information security controls. The CIO can be contacted at cio@ohmy.co
2.4 Data Controller
The Controller is always responsible for the processing of personal data. The Controller is always the legal person who controls and decides the handling of personal data.
2.5 Data Protection Officer (DPO) / Privacy Officer (PO)
For many organizations the DPO is a mandatory role. Where a formal DPO is not necessary the organization can appoint a PO. The main task of the PO is to ensure provision of the GDPR in his/her organization. The PO can be contacted at po@ohmy.co2.6 Data ProcessorExternal suppliers of IT operations, cloud services and similar where personal data is processed on behalf of Oh My are called Data Processors. A Data Processor shall perform the data processing as specified in a data processing agreement.
2.7 Employees
All employees are personally responsible for the legal and correct processing of personal data in their daily work. By following Oh My´s governing documents relating to personal data processing, the employees contribute to compliant personal data processing.
3 Data Protection Requirements
3.1 Legal ground for ProcessingPersonal data may only be processed if certain conditions are met, for example (a) if the individual to whom the personal data pertains has given his or her consent to the processing; (b) the processing is necessary for the performance of a contract to which the individual is a party; (c) the processing is necessary for compliance with a legal obligation of Oh My; or (d) Oh My’s legitimate interest to process personal data outweighs the individual’s interest of not having his or her personal data processed.
3.2 Data Processing Principles
Lawful processing, accuracy and transparency - When processing Personal Data within Oh My we shall make sure that the processing is lawful and that we are transparent towards the Data Subjects.
Data minimization - Within Oh My we shall never collect and handle more Personal Data than is required to perform the purpose for which the data was collected. That means that we must ask ourselves at each collection of Personal Data, if it is required. If the purpose for the data processing has expired, we must delete the Personal Data that is no longer needed.
Purpose limitation - When collecting Personal Data, we must have a clear and legitimate purpose with the collection and further processing. If the purpose ends, we must delete the Personal Data processed under that purpose. If we want to process Personal Data for a new purpose, it must not be incompatible with the original purpose, for instance outside of what the Data Subject concerned would reasonably expect. We must also make sure to inform the Data Subject about this, and under which legal ground we are processing the Personal Data.
Accuracy - Personal data must be accurate and up to date. Personal data that is inaccurate or incomplete should be erased or corrected.
Storage limitation - Personal data should only be stored for as long as is necessary for the purposes for which it is processed, or as required by applicable law. When the retention period has expired, it should be erased in a permanent and secure way. If we want to keep Personal Data for a longer period than required for the purpose which is was collected, we must see to it that the data no longer can be connected to a Data Subject, directly or indirectly (anonymization). For Personal Data received from a Data Subject that we have a customer like relation with, we keep the Personal Data for a time period constituting best practice determined by the national Data protection authorities in each country.
Integrity and confidentiality - Personal data shall be protected, against unauthorized or illegal treatment and against loss, destruction or accidental injury. Oh My, will follow appropriate technical and organizational procedures to protect personal data. Accountability - Oh My is responsible for ensuring that the principles of personal data processing are followed when processing personal data and able to show how they are complied.
3.3 Data Subjects rightsOh My shall respond to Data Subject’s requests in the manner required by applicable law or otherwise deemed reasonably practical and appropriate in consultation with the PO.
Transparency and information - Individuals whose personal data is being processed should be provided with notice there of. Such notice should be concise, easily accessible, be written in clear and plain language, and must contain certain specific information.
Access rights - An individual may request to receive information regarding Oh My’s processing of personal data.
Rights to rectification and erasure - An individual may request to have personal data corrected or erased.
Right to object - An individual may request the (automatic) processing of personal data to be restricted.
Right to object - Applies when personal data is processed to perform a task of public interest, as part of the exercise of an administrative authority or after a weighing of interests.An individual has the right to complain against Oh My’s processing of his/her personal data.An individual has the right to compensation for damage.
3.4 Data Controllers and Data Processors Obligations
Where processing is to be carried by a processor on behalf of a controller, the controller shall use only processors providing sufficient guarantees to implement appropriate technical and organizational measures in such a manner that processing will meet the requirements of Data Protection Laws and ensure the protection of the rights of the data subject. There shall be a legal binding agreement between the Data controller and the Data Processor, which fulfills the requirements in the Data Protection Laws, and in which the distribution of responsibilities between the parties is specified regarding the personal data processing:
Data protection by design and by default - Each new service or business process introduced by Oh My that involves the processing of personal data should be designed to take the protection of such data into consideration, for example by ensuring that necessary security measures are built into its design (“privacy by design”). Each such new service or business process should also be designed to ensure that, by default, only personal data which is necessary for the specific purpose of the processing is processed (“privacy by default”).
Data protection impact assessment - Where a type of processing, in particular one using new technologies such as new IT systems or cloud services, is likely to result in a high risk to the privacy of an individual, Oh My should, prior to the processing, carry out an assessment of the impacts the contemplated processing activities may have on the protection of personal data. Oh My will follow The Swedish Data Protection Authority´s guidelines on impact assessment.
Data breach notification - Employees who suspect that this policy or relevant data protection laws have been violated should contact Oh My´s PO immediately in order for Oh My to be able to comply with statutory notification requirements.
