CRM Creative Restaurant Management AB:s integritetspolicy

1. Bakgrund

CRM Creative Restaurant Management AB, nedan kallat Kasai, behandlar personuppgifter i sin dagliga verksamhet. Integritetspolicyn gäller generellt för personuppgiftsbehandlingen inom Kasai och finns till för att förklara vilken sorts data Kasai behandlar, varför och hur. Personuppgifter behandlas i Kasais administrations- och bokningssystem. Personuppgifter behandlas också i Kasais applikationer, plattformar i sociala medier och på hemsidan kasai.se (”Digitala kanaler”). Integritetspolicyn är tillämpbar på anställda, leverantörer och gäster.

2. Personuppgifter och personuppgiftsbehandling

Personuppgifter är all information som direkt, eller indirekt tillsammans med andra uppgifter, kan kopplas till en levande fysisk person. Namn, telefonnummer, bilder och IP-adresser kan vara personuppgifter. Bokningar, beteenden och beställningar kan också vara personuppgifter om de tillsammans med andra uppgifter kan kopplas till en person. Åtgärder som vidtas med personuppgifter är personuppgiftsbehandling, exempelvis lagring, insamling, ändring, radering och spridning.

2.1. Särskilda kategorier av personuppgifter

Kasai behandlar ibland särskilda kategorier av personuppgifter. Bland annat uppgifter om hälsa, fackförening och religiös åskådning anses tillhöra särskilda kategorier och vara extra skyddsvärda. Att hantera en bokning där någon är allergisk kräver behandling av uppgifter om någons hälsa. Sådan behandling sker endast efter samtycke. Även facktillhörighet kan behandlas i anställningsförhållanden, om det är nödvändigt inom arbetsrätten.

3. Personuppgiftsansvarig

Personuppgiftsansvarig är den som är ansvarig för personuppgiftsbehandlingen och bestämmer varför och hur personuppgifter behandlas. I detta fall är Kasai Aktiebolag personuppgiftsansvarig. I vissa fall bestämmer en annan part vilka personuppgifter som behandlas och varför. Kasai är då personuppgiftsbiträde och behandlar personuppgifter å dennes vägnar. Det är också möjligt att Kasai tillsammans med en tredje part är ansvarig för behandlingen.

4. Personuppgiftsbiträden

För att kunna leverera sina tjänster använder sig Kasai av personuppgiftsbiträden. Det innebär att Kasai är personuppgiftsansvarig och bestämmer vilka personuppgifter som behandlas och varför, men att vi outsourcar delar av behandlingen. Det rör sig exempelvis om IT-lösningar såsom system för lagring och bokning. Kasai bestämmer då över behandlingen och ansvarar för den, men tar hjälp av andra leverantörer för att kunna leverera sina tjänster. Kasai ingår alltid personuppgiftsbiträdesavtal med personuppgiftsbiträden för att värna om en hög skyddsnivå för all data.

5. Kasais personuppgiftsbehandling

Kasai och våra personuppgiftsbiträden har alltid en laglig grund för behandling av personuppgifter. Oftast är det nödvändigt för att fullgöra avtal eller men det kan även ske efter samtycke, om det krävs för att tillvarata rättsliga anspråk eller på grund av lagkrav. Kasai kan också behandla personuppgifter om det finns ett berättigat intresse. Det berättigade intresset väger då tyngre än den registrerades intresse av att Kasai inte behandlar dennes personuppgifter. Marknadsföring till gäster vi tidigare varit i kontakt med sker exempelvis efter en intresseavvägning. Som registrerade är det däremot alltid möjligt att på ett enkelt sätt motsätta sig sådan personuppgiftsbehandling.

Nedan följer en överblick av Kasais personuppgiftsbehandling. Kasai strävar efter att behandla så lite personuppgifter som möjligt. Alla kategorier av personuppgifter behandlas därför inte vid varje tillfälle. Exempelvis behandlas adresser och e-postadresser inte alltid vid bokningar men det förekommer.

5.1. Kommunikation och administrering

Kasai behandlar personuppgifter för administrering och kommunikation med gäster, anställda och leverantörer. Syftet är att hantera bokningar, anställningar och administrera verksamheten.

