Information om behandling av personuppgifter

Gäller fr.o.m.: 2026-xx-xx och tills vidare.

1. INLEDNING

I detta integritetsmeddelande kan du läsa om hur Nordic Reno Paint S.L (org.nr: XXXXXX-XXXX), ett bolag registrerat i Spanien, behandlar personuppgifter (”vi”, ”vår” eller ”oss”). Hänvisningar till ”du”, ”dig” eller ”din” avser den registrerade vars personuppgifter vi behandlar.

Här förklarar vi bland annat vilka personuppgifter som behandlas, varför behandlingen sker, hur länge personuppgifterna sparas, vilka som kan få tillgång till dem och vilka rättigheter du har i egenskap av registrerad enligt EU:s allmänna dataskyddsförordning 2016/679 (”GDPR”).

2. DEFINITIONER

I detta integritetsmeddelande används definitioner som överensstämmer med de som finns i GDPR, såsom ”personuppgifter”, ”behandling”, ”registrerad”, ”tillsynsmyndighet”, ”personuppgiftsansvarig”, ”personuppgiftsbiträde” med flera. Var och en av dessa definitioner har samma innebörd som anges i artikel 4 i GDPR. För en fullständig lista och exakta definitioner, vänligen se denna artikel.

3. PERSONUPPGIFTSANSVARIG

Vi är personuppgiftsansvariga för behandling av personuppgifter när det är vi som bestämmer medel och ändamål för behandlingen, i enlighet med principen om ansvarsskyldighet. Vår behandling av personuppgifter sker i enlighet med GDPR, de grundläggande dataskyddsprinciperna och kompletterande spansk dataskyddslagstiftning. Om inte annat anges, är vi personuppgiftsansvariga för den behandling av personuppgifter som anges i detta integritetsmeddelande. 

4. HUR VI FÅR TILLGÅNG TILL DINA PERSONUPPGIFTER

Uppgifter som du själv lämnar: Vi kan få tillgång till personuppgifter direkt från dig när du kontaktar oss via telefon, e-post eller sociala medier, när du ingår ett avtal med oss, eller när du deltar i vårt marknadsföringsmaterial, exempelvis genom en kundrecension eller intervju.

Uppgifter som vi får från någon annan: Vi kan också få tillgång till personuppgifter från tredje part. Detta kan exempelvis avse uppgifter om dig som kund, kontaktperson, samarbetspartner, underentreprenör eller anställd hos en underentreprenör som medverkar i arbeten som vi utför. Uppgifterna kan komma från exempelvis beställare, fastighetsägare, samarbetspartners eller andra aktörer som är involverade i projektet.

När vi behandlar personuppgifter som inte har samlats in direkt från dig lämnar vi denna information till dig senast inom en (1) månad från det att uppgifterna togs emot, eller tidigare om vi tar kontakt med dig inom ramen för ärendet.

5. KATEGORIER AV PERSONUPPGIFTER VI BEHANDLAR

Vi behandlar enbart personuppgifter som är adekvata, nödvändiga och relevanta för att uppfylla det ändamål för vilket de har samlats in, i enlighet med principen om uppgiftsminimering.

De personuppgifter vi främst behandlar är identifierande uppgifter (t.ex. för- och efternamn), kontaktuppgifter (t.ex. e-postadress, telefonnummer och postadress) samt, i förekommande fall, uppgifter om roll eller funktion i relation till oss, såsom uppgift om att någon är kund, kontaktperson, underentreprenör eller anställd hos en underentreprenör.

Mer information om behandlade personuppgifter anges i avsnitt 7 nedan, där vi beskriver ändamålen med specifika behandlingsaktiviteter närmare.

6. LAGLIG GRUND FÖR BEHANDLINGEN AV PERSONUPPGIFTERNA 

Vi behandlar personuppgifter endast för särskilda, uttryckligt angivna och berättigade ändamål i enlighet med principen om ändamålsbegränsning. Behandlingen grundas på någon av följande lagliga grunder enligt GDPR, beroende på omständigheterna i det enskilda fallet:

• Avtal (artikel 6.1.b GDPR): Behandlingen är nödvändig för att ingå eller fullgöra avtal med dig, exempelvis vid beställning och utförande av tjänster.
• Rättslig förpliktelse (artikel 6.1.c GDPR): Behandlingen är nödvändig för att uppfylla rättsliga skyldigheter, exempelvis enligt bokförings- och skatteregler.
• Berättigat intresse (artikel 6.1.f GDPR): Behandlingen är nödvändig för våra berättigade intressen, såsom administration av kund- och leverantörsrelationer, kommunikation, dokumentation av utfört arbete samt hantering av reklamationer, efter en avvägning mot dina rättigheter och friheter.
• Samtycke (artikel 6.1.a GDPR): I vissa fall behandlar vi personuppgifter baserat på ditt samtycke, exempelvis vid användning av personuppgifter i marknadsföringssyfte. Du kan när som helst återkalla ett lämnat samtycke utan att det påverkar behandling som redan har skett.

I vissa fall är det frivilligt att lämna personuppgifter till oss, men utan dem kan vi exempelvis inte ingå eller fullgöra avtal eller tillhandahålla vissa tjänster.

Vid behandling som grundas på berättigat intresse har vi genomfört en intresseavvägning och bedömt att behandlingen är nödvändig och inte innebär en otillbörlig inskränkning av din rätt till privatliv och integritet.

7. ÄNDAMÅLET MED BEHANDLINGEN AV PERSONUPPGIFTERNA

Nedan beskriver vi de ändamål för vilka vi behandlar personuppgifter, vilka kategorier av personuppgifter som behandlas, vilken laglig grund som tillämpas, eventuella mottagare av personuppgifterna samt hur länge uppgifterna lagras.

7.1 Kontakt och kommunikation

• Ändamål: Hantera inkommande förfrågningar, kommunikation och ärenden via telefon, e-post, sociala medier eller andra kontaktvägar.
• Personuppgifter: Identifierande uppgifter (t.ex. namn), kontaktuppgifter (t.ex. telefonnummer, e-postadress), innehåll i kommunikation.
• Behandling: Ta emot, besvara och följa upp förfrågningar samt dokumentera kommunikationen.
• Laglig grund: Berättigat intresse – vårt intresse av att kommunicera med kunder, kontaktpersoner och andra berörda samt att hantera inkomna ärenden på ett strukturerat sätt.
• Mottagare: IT- och kommunikationstjänsteleverantörer som personuppgiftsbiträden.
• Lagringstid: Upp till 2 år efter avslutad kontakt, eller så länge ärendet pågår, om inte längre lagring krävs vid rättsligt krav.

7.2. Avtal, uppdrag och projektgenomförande

• Ändamål: Att ingå, administrera och fullgöra avtal och uppdrag, inklusive planering och genomförande av bygg-, renoverings- och/eller måleriarbeten.
• Personuppgifter: Identifierande uppgifter (t.ex. namn), kontaktuppgifter (t.ex. telefonnummer och e-postadress), uppgifter om fastighet eller bostad, uppgifter om beställda tjänster och material, betalningsstatus samt kommunikation kopplad till uppdraget.
• Behandling: Projektadministration, arbetsplanering, kommunikation, fakturering och betalningsuppföljning.
• Laglig grund: Avtal – behandlingen är nödvändig för att ingå och fullgöra avtal med kund.
• Mottagare: Ekonomi- och affärssystem, redovisningsbyråer samt IT-leverantörer (personuppgiftsbiträden).
• Lagringstid: Under avtalets löptid och upp till 3 år därefter, om inte längre lagring krävs enligt lag.

7.3 Underentreprenörer och deras personal 

• Ändamål: Samordna och genomföra arbeten tillsammans med underentreprenörer.
• Personuppgifter: Namn, kontaktuppgifter, uppgifter om roll/funktion samt arbetsrelaterad kommunikation.
• Behandling: Planering, samordning, kommunikation och uppföljning av arbeten.
• Laglig grund: Berättigat intresse – vårt intresse av att effektivt samordna och genomföra uppdraget på ett korrekt och säkert sätt.
• Mottagare: Underentreprenörer, IT- och kommunikationsleverantörer som personuppgiftsbiträden eller självständigt personuppgiftsansvariga, beroende på sammanhang.
• Lagringstid: Under projektets genomförande och upp till 2 år därefter.

