Strigo logotype

Strigo AB

Version 1.0
Ansvarig organisation Strigo AB
Org. nr. 556921-5360
Östra Storgatan 33A
553 21 Jönköping
Dataskyddskontakt It@strigogruppen.se

1. Kort sammanfattning

Strigogruppen värnar om din personliga integritet. Detta integritetsmeddelande beskriver hur Strigogruppen behandlar personuppgifter om arbetssökande, medarbetare, elever och deltagare, kunder, leverantörer, besökare, kontaktpersoner och andra personer som kommer i kontakt med verksamheten.

Syftet är att ge tydlig information om vilka uppgifter som behandlas, varför de behandlas, vilken rättslig grund som används, hur länge uppgifterna sparas och vilka rättigheter du har enligt GDPR. Informationen ska läsas tillsammans med eventuella mer specifika meddelanden i samband med exempelvis rekrytering, utbildning, webbformulär, cookies, visselblåsning eller kameraövervakning.

2. Personuppgiftsansvarig och kontakt

Strigo AB är personuppgiftsansvarig för den behandling av personuppgifter som beskrivs i detta integritetsmeddelande, om inte annat anges i ett särskilt meddelande eller avtal.

Kontaktuppgifter: Östra Storgatan 33a, 553 21 Jönköping, [556921-5360], it@strigogruppen.se. För frågor om personuppgifter eller för att utöva dina rättigheter kan du kontakta Strigogruppen via e-post: it@strigogruppen.se

I vissa utbildningsrelaterade behandlingar kan Strigogruppen behandla personuppgifter enligt instruktion från en huvudman, beställare eller annan uppdragsgivare. I sådana fall kan Strigogruppen vara personuppgiftsbiträde och den aktuella huvudmannen/beställaren vara personuppgiftsansvarig. Det bör framgå av utbildningsavtal, uppdragsvillkor eller särskild information till deltagaren.

3. Vilka personer omfattas?

Integritetsmeddelandet omfattar framför allt följande kategorier av registrerade:

  • arbetssökande, kandidater, referenspersoner och personer som lämnar spontanansökningar,
  • anställda, konsulter, chefer, fackliga företrädare och närstående/närmast anhöriga i de fall det är nödvändigt,
  • elever, deltagare, studerande, praktikanter, utbildningskontakter och handledare,
  • kunder, kunders kontaktpersoner, potentiella kunder, deltagare i event och mottagare av informationsutskick,
  • leverantörer, avtalspartners, kontaktpersoner och företrädare för samarbetspartners,
  • besökare, användare av IT-system, personer som förekommer i supportärenden, visselblåsarärenden, incidenter eller säkerhetsrelaterade händelser.

4. Vilka personuppgifter behandlar vi?

Vilka uppgifter som behandlas beror på relationen med Strigogruppen och syftet med behandlingen. Det kan exempelvis handla om:

  • namn, kontaktuppgifter, roll, befattning, arbetsplats, organisationstillhörighet och kommunikation,
  • rekryteringsuppgifter såsom CV, personligt brev, intervjunoteringar, referenser, bedömningar och kandidatstatus,
  • anställnings- och HR-uppgifter såsom anställningsavtal, lön, frånvaro, utbildning, behörigheter, medarbetarsamtal och arbetsmiljöärenden,
  • utbildnings- och deltagaruppgifter såsom inskrivning, studieplan, närvaro, prov, betygsunderlag, intyg, praktik/APL och tillgänglighetsstöd,
  • kund-, leverantörs- och avtalsuppgifter såsom offert, order, leverans, faktura, avtal, reklamation, support och kontaktpersonshistorik,
  • IT- och säkerhetsuppgifter såsom användar-ID, behörigheter, loggar, ärendehistorik, utskriftsköer, passerloggar, kamerabilder och besöksuppgifter,
  • ekonomiska uppgifter såsom betalningsinformation, fakturaunderlag, kravhantering och bokföringsmaterial.

Strigogruppen behandlar känsliga personuppgifter endast när det finns särskilt stöd och när det är nödvändigt, till exempel i begränsade HR-, rehabiliterings-, arbetsmiljö-, utbildningsstöd- eller tillgänglighetsrelaterade situationer. Sådana uppgifter hanteras med förstärkta skyddsåtgärder och begränsad åtkomst.

5. Varför behandlar vi personuppgifter och vilken rättslig grund använder vi?

Strigogruppen behandlar personuppgifter för olika ändamål. Nedan finns en sammanfattning av de huvudsakliga behandlingsområdena. Mer detaljer finns i bilagan längst bak i dokumentet.

Område Exempel på behandlingar Huvudsakliga rättsliga grunder
HR, rekrytering och arbetsliv Rekrytering – aktiv process, Kandidatpool och spontanansökningar, Onboarding – HR och introduktion, Onboarding – konton och behörigheter, Personaladministration och personalakt, Löneadministration och arbetsgivardeklaration m.fl. (21 behandlingar) Avtal, Berättigat intresse, Rättslig förpliktelse, Samtycke
Utbildning, deltagare och elever Betygssättning och betygsdokumentation, Utfärdande av intyg på begäran, Individuella studieplaner, Validering och kartläggning av tidigare kunskaper, Nationella prov och provarkivering, Diplom och utbildningsbevis m.fl. (10 behandlingar) Avtal, Berättigat intresse, Rättslig förpliktelse, Samtycke
Kunder, försäljning, marknad och tjänsteleverans Försäljning och kundbearbetning, Leveransadministration av varor, Tjänsteleverans, Kundavtalsadministration, Reklamations- och anspråkshantering, Supportärenden m.fl. (15 behandlingar) Avtal, Berättigat intresse, Rättslig förpliktelse, Samtycke
Ekonomi, inköp och avtal Fakturering och kundfordringar, Betalningsadministration, Kontaktpersonshantering – leverantörer, Inköpsadministration, Leverantörsavtalsadministration, Bokföring och arkivering m.fl. (8 behandlingar) Avtal, Berättigat intresse, Rättslig förpliktelse
IT, säkerhet och administration Identitets- och behörighetsadministration, Loggning och säkerhetsuppföljning, IT-support och fjärrsupport, Backup och återställning, Säkerhetsövervakning och hotdetektion, Besöksadministration m.fl. (9 behandlingar) Avtal, Berättigat intresse, Rättslig förpliktelse

5.1 Rekrytering och kandidatkontakter

Vi behandlar uppgifter för att ta emot ansökningar, bedöma kandidater, kontakta referenser och genomföra rekryteringsprocesser. Under aktiv rekrytering används normalt berättigat intresse. Om uppgifter ska sparas i kandidatpool för framtida rekryteringar används normalt samtycke eller en dokumenterad opt-in-lösning.

5.2 HR, anställning och arbetsliv

Vi behandlar personuppgifter för att administrera anställning, lön, frånvaro, rehabilitering, kompetensutveckling, medarbetarsamtal, arbetsmiljö, arbetsrättsliga frågor, facklig kommunikation, onboarding och offboarding. Rättslig grund är normalt avtal, rättslig förpliktelse och i vissa fall berättigat intresse. Känsliga uppgifter, exempelvis hälsouppgifter i sjukfrånvaro och rehabilitering, hanteras endast när det är nödvändigt och med särskilt skydd.

5.3 Utbildning, elever och deltagare

Vi behandlar uppgifter för att administrera utbildningar, inskrivning, individuella studieplaner, validering, praktik/APL, prov, betygsunderlag, intyg, diplom och stöd-/tillgänglighetsinsatser. Beroende på uppdrag kan rättslig grund vara avtal, rättslig förpliktelse, allmänt intresse eller berättigat intresse. När Strigogruppen agerar på uppdrag av huvudman kan behandlingen också ske som personuppgiftsbiträde enligt huvudmannens instruktioner.

5.4 Kunder, leverantörer, marknad och tjänsteleverans

Vi behandlar uppgifter för att hantera kund- och leverantörskontakter, försäljning, offert, tjänsteleverans, order, leveranser, support, reklamationer, event, kundnöjdhet och marknadsföring. Rättsliga grunder är normalt avtal, berättigat intresse, rättslig förpliktelse och i vissa fall samtycke, exempelvis för frivilliga utskick eller viss bild-/kommunikationspublicering.

5.5 Ekonomi, inköp och avtal

Vi behandlar uppgifter för fakturering, betalning, bokföring, kravhantering, inköp, leverantörsavtal, kundavtal och e-signering. Rättslig grund är normalt rättslig förpliktelse, avtal och berättigat intresse av att administrera och bevara avtals- och bevisdokumentation.

5.6 IT, säkerhet och administration

Vi behandlar uppgifter för konton, behörigheter, IT-support, loggning, säkerhetsövervakning, backup, besök, passerkort, utskriftsmoln och kameraövervakning. Rättslig grund är normalt berättigat intresse av informationssäkerhet, drift, åtkomstkontroll och skydd av verksamheten. Vissa delar kan också grunda sig på avtal eller rättslig förpliktelse.

5.7 Visselblåsning, incidenter och rättsliga anspråk

Vi kan behandla personuppgifter för att ta emot och utreda visselblåsarärenden, incidenter, reklamationer, arbetsmiljöavvikelser och rättsliga anspråk. Sådan behandling begränsas till behöriga personer och uppgifter sparas endast så länge det finns ett sakligt och dokumenterat behov.

6. Cookies och webbplatsdata

När du besöker Strigogruppens webbplats kan teknisk information behandlas, till exempel IP-adress, enhetsinformation, webbläsarinformation, tidsstämplar och användningsdata. Vissa cookies kan vara nödvändiga för webbplatsens funktion. Analys-, marknadsförings- eller tredjepartscookies bör endast användas enligt gällande cookieinformation och, där så krävs, efter samtycke.

Innan publicering ska Strigogruppen kontrollera faktisk cookieanvändning, cookieverktyg, tredjepartsleverantörer, lagringstider och samtyckeshantering. Detta meddelande bör kompletteras med en separat cookiepolicy eller cookiepanel om webbplatsen använder icke-nödvändiga cookies.

7. Mottagare och personuppgiftsbiträden

Personuppgifter kan delas internt med de funktioner som behöver uppgifterna, till exempel HR, chefer, ekonomi, IT, sälj, marknad, kundservice, utbildningsansvariga, administration och juridik/compliance. Uppgifter kan också delas med externa mottagare när det är nödvändigt, till exempel systemleverantörer, löne- och ekonomileverantörer, rekryteringsleverantörer, utbildningsplattformar, e-signeringsleverantörer, banker, revisorer, försäkringsbolag, myndigheter, huvudmän, kunder, leverantörer eller andra parter enligt avtal eller lag.

När en leverantör behandlar personuppgifter för Strigogruppens räkning ska personuppgiftsbiträdesavtal finnas. Leverantörer ska bara få behandla uppgifter enligt instruktion och med lämpliga tekniska och organisatoriska skyddsåtgärder.

8. Överföring utanför EU/EES

Strigogruppen strävar efter att behandla personuppgifter inom EU/EES. Om personuppgifter överförs till ett land utanför EU/EES ska det finnas lagligt stöd för överföringen, till exempel EU-kommissionens standardavtalsklausuler och kompletterande skyddsåtgärder när det krävs. I registerförteckningen finns flera punkter där leverantörers underbiträden och eventuell tredjelandsöverföring bör verifieras innan publicering.

9. Hur länge sparar vi personuppgifter?

Personuppgifter sparas inte längre än vad som är nödvändigt för ändamålet. Lagringstiden varierar beroende på vilken typ av uppgift och behandling det gäller. Exempelvis gallras kandidatpooler normalt efter kortare tid, medan bokföringsunderlag sparas enligt bokföringsregler och vissa avtals-/HR-handlingar kan behöva sparas längre för att kunna hantera rättsliga anspråk.

Område Typisk lagring enligt registerförteckningen
Rekrytering Aktiv process + normalt upp till 24 månader efter avslut; kandidatpool normalt max 12 månader från samtycke/senaste kontakt.
HR och anställning Under anställningen och därefter enligt dokumenttyp; vissa kärnhandlingar normalt upp till 10 år efter avslut.
Sjukfrånvaro och rehabilitering Under ärendet och endast så länge uppgifterna behövs för skyldigheter/anspråk; omprövning ska ske och åtkomst begränsas.
Ekonomi och bokföring Räkenskapsinformation sparas normalt 7 år efter utgången av det kalenderår då räkenskapsåret avslutades.
Kund- och leverantörskontakter Under aktiv relation och normalt upp till 24 månader efter senaste relevanta kontakt om uppgifterna inte hör till avtal/bokföring.
IT-loggar och säkerhet Normalt 6-12 månader, längre vid incident, revision eller rättsligt anspråk med dokumenterat skäl.
Backup Teknisk backupretention bör normalt vara 30-90 dagar och ska inte användas som långtidsarkiv.
Kameraövervakning Normalt högst 72 timmar om inte material behövs för incident, brottsutredning eller rättsligt anspråk.
Utbildningsdokumentation Enligt huvudmannens instruktioner och tillämpliga skol-/arkivregler; arbetskopior gallras när de inte längre behövs.

Om det finns ett pågående ärende, rättsligt anspråk, myndighetskrav eller annan dokumenterad bevarandegrund kan uppgifter behöva sparas längre. Tillfälliga arbetskopior, exportfiler, lokala listor och e-postkopior ska normalt raderas tidigare än primärsystemets slutliga dokumentation.

10. Säkerhet och skyddsåtgärder

Strigogruppen använder tekniska och organisatoriska skyddsåtgärder för att skydda personuppgifter. Exempel på skyddsåtgärder är:

  • behörighetsstyrning och rollbaserad åtkomst,
  • multifaktorautentisering där det är möjligt,
  • loggning, uppföljning och incidentrutin,
  • kryptering eller annan teknisk säkerhet där det är lämpligt,
  • sekretessåtaganden och begränsad åtkomst till känsliga uppgifter,
  • dataminimering och begränsning av fritextfält,
  • periodiska behörighetskontroller, gallringskontroller och leverantörsuppföljning,
  • särskilda rutiner för HR, rehabilitering, elevdata, visselblåsning, kamera, loggar, backup och incidenter.

11. Dina rättigheter

Du har rättigheter enligt GDPR. Beroende på situation kan du ha rätt att:

  • få information om hur dina personuppgifter behandlas,
  • begära tillgång till de personuppgifter som behandlas om dig,
  • begära rättelse av felaktiga eller ofullständiga uppgifter,
  • begära radering av uppgifter när det inte längre finns grund för behandling,
  • begära begränsning av behandling,
  • invända mot behandling som grundas på berättigat intresse,
  • återkalla samtycke när behandling grundas på samtycke,
  • begära dataportabilitet när förutsättningarna är uppfyllda,
  • klaga till Integritetsskyddsmyndigheten om du anser att personuppgifter behandlas felaktigt.

En begäran kan skickas till it@strigogruppen.se . Strigogruppen kan behöva säkerställa din identitet innan en begäran hanteras.

12. Ändringar i detta integritetsmeddelande

Detta integritetsmeddelande kan uppdateras när behandlingar, system, leverantörer, lagkrav eller interna rutiner förändras. Den publicerade versionen bör ses över minst årligen och alltid när registerförteckningen ändras väsentligt.