  1. Personuppgifter
    Namn, e-postadress, adress, telefonnummer, bokningar, matpreferenser, allergier.
  2. Laglig grund
    Behandlingen är nödvändig för att kunna uppfylla avtalen och tillhandahålla våra tjänster.
  3. Uppgifternas ursprung
    Uppgifterna kommer från den registrerade själv som lämnas till oss vid bokningar och avtalsingående.

5.2. Anställningsförhållanden

För att sköta administreringen och utbetalningen av löner och kontakt med anställda måste Kasai behandla anställdas personuppgifter.

  1. Personuppgifter
    1. Namn, e-postadress, adress, telefonnummer, eventuella anhöriga, kontonummer, arbetsgivarintyg, lönespecifikationer, frånvaro.

2. Kontrolluppgifter, inkomstuppgifter.

  1. Laglig grund
    1. Behandlingen är nödvändig för at kunna uppfylla anställningsavtal och att administrera och betala ut lön.
    2. Kasai har som arbetsgivare en rättslig förpliktelse att tillhandahålla Skatteverket med anställdas kontrolluppgifter.
  2. Uppgifternas Ursprung
    1. Uppgifterna kommer från den registrerade själv och lämnas till oss vid avtalsingående eller under avtalsförhållandet. Lönespecifikationer genereras i Kasais lönesystem och arbetsgivarintyg skapas av HR-avdelningen.
    2. Uppgifterna kommer från lönesystemet och är baserade på vad som är registrerat mot bakgrund av den anställdes lön och arbetsgrad.

5.3. Marknadsföring

Kasai använder personuppgifter för att marknadsföra sina tjänster i Digitala kanaler och genom utskick med erbjudanden och information.

  1. Personuppgifter
    Namn, e-postadresser, i vissa fall bilder.
  2. Laglig grund
    Behandlingen sker efter samtycke eller en intresseavvägning.
  3. Uppgifternas ursprung
    Från de registrerade själva genom anmälan till nyhetsbrev. Bilder tas ibland av Kasais fotografer.

5.4. Betalningar

För att hantera betalningar behandlar Kasai personuppgifter.

  1. Personuppgifter
    Kortnummer, fakturanummer, namn, e-postadress, telefonnummer, belopp, försäljningsställe, tid för transaktionen, detaljer om beställningen.
  2. Laglig grund
    För att handla med tjänster och varor och leva upp till avtal genom att få betalt eller försäkra sin egen betalning behöver Kasai hantera personuppgifter kopplade till betalningar.
  3. Uppgifternas ursprung
    Uppgifterna kommer från de registrerade själva vid betalning eller bokning.

5.5. Gästundersökningar

För att förbättra sina tjänster skickar Kasai ut förfrågningar om deltagande i gästundersökningar.

  1. Personuppgifter
    Namn, e-postadress, svarsresultat.
  2. Laglig grund
    Behandlingen sker efter en intresseavvägning.
  3. Uppgifternas ursprung
    Uppgifterna för utskick kommer från de registrerade själva som lämnat dem till ett bolag i koncernen. Svaren på undersökningarna kommer direkt från den registrerade.

5.6. Hantera anspråk

För att hantera eventuella rättsliga anspråk såsom klagomål, reklamationer eller rättsprocesser, kan Kasai behöva behandla personuppgifter.

  1. Personuppgifter
    Namn, personnummer, adress, e-postadress, telefonnummer, kontonummer, händelseförlopp, platsinformation.
  2. Laglig grund
    Behandlingen är nödvändigt för att tillgodose Kasais berättigade intresse av att fastställa, göra gällande och utöva rättsliga anspråk.
  3. Uppgifternas ursprung
    Uppgifterna kan komma från registrerade själva men även myndigheter eller andra aktörer som försäkringsbolag.

5.7. Cookies m.m.

För att förbättra användarupplevelsen i de Digitala kanalerna kan Kasai komma att samla in teknisk data.

  1. Personuppgifter
    IP-adresser, cookies, webbläsarinformation, enhets-ID:n.
  2. Laglig grund
    Beroende på vilken sorts teknisk data som samlas in sker behandlingen antingen efter en intresseavvägning eller samtycke.
  3. Uppgifternas ursprung
    De registrerade själva vid användning av de Digitala kanalerna.

