Dataskydds- och personuppgiftspolicy

Vi är måna om våra kunder och följer givetvis de lagar och regler som gäller för GDPR. Lagen ersätter PUL och är till för att skydda människors integritet och därmed deras personuppgifter. Nedan följer vår policy i en kortfattad och i en längre version. Vill du veta mer om vad GDPR är så kan du läsa mer på Datainspektionens hemsida.


Den korta versionen

  • Vi skyddar dina personuppgifter efter bästa förmåga på ett säkert sätt.
  • Vi varken säljer eller lämnar ut personuppgifter till någon obehörig.
  • Vi delar endast dina personuppgifter med transportbolag och Klarna för att kunna behandla dina köp hos oss (namn, adress, mobilnummer och mailadress).
  • Vi har inte tillgång till ditt personnummer, kortnummer eller andra känsliga uppgifter. Sådana uppgifter registreras endast hos Klarna och hos Izettle (om du väljer att betala direkt med kort).
  • Du har rätt att få veta vilka uppgifter vi har om dej. Maila i så fall till oss på [email protected] så mailar vi tillbaka till den mailadressen som angavs i beställningen/registreringen


Den långa versionen

1 Registeransvarig

Registeransvarig för registret är Biskafferiet via Vår Gård Rubbatorp som är en enskild firma som ägs och drivs av Tobias och Therese Stjärnkrans med organisationsnummer 841101-2449.

Kontaktperson i registerärenden är: Therese Stjärnkrans
Adress: Rubbatorp 2, 342 53 Lönashult
Telefon: 073-8370505
E-post: [email protected]


2 Registrets namn

Registrets namn är Biskafferiets kundregister.


3 Syftet med behandling av personuppgifter

Syftet med att hantera personuppgifter är att sköta, administrera och utveckla kundrelationen, tillhandahålla och leverera tjänster samt i anknytning till utveckling och fakturering av tjänster. Vi behandlar också personuppgifter i syften som krävs för att utreda eventuella reklamationer eller andra krav. Personuppgifter behandlas även i kommunikation som riktas tillkunden, som för informations- och nyhetsmeddelande samt i marknadsföring för direktreklam och elektronisk direktreklam. Du som kund har rätt att förbjuda all direktreklam riktad till dig. Den registeransvarige behandlar uppgifterna själv och underleverantörer som agerar för den registeransvariges räkning för behandling av personuppgifter.


4 Rättslig grund för behandlingen

De rättsliga grunderna för behandlingen av personuppgifter är följande grunder i överensstämmelse med EU:s allmänna dataskyddsförordning (nedan också ”GDPR”):

  1. Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål (GDPR 6 art. 1.a);
  2. Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås (GDPR 6 art. 1.b);
  3. Behandlingen är nödvändig för den registeransvariges eller en tredje parts berättigade intressen (GDPR 6 art. 1.f).

Ovan nämnda registeransvariges berättigade intresse grundas på en betydande och relevant relation mellan den registrerade personen och den registeransvarige, och som är en följd av att den registrerade är kund hos den registeransvarige, och när behandlingen sker för ändamål som den registrerade rimligen har kunnat förvänta sig vid tidpunkten då personuppgifterna samlades in och i anslutning till den relevanta relationen.


5 Registrets informationsinnehåll (behandlade personuppgiftsgrupper)

Som utgångspunkt innehåller registret följande personuppgifter om alla registrerade personer:

A. personens grunduppgifter och kontaktuppgifter; förnamn, efternamn, adress, telefonnummer och e-postadress. Vi har inte tillgång till personnummer, kortnummer och liknande.

B. personens uppgifter i anslutning till företag eller annan organisation samt personens ställning eller befattning eller organisation. Detta är frivilliga uppgifter för registrerade kunder som vi inte kräver.

C. personens medgivande till eller förbud mot direktreklam


6 Regelmässiga informationskällor

Personuppgifter samlas in från personen/kunden själv. Antingen genom ett köp i vår webbutik, eller om personen väljer att registrera sej hos oss.

Personuppgifterna samlas in och uppdateras inom ramen för tillämplig lagstiftning också från allmänt tillgängliga källor som har samband med att förverkliga kundrelationen mellan den registeransvariga och den registrerade personen, och med vars hjälp den registeransvarige förverkligar sina skyldigheter i anslutning till att upprätthålla kundrelationer.


7 Lagringstid för personuppgifter

Uppgifter som samlats till registret lagras bara så länge och i den omfattning som det är nödvändigt i förhållande till de ursprungliga eller överensstämmande ändamålen som personuppgifterna har samlats in för.

Behovet av att lagra personuppgifter bedöms en gång per år. Uppgifter raderas 1 år efter att kundrelationen upphört, samt skyldigheter och åtgärder i anslutning till kundrelationen har slutförts. Till exempel bokföringsverifikat lagras under fem år efter redovisningsperiodens slut.

Den registeransvarige bedömer regelbundet nödvändigheten av att bevara uppgifterna enligt sin interna praxis. Dessutom vidtar den registeransvarige alla rimliga åtgärder för att säkerställa att alla personuppgifter som är oprecisa, felaktiga eller föråldrade i förhållande till behandlingens syfte raderas eller rättas utan fördröjning.


8 Mottagare av personuppgifter (mottagargrupper) och regelbundna överföringar av uppgifter

Personuppgifter överförs inte till utomstående parter.


9 Överföring av uppgifter till utanför EU eller EES

Personuppgifter i registret överförs inte till utanför EU eller EES


10 Principer för skydd av registret

Material innehållande personuppgifter förvaras i låsta utrymmen dit endast behöriga personer inom företaget som behöver detta för sina uppgifter har tillträde. Databasen innehållande personuppgifter förvaras i låsta utrymmen dit endast utsedda personer som behöver detta för sina uppgifter har tillträde. Servern är skyddad med en ändamålsenlig brandmur och tekniskt skydd.

För åtkomst till databaser och system krävs användarnamn och lösenord. Den registeransvarige har avgränsat användarrättigheterna och befogenheterna till informationssystem och andra lagringsplattformar så att endast personer som är nödvändiga för lagenlig behandling av uppgifterna kan se och behandla dem.

Den registeransvariges personal och andra personer har förbundit sig att följa tystnadsplikten och hemlighålla de uppgifter de får i samband med behandlingen av personuppgifterna.


11 Den registrerades rättigheter

En registrerad har följande rättigheter enligt EU:s allmänna dataskyddsförordning:

  1. Den registrerade ska ha rätt att av den registeransvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna och följande information: (i) ändamålen med behandlingen; (ii) de kategorier av personuppgifter som behandlingen gäller; (iii) de mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut; (iv) om möjligt, den förutsedda period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period; (v) förekomsten av rätten att av den registeransvarige begära rättelse eller radering av personuppgifterna eller begränsningar av behandling av personuppgifter som rör den registrerade eller att invända mot sådan behandling; (vi) rätten att inge klagomål till en tillsynsmyndighet; (vii) om personuppgifterna inte samlas in från den registrerade, all tillgänglig information om varifrån dessa uppgifter kommer (GDPR artikel 15). De ovan beskrivna grunduppgifterna (i)–(vii) lämnas till den registrerade personen via mail.
  2. rätt att när som helst återkalla sitt samtycke. Återkallandet av samtycket ska inte påverka lagligheten av behandling som grundar sig på samtycke, innan detta återkallas (GDPR artikel 7)
  3. rätt att av den registeransvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Med beaktande av ändamålet med behandlingen, ska den registrerade ha rätt att komplettera ofullständiga personuppgifter, bland annat genom att tillhandahålla ett kompletterande utlåtande (GDPR artikel 16).
  4. rätt att av den registeransvarige utan onödigt dröjsmål få sina personuppgifter raderade om något av följande gäller: (i) personuppgifterna är inte längre nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats; (ii) den registrerade återkallar det samtycke på vilket behandlingen grundar sig och det finns inte någon annan rättslig grund för behandlingen; (iii) den registrerade invänder mot behandlingen på grund av sin särskilda personliga situation och det saknas berättigade skäl för behandlingen, eller den registrerade invänder mot behandlingen i direktmarknadsföringssyften; (iv) personuppgifterna har behandlats på olagligt sätt; eller (v) personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse i unionsrätten eller i medlemsstaternas nationella rätt som den registeransvarige omfattas av (GDPR artikel 17).
  5. rätt att av den registeransvarige kräva att behandlingen begränsas om (i) den registrerade bestrider personuppgifternas korrekthet, under en tid som ger den registeransvarige möjlighet att kontrollera om personuppgifterna är korrekta; (ii) behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en begränsning av deras användning; (iii) den registeransvarige inte längre behöver personuppgifterna för ändamålen med behandlingen men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk; eller (iv) den registrerade har invänt mot behandlingen på grund av sin speciella personliga situation i väntan på kontroll av huruvida den registeransvariges berättigade skäl väger tyngre än den registrerades skäl (GDPR artikel 18).
  6. rätt att få ut de personuppgifter som rör honom eller henne och som han eller hon har tillhandahållit den registeransvarige i ett strukturerat, allmänt använt och maskinläsbart format, och rätt att överföra dessa uppgifter till en annan registeransvarig utan att den registeransvarige som tillhandahållits personuppgifterna hindrar detta, om behandlingen grundar sig på samtycke och behandlingen sker automatiserat (GDPR artikel 20).
  7. rätt att lämna in klagomål till en tillsynsmyndighet om den registrerade anser att behandlingen av personuppgifter som avser henne eller honom strider mot EU:s allmänna dataskyddsförordning (GDPR artikel 77).

Begäran gällande utövande av den registrerades rätt ställs till den registeransvariges kontaktperson som anges i punkt 1.