Information om behandling av personuppgifter
1. BakgrundEpassi Benefits and Rewards AB (“Bolaget” eller “vi”) samlar in och lagrar information som du lämnar inom ramen för de nedan angivna syftena. Denna informationstext anger vilka kategorier av Personuppgifter som vi behandlar och för vilka ändamål de behandlas
Genomgående används begreppet “behandling”, vilket inrymmer samtliga åtgärder som involverar Personuppgifter, inklusive utan begränsning, insamling, hantering, lagring, delning, tillgång, användning, överföring och radering av Personuppgifter.
Vid tillhandahållandet av vårt lunchkort behandlar vi dina uppgifter som personuppgiftsbiträde för en del av behandlingen, där vi behandlar uppgifterna för din arbetsgivares räkning. Den behandling som omfattas av detta är den behandling som sker när vi administrerar förmånen från din arbetsgivare och behandlar personuppgifter för att kunna framställa ditt kort.
För att säkerställa att tillämplig lagstiftning följs, har vi ingått ett avtal med din arbetsgivare som reglerar hur vi får behandla personuppgifter för detta ändamål.
3.1. Kommunikation med slutanvändare av lunchkortet
De personuppgifter vi behandlar inom ramen för detta ändamål är:
Dina Personuppgifter som behandlas enligt denna punkt 3.1 behandlas med stöd av intresseavvägning, där bolaget har ett berättigat intresse av att kunna kommunicera med slutanvändaren av lunchkortet och tillhandahålla relevant information om lunchkortet m.m.
Personuppgifter som behandlas för det ovannämnda ändamålet kommer att gallras omedelbart efter att slutanvändaren har avslutat sitt engagemang hos bolaget, oavsett anledning.
3.2. Förande av elektroniska minnesanteckningar inom ramen för verksamheten
De personuppgifter vi behandlar inom ramen för detta ändamål är:
Dina Personuppgifter som behandlas enligt denna punkt 3.2 behandlas med stöd av intresseavvägning, där bolaget har ett berättigat intresse av att inom ramen för arbetet föra minnesanteckningar i elektroniskt format.
Personuppgifter som behandlas för det ovannämnda ändamålet kommer att gallras omedelbart efter att kundförhållandet upphört, alternativt sex (6) månader från att anteckningen sparats för de fall där det inte uppstått någon kundrelation.
3.3. Uppföljning och utvärdering, inklusive framtagande av statistik rörande e-postmottagares åtgärder när e-post från bolaget har mottagits
De personuppgifter vi behandlar inom ramen för detta ändamål är:
Dina Personuppgifter som behandlas enligt denna punkt 3.3 behandlas med stöd av intresseavvägning, där bolaget har ett berättigat intresse av att kunna följa upp vad mottagarna av e-postmeddelanden vidtar för åtgärder med anledning av de e-postmeddelanden bolaget skickar.
Personuppgifter som behandlas för det ovannämnda ändamålet kommer att gallras Omedelbart efter att den registrerades e-postadress inte längre behandlas (t.ex. om individen tackat nej till utskick).
3.4. Lagring av transaktionshistorik för att fastställa, göra gällande eller försvara rättsliga anspråk
De personuppgifter vi behandlar inom ramen för detta ändamål är:
Dina Personuppgifter som behandlas enligt denna punkt 3.4 behandlas med stöd av intresseavvägning, där bolaget har ett berättigat intresse av att kunna fastställa, göra gällande eller försvara rättsliga anspråk.
Personuppgifter som behandlas för det ovannämnda ändamålet kommer att behandlas under Tio (10) år från att en användare blivit inaktiv.
3.5. Genomförande av enkätundersökningar
De personuppgifter vi behandlar inom ramen för detta ändamål är:
Dina Personuppgifter som behandlas enligt denna punkt 3.5 behandlas med stöd av Intresseavvägning, där bolaget har ett berättigat intresse av att kunna genomföra enkätundersökningar för att kunna följa upp och utveckla verksamheten.
Personuppgifter som behandlas för det ovannämnda ändamålet kommer att behandlas under En (1) månad från att enkätundersökningen är genomförd. Om svaren fortsatt ska sparas efter denna tid ska de anonymiseras så att det inte är möjligt att identifiera den som har besvarat enkäten.
3.6. Uppföljning och utvärdering, inklusive upprättande av rapporter avseende slutanvändares användning av lunchkortet
De personuppgifter vi behandlar inom ramen för detta ändamål är:
Dina Personuppgifter som behandlas enligt denna punkt 3.6 behandlas med stöd av Intresseavvägning, där bolaget har ett berättigat intresse av att kunna följa upp och utveckla verksamheten.
Personuppgifter som behandlas för det ovannämnda ändamålet kommer att behandlas där underlaget för rapporterna bör raderas omedelbart efter att rapporten har upprättats. Rapporterna sparas i ett (1) år.
3.7. Åtkomst- och åtgärdsloggning i säkerhets- och supportsyfte
De personuppgifter vi behandlar inom ramen för detta ändamål är:
Dina Personuppgifter som behandlas enligt denna punkt 3.7 behandlas med stöd av Intresseavvägning, där bolaget har ett berättigat intresse att föra åtkomst- och åtgärdsloggar i säkerhets- och supportsyfte.
Personuppgifter som behandlas för det ovannämnda ändamålet kommer att behandlas under tiden en användare är aktiv.
3.8. Administration av ärendehantering
De personuppgifter vi behandlar inom ramen för detta ändamål är:
Dina Personuppgifter som behandlas enligt denna punkt 3.8 behandlas med stöd av intresseavvägning, där bolaget har ett berättigat intresse av att kunna hantera supportärenden och övriga IT-relaterade ärenden.
Personuppgifter som behandlas för det ovannämnda ändamålet kommer att behandlas under Tio (10) år efter att ärendet har avslutats.
3.9. Uppfylla bokförings- och redovisningsskyldighet
De personuppgifter vi behandlar inom ramen för detta ändamål är:
Dina Personuppgifter som behandlas enligt denna punkt 3.9 behandlas med stöd för att fullgöra en rättslig förpliktelse.
Personuppgifter som behandlas för det ovannämnda ändamålet kommer att behandlas under Sju (7) år efter utgången av det kalenderår då räkenskapsåret avslutades.
I enlighet med ändamålen i avsnitt 3 ovan kan vi komma att dela dina Personuppgifter med kollegor inom koncernen och med externa parter eller samarbetspartners (både i landet där du arbetar och i andra länder där vi bedriver verksamhet, inklusive länder utanför EU/EES). Samtliga överföringar som sker utanför EU/EES kommer att vara föremål för lämpliga skyddsåtgärder som möjliggör överföring utanför EU/EES, i enlighet med tillämplig lagstiftning.
Överföringar enligt detta avsnitt 4 baseras på samma lagliga grund som tillämpas för respektive ändamål (enligt vad som sägs i avsnitt 3 ovan.)
Länder utanför EU/EES, till vilka dina personuppgifter kan komma att överföras är:
Du kan när som helst återkalla ett samtycke som du har lämnat till Bolaget och som är hänförligt till sådan behandling av dina Personuppgifter som baseras på ditt samtycke.
Du återkallar ditt samtycke genom att kontakta Bolaget på de kontaktuppgifter som framgår nedan och uppge för vilket av ovanstående ändamål du väljer att återkalla ditt samtycke. Vid sådant återkallande av samtycke kommer Bolaget att upphöra att behandla dina Personuppgifter för det berörda ändamålet. Du är medveten om att du har rätt att begära radering av dina Personuppgifter i samband med återkallande av samtycke.
6.1. Rätt till rättelse och registerutdrag
Bolaget kommer att vidta åtgärder i enlighet med tillämplig lagstiftning för att hålla dina Personuppgifter korrekta, fullständiga och uppdaterade. Du har rätt till rättelse av ofullständiga eller inkorrekta Personuppgifter.
Vidare har du rätt att begära att få ut ett registerutdrag avseende dina Personuppgifter som vi behandlar.
6.2. Ytterligare rättigheter från och med 25 maj 2018
Från och med den 25 maj 2018 har du rätt till utökade rättigheter i förhållande till Bolagets behandling av dina Personuppgifter, i enlighet med nedan.
i) Rätt att motsätt dig behandlingOm behandlingen av dina personuppgifter sker på grundval av en intresseavvägning och du bedömer att ditt integritetsintresse väger tyngre än Bolagets legitima intresse att behandla dina Personuppgifter har du rätt att, mot bakgrund av skäl hänförliga till din specifika situation, motsätta dig behandlingen genom att kontakta Bolaget på de kontaktuppgifter som anges i avsnitt 6 nedan. Om du motsätter dig behandlingen måste vi visa ett tvingande berättigat skäl för att fortsatt kunna behandla Personuppgifterna.
ii) Rätt till raderingUnder vissa förutsättningar, såsom när du har återkallat ett tidigare lämnat samtycke och det saknas laglig grund för fortsatt behandling av dina Personuppgifter, har du rätt att begära radering av dina Personuppgifter.
iii) Rätt till behandlingsbegränsning
Du har under vissa förutsättningar rätt att begränsa behandlingen av dina Personuppgifter till att endast omfatta lagring av Personuppgifterna, t.ex. under tiden då vi utreder huruvida du har rätt till radering enligt punkt (ii) ovan.
iv) Rätt till tillgångDu har rätt att erhålla en bekräftelse från Bolaget att dina Personuppgifter behandlas av Bolaget och, om så är fallet, få tillgång till Personuppgifterna och följande information:
Utöver detta har du även på begäran rätt att erhålla dina Personuppgifter på ett vanligt förekommande elektroniskt format. Vänligen notera att vi har rätt att ta ut en avgift för det fall du begär mer än en (1) kopia av dina Personuppgifter.
v) Rätt till dataportabilitetNär behandlingen av dina Personuppgifter sker på grundval av ditt samtycke eller för att behandlingen är nödvändig för att fullgöra eller ingå ett avtal med dig, samt under förutsättning att Personuppgifterna har samlats in direkt från dig, har du rätt att erhålla en kopia av dina personuppgifter på ett vanligt förekommande maskinläsbart format.
vi) Rättigheter i förhållande till automatiserat beslutsfattande, inbegripet profileringDu har rätt att inte vara föremål för helt automatiserat beslutsfattande, inbegripet profilering, om sådant beslutsfattande har rättsliga följder eller på liknande sätt väsentligen påverkar dig. Denna rätt tillämpas dock inte om det automatiserade beslutsfattandet är nödvändigt för att fullgöra ett avtal med dig, om beslutsfattandet uttryckligen är tillåtet enligt lag eller om du har lämnat ditt uttryckliga samtycke till detta.
6.3. Klagomål till tillsynsmyndighet
Du får gärna kontakta oss med frågor eller klagomål som rör behandlingen av dina Personuppgifter. Du har dock även alltid rätt att framföra klagomål avseende behandlingen av dina Personuppgifter till Integritetsskyddsmyndigheten.
7. Kontakta ossOm du har några frågor eller funderingar rörande behandlingen av dina Personuppgifter, hör gärna av dig till Bolaget enligt nedanstående kontaktinformation.
Epassi Benefits and Rewards AB, org. nr. 556649-1444, Ynglingagatan 14, 113 47 Stockholm, 08-555 172 20, lunchkort@epassi.se.
Vi har tillsatt en lokal representant som kan kontaktas på LDPPC@epassi.se.
Information about processing of personal data
1. Background
Epassi Benefits and Rewards AB (the “Company“, “we” or “us“) collects and stores information that you provide to us within the scope of the below mentioned purposes. This information notice describes the purposes of the processing of your personal data and what categories of personal data that we process about you.
Throughout this information notice we use the term “processing”, which includes any and all measures that involves personal data, such as (without limitation) collection, administration, storage, sharing, access, use, transmission and deletion of personal data.
Personal data is any information which directly or indirectly refers to an identified or identifiable natural person.
Within the scope of providing you with the lunch card, we partly process your Personal Data in the capacity as data processor, on behalf of your employer. The part of the processing operations comprised by our processing as data processor are the operations carried out when we are managing the benefit from your employer, including creation of you card.
In order to ensure compliance with applicable data protection legislation, we have entered into an agreement with your employer, which regulates how we may process your Personal Data for this purpose.
3. Purposes of the processing of your personal data
3.1 Communication with user of the lunch card solution
The personal data we process within the scope of this purpose are:
Personal Data processed in accordance with this section 3.1 are processed on the basis of balancing of interests, where the company has a legitimate interest to be able to communicate with the user and e.g. provide relevant information.
Personal data processed for the above purpose will be processed for the time during which the user is an active user.
3.2 Keeping electronic notes within the scope of the business
The personal data we process within the scope of this purpose are:
Personal Data processed in accordance with this section 3.2 are processed on the basis of balancing of interests, where the company has a legitimate interest in keeping electronic notes within the scope of the work.
Personal data processed for the above purpose will be processed during the customer relationship, or six (6) months from that the electronic note has been saved if no customer relationship has been initiated.
3.3 Evaluation and follow-up, including preparation of statistics regarding e-mail recipients’ actions when receiving an e-mail from the company
The personal data we process within the scope of this purpose are:
Personal Data processed in accordance with this section 3.3 are processed on the basis of balancing of interests, where the company has a legitimate interest in being able to follow up on how the recipients of e-mail act when receiving e-mails from the company.
Personal data processed for the above purpose will be processed for the time during which the data subject’s e-mail address is processed for communication purposes.
3.4 Storage of transaction history in order to establish or defend legal claims.
The personal data we process within the scope of this purpose are:
Personal Data processed in accordance with this section 3.4 are processed on the basis of balancing of interests, where the company has a legitimate interest in storing transaction in order to establish or defend legal claims.
Personal data processed for the above purpose will be deleted Ten (10) years from when a user has become inactive.
3.5 Carrying out surveys
The personal data we process within the scope of this purpose are:
Personal Data processed in accordance with this section 3.5 are processed on the basis of balancing of interests, where the company has a legitimate interest in carrying out surveys in order to evaluate and develop the business.
Personal data processed for the above purpose will be processed one (1) month from when the survey was carried out. If the answers are to be stored for a longer period, the answers should be anonymized.
3.6 Evaluation and follow-up, including drafting reports regarding the end user’s use of the Sodexo card
The personal data we process within the scope of this purpose are:
Personal Data processed in accordance with this section 3.6 are processed on the basis of Balancing of interests, where the company has a legitimate interest to evaluate and develop the business.
Personal data processed for the above purpose will be processed in such that the basis of the reports should be deleted immediately when the report has been drafted. The reports are stored for one (1) year.
3.7 Keeping access and action logs of users for security and support purposes.
The personal data we process within the scope of this purpose are:
Personal Data processed in accordance with this section 3.7 are processed on the basis of balancing of interests, where the company has a legitimate interest in keeping logs for security and support purposes.
Personal data processed for the above purpose will be processed during the period the user is an active user.
3.8 Administration of support matters
The personal data we process within the scope of this purpose are:
Personal Data processed in accordance with this section 3.8 are processed on the basis of balancing of interests, where the company has a legitimate interest to manage support matters and other IT-related matters.
Personal data processed for the above purpose will be deleted Ten (10) years from when the matter was closed.
3.9 Fulfil accounting and book-keeping obligations
The personal data we process within the scope of this purpose are:
Personal Data processed in accordance with this section 3.9 are processed on the basis to fulfil a legal obligation.
Personal data processed for the above purpose will be deleted Seven (7) years from the expiry of the calendar year during which the fiscal year ended.
In accordance with the purposes outlined under section 3 above, we may share your Personal Data with colleagues within the Sodexo Group and with external parties such as business partners and suppliers. Any and all transfers of Personal Data outside the EU/EEA will be subject to adequate safety measures that enables us to safely transfer your Personal Data outside the EU/EEA, in accordance with applicable data protection legislation.
Transfers carried out in accordance with this section 4 relies on the same legal ground as the relevant purpose described under section 3 above.