6. Mottagare som Kasai kan dela information med.

6.1. Tjänsteleverantörer

För kunna tillhandahålla sina tjänster tar Kasai hjälp av olika leverantörer för bland annat IT-lösningar som nätverk, lagringstjänster och e-posttjänster. Leverantörerna får endast behandla personuppgifterna enligt Kasais uttryckliga instruktioner och får inte behandla uppgifterna för egna ändamål. Samtliga är också bundna av lag och avtal att skydda personuppgifter.

6.2. Betalningsmottagare och leverantörer för betaltjänster

Vid betalningar kan personuppgifter delas betaltjänstleverantören, betalningsmottagaren samt båda parters banker.

6.3. Övriga mottagare

Kasai kan i vissa fall också dela med sig av uppgifter till andra mottagare, främst myndigheter på grund av lagkrav eller i samband med rättsliga processer. Personuppgifter kan också komma att delas med potentiella köpare och säljare till hela eller delar av verksamheten.

7. Tekniska och organisatoriska åtgärder

Kasai är mån om gästers och anställdas integritet och vidtar lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifter från obehörig åtkomst, ändring, spridning eller förstörelse. Bland annat finns rutiner och behörighetsbegränsningar som hindrar obehörig åtkomst.

8. Var behandlar Kasai personuppgifter?

Kasais mål är att samtliga personuppgifter behandlas inom EU/EES-området. Vissa leverantörer kan dock komma att behandla personuppgifter utan EU/EES-området. I sådana fall säkerställer vi alltid att uppgifterna är skyddade och att det finns skyddsåtgärder på plats, genom avtal som kräver ställer samma krav som reglerna EU:s dataskyddsregler.

9. Hur länge sparas personuppgifter?

Kasai behandlar personuppgifter så länge det finns ett förhållande med den registrerade och en tid därefter, så länge det finns en laglig grund. Om det inte längre finns en anledning att behandla personuppgifter raderas dem.

10. Rättigheter

Kasai vill påminna om rättigheterna GDPR ger personer som får sina personuppgifter behandlade.

10.1. Tillgång till personuppgifter

Som registrerad har du rätt att begära bekräftelse på om vi behandlar personuppgifter om dig eller inte. Om vi gör det har du rätt att få se vilka uppgifter vi behandlar om dig genom ett registerutdrag.

10.2. Rättelse

Om en uppgift är fel eller ofullständig har du rätt att begära att den rättas.

10.3. Återkalla samtycke

Om vi behandlar dina personuppgifter med samtycke som laglig grund för behandlingen, har du rätt att närsomhelst återkalla samtycket med framtida verkan.

10.4. Motsätta sig behandling för direktmarknadsföring

Registrerade har rätt att motsätta sig att personuppgiftsbehandling sker för direktmarknadsföring. Detta görs lättast genom att avregistrera sig från utskick genom att klicka på avregistreringslänken i utskicket eller kontakta oss.

10.5. Rätt att klaga till tillsynsmyndighet

Den registrerade har också rätt att vända sig direkt till tillsynsmyndigheten för att klaga. Tillsynsmyndigheten ska då utreda det som skett.

10.6. Motsätta sig behandling som stöder sig på Kasais berättigade intresse

Som registrerad har du rätt att motsätta dig behandlar som stödjer sig på ett berättigat intresse om det finns skäl i ditt specifika fall som talar emot behandlingen. Om du motsätter dig behandlingen och det finns tvingande berättigade skäl som väger tyngre får vi dock fortsätta behandlingen.

10.7. Radering

Registrerade har rätt att begära och under vissa omständigheter så sina personuppgifter raderade. Ett undantag är om vi enligt lag är skyldiga att bevara uppgifterna.

10.8. Begränsning av behandling

Registrerade har rätt att begära att behandlingen av dennes personuppgifter begränsas.

10.9. Dataportabilitet

Registrerade har också rätt att få kopior på sina personuppgifter i ett strukturerat, allmänt använt och maskinläsbart format. Denna rätt omfattar endast personuppgifter som den registrerade själv tillhandahållit oss och den lagliga grunden antingen är samtycke eller att det finns ett avtal.