CRM Creative Restaurant Management AB:s integritetspolicy
CRM Creative Restaurant Management AB, nedan kallat Kasai, behandlar personuppgifter i sin dagliga verksamhet. Integritetspolicyn gäller generellt för personuppgiftsbehandlingen inom Kasai och finns till för att förklara vilken sorts data Kasai behandlar, varför och hur. Personuppgifter behandlas i Kasais administrations- och bokningssystem. Personuppgifter behandlas också i Kasais applikationer, plattformar i sociala medier och på hemsidan kasai.se (”Digitala kanaler”). Integritetspolicyn är tillämpbar på anställda, leverantörer och gäster.
Personuppgifter är all information som direkt, eller indirekt tillsammans med andra uppgifter, kan kopplas till en levande fysisk person. Namn, telefonnummer, bilder och IP-adresser kan vara personuppgifter. Bokningar, beteenden och beställningar kan också vara personuppgifter om de tillsammans med andra uppgifter kan kopplas till en person. Åtgärder som vidtas med personuppgifter är personuppgiftsbehandling, exempelvis lagring, insamling, ändring, radering och spridning.
Kasai behandlar ibland särskilda kategorier av personuppgifter. Bland annat uppgifter om hälsa, fackförening och religiös åskådning anses tillhöra särskilda kategorier och vara extra skyddsvärda. Att hantera en bokning där någon är allergisk kräver behandling av uppgifter om någons hälsa. Sådan behandling sker endast efter samtycke. Även facktillhörighet kan behandlas i anställningsförhållanden, om det är nödvändigt inom arbetsrätten.
Personuppgiftsansvarig är den som är ansvarig för personuppgiftsbehandlingen och bestämmer varför och hur personuppgifter behandlas. I detta fall är Kasai Aktiebolag personuppgiftsansvarig. I vissa fall bestämmer en annan part vilka personuppgifter som behandlas och varför. Kasai är då personuppgiftsbiträde och behandlar personuppgifter å dennes vägnar. Det är också möjligt att Kasai tillsammans med en tredje part är ansvarig för behandlingen.
För att kunna leverera sina tjänster använder sig Kasai av personuppgiftsbiträden. Det innebär att Kasai är personuppgiftsansvarig och bestämmer vilka personuppgifter som behandlas och varför, men att vi outsourcar delar av behandlingen. Det rör sig exempelvis om IT-lösningar såsom system för lagring och bokning. Kasai bestämmer då över behandlingen och ansvarar för den, men tar hjälp av andra leverantörer för att kunna leverera sina tjänster. Kasai ingår alltid personuppgiftsbiträdesavtal med personuppgiftsbiträden för att värna om en hög skyddsnivå för all data.
Kasai och våra personuppgiftsbiträden har alltid en laglig grund för behandling av personuppgifter. Oftast är det nödvändigt för att fullgöra avtal eller men det kan även ske efter samtycke, om det krävs för att tillvarata rättsliga anspråk eller på grund av lagkrav. Kasai kan också behandla personuppgifter om det finns ett berättigat intresse. Det berättigade intresset väger då tyngre än den registrerades intresse av att Kasai inte behandlar dennes personuppgifter. Marknadsföring till gäster vi tidigare varit i kontakt med sker exempelvis efter en intresseavvägning. Som registrerade är det däremot alltid möjligt att på ett enkelt sätt motsätta sig sådan personuppgiftsbehandling.
Nedan följer en överblick av Kasais personuppgiftsbehandling. Kasai strävar efter att behandla så lite personuppgifter som möjligt. Alla kategorier av personuppgifter behandlas därför inte vid varje tillfälle. Exempelvis behandlas adresser och e-postadresser inte alltid vid bokningar men det förekommer.
Kasai behandlar personuppgifter för administrering och kommunikation med gäster, anställda och leverantörer. Syftet är att hantera bokningar, anställningar och administrera verksamheten.
För att sköta administreringen och utbetalningen av löner och kontakt med anställda måste Kasai behandla anställdas personuppgifter.