Countries outside the EU/EEA to which your personal data may be transferred to are:
You may at any time revoke a consent provided to the Company. You revoke your consent by contacting us on the contact details below and by addressing for which purpose you choose to revoke your consent. You acknowledge that you are entitled to request erasure of your personal data processed for the purpose for which you have revoked your consent.
6. Your rights
6.1 Right of rectification and access
the Company will take steps in accordance with the applicable legislation to keep your Personal Data accurate, complete and up-to-date. If you identify that any Personal Data related to you is inadequate, incomplete or incorrect, you are entitled to have the Personal Data corrected.
Moreover, you also have the right to request access to the Personal Data that we store about you. Such request should be lodged to the data protection officer at the Company.
6.2 Further rights as of 25th May 2018
As of 25th May 2018, you are entitled to extended rights in relation to the Company’s processing of your Personal Data, in accordance with what is set forth below.
6.2.1 Right to objection
If the processing of your personal data is based on a balancing of interests and you deem that your integrity interest overrides the Company’s legitimate interest to process your Personal Data, you may, on grounds related to your particular situation, object to the processing by contacting the Company on the contact details in section 6 below, in which case the Company must have a compelling reason in order to continue to process the Personal Data for the relevant purpose.
6.2.2 Right to erasure
Under certain circumstances, such as when you have revoked you previously given consent and there is no other legal ground available for the Company to process your Personal Data, you may request to have your Personal Data erased.
6.2.3 Right to restriction
You are under certain circumstances entitled to restrict the processing of your Personal Data to only comprise storage of the Personal Data, e.g. during the time when the Company assesses whether you are entitled to have Personal Data erased in accordance with section 5.2.2 above.
6.2.4 Right to access
You are entitled to obtain a confirmation from the Company as to whether your Personal Data are being processed by the Company and, if so, access to the Personal Data and the following information:
Moreover, you are upon your request entitled to receive your Personal Data in a commonly used electronic format. Kindly note that the Company may charge a fee if you request more than one copy of your Personal Data.
6.2.5 Right to data portability
When Personal Data is processed on the basis of your consent or on the basis that the processing is necessary in order to perform under a contract with you, and provided that the Personal Data have been provided or generated by you, you are entitled to receive a copy of your Personal Data in a common machine-readable format.
6.2.6 Rights in relation to automated decision-making, including profiling
You have the right to not be subject to fully automated decision-making, including profiling, if such decision-making has legal effects or similarly significantly affects you. This right does not apply if the decision-making is necessary in order to perform under a contract with you, if the decision-making is permitted under applicable law or if you have provided your explicit consent.
6.3 Complaints to the supervisory authority
You are welcome to contact us with any enquiries and complaints that you may have regarding the processing of your Personal Data. However, you also have the right to lodge complaints pertaining to the processing of your Personal Data to the Swedish Data Protection Authority.
7. Contact details
If you have any questions regarding the processing of your personal data, please contact us on the contact details below.
Epassi Benefits and Rewards AB
Reg.no. 556649-1444
Ynglingagatan 14, SE-113 47 Stockholm
08-555 172 20 , lunchkort@epassi.se
We have appointed a local representative who may be contacted on LDPPC@epassi.se
08-555 172 20
Våra telefontider är måndag-fredag kl. 08:30-17.00 (lunchstängt 11.45-13.00).
Kl 09:00-14:00 den 31 december.
Friskvård & Måltid
FAQ anställd & arbetsgivare
FAQ leverantör
Integritetspolicy Friskvård & Måltid
Lunchkort
FAQ anställd
FAQ arbetsgivare
Integritetspolicy & allmänna villkor Lunchkort
Kortrestriktioner 3D Secure FX valutaomräknare
Detta Visa-kort är utfärdat av Enfuce i enlighet med licens från VISA Europe Limited. Enfuce är vederbörligen auktoriserad och reglerad av den finska finansinspektionen som ett betalningsinstitut för elektroniska pengar enligt lagen om finansinstitut från 1994. Företagsregistreringsnummer 2992502-3.