Vi använder cookies för att skapa en bättre användarupplevelse. Genom att fortsätta använda NEXTme godkänner du vår cookiepolicy.

Korrespondens, kurs "må bra"

Laddar meddelanden...

Introfilm, försäljning

Datasäkerhetspolicy

Gäller från och med 2018-05-24.

1. Allmänna definitioner

Vänligen se våra användarvillkor (https://nextme.se/anvandarvillkor).

  1. Introduktion
    1. Vad denna policy syftar till och säkerställer
      • För att kunna driva NEXTme och ge dess Användare väl fungerande, användarvänliga Tjänster behöver vi samla in, lagra och på olika sätt nyttja data, som i många fall direkt eller indirekt kan kopplas till en fysisk person och som inte alltid anges av Användaren själv i något formulär eler liknande. Denna policy har som funktion att redogöra för:

        • Vilken typ av data vi samlar in och hur länge vi lagrar den datan.
        • Vilka säkerhetsåtgärder vi vidtar i vårt dagliga arbete samt vid händelse av intrång i våra system.
        • Vilka rättigheter Användare av sajten samt alla personer som kan räknas till de uppräknade kategorierna i 2.1. i denna policy har vad gäller åtkomst till sin på våra servrar lagrade data, samt korrigering och radering av densamma.
        • Hur vi genom föregående tre punkter säkerställer att vi följer svensk lagstiftning och GDRP.

    2. Begränsningar
      • Denna policy och implementerandet av de åtaganden vi här definierar säkerställer att användardata skyddas så gott som det går med de medel och säkerhetsåtgärder vi finner tillräckliga och motiverade baserat på ekonomisk och teknologisk tillgång till skydd och rådande lagstiftning. Vi gör med andra ord vad vi kan för att skydda datauppgifter och ge Användare och de personer som kan räknas till de uppräknade kategorierna i 2.1. i denna policy god kontroll/makt över den data vi har om dem. Vi gör allt vi kan för att förhindra obehörigt tillträde till användardata, förlust av kommunikation mellan Användare och oss (vilket exempelvis kan förhindra att användardata uppdateras/raderas på begäran av förfrågande individ) samt förlust av (optimal) tillgång till Tjänsterna. Med det sagt kan vi inte garantera ett fullständigt skydd, eller att någon anställd eller tredje part inte kommer över (känsliga) personuppgifter. Vad vi åtagit oss att göra vid sådan händelse kan läsas i detalj i 7. i användarvillkoren (länkade i 1. i denna policy).

  1. Nyckelpersoner och delegerat ansvar
    1. Denna policy gäller
        • Anställda på RDL Gruppen AB.
        • Alla dotterbolag och tredje parter till RDL Gruppen AB.
        • Alla som på något övrigt sätt är involverade i RDL Gruppen AB:s verksamhet, exempelvis på frivillig basis, konsultbasis eller liknande.
        • All data som direkt eller indirekt kan kopplas till en identifierbar fysisk person, även om den datan tekniskt sett inte faller under de definitioner som gäller enligt personuppgiftslagen (PUL), eller dataskyddsförordningen (GDPR), som från och med 25 maj 2018 ersätter PUL. Till denna typ av data hör exempelvis för- och efternamn, mejladress, telefonnummer etcetera. De åtaganden som definieras i denna policy gäller inte bara elektroniskt lagrad data, utan även sådan som skrivits ut/ner på papper och dylikt material.

    2. Grundansvar
      • Alla personer som kan räknas till de uppräknade kategorierna i 2.1. i denna policy har ett ansvar att behandla användardata på ett professionellt och försiktigt sätt. Med detta menas att endast den data som behövs för den aktuella arbetsuppgiften behandlas. Vidare behandlas all information formellt. Alla personer ska eftersträva att innan hämtning/användning av användardata kontaktar DPO (definierad under 2.3.2. i denna policy). När det gäller konfidentiell information är kontakt med DPO absolut nödvändig. Slutligen menas med detta också att säkerhetsåtgärder vidtas vid hantering av användardata. Exempelvis ska papper med användardata låsas in när de inte brukas. Mejl ska inte innehålla personuppgifter såvida inte mottagaren är personen från vilken data hämtats, då mejl inte är att anses som en tillräckligt säker kommunikationskanal. När de som hanterar användardata går ifrån sin dator/mobil/platta ska denna låsas. Data ska aldrig delas till extern part utan tillåtelse definierad i kontrakt med RDL Gruppen AB eller explicit, skriftligt godkännande från VD:n för RDL Gruppen AB. Slutligen ska alla som hanterar användardata i interna system och liknande använda starka lösenord som byts ut med jämna mellanrum.

        För att säkerställa att alla i de uppräknade kategorierna i 2.1. är väl införstådda med säkerhetsrutiner vad gäller bruk och hantering av användardata sker en obligatorisk, praktiskt utbildning i informationssäkerhet för alla som kommer i kontakt med NEXTme ur kategorierna i 2.1. för första gången. Vidare får alla som hanterar användaruppgifter under mer än ett års tid genomgå en ny praktisk utbildning i informationssäkerhet på årlig basis. Vid oklarhet eller frågor gällande informationssäkerhet ska DPO eller supporten på NEXTme (nås via kontakt-sidan, länkad i 3.10. i denna policy) kontaktas.

        Förutom ett "grundansvar" har de anställda på RDL Gruppen AB, liksom personerna i styrelsen på RDL Gruppen AB, ett antal ytterligare ansvar, vilka definieras nedan.

    3. Särskilt ansvar
      1. Styrelsemedlemmarna i RDL Gruppen AB
        • Styrelsemedlemmarna ska löpande se över de rutiner och säkerhetsåtgärder som vi vidtar för att säkra Användares data på ett smidigt, effektfullt och ekonomiskt vis. Detta görs bland annat genom att se över eventuella nya tredje parter, både vad gäller fysiska personer och företag, och säkerställa att dessa har utarbetade handlingsplaner, rutiner och säkerhetsåtgärder vad gäller användardata som motsvarar våra, och därmed kan tillåts hantera vår användardata. Styrelsemedlemmarna är vidare ytterst ansvariga att de som får tillgång till användardata får en praktisk utbildning i informationssäkerhet, och om de fått sådan, att de får det på årlig basis för att hålla kunskaperna färska. Styrelsemedlemmarna är också ansvariga för att hålla sig uppdaterade vad gäller lagstiftning, för att kunna vid behov delegera teknisk personal att anpassa systemet därefter. Vid behov ska Styrelsemedlemmarna samarbeta med juridiskt sakkunniga.

      2. VD och DPO (Data Protection Officer)

          • Kontaktuppgifter:
          • Daniil Lisik
          • info@nextme.se

          Daniil Lisiks ansvarsområden är följande:

          • Säkerställa att de direktiv som ges från styrelsemedlemmarna (se 2.3.1. i denna policy) omsätts i praktiken rent tekniskt.
          • Kontrollera tredje partsmjukvara för att säkerställa att användardata genom bruket av dessa inte kommer riskeras att hamna i obehöriga händer.
          • Hantera förfrågningar gällande användardata från Användare och personer hörande till grupperna listade i 2.1. i denna policy (även kallat "subject access requests").
          • Besvara frågor gällande informationssäkerhet från kollegor, tