Dataskyddspolicy Benify förmånsportal

Policyns syfte

Benify har full respekt för din privatsfär och din integritet. Därför är dataskydd ytterst viktigt för oss, liksom att samla in och behandla personuppgifter på säkrast möjliga sätt i enlighet med gällande lagstiftning. I den här policyn beskriver vi hur vi samlar in och behandlar personuppgifter.

Förklaring av viktiga termer

Det finns några juridiska termer som är avgörande för att kunna förstå innehållet i denna policy. Nedan följer en beskrivning av dessa termer.

Personuppgifter är all slags information som är relaterad till en identifierad, eller identifierbar, fysisk eller registrerad person. En identifierbar person är någon som kan identifieras antingen direkt med till exempel ett personnummer, eller indirekt med hjälp av uppgifter, i kombination med ytterligare information, som den personuppgiftsansvariga har tillgång till. Vissa specifika kategorier av personuppgifter, inklusive etnisk tillhörighet, fackligt medlemskap, sexuell läggning, fysiskt eller psykiskt hälsotillstånd samt religionstillhörighet betraktas som känsliga personuppgifter. Sådana uppgifter omfattas av ett starkare skydd.

Som behandling av personuppgifter räknas alla aktiviteter, eller uppsättning av aktiviteter, som inkluderar personuppgifter; automatiska eller icke automatiska. Behandling omfattar alltså utlämnande genom översändande, strukturerande, ändring, lagring och många fler aktiviteter som inkluderar personuppgifter.

Som personuppgiftsansvarig betraktas den fysiska eller juridiska person som avgör vilka syften och metoder som kommer i fråga för behandlingen av de aktuella personuppgifterna. Den personuppgiftsansvariga är berättigad att engagera andra parter för att behandla personuppgifter på dennas begäran. En sådan part agerar som ett så kallat personuppgiftsbiträde under den personuppgiftsansvariga, och tillåts endast behandla personuppgifter från den personuppgiftsansvariga i enlighet med den personuppgiftsansvarigas instruktioner samt gällande lagstiftning.

Varför Benify behandlar personuppgifter

Benify tillhandahåller programvara som tjänst (SaaS: software as a service) till våra kunder för att underlätta och förbättra deras hantering av kompensation till sina medarbetare, för att på så sätt stärka kundernas arbetsgivarvarumärken. Tjänsterna tillhandahålls via Benifys digitala förmånsportal, där kundernas medarbetare kan logga in som slutanvändare och hantera sin kompensation och sina förmåner. För att kunna tillhandahålla dessa tjänster behöver Benify behandla personuppgifter från våra kunder; uppgifter som identifierar deras medarbetare som registrerade personer.

Det här innebär att varje kund agerar personuppgiftsansvarig för sina respektive medarbetares personuppgifter, och att Benify engageras som personuppgiftsbiträde under, och på uppdrag av, våra kunder. När slutanvändare loggar in i förmånsportalen för första gången informeras de om kundens (arbetsgivarens) roll som personuppgiftsansvarig, Benifys roll som personuppgiftsbiträde, samt om de generella syftena för Benifys behandling av deras personuppgifter.

Hur Benify behandlar personuppgifter

Förmånsportalen är anpassad efter varje kunds specifika önskemål. Benifys processer för behandling skiljer sig därför åt mellan olika kunder, men omfattar vanligtvis (utan att begränsas till) följande aktiviteter:

  • Ta emot personuppgifter relaterade till portalens slutanvändare från kunder och slutanvändare
  • Importera personuppgifterna i förmånsportalen för att skapa personliga användarkonton och ytterligare individanpassa upplevelsen av portalen
  • Administrera beställningar och lönetransaktioner relaterade till beställningar som görs av slutanvändare i förmånsportalen, samt återföra uppgifterna till kunden
  • Utveckla nya verktyg, produkter och tjänster för våra kunder
  • Kommunicera med slutanvändare och kundadministratörer angående användningen av förmånsportalen

Benify behandlar endast kundernas personuppgifter för att kunna tillhandahålla våra tjänster för digital hantering av förmåner och kompensation, och endast i enlighet med kundernas instruktioner eller gällande lagstiftning. I de fall kunder har godkänt hantering av personuppgifter för fortsatt utveckling, testning och felsökning i förmånsportalen använder Benify data som anonymiserats, aggregerats eller belagts med pseudonym.

Benifys processer för behandling regleras av skriftliga personuppgiftsbiträdesavtal mellan Benify och varje enskild kund. I dessa avtal framgår att Benify agerar som personuppgiftsbiträde under den personuppgiftsansvariga, och åläggs att följa instruktioner från kund samt relevant dataskyddsmyndighet. Avtalen ålägger också Benify särskilda skyldigheter gällande hur personuppgifter ska behandlas för att säkerställa rätten till personuppgiftsbehandling och säkra rutiner. Eftersom Benify endast behandlar våra kunders personuppgifter i egenskap av personuppgiftsbiträde under leveransen av tjänsten är det kunden som, i egenskap av personuppgiftsansvarig, avgör syfte och metod för hanteringen.

Det enda fall då Benify agerar personuppgiftsansvarig för behandling av personuppgifter som ursprungligen kontrollerats av en kund är om:

  • Benify behöver behandla sådana personuppgifter för att efterleva tillämpliga lagkrav avseende exempelvis arkivering av bokföring.
  • Benify genomför frivilliga undersökningar i syfte att förbättra tjänsten för våra kunder och slutanvändare.

Oberoende leverantörer

De företag som erbjuder sina produkter och tjänster i portalen är att betrakta som oberoende leverantörer. De är inte underleverantörer till Benify, utan har ingått samarbetsavtal med Benify enligt vilka de kan erbjuda sina produkter och tjänster i förmånsportalen som en digital marknadsplats för kunder och slutanvändare. Leverantörerna är därför avtalsmässiga motparter i relation till beställningar gjorda i portalen; inte Benify.

För att kunna genomföra ett köp i portalen behöver slutanvändaren bekräfta att leverantören (i) får tillgång till relevanta personuppgifter från slutanvändaren och (ii) har rätt att behandla dessa personuppgifter för att kunna slutföra sitt åtagande gentemot slutanvändaren. Om slutanvändaren bekräftar beställningen skickar Benify beställningen till leverantören och förser leverantören med relevanta personuppgifter relaterade till slutanvändaren.

När slutanvändaren har slutfört en beställning agerar leverantören personuppgiftsansvarig för de personuppgifter som har överlämnats. Leverantören är därmed ansvarig för att avgöra syfte och metod för hur uppgifterna ska behandlas.

Personuppgiftsbiträden Benify

Varje underleverantör som engageras av Benify och som kommer att behandla personuppgifter under, och på uppdrag av, Benify måste teckna ett separat personuppgiftsbiträdesavtal med Benify. Enligt detta avtal åtar sig underleverantören att följa instruktioner från relevant personuppgiftsansvarig och gällande dataskyddslagstiftning.

Benify är skyldiga att informera kunderna om en underleverantör engageras för att behandla kundernas personuppgifter, och kunderna har rätt att motsätta sig att deras personuppgifter behandlas av en sådan underleverantör.

Benify AB har flera dotterbolag som levererar tjänster på lokala marknader runt om i världen. Benify AB agerar då som ett underbiträde och har ingått ett personuppgiftsbiträdesavtal med varje lokalt dotterbolag. Detta innebär att huvuddelen av biträdena är kontrakterade av Benify AB, och de lokala dotterbolagen anskaffar majoriteten av underleverantörerna via Benify AB.

Benify AB personuppgiftsbiträden

BolagBehandlingsaktivitetLagringsplatsBehandlingsplats
Benify processing ABFaktureringspartner (Benify koncernen)EUEU
Expenses Benify ABLeverantör för betaltjänster (Benify koncernen)EUEU
UAB Benify OperationsLeverantör av interna tjänster (Benify koncernen)EUEU
Lifeplan ABKonsultpartner inom pension &
försäkring (Benify koncernen)
EUEU
Zendesk Inc.Leverantör av system för kundsupportEUEU/USA
CGI Sverige ABLeverantör av BankID tjänstEUEU
IP Only ABLeverantör av kontaktcentersystemEUEU
Atlassian Inc.Leverantör av system för kundärendehanteringEUEU/USA
Boost.aiLeverantör av system för chatt plattformEUEU

 

Benify BV personuppgiftsbiträden

BolagBehandlingsaktivitetLagringsplatsBehandlingsplats
Benify ABDrift av Benify applikationenEUEU

 

Benify France Sarl personuppgiftsbiträden

BolagBehandlingsaktivitetLagringsplatsBehandlingsplats
Benify ABDrift av Benify applikationenEUEU

 

Benify DE GmbH personuppgiftsbiträden

BolagBehandlingsaktivitetLagringsplatsBehandlingsplats
Benify ABDrift av Benify applikationenEUEU

 