Provision of all Data Subjects rights – As stated in chapter 3.1 of this policy.
Security measures - An employee who has access to personal data must only process the data in accordance with the purpose of the processing, and may not share, distribute, or otherwise disclose the personal data to a third party unless instructed to do so by Oh My. Appropriate technical and organizational measures should be implemented to protect personal data against accidental or unlawful destruction, accidental loss or alteration, unauthorized disclosure or access, and any other unlawful forms of processing. Such measures should be appropriate to the risks represented by the processing.Transfers of personal data to entities outside the EU and EEA, is only allowed when the importing entity has provided sufficient assurances that the personal data will be adequately protected. This may be accomplished by using one of the EU Commission’s standard data transfer agreements. Consult the PO for further information.
Training and awareness - Oh My provides adequate training for all employees based on the employees role and responsibilities.
4. Personal Data processing at Oh My
4.1 Personal Data where Oh My is Data Controller
4.1.1 Information on our corporate clients
In order to fulfill the agreement with our customers, we register contact details, such as invoice and delivery address. This data is registered in our business system and are managed for billing and accounting purposes.
4.1.2 Suppliers & Subcontractors
Because we purchase some services that we may need, we will also process personal data of our suppliers and subcontractors. This might be in order to be able to make payments or contact you so that you can effectively succeed with your assignments and so that you can continue to offer your products and services to us. This applies to the following categories:
Employees at a supplier company
Freelancers
Consultants
Temporary employees
4.1.3 Potential employees
We also process data when we receive job applications.
4.2. How we use your personal data
When processing your personal data, we do so with your consent and / or on a need basis, in order to operate our business, comply with our contractual and legal obligations, protect our systems or meet other legitimate interests, primarily related to sales and marketing activities.
4.2.1 Carry out obligations as an employer
In order for Oh My to fulfill their obligations as an employer and to ensure safe and efficient administration, Oh My is required to collect, process and store personal data from freelancers, consultants and other subcontractors. Only personal data related to the assignment are processed.
4.2.2 Client Support
We process data to provide support and support services to you so that you can you use our Services.
4.3 Types of personal data we process and for what purposes
We do not use data for purposes other than those described in this policy. The data we process may include:
4.3.1 Name and contact information
We collect first and last name, e-mail address, mailing address, phone number, delivery details and other similar contact information. This data is processed in order for us to fulfill agreements with our customers, in order to be able to administer and maintain registers on freelancers, so that we can contact you for recruitment purposes.
4.3.2 Personal identity number and payment information
In order to meet our agreements with suppliers, subcontractors, customers and temporary employees we need to collect payment information. Please note that personal identity numbers are only registered for temporary employees, so that we can register and pay the agreed fees.
4.3.3 Device and usage data
It may also include operating system information, including IP address, device ID, national settings, and language settings.
4.3.4 Film and photo
This only applies to projects for our customers where we provide services that include film and photo.
4.3.5 Support and feedback information
We also collect information that you provide us and the content of messages you send to us, such as feedback or questions and information you provide for customer support.
4.3.6 Sensitive personal data
We usually do not deal with sensitive information, except for a few interview situations where the content itself may be of a sensitive nature. In these situations, you as a participant have to give your consent and approve that the content will be publically published. However, it is our customer that acts as Data Controller in these situations. It is therefore the customer that is responsible for collecting and storing of the consent.
4.4 Who your personal data may be shared with and why we share it
In cases where we share information about you with others, we have made sure that these companies comply with our data protection requirements and are not allowed to use personal data they receive for any purpose other than agreed.
4.5 Systems and cloud services providers
It may sometimes be necessary for us to share your information with other companies to facilitate our business, deliver our services, and fulfill our obligations. For example, it may be about system and cloud services providers we use to enhance our work. However, these companies cannot view the data we process without our explicit permission.
4.6 E-mail and other types of unstructured data
Oh My has a special internal policy for processing personal data in email and other types of unstructured data. Firstly, we need a lawful ground for managing email. Oh My, like other companies and private organizations, usually process personal information in incoming emails according to the lawful ground of a weighing of interests. The policy also states that Oh My will not use email to systematically handle personal data, and will take responsibility for thinning out emails and personal data.
4.7 General information
Finally, we may need to disclose or save your information when we consider it necessary to be able to:
Comply with the law, a legal process or provide information to the police or other administrative authorities.
Protect our customers, for example, to prevent spam or fraud, or to facilitate the prevention of death or a serious injury.
Manage and maintain the security of our services, including preventing or stopping an attack on our systems or networks.
Protecting rights or property belonging to Oh My, including enforcing the terms governing the use of the services, but if we receive information that someone uses our services to trade stolen intellectual or physical property belonging to Oh My, we will not investigate a customer's private content, but we can choose to hand the matter over to the police.
5. Contact us
If you have a question as to what applies to your personal data, want to receive a compilation of the personal data we have stored about you, or if you have a complaint or a question to our PO, please contact us at po@ohmy.co. We will answer your questions within 30 days.
6. Internal AuditOh My will conduct objective, comprehensive audits of this Policy, including data protection, on a periodic basis. The CEO of Oh My is responsible for the overall oversight and implementation of this Policy. The PO is responsible for Oh My’s day-to-day compliance with this policy and Data Protection Laws.