Din integritet är mycket viktig för oss. Vi har utvecklat denna dataskyddspolicy för att du ska förstå hur vi samlar in, använder, lagrar, delar, överför, överför, raderar eller på annat sätt behandlar (kollektivt ”behandlar”) dina personuppgifter. Denna lokala dataskyddspolicy beskriver de åtgärder vi vidtar för att säkerställa skyddet av dina personuppgifter. Vi berättar också hur du kan nå oss för att svara på eventuella frågor du har om dataskydd.

Omfattning
‍
Den lokala dataskyddspolicyn gäller för den globala organisationen av Circles-enheter (nedan kallade ”Circles”) för alla dimensioner och aktiviteter, i alla geografiska områden där vi verkar när europeisk dataskyddslagstiftning, nämligen den allmänna dataskyddsförordningen (eller ”GDPR”), dataskyddslagen 2018 gäller. Denna policy gäller behandling av personuppgifter som samlas in av Circles, direkt eller indirekt, från alla individer inklusive, men inte begränsat till Circles nuvarande, tidigare eller potentiella arbetssökande, anställda, kunder, konsumenter, barn, leverantörer/säljare, entreprenörer/underleverantörer, aktieägare eller tredje part, där ”personuppgifter” definieras som alla uppgifter som avser en identifierad eller identifierbar person eller en person som kan identifieras med hjälp av medel som rimligen kan användas.

I denna policy betyder ”du” och ”din” varje individ som omfattas. ”Vi”, ”oss”, ”vår” och ”cirklar” betyder den globala organisationen av Circles-enheter.

Insamling och behandling av dina personuppgifter

‍Överensstämmelse med den europeiska dataskyddslagstiftningen och eventuell ytterligare tillämplig lokal lagstiftning om dataskydd
Vi åtar oss att följa all tillämplig lagstiftning som rör personuppgifter och vi ska se till att personuppgifter samlas in och behandlas i enlighet med bestämmelserna i den europeiska dataskyddslagstiftningen och annan tillämplig lokal lagstiftning, om sådan finns.

Laglighet, rättvisa och öppenhet
Vi samlar inte in eller behandlar personuppgifter utan att ha en laglig anledning att göra det. Vi kan behöva samla in och behandla dina personuppgifter när det är nödvändigt för att fullgöra ett avtal som du är part i, eller när det är nödvändigt för att uppfylla en rättslig skyldighet som vi är föremål för eller där det krävs, med ditt föregående samtycke. Vi kan också samla in och behandla dina personuppgifter för Circles legitima intressen utom när sådana intressen åsidosätts av dina intressen eller grundläggande rättigheter och friheter.

När vi samlar in och behandlar dina personuppgifter kommer vi att förse dig med ett rättvist och fullständigt informationsmeddelande eller sekretesspolicy om vem som är ansvarig för behandlingen av dina personuppgifter, för vilka ändamål dina personuppgifter behandlas, vem mottagarna är, vilka dina rättigheter är och hur du utövar dem etc., såvida det inte är omöjligt eller det kräver oproportionerliga ansträngningar för att göra det.

När det krävs enligt tillämplig lag kommer vi att begära ditt samtycke i förväg (t.ex. innan vi samlar in några känsliga personuppgifter).

Legitimt syfte, begränsning och dataminimering
Dina personuppgifter samlas in för specificerade, uttryckliga och legitima ändamål och behandlas inte vidare på ett sätt som är oförenligt med dessa ändamål. När Circles agerar för sina egna ändamål behandlas dina personuppgifter huvudsakligen för, men inte begränsat till, följande ändamål: rekryteringshantering, personalhantering, redovisning och ekonomisk förvaltning och relaterade kontroller och rapportering, ekonomi, kassa- och skattehantering, riskhantering, hantering av anställdas säkerhet, tillhandahållande av aktiv katalog, IT-verktyg eller interna webbplatser och andra digitala lösningar eller samarbetsplattformar, IT-supporthantering, inklusive infrastrukturhantering, systemhantering, applikationer, hälsa och säkerhetshantering, informationssäkerhetshantering, kundrelationshantering, anbud, försäljnings- och marknadsföringshantering, leveranshantering, intern och extern kommunikation och evenemangshantering, efterlevnad av skyldigheter mot penningtvätt eller andra juridiska krav, dataanalysverksamhet, juridisk företagsledning och implementering av efterlevnadsprocesser.

Uppgifternas noggrannhet och lagringsbegränsning
Circles kommer att hålla personuppgifter som behandlas korrekta och vid behov uppdaterade. Dessutom kommer vi endast att behålla personuppgifter så länge som det är nödvändigt för de ändamål som vi samlade in dem för, inklusive i syfte att uppfylla juridiska, redovisnings- eller rapporteringskrav och, om det krävs för att Circles ska hävda eller försvara sig mot rättsliga anspråk, fram till slutet av den relevanta lagringsperioden eller tills fordringarna i fråga har avgjorts. Om du vill veta mer om våra specifika lagringsperioder för dina personuppgifter som fastställs i vår lagringspolicy kan du kontakta oss på circles.privacy@sodexo.com. Vid utgången av den tillämpliga lagringsperioden kommer vi säkert att förstöra dina personuppgifter i enlighet med gällande lagar och förordningar.

Säkerhet för dina personuppgifter
‍
Vi vidtar lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter mot oavsiktlig eller olaglig ändring eller förlust, eller från obehörig användning, avslöjande eller åtkomst, i enlighet med vår säkerhetspolicy för koncerninformation och system. Vi vidtar, när så är lämpligt, alla rimliga åtgärder baserade på Privacy by design och Privacy by default principer för att genomföra nödvändiga skyddsåtgärder och skydda behandlingen av personuppgifter. Vi genomför också, beroende på risknivån som behandlingen medför, en konsekvensbedömning av integriteten (”PIA”) för att anta lämpliga skyddsåtgärder och säkerställa skyddet av personuppgifterna. Vi tillhandahåller även ytterligare säkerhetsåtgärder för data som anses vara känsliga personuppgifter.

Utlämnande av dina personuppgifter
‍
Vi delar dina personuppgifter under följande omständigheter:
- med Circles-enheter och Sodexo-enheter för de syften som beskrivs i denna policy;
- med tredje parter inklusive vissa tjänsteleverantörer som vi har anlitat i samband med de syften som beskrivs i denna policy och de tjänster vi tillhandahåller;
- med företag som tillhandahåller tjänster för kontroll av penningtvätt och finansiering av terrorism och andra bedrägeri- och brottsförebyggande ändamål och företag som tillhandahåller liknande tjänster, inklusive finansinstitut och tillsynsorgan med vilka sådana personuppgifter delas;
- med domstolar, brottsbekämpande myndigheter, tillsynsmyndigheter, statliga tjänstemän eller advokater eller andra parter när det rimligen är nödvändigt för att upprätta, utöva eller försvara ett rättsligt eller skäligt anspråk eller för en konfidentiell alternativ tvistlösningsprocess,
- med tjänsteleverantörer som vi anlitar inom eller utanför Circles, inhemskt eller utomlands, t.ex. delade servicecenter, för att behandla personuppgifter för något av de syften som anges ovan för vår räkning och endast i enlighet med våra instruktioner;
- om vi säljer eller köper något företag eller tillgångar, i vilket fall vi kan avslöja dina personuppgifter till den potentiella säljaren eller köparen av sådan verksamhet eller tillgångar till vilken vi överlåter eller förnyar någon av våra rättigheter och skyldigheter.

Internationella överföringar av personuppgifter
Europeisk dataskyddslagstiftning tillåter inte överföring av personuppgifter till tredjeländer utanför EES som inte säkerställer en adekvat nivå av dataskydd. Vissa av de tredjeländer där Circles verkar utanför EES tillhandahåller inte samma dataskyddsnivå som det land där du bor och erkänns inte av Europeiska kommissionen som tillhandahåller en adekvat skyddsnivå för individers rättigheter till dataskydd. För överföring av dina personuppgifter till sådana länder, antingen till enheter inom eller utanför Circles, har Circles infört ett adekvat skydd för att skydda dina personuppgifter. Du kommer att få mer information om eventuell överföring av dina personuppgifter utanför Europa vid tidpunkten för insamlingen av dina personuppgifter genom lämpliga sekretesspolicyer. För ytterligare information, inklusive att få en kopia av de dokument som används för att skydda din information, vänligen kontakta oss på circles.privacy@sodexo.com.

