Integritetspolicy

Stockholm Business Region, värnar de registrerade rättigheter och nedan beskrivs hur SBR behandlar dina personuppgifter utifrån gällande dataskyddslagstiftning. Dataskydds-informationen riktar sig till dig som kommer i kontakt med SBR:s verksamhet och beskriver hur vi behandlar dina personuppgifter, dina dataskyddsrättigheter enligt dataskyddsförordningen, GDPR, och hur du kan göra dem gällande.

Stockholm Business Region är ansvarig för behandlingen av personuppgifterna.

Stockholm Business Region AB, med organisationsnummer 556491–6798 och adress Fleminggatan 4 SE-102 26 Stockholm, är ett helägt bolag till Stockholms stad och del av Stockholms Stadshus AB.Integritetspolicyn beskriver personuppgiftsbehandlingen som utförs av Stockholm Business Region och dess dotterbolag såsom personuppgiftsansvariga bolag inom Stockholm Business Region AB (härefter refererat till som ”SBR”). Dotterbolagen Visit Stockholm AB och Invest Stockholm AB är idag vilande bolag.

Kontaktuppgifter till SBR:s dataskyddsombud

SBR:s dataskyddsombud arbetar med att ge råd och kontrollera att verksamheten efterlever dataskyddslagstiftningen. Du kan kontakta SBR:s dataskyddsombud om du har frågor gällande behandling av dina personuppgifter eller om du vill utöva dina rättigheter. Rättigheterna beskrivs mer nedan.

Dataskyddsombud: funktionsbrevlada.dso@stockholm.se

Offentlighetsprincipen

SBR omfattas av tryckfrihetsförordningen, offentlighets- och sekretesslagen samt arkivlagen. Hantering av allmänna handlingar och de personuppgifter som finns där, kan därför omfattas av en rättslig förpliktelse. Det innebär bland annat att meddelanden som skickas till SBR normalt blir allmänna handlingar. SBR är skyldig att på begäran lämna ut uppgifter i allmänna handlingar, efter sekretessprövning. Reglerna om allmänna handlingars offentlighet och arkivregler kan innebära begränsningar i vissa av den registrerades rättigheter.

Vad är en personuppgift och en behandling?

En personuppgift är en upplysning som direkt eller indirekt kan knytas till en fysisk levande person. Exempel på personuppgifter är namn, adress, telefonnummer och e-postadress. Under vissa omständigheter kan även uppgifter som till exempel IP-nummer eller andra uppgifter som kombineras tillsammans utgöra en personuppgift.

Behandling av personuppgifter innefattar all hantering av personuppgifter, till exempel insamling, registrering, gallring och lagring.

Vilka personuppgifter behandlar vi?

Information som du ger till oss. Till exempel när du deltar i våra event, skriver upp dig på våra anmälningslistor för event och nyhetsutskick, interagerar med oss på sociala medier, kan vi samla in:

• Person- och kontaktinformation – namn, adress, e-postadress, telefonnummer, roll/titel, foto och bild/video, vilken organisation eller företag du tillhör, sysselsättning, och onlineID. Deltar du i någon av våra fokusgrupper kan vi även samla in information såsom kön, bostadsort, utbildning och nationalitet.
• Guider – namn, adress, e-postadress, telefonnummer, roll/titel, foto, bild/video, personnummer, sysselsättning, vilken organisation eller företag du tillhör, språkkunskaper.

Information vi samlar in om dig. Är du till exempel en offentlig person, journalist eller arbetar som kontaktperson på ett företag, besökare på någon av våra webbplatser, deltagare vid event eller valt att ta emot nyhetsbrev kan vi aktivt komma att samla in följande information om dig:

• Person- och kontaktinformation – namn, e-postadress, mobiltelefonnummer, roll/titel, vilken organisation eller företag du tillhör, sysselsättning, foto, online-ID
• Information om hur du interagerar med våra webbsidor – hur du använder våra webbsidor.
• Enhetsinformation – exempelvis IP-adress, språkinställningar, webbläsarinställningar, tidszon, operativsystem, plattform och skärmupplösning. Läs mer i cookieinställningar.
• Vilka event du deltagit vid och framtida önskemål om event
• När du samtyckt till en behandling och vilka nyhetsbrev du tagit emot

Information från tredje part. Vi kan också komma att samla in personuppgifter från någon annan än dig (s.k. tredje part). De uppgifter vi samlar in från tredje part är följande:

Adressuppgifter från offentliga register för att vara säkra på att vi har rätt adressuppgifter till dig.