7.4 Dokumentation av utfört arbete 

• Ändamål: Dokumentera utfört arbete i syfte att kvalitetssäkra arbetet, följa upp uppdragets genomförande samt hantera reklamationer, försäkringsärenden eller tvister.
• Personuppgifter: Bilder eller videomaterial som i vissa fall kan innehålla personuppgifter.
• Behandling: Insamling, lagring och intern användning av dokumentation som är kopplad till uppdraget.
• Laglig grund: Berättigat intresse – vårt intresse av att kunna dokumentera, följa upp och vid behov styrka hur arbetet har utförts, samt tillvarata rättsliga intressen.
• Mottagare: IT- och lagringstjänsteleverantörer som personuppgiftsbiträden.
• Lagringstid: Så länge dokumentationen är relevant för ändamålet, exempelvis under reklamations- eller preskriptionstid, eller så länge det krävs för att tillvarata rättsliga intressen.

7.5 Marknadsföring 

• Ändamål: Använda personuppgifter för marknadsföring och extern kommunikation, exempelvis vid publicering av kundreferenser, bilder eller marknadsföringsmaterial.
• Personuppgifter: Kontaktuppgifter samt, i förekommande fall, bilder eller annat material som kan kopplas till dig.
• Behandling: Publicering och spridning av marknadsföringsmaterial via webbplats, sociala medier eller andra marknadsföringskanaler.
• Laglig grund: Samtycke – när marknadsföringen innehåller personuppgifter eller på annat sätt kan kopplas till dig. Samtycke kan när som helst återkallas utan att det påverkar lagligheten av behandling som skett innan återkallelsen.
• Mottagare: Marknadsförings- och kommunikationstjänsteleverantörer samt plattformar där materialet publiceras.
• Lagringstid: Till dess att samtycket återkallas eller materialet inte längre används för marknadsföringsändamål.

7.6 Rättsliga skyldigheter 

• Ändamål: Uppfylla rättsliga skyldigheter som följer av tillämplig lagstiftning, inklusive skyldigheter enligt dataskyddslagstiftning, exempelvis hantering av registrerades rättigheter samt utredning och hantering av personuppgiftsincidenter, liksom krav enligt bokförings-, skatte- och arkiveringsregler.
• Personuppgifter: Identifierande uppgifter, kontaktuppgifter, avtals- och betalningsuppgifter samt uppgifter som lämnas eller behandlas i samband med rättighetsbegäranden, tillsyn, incidentutredningar eller annan lagstadgad hantering.
• Behandling: Insamling, registrering, lagring, dokumentation, analys och utlämnande av personuppgifter till behöriga mottagare när detta krävs enligt lag, exempelvis vid myndighetskontakter, tillsyn, rättighetsutövning eller incidentrapportering.
• Laglig grund: Rättslig förpliktelse.
• Mottagare: Behöriga myndigheter, tillsynsorgan, revisorer, redovisningskonsulter samt andra aktörer i den utsträckning utlämnande krävs enligt lag.
• Lagringstid: Så länge som krävs enligt tillämplig lagstiftning eller så länge som är nödvändigt för att fullgöra rättsliga skyldigheter.

7.7 Reklamationer, försäkringsärenden och tvister

• Ändamål: Hantera reklamationer, försäkringsärenden, krav och rättsliga tvister samt tillvarata våra rättsliga intressen.
• Personuppgifter: Identifierande uppgifter, kontaktuppgifter, avtals- och betalningsuppgifter samt ärendedokumentation.
• Behandling: Dokumentation, kommunikation, utredning och hantering av ärenden samt kontakt med försäkringsbolag och juridiska ombud.
• Laglig grund: Berättigat intresse – vårt intresse av att kunna hantera och försvara rättsliga anspråk.
• Mottagare: Försäkringsbolag, juridiska ombud, domstolar och andra relevanta aktörer.
• Lagringstid: Under pågående ärende och därefter så länge som krävs enligt tillämpliga preskriptionsregler eller för att fastställa, göra gällande eller försvara rättsliga anspråk.

8. HUR LÄNGE VI SPARAR PERSONUPPGIFTER

Vi lagrar personuppgifter endast så länge det är nödvändigt för de ändamål för vilka de samlades in eller så länge det krävs för att uppfylla rättsliga skyldigheter, i enlighet med principen om lagringsminimering.

Den exakta lagringsperioden beror på vilken behandling som personuppgifterna ingår i. Lagringstider för respektive behandling anges i avsnitt 7 i detta integritetsmeddelande.