Benify AS (Norway) personuppgiftsbiträden

BolagBehandlingsaktivitetLagringsplatsBehandlingsplats
Benify ABDrift av Benify applikationenEUEU

 

Benify OY personuppgiftsbiträden

BolagBehandlingsaktivitetLagringsplatsBehandlingsplats
Benify ABDrift av Benify applikationenEUEU

 

Benify AS (Denmark) personuppgiftsbiträden

BolagBehandlingsaktivitetLagringsplatsBehandlingsplats
Benify ABDrift av Benify applikationenEUEU
Telehuset ASAlternativ kundtjänst leverantörEUEU

Överföring och lagring av data

Benify lagrar och behandlar endast personuppgifter i Benify portalen inom europeiska ekonomiska samarbetsområdet (EES). Inga personuppgifter överförs till tredje land utanför EES.

För de fall ett personuppgiftsbiträde kan komma att behandla personuppgifter utanför EES har Benify (i) ingått så kallade standardklausulavtal med personuppgiftsbiträdet, samt (ii) säkerställt att ytterligare kompletterande säkerhetsåtgärder vidtagits, vilket i kombination säkerställer att de registrerades fri- och rättigheter erhåller ett relevant skydd vid sådan behandling.

Benifys datacenter är lokaliserade i Sverige.

Informationssäkerhet

För att uppnå ett strukturerad och strategisk förhållningssätt till informationssäkerhet bygger vi vårt säkerhetsprogram i enlighet med en rad kända bransch standarder.

Som en del av vårt säkerhetsprogram är vi ISO 27001, ISO 27018 och ISO 27701 certifierade, vi utfärdar ISAE3000 (SOC 2 typ II) rapporter och vi är också en del av Cloud Security Alliance STAR-programmet.

För ytterligare information, se säkerhetssidan Benify som finns tillgänglig på vår offentliga webbplats.

Registrerades rättigheter

Enligt EU:s dataskyddsförordning GDPR 2016/679 har du som registrerad person rätt att begära ut information om vilka uppgifter som sparats om dig, liksom rätt att begära korrigering, blockering eller radering av dessa uppgifter. Du har också rätt att lämna in en klagan till aktuell tillsynsmyndighet.

Kontakta din arbetsgivare om du vill använda dig av dessa rättigheter.

Cookies

I förmånsportalen använder vi cookies, som är små filer som laddas ner till din dator. Vi använder olika typer av cookies för att förbättra din upplevelse. Våra cookies är uppdelade i olika kategorier och kräver ditt samtycke med undantag för nödvändiga cookie och cookien som sparar den aktuella statusen för dina cookie inställningar. Denna cookie baseras på berättigat intresse.

Ditt samtycke till cookies och dina val av cookie inställningar sparas i en specifik cookie (nödvändig). Ditt samtycke till cookies är giltigt i 12 månader och du kommer därefter behöva lämna ditt samtycke igen.Du kan när som helst ändra dina cookie-inställningar eller dra tillbaka ditt samtycke via ditt användarkonto i förmånsportalen. Cookies kan också hanteras via inställningarna i din webbläsare.

De kategorier av cookies vi använder kan inkludera:

Nödvändiga cookies gör applikationen användbar genom att aktivera grundläggande funktioner som sidnavigering och åtkomst till säkra delar i applikationen. Applikationen kan inte fungera korrekt utan dessa cookies.

Med preferens cookies kan applikationen komma ihåg information som ändrar hur applikationen uppträder eller ser ut, som t.ex. det språk du föredrar eller regionen du befinner dig i.

Statistik cookies hjälper oss att förstå hur du interagerar med applikationen genom att samla in och rapportera statisk anonymt.

Marknadsföring och kommunikation

Benify tillhandahåller och kommunicerar rabatter från kända varumärken till våra slutanvändare via e-postutskick som kallas BenifyDeals. Denna typ av kommunikation betraktas av Benify som direktmarknadsföring, vilket kräver ett aktivt godkännande från varje slutanvändare. Samtycket till utskicken inhämtas vid slutanvändarens första inloggning. Om samtycke inte ges kommer inga utskick att göras. Varje slutanvändare har alltid möjlighet att ta tillbaka sitt samtycke till BenifyDeals; antingen i förmånsportalen eller direkt via länk i det mottagna e-postmeddelandet.

BenifyDeals är en kundspecifikt tjänst och är inte inkluderad i alla förmånsportaler.

Granskning

Denna policy ses över löpande och undergår även en årlig granskning. Ansvaret för den årliga granskningen ligger hos policyägaren. I händelse av återkommande kritiska incidenter kan ytterligare granskning bli aktuell.