Tillhör du en viss målgrupp som vi vill nå ut till kan vi också samla in personuppgifter om dig från andra marknadsföringsorganisationer.

Syftet (ändamålet) med vår behandling av personuppgifter

SBR behandlar personuppgifter i det kommunala uppdraget att marknadsföra och utveckla Stockholm stad som etablerings- och turistdestination under varumärket Stockholm – The Capital of Scandinavia – i nära samarbete med näringsliv, akademi och andra institutioner samt organisationer, kommuner och myndigheter.Nedan följer en mer detaljerad beskrivning.

Ändamål och rättslig grund för respektive behandling

• Administrera och utveckla digital kommunikation; till exempel kommunicera i sociala medier, skriva pressmeddelanden till journalister samt bedriva internationell och nationell marknadsföring. Rättslig grund för behandlingen: Fullgörande av avtal och berättigade intressen.
• Ge näringslivsservice; till exempel genom att arrangera och genomföra utbildningar och konferenser samt tillhandahålla branschstöd, etableringsservice och andra rådgivningstjänster samt investeringsförfrågningar. Rättslig grund för behandlingen: Fullgörande av avtal och berättigade intressen.
• Genomföra undersökningar, följa upp och analysera; löpande statistik, omvärldsbevakning och kundnöjdhetsundersökningar. Rättslig grund för behandlingen: Berättigade intressen.
• Hantera extern dialog; bemöta synpunkter, klagomål och rättsliga anspråk. Rättslig grund för behandlingen: Rättslig förpliktelse och berättigade intressen.
• Hantera projekt; administrera och genomföra olika projekt, såsom exempelvis Stockholm Archipelago. Rättslig grund för behandlingen: Fullgörande av avtal och berättigade intressen.
• Samverka med näringslivet; till exempel genom att arrangera internationella affärsmöten, näringslivsseminarier, samverka med stadens förvaltningar och destinationens aktörer, investera i startup-sektorn eller marknadsföra Stockholm. Rättslig grund för behandlingen: Fullgörande av avtal och berättigade intressen.
• Tillhandahålla event och turistservice; till exempel genom att svara på frågor via e-post eller hantera utställare och bjuda in till event, tillhandahålla information om auktoriserade turistguider och skärgårdsguider, samt utfärda guidelegitimation. Rättslig grund för behandlingen: Fullgörande av avtal, berättigade intressen och rättslig förpliktelse.
• Vårda och hantera varumärket; till exempel genom att marknadsföra Stockholm till internationella arbetstalanger, ta fram reklamfilmer för Stockholm eller genom att bjuda in utländsk press och resebyråer för att lära känna staden. Rättslig grund för behandlingen: Fullgörande av avtal och berättigade intressen.
• Direktutskick; Vi kan också komma att kontakta dig genom utskick om evenemang och aktuella händelser i staden om du vid något tillfälle anmält ditt intresse för sådan information, samtyckt till, eller om vi bedömt ett berättigat intresse i att skicka information till dig i din yrkesroll, till exempel om du är journalist, bloggare eller kontaktperson i en relevant organisation. Du har alltid möjligheten att höra av dig och säga att du inte vill motta information från oss via info.sbr@stockholm.se. Rättslig grund för behandlingen: samtycke eller berättigat intresse beroende på om du är i kontakt med oss såsom privatperson eller i din yrkesroll.

Om SBR, såsom kommunalt bolag, på uppdrag av en kommunal myndighet, utför en förvaltningsuppgift som åligger Stockholm stad, kan den rättsliga grunden allmänt intresse komma att tillämpas i stället för den rättsliga grunden berättigat intresse enligt ovan.

Rätt att återkalla samtycke

Om SBR behandlar dina personuppgifter med stöd av ditt samtycke har du rätt att när som helst återkalla det samtycke du har lämnat. Detta innebär att SBR måste upphöra med den aktuella personuppgiftsbehandlingen. Ett återkallande av samtycke påverkar emellertid inte lagligheten av personuppgiftsbehandlingen innan samtycket återkallades. Om du vill återkalla ditt samtycke kontaktar du oss via info.sbr@stockholm.se.

Vilka kan vi komma att dela personuppgifter med?

När vi delar personuppgifter säkerställer vi att mottagaren behandlar dem i enlighet med gällande dataskyddslagstiftning. Om leverantör anlitas för att behandla personuppgifter för SBR:s räkning tecknas ett personuppgiftsbiträdesavtal med våra instruktioner hur personuppgifterna får behandlas. Vi har personuppgiftsbiträden som bistår oss med IT-tjänster för drift, teknisk support och underhåll. Mediebyråer och reklambyråer kan även komma att behandla personuppgifter för vår räkning vid print och distribution av marknadsföring.

Vi delar även personuppgifter med organisationer som är självständigt personuppgiftsansvariga, såsom samarbetspartners, andra nämnder och bolag inom Stockholm stad, andra kommuner, statliga myndigheter och med sociala medier när vi svarar och interagerar med dig.

Delning av personuppgifter görs inom Stockholms stad för att fullfölja det kommunala uppdraget, att till exempel tillhandahålla etableringsservice till företag.

Delning av personuppgifter sker till samarbetspartners, såsom branschorganisationer eller andra aktörer inom näringslivet, till exempel hotell och restauranger, för att främja samverkan och etablering av företagsverksamhet.

Vi kan även komma att dela personuppgifter till statliga myndigheter, exempelvis polisen och Skatteverket när vi skyldiga att dela uppgifter enligt lag eller vid misstanke om brott.

Var behandlar vi dina personuppgifter och överföring till tredjeland

Vi strävar alltid efter att behandla personuppgifter inom EU/EES. Personuppgifter kan emellertid i vissa situationer komma att överföras till, och behandlas i, land utanför EU/EES av ett personuppgiftsbiträde (leverantör) eller underbiträde (underleverantör) till SBR. All sådan överföring kommer att ske i enlighet med gällande dataskyddslagstiftning.

De överföringsgrunder enligt dataskyddsförordningen som huvudsakligen används vid överföring till tredjeland är EU-kommissionens adekvansbeslut, och om det saknas, EU-kommissionens standardavtalsklausuler med kompletterande skyddsåtgärder.

Om du önskar ytterligare information eller kopia om valda skyddsåtgärder som vidtagits vid tredjelandsöverföring för att skydda dina personuppgifter kan du kontakta oss på info.sbr@stockholm.se.

Hur länge sparar vi dina personuppgifter?

Vi sparar aldrig dina personuppgifter längre än vad som är nödvändigt för respektive ändamål. SBR har emellertid som kommunalt bolag att förhålla sig till gällande arkivlagstiftning som styr hur länge information innehållande personuppgifter ska lagras och om den får raderas eller ska bevaras för framtiden.

Personuppgifter av ringa eller tillfällig betydelse raderas då de inte längre är aktuella enligt gällande gallringsbeslut för Stockholms stad.

Dina rättigheter som registrerad

Dataskyddsförordningen (GDPR) stärker dina rättigheter avseende hur vi får hantera dina personuppgifter. Följande rättigheter kan du utöva och mer information om dina rättigheter nedan.

Rätten till information

Du har rätt att få information utifrån dataskyddsförordningen när dina personuppgifter behandlas. Detta gör vi genom att tillhandahålla denna dataskyddsinformation och genom att svara på frågor om du kontaktar oss.

Rätten till tillgång

Du har rätt att på begäran och utan onödigt dröjsmål få besked om huruvida SBR behandlar personuppgifter om dig och att i så fall få en kopia av de personuppgifter som behandlas. Information lämnas i form av ett registerutdrag enligt artikel 15 i GDPR.För att säkerställa att just du är den som har rätt att begära ut personuppgifterna enligt GDPR kan vi komma att fråga dig om ytterligare uppgifter.

Rätt till rättelse

Du har rätt att få felaktig eller ofullständig information om dig själv rättad. Du kan även komplettera din information.

Rätt till radering

Du har rätt att vända dig till Stockholms stad och be att få personuppgifter om dig raderade. Radering kan och får endast ske under vissa specifika förutsättningar.