2. Kontrolluppgifter, inkomstuppgifter.
Kasai använder personuppgifter för att marknadsföra sina tjänster i Digitala kanaler och genom utskick med erbjudanden och information.
För att hantera betalningar behandlar Kasai personuppgifter.
För att förbättra sina tjänster skickar Kasai ut förfrågningar om deltagande i gästundersökningar.
För att hantera eventuella rättsliga anspråk såsom klagomål, reklamationer eller rättsprocesser, kan Kasai behöva behandla personuppgifter.
För att förbättra användarupplevelsen i de Digitala kanalerna kan Kasai komma att samla in teknisk data.
För kunna tillhandahålla sina tjänster tar Kasai hjälp av olika leverantörer för bland annat IT-lösningar som nätverk, lagringstjänster och e-posttjänster. Leverantörerna får endast behandla personuppgifterna enligt Kasais uttryckliga instruktioner och får inte behandla uppgifterna för egna ändamål. Samtliga är också bundna av lag och avtal att skydda personuppgifter.
Vid betalningar kan personuppgifter delas betaltjänstleverantören, betalningsmottagaren samt båda parters banker.
Kasai kan i vissa fall också dela med sig av uppgifter till andra mottagare, främst myndigheter på grund av lagkrav eller i samband med rättsliga processer. Personuppgifter kan också komma att delas med potentiella köpare och säljare till hela eller delar av verksamheten.
Kasai är mån om gästers och anställdas integritet och vidtar lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifter från obehörig åtkomst, ändring, spridning eller förstörelse. Bland annat finns rutiner och behörighetsbegränsningar som hindrar obehörig åtkomst.
Kasais mål är att samtliga personuppgifter behandlas inom EU/EES-området. Vissa leverantörer kan dock komma att behandla personuppgifter utan EU/EES-området. I sådana fall säkerställer vi alltid att uppgifterna är skyddade och att det finns skyddsåtgärder på plats, genom avtal som kräver ställer samma krav som reglerna EU:s dataskyddsregler.
Kasai behandlar personuppgifter så länge det finns ett förhållande med den registrerade och en tid därefter, så länge det finns en laglig grund. Om det inte längre finns en anledning att behandla personuppgifter raderas dem.
Kasai vill påminna om rättigheterna GDPR ger personer som får sina personuppgifter behandlade.
Som registrerad har du rätt att begära bekräftelse på om vi behandlar personuppgifter om dig eller inte. Om vi gör det har du rätt att få se vilka uppgifter vi behandlar om dig genom ett registerutdrag.
Om en uppgift är fel eller ofullständig har du rätt att begära att den rättas.
Om vi behandlar dina personuppgifter med samtycke som laglig grund för behandlingen, har du rätt att närsomhelst återkalla samtycket med framtida verkan.
Registrerade har rätt att motsätta sig att personuppgiftsbehandling sker för direktmarknadsföring. Detta görs lättast genom att avregistrera sig från utskick genom att klicka på avregistreringslänken i utskicket eller kontakta oss.
Den registrerade har också rätt att vända sig direkt till tillsynsmyndigheten för att klaga. Tillsynsmyndigheten ska då utreda det som skett.
Som registrerad har du rätt att motsätta dig behandlar som stödjer sig på ett berättigat intresse om det finns skäl i ditt specifika fall som talar emot behandlingen. Om du motsätter dig behandlingen och det finns tvingande berättigade skäl som väger tyngre får vi dock fortsätta behandlingen.
Registrerade har rätt att begära och under vissa omständigheter så sina personuppgifter raderade. Ett undantag är om vi enligt lag är skyldiga att bevara uppgifterna.
Registrerade har rätt att begära att behandlingen av dennes personuppgifter begränsas.
Registrerade har också rätt att få kopior på sina personuppgifter i ett strukturerat, allmänt använt och maskinläsbart format. Denna rätt omfattar endast personuppgifter som den registrerade själv tillhandahållit oss och den lagliga grunden antingen är samtycke eller att det finns ett avtal.