GDPR

2018-05-25

INTEGRITETSPOLICY

Bakgrund
Rasta Group AB och dess dotterbolag behandlar personuppgifter i sin dagliga verksamhet. Integritetspolicyn gäller generellt för personuppgiftsbehandlingen inom Rasta Group och finns till för att förklara vilken sorts data företaget behandlar. Personuppgifter behandlas i Rasta Groups administrations- och bokningssystem, i våra sociala medier och på hemsidorna. Policyn tillämpas rörande anställda, leverantörer och gäster.

Vad är personuppgifter?
Personuppgifter är all information som direkt, eller indirekt tillsammans med andra uppgifter, kan kopplas till en levande fysisk person. Namn, telefonnummer, bilder och IP-adresser kan vara personuppgifter. Bokningar, beteenden och beställningar kan också vara personuppgifter om de tillsammans med andra uppgifter kan kopplas till en levande fysisk person. Åtgärder som vidtas med personuppgifter är personuppgiftsbehandling, exempelvis lagring, insamling, ändring, radering och spridning.

Särskilda personuppgifter
Rasta Group behandlar ibland särskilda personuppgifter såsom uppgifter om minderåriga, hälsa, fackförening och religiös åskådning. Om tex någon i en bordsbokning är allergisk, sparas den uppgiften endast efter samtycke.

Personuppgiftsansvarig
Personuppgiftsansvarig är den som är ansvarig för personuppgiftsbehandlingen i företaget. I vissa fall bestämmer en annan part vilka personuppgifter som behandlas och varför. Rasta Group är då Personuppgiftsbiträde. Det är också möjligt att Rasta Group tillsammans med en tredje part är ansvarig för behandlingen.

Personuppgiftsbiträden
Ibland måste vi använda oss av personuppgiftsbiträden för exempelvis IT-lösningar såsom system för lagring och bokning. Rasta Group ansvarar då för behandlingen, men tar hjälp av andra leverantörer för att kunna leverera sina tjänster. Rasta Group ingår alltid personuppgiftsbiträdesavtal med personuppgiftsbiträden för att värna om en hög skyddsnivå.
Rasta Group och våra personuppgiftsbiträden har alltid en laglig grund för behandling av personuppgifter. Oftast är detta nödvändigt för att fullgöra avtal men det kan även ske efter samtycke.

Kommunikation
Inom Rasta Group använder vi personuppgifter för administrering och kontakt med gäster, anställda och leverantörer. Syftet är att hantera bokningar, anställningar och administrera verksamheten. Behandlingen är nödvändig för att kunna fullfölja avtal. Uppgifterna kommer från den registrerade själv som lämnas till oss vid bokningar, inköp och avtal. Vi använder då: Namn, e-postadress, adress, telefonnummer, bokningar, matpreferenser, allergier.

Anställning
För att sköta löneberäkning, utbetalning av löner och kontakt med anställda måste Rasta Group behandla anställdas personuppgifter. Detsamma gäller vid kontrolluppgifter, inkomstuppgifter, lönerevision, lönekartläggning, beräkning av semesterlöneskuld, utläggsredovisning, hantering av tjänstebilar, hantering av personalförmåner, tjänstepensioner, fackliga förhandlingar avseende personal, sjukskrivningar, personalliggare, kontaktlista, ersättare serveringstillstånd och anhöriglista. Behandlingen är nödvändig för att kunna fullfölja avtal och betala ut lön.
Rasta Group har som arbetsgivare en rättslig förpliktelse att tillhandahålla Skatteverket med anställdas kontrolluppgifter. Uppgifterna kommer från den anställde och lämnas till oss vid anställningens påbörjande. Lönespecifikationer genereras i Rasta Groups lönesystem och arbetsgivarintyg skapas av löneavdelningen. Uppgifterna kommer från lönesystemet och är baserade på vad som är registrerat mot bakgrund av den anställdes lön och arbetsgrad. Vi använder då: Namn, e-postadress, adress, telefonnummer, eventuella anhöriga, kontonummer, arbetsgivarintyg, lönespecifikationer, frånvaro.

Marknadsföring
Rasta Group använder personuppgifter för att marknadsföra sina tjänster i sociala medier och genom utskick med erbjudanden och information. Behandlingen sker efter samtycke eller intresseavvägning (berättigat intresse). Uppgifterna kommer från vårt kundregister efter bokning eller förfrågan, registrering av att få vårt nyhetsbrev, besökt mässor som vi har deltagit i eller vid deltagande i något av de nätverk vi tillsammans är med i.

Bilder tas ibland av Rasta Groups fotografer. Vi använder då: Namn, e-postadresser.

Betalningar
För att hantera betalningar behandlar Rasta Group personuppgifter. Detta gäller såväl kundbetalningar som åter/utbetalningar vid klagomål eller rättsprocess. För att handla med tjänster och varor och leva upp till avtal genom att få betalt eller försäkra sin egen betalning behöver Rasta Group hantera personuppgifter kopplade till betalningar. Uppgifterna kommer från de registrerade själva vid betalning eller bokning. Vi använder då: Kortnummer, fakturanummer, namn, e-postadress, telefonnummer, belopp, försäljningsställe, tid för transaktionen, detaljer om beställningen.

Cookies m.m.
För att förbättra användarupplevelsen på hemsidor kan Rasta Group komma att samla in teknisk data. Beroende på vilken sorts teknisk data som samlas in sker behandlingen antingen efter en intresseavvägning eller samtycke. Uppgifterna kommer från de registrerade själva vid användning av hemsidorna. Vi använder då: IP-adresser, cookies, webbläsarinformation, enhets-ID:n.

Mottagare som Rasta Group kan dela information med

Koncernbolag
Rasta Group är koncernens moderbolag men hanterar inte den största delen av koncernens administration och övergripande frågor. Dessa frågor hanteras i respektive dotterbolag. Koncernbolagen samarbetar med varandra, bland annat rörande bokningar och marknadsföring. Koncernbolagen delar därför data med moderbolaget och varandra och behandlar personuppgifter å varandras vägnar.

Tjänsteleverantörer
För kunna tillhandahålla sina tjänster tar Rasta Group hjälp av olika leverantörer för bland annat IT-lösningar som nätverk, lagringstjänster och e-posttjänster. Leverantörerna får endast behandla personuppgifterna enligt Rasta Groups uttryckliga instruktioner och får inte behandla uppgifterna för egna ändamål. Samtliga är också bundna av lag och avtal att skydda personuppgifter.

Betalningsmottagare och leverantörer för betaltjänster
Vid betalningar kan personuppgifter delas betaltjänstleverantören, betalningsmottagaren samt båda parters banker.
Bolaget kan i vissa fall också dela med sig av uppgifter till andra mottagare, främst myndigheter på grund av lagkrav eller i samband med rättsliga processer.
Rasta Groups mål är att samtliga personuppgifter behandlas inom EU/EES-området. Vissa leverantörer kan dock komma att behandla personuppgifter utan EU/EES-området. I sådana fall säkerställer vi alltid att uppgifterna är skyddade och att det finns skyddsåtgärder på plats, genom avtal som kräver ställer samma krav som reglerna inom EU.

Tekniska åtgärder
Rasta Group är mån om gästers och anställdas integritet och vidtar säkerhetsåtgärder för att skydda personuppgifter från obehörig åtkomst. Tydliga rutiner finns för behörighet för åtkomst av dessa data.

Hur länge sparas personuppgifter?
Rasta Group behandlar personuppgifter så länge det finns ett förhållande med den registrerade och en tid därefter, så länge det finns en laglig grund. Om det inte längre finns en anledning att behandla personuppgifter raderas dem. Rutin finns för detta.

Tillgång till personuppgifter
Som registrerad har man rätt att begära bekräftelse på om vi behandlar personuppgifter eller inte. Man har rätt att få se vilka uppgifter vi behandlar genom ett registerutdrag. Om en uppgift är fel eller ofullständig har du rätt att begära att den rättas. Om vi behandlar dina personuppgifter med samtycke som laglig grund för behandlingen, har du rätt att närsomhelst återkalla samtycket med framtida verkan.

Motsätta sig behandling för direktmarknadsföring
Registrerade har rätt att motsätta sig att personuppgiftsbehandling sker för direktmarknadsföring. Detta görs lättast genom att avregistrera sig från utskick genom att klicka på avregistreringslänken i utskicket eller kontakta oss.

Radering
Registrerade har rätt att begära och under vissa omständigheter så sina personuppgifter raderade. Ett undantag är om vi enligt lag är skyldiga att bevara uppgifterna.

MAILPOLICY

Den här policyn reglerar hur vi inom Rasta Group använder vår mail.

Hur ska vi jobba?
Vi ska begränsa kommunikationen som sker via mail och inte skicka onödiga personuppgifter. Vi ska undvika att maila om känsliga personuppgifter såsom hälsa och personnummer. Vi ska inte använda mailservern som lagringsutrymme utan spara uppgifterna på en annan säker server och sedan radera mailet.

Vårt mål
Målet med policyn är att värna den personliga integriteten genom att personuppgifter behandlas på ett säkert och korrekt sätt i enlighet med EU:s dataskyddsförordning (GDPR) samt andra dataskyddsregelverk. Detta innebär att integritetskänsliga uppgifter inte ska skickas över mail

Varför ska man ha en policy?
Vi ska ha en policy för att skydda registrerades integritet. GDPR ställer krav på att personuppgifter inte behandlas i onödan och att de rensas när de inte längre är aktuella. GDPR ställer också krav på att personuppgifter endast behandlas i den mån det är nödvändigt och att inte mer data än nödvändigt används eller sparas under en längre tid än vad som är nödvändigt.

De registrerade har rätt att motsätta sig behandlingen och kan när som helst begära att få ut de personuppgifter som finns sparade. Dessa uppgifter ska sedan kunna raderas på ett enkelt sätt ifall den registrerade så begär.

För frågor, hör av dig till Rasta Group, 556569-0400 info@rasta.se

I Rasta Group ingår bla följande bolag :

Rasta Sverige AB, 556618-7141

Ullevi Konferens och Kiosker AB, 556425-9108

Rasta Kulturrestauranger AB, 556334-8548

Rasta Gastropubar AB, 559132-7522