Kakor
Vissa av våra webbplatser kan använda ”cookies”. Cookies är delar av text som placeras på din dators hårddisk när du besöker vissa webbplatser. Vi kan använda cookies för att till exempel berätta om du har besökt oss tidigare eller om du är en ny besökare och för att hjälpa oss att identifiera funktioner som du kan ha störst intresse för. Cookies kan förbättra din onlineupplevelse genom att spara dina preferenser medan du besöker en webbplats. Vi kommer att meddela dig när du besöker våra webbplatser vilka typer av cookies vi använder och hur du inaktiverar sådana cookies. När det krävs enligt lag kommer du att ha möjlighet att besöka våra webbplatser och vägra användning av cookies när som helst på din dator. För mer information, vänligen kontakta vår Cookiepolicy.
‍

Dina rättigheter
Circles har åtagit sig att säkerställa skydd av dina rättigheter enligt gällande lagar. Nedan hittar du en tabell som sammanfattar dina olika rättigheter:

‍Rätt till tillgång och rättelse
‍Du kan begära en kopia av de personuppgifter vi har om dig. Du kan också begära rättelse av felaktiga personuppgifter, eller att få ofullständiga personuppgifter kompletterade.

Rätt till radering
‍Din rätt att bli bortglömd ger dig rätt att begära radering av dina personuppgifter i fall där:
1. uppgifterna inte längre är nödvändiga för det ändamål för vilket de samlades in;
2. du väljer att återkalla ditt samtycke
3. du invänder mot behandlingen av dina personuppgifter;
4. dina personuppgifter har behandlats olagligt;
5. det finns en laglig skyldighet att radera dina personuppgifter;
6. radering krävs för att säkerställa efterlevnad av gällande lagar.
‍
Rätt till begränsning av behandling
‍Du kan begära att behandlingen av dina personuppgifter begränsas i de fall där:
1. du bestrider riktigheten av dina personuppgifter;
2. Circles behöver inte längre dina personuppgifter för ändamålen med behandlingen;
3. du har invänt mot behandling av legitima skäl.

Rätt till dataportabilitet
‍Du kan, i tillämpliga fall, begära portabilitet av dina personuppgifter som du har tillhandahållit Circles, i ett strukturerat, allmänt använt och maskinläsbart format. Du har rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig utan hinder från Circles där:
(a) behandlingen av dina personuppgifter baseras på samtycke eller på ett avtal; och
b) Behandlingen utförs på automatiserade sätt. Du kan också begära att dina personuppgifter överförs till en tredje part efter eget val (där det är tekniskt möjligt).

Rätt att invända mot behandling
Du kan invända (dvs. utöva din rätt att ”välja bort”) behandlingen av dina personuppgifter, särskilt i samband med profilering eller marknadsföringskommunikation. När vi behandlar dina personuppgifter på grundval av ditt samtycke kan du när som helst återkalla ditt samtycke.

Rätt att inte bli föremål för automatiserade beslut
‍Du har rätt att inte bli föremål för ett beslut baserat enbart på automatiserad behandling, inklusive profilering, som har en rättslig inverkan på dig eller väsentligt påverkar dig.
‍
Rätt att lämna in ett klagomål
‍Du kan välja att lämna in ett klagomål till dataskyddsmyndigheten i det land där du är bosatt, arbetsplats eller plats för den påstådda överträdelsen, oavsett om du har lidit skada. Du har också rätt att lämna in ditt klagomål till domstolarna där Circles-enheten har en etablering eller där du har din vanliga vistelseort.

Du kan när som helst utöva någon av ovanstående rättigheter eller kontakta oss med frågor eller problem relaterade till dataskydd:
· Genom att fylla i och skicka den till den generiska e-postadressen som anges i sekretesspolicyn och/eller sekretesspolicyn som du fick vid tidpunkten för insamlingen av dina personuppgifter eller
· genom att fylla i och skicka in den dedikerade Begär webbformulär
‍

Barn
‍
Barn förtjänar särskilt skydd med avseende på sina personuppgifter, eftersom de kanske är mindre medvetna om de risker, konsekvenser och skyddsåtgärder som berörs och deras rättigheter i samband med behandlingen av personuppgifter. Sådant särskilt skydd bör särskilt gälla användningen av personuppgifter om barn för marknadsföring eller skapande av personlighets- eller användarprofiler och insamling av personuppgifter om barn när tjänster som erbjuds direkt till ett barn används. Vi samlar inte in och behandlar barns personuppgifter utan samtycke från innehavaren av föräldraansvaret där så krävs. I synnerhet marknadsför eller marknadsför vi inte våra tjänster till barn, förutom specifika tjänster och efter samtycke från innehavaren av föräldraansvaret. Om du tror att vi felaktigt har samlat in personuppgifter om barn, vänligen meddela oss med hjälp av kontaktuppgifterna nedan.