• Om personuppgifterna inte längre är nödvändiga för de ändamål för vilka de har samlats in eller behandlats.
• Om du återkallar ditt samtycke på vilket personuppgiftsbehandlingen grundar sig på enligt artikel 6.1 a (rättslig grund) eller artikel 9.2 a (känsliga personuppgifter)
• Du invänder mot en intresseavvägning vi har gjort baserat på den lagliga grunden berättigat intresse och ditt skäl för invändning väger tyngre än vårt berättigade intresse.
• Du invänder mot behandling för direktmarknadsföringsändamål.
• Personuppgifter har behandlats på ett olagligt sätt.
• Personuppgifterna måste raderas för ett uppfylla en rättslig förpliktelse som SBR omfattas av.

Rätten till radering är även begränsad av offentlighets- och sekretesslagstiftningen samt arkivlagen.

Rätt till begränsning

Du har under vissa omständigheter rätt att begära att vår behandling av dina personuppgifter begränsas. Till exempel om du skulle ifrågasätta huruvida personuppgifterna är korrekta eller om vi inte längre behöver dem för våra ändamål men du behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk. Det innebär att du kan begära att vi inte raderar dina personuppgifter.

Invänder du mot en behandling vi genomför med hänvisning till intresseavvägning av berättigat intresse kan du begära att vi begränsar behandlingen under den tid vi behöver för att kontrollera om våra berättigade intressen väger tyngre än dina intressen av att få uppgifterna raderade.

Begränsas behandlingen enligt ovan får vi inte göra något annat med dina personuppgifter, utöver själva lagringen, än att själva fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda någon annans rättigheter såvida vi inte begär ditt specifika samtycke.

Rätt till dataportabilitet

Behandlar vi personuppgifter om dig med anledning av samtycke eller genom ett avtal med dig i automatiserad form, kan du i vissa fall ha rätt att begära att få ut den informationen i maskinläsbart format. T.ex. för att flytta över till en annan personuppgiftsansvarig.

Rätt att göra invändningar mot viss typ av behandling

Du har rätt att göra invändningar mot SBR:s behandling av dina personuppgifter. Denna rättighet gäller personuppgifter som behandlas för att utföra en uppgift av allmänt intresse eller för ändamål som rör ett berättigat intresse.

Du har alltid rätt att slippa direktmarknadsföring (till exempel när en organisation tar direkt kontakt med en kund genom e-post, SMS eller nyhetsbrev. Marknadsföringsåtgärder där en kund själv aktivt valt att använda en tjänst eller annars uppsökt en organisation för att få veta mer om dess tjänster räknas inte som direktmarknadsföring).

För att få fortsätta behandla dina uppgifter när du invänt mot en intresseavvägning krävs att vi kan visa ett tvingande berättigat skäl för den behandlingen som väger tyngre än dina intressen. I annat fall får vi bara behandla uppgifterna för att fastställa, utöva eller försvara rättsliga anspråk.

Regler om allmänna handlingars offentlighet i tryckfrihetsförordningen och arkivregler kan innebära begränsningar i vissa av dina rättigheter enligt ovan.

Kontakta oss i dataskyddsfrågor

Om du har frågor om hur NN behandlar dina personuppgifter, eller om du vill utöva dina rättigheter enligt dataskyddsförordningen (GDPR), finns det två olika kontaktvägar beroende på ditt ärende.

Kontakt med personuppgiftsansvarig

Kontakta personuppgiftsansvarig om du till exempel:

• vill utöva dina rättigheter, t ex begära registerutdrag
• har frågor om hur vi behandlar dina personuppgifter

info.sbr@stockholm.se och 08-508 28 000 (växel)

Kontakt med dataskyddsombudet (DSO)

SBR:s dataskyddsombud arbetar med att ge råd och kontrollera att verksamheten efterlever dataskyddslagstiftningen. Du kan kontakta DSO direkt om du till exempel:

• har synpunkter eller klagomål på hur dina personuppgifter hanteras
• vill komma i kontakt med DSO utan att vända dig till verksamheten

Dataskyddsombudet är fristående i sin roll och kan kontaktas direkt. E-post: funktionsbrevlada.dso@stockholm.se

Lämna in klagomål till Integritetsskyddsmyndigheten

Integritetsskyddsmyndigheten (IMY) är en tillsynsmyndighet som är ansvarig för att övervaka tillämpningen av dataskyddslagstiftningen. Om du anser att en personuppgiftsansvarig verksamhet hanterar personuppgifter på ett felaktigt sätt kan du lämna in ett klagomål till dem.

Mer information om dina rättigheter och hur klagomål hanteras, se Dataskydd för dig som privatperson | IMY.