Personuppgifter kan behöva sparas längre om det krävs enligt lag, om de behövs för ett pågående ärende eller för att fastställa, göra gällande eller försvara rättsliga anspråk. Vid begäran om radering kan vi därför behöva behålla vissa personuppgifter när det krävs för att uppfylla en rättslig skyldighet eller för att hantera en tvist.

När personuppgifter inte längre behöver bevaras raderas eller anonymiseras de i enlighet med våra interna gallringsrutiner samt tillämplig EU- och nationell lagstiftning.

9. VART VI BEHANDLAR PERSONUPPGIFTER

Målsättningen är att vi huvudsakligen ska behandla personuppgifter inom Europeiska unionen (EU) eller Europeiska ekonomiska samarbetsområdet (EES). I vissa fall kan dock personuppgifter överföras och behandlas utanför EU/EES. För att säkerställa ett adekvat skydd av dina personuppgifter vid sådana överföringar vidtar vi lämpliga skyddsåtgärder. Det kan inkludera att använda standardavtalsklausuler (SCC) som godkänts av Europeiska kommissionen samt andra kompletterande skyddsåtgärder när det krävs enligt GDPR och vägledning från EU:s dataskyddsmyndigheter. Du kan kontakta oss för mer information om vilka skyddsåtgärder som används och, i förekommande fall, få en kopia av relevanta standardavtalsklausuler.

10. DELNING AV PERSONUPPGIFTER

Vi behandlar samtliga personuppgifter med omsorg och delar endast personuppgifter med externa aktörer när det är nödvändigt för att bedriva vår verksamhet, fullgöra våra avtalsmässiga åtaganden eller uppfylla rättsliga skyldigheter, i enlighet med tillämplig dataskyddslagstiftning.

1. Myndigheter: Vi kan komma att dela personuppgifter med behöriga myndigheter om vi är rättsligt skyldiga att göra det enligt tillämplig lagstiftning, exempelvis i samband med tillsyn, myndighetsutredningar eller rättsliga förfaranden. Personuppgifter kan även lämnas ut om det krävs för att förebygga, upptäcka eller utreda brott eller för att skydda vår verksamhet mot säkerhetshot.
2. Personuppgiftsbiträden: Vi samarbetar med olika tjänsteleverantörer som behandlar personuppgifter för vår räkning, exempelvis leverantörer av IT-tjänster, molntjänster, redovisningstjänster och bokföringssystem. Dessa aktörer agerar som våra personuppgiftsbiträden och får endast behandla personuppgifter i enlighet med våra instruktioner och gällande personuppgiftsbiträdesavtal enligt artikel 28 i GDPR.
3. Självständiga personuppgiftsansvariga: I vissa fall kan vi dela personuppgifter med externa aktörer som är självständiga personuppgiftsansvariga, exempelvis banker, försäkringsbolag, samarbetspartners eller andra aktörer som är involverade i ett projekt eller en affärsrelation. Sådan delning sker endast när det är nödvändigt och den mottagande parten ansvarar själv för sin fortsatta behandling av personuppgifterna samt för att informera de registrerade i enlighet med GDPR.

11. DINA RÄTTIGHETER ENLIGT GDPR

Som registrerad enligt GDPR har du följande rättigheter:

• Rätt till information: Du har rätt att få tydlig information om hur vi behandlar dina personuppgifter, inklusive ändamål, kategorier av uppgifter och eventuella mottagare. Denna information finns i detta integritetsmeddelande. Om dina personuppgifter inte har samlats in direkt från dig, har du även rätt att få information om varifrån personuppgifterna kommer och vilken typ av källa som använts.
• Rätt till tillgång: Du kan begära en kopia av dina personuppgifter som vi behandlar och få information om behandlingen, inklusive eventuella gränsöverskridande överföringar och skyddsåtgärder.
• Rätt till rättelse: Om dina personuppgifter är felaktiga eller ofullständiga har du rätt att få dem korrigerade. Vi informerar, när så är möjligt och i enlighet med GDPR, berörda mottagare av dina personuppgifter om detta, ifall det är möjligt och inte för betungande för oss. Du har även rätt till information om vilka mottagarna är.
• Rätt till radering (”rätten att bli bortglömd”): Du kan begära att vi raderar de personuppgifter vi behandlar om dig om de inte längre är nödvändiga för de ändamål de samlades in för, om behandlingen sker olagligt, om du återkallar ditt samtycke eller invänder mot behandling som grundas på berättigat intresse och inga tvingande skäl väger tyngre. Vi kan dock vara skyldiga att behålla vissa uppgifter enligt lag, till exempel bokföringsregler, men dessa uppgifter blockeras då från att användas för andra syften. Om radering sker informerar vi, när så är möjligt och i enlighet med GDPR, berörda mottagare, och du har rätt att få information om vilka dessa är.
• Rätt till begränsning av behandling: Du kan begära att vi begränsar behandlingen av dina personuppgifter, exempelvis om du bestrider deras riktighet eller om behandlingen är olaglig men du motsätter dig radering. Vid begränsning får vi endast lagra uppgifterna, behandla dem med ditt samtycke eller för att fastställa, utöva eller försvara rättsliga anspråk. Vi informerar dig när begränsningen upphör.
• Rätt till dataportabilitet: Om vi behandlar dina personuppgifter baserat på samtycke eller avtal som rättslig grund, har du rätt att få dem i ett strukturerat, maskinläsbart format och att få dem överförda till en annan personuppgiftsansvarig, där det är tekniskt möjligt.
• Rätt att invända: Du kan invända mot vår behandling av dina personuppgifter om den grundas på berättigat intresse som rättslig grund. Vi får endast fortsätta behandlingen om vi kan visa berättigade skäl som väger tyngre än dina intressen. Du har dock alltid rätt att invända mot behandling för direktmarknadsföring, vilket innebär att vi omedelbart måste upphöra med sådan behandling.
• Rätt att inte bli föremål för automatiserat beslutsfattande: Du har rätt att slippa beslut som enbart baseras på automatiserad behandling, inklusive profilering, om besluten väsentligt påverkar dig. Undantag gäller om beslutet är nödvändigt för ett avtal eller krävs enligt lag. I sådana fall har du rätt att begära mänsklig granskning av beslutet. Vi fattar inga automatiserade beslut, varken med eller utan profilering.

12. HUR DU UTÖVER RÄTTIGHETERNA

Du kan kontakta oss om du vill utöva någon av dina rättigheter enligt GDPR. Att utöva dina rättigheter är kostnadsfritt, såvida din begäran inte är upprepande, ogrundad eller orimlig, då vi har rätt att ta ut en rimlig avgift eller neka begäran.

För att säkerställa att vi behandlar begäran korrekt kan vi behöva verifiera din identitet. Vi besvarar din begäran inom en månad, men vid komplexa ärenden eller hög arbetsbelastning kan svarstiden förlängas med upp till två månader. I sådana fall informerar vi dig om förlängningen inom den första månaden.

Observera att vissa rättigheter är begränsade enligt GDPR och endast gäller under specifika förutsättningar. Om vi inte kan uppfylla din begäran informerar vi dig om skälen, i enlighet med gällande lag.

13. ÄNDRINGAR I DETTA INTEGRITETSMEDDELANDE

Vi uppdaterar detta integritetsmeddelande vid behov för att hålla informationen korrekt och aktuell. Du ansvarar för att läsa den senaste versionen som alltid finns tillgänglig på vår webbplats. Om vi gör väsentliga ändringar som påverkar hur vi behandlar dina personuppgifter, informerar vi dig om detta om det krävs enligt lag.

14. FRÅGOR ELLER KLAGOMÅL 

Om du har frågor om detta integritetsmeddelande eller vår behandling av dina personuppgifter kan du kontakta oss via nedan kontaktuppgifter. Vi har inte utsett något dataskyddsombud.

• E-post: info@nordicrenopaint.com 
• Postadress: XXXX
• Telefonnummer: XXXX (helgfria vardagar, kl. 09:00 – 16:00 (CET)

Om du är missnöjd med vår behandling av dina personuppgifter kan du lämna klagomål till den spanska dataskyddsmyndigheten, Agencia Española de Protección de Datos (AEPD):

• Telefon: +34 900 293 183
• E-post: internacional@aepd.es 
• Webbplats: https://www.aepd.es/ 
• Postadress: Agencia Española de Protección de Datos (AEPD), C/Jorge Juan, 628001 Madrid.

Om du är bosatt i ett annat land inom EU/EES-området, kan du även vända dig till tillsynsmyndigheten i ditt bosättningsland. En lista över medlemsländernas tillsynsmyndigheter finns här: https://edpb.europa.eu/about-edpb/about-edpb/members_en