Uppdatera
‍
Vi kan uppdatera denna policy från tid till annan när vår verksamhet förändras eller lagkrav ändras. Om vi gör några väsentliga ändringar i denna policy kommer vi att publicera ett meddelande på vår webbplats när ändringarna träder i kraft, och i förekommande fall skicka ett direkt meddelande till dig om ändringen.

Kontakta oss
‍
Om du har frågor, kommentarer och förfrågningar angående denna policy kan du skicka dem till din lokala dataskyddskontakt på circles.privacy@sodexo.com.
‍

Definitioner

Klagomål avser det klagomål som en registrerad har lämnat in till en tillsynsmyndighet eller en domstol om den registrerade anser att hans eller hennes rättigheter enligt tillämplig dataskyddslagstiftning har kränkts.
‍Styrenhet betyder den enhet som bestämmer ändamålen och medlen för behandlingen av personuppgifter.
‍EU/EES betyder Europeiska unionen/Europeiska ekonomiska samarbetsområdet.
‍Europeisk dataskyddslagstiftning eller allmän dataskyddsförordning eller GDPR Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG.
‍Lokal kontaktpunkt för dataskydd betyder den person som utsetts av en Circles-enhet, som ansvarar för att hantera lokala dataskyddsfrågor. Denna kontaktpunkt är en del av det globala dataskyddsnätverket.
‍Personuppgifter : all information som rör en identifierad eller identifierbar fysisk person; en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras, särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, lokaliseringsuppgifter, en online-identifierare eller till en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, mentala, ekonomiska, kulturella eller sociala identitet
.Behandling eller behandling av personuppgifter betyder varje operation eller uppsättning operationer som utförs på personuppgifter eller på uppsättningar av personuppgifter, oavsett om det sker med automatiserade medel eller inte, såsom insamling, registrering, organisering, strukturering, lagring anpassning eller ändring, hämtning, konsultation, användning, avslöjande genom överföring, spridning eller på annat sätt tillgängliggörande, anpassning eller kombination, begränsning, radering eller förstörelse.
‍Sekretess genom design innebär att när ett nytt digitalt projekt eller en ny affärsmöjlighet inleds, som innefattar behandling av personuppgifter, ska dataskydd beaktas, både vid tidpunkten för definitionen av medlen och tillhörande lämpliga tekniska och organisatoriska säkerhetsåtgärder för behandlingen och vid tidpunkten för genomförandet av själva behandlingen. Samma princip gäller när Circles avser att fusionera med eller förvärva ett företag, ska den se till att principerna för dataskydd respekteras.
‍Sekretess som standard innebär att personal bör utbildas för att hantera personuppgifter och genomföra förfaranden för att säkerställa att lämpliga tekniska och organisatoriska åtgärder vidtas varje gång personuppgifter behandlas för att säkerställa att endast personuppgifter som är nödvändiga för varje specifikt syfte behandlas (vad gäller mängden data som behandlas, omfattningen av behandlingen och datalagring) och görs tillgängliga endast för ett begränsat antal personer som behöver veta.  
‍Begäran innebär en av de mekanismer som tillhandahålls av GDPR till individer för att tillåta dem att utöva sina rättigheter (såsom rätten till tillgång, rättelse, radering etc.). En individ kan göra en begäran mot någon enhet som behandlar dess personuppgifter.
‍Känsliga personuppgifter betecknad som ”Särskilda kategorier av uppgifter” enligt GDPR avser alla personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiösa eller filosofiska övertygelser, fackligt medlemskap och behandling av genetiska data, biometriska uppgifter i syfte att unikt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexliv eller sexuella läggning. Denna definition omfattar även personuppgifter som rör fällande domar och brott.
Tillsynsmyndighet innebär en oberoende offentlig myndighet som inrättas av en medlemsstat enligt vad som anges i GDPR.
‍Cirklar enheter:
Circle Company Associates (registreringsnummer 04-3332351)
Sodexo Circles UK Limited (Registreringsnummer: 05244331)
Circles France (registreringsnummer 482 769 189)
Circles Sweden (Registrering (/organisation) nummer 556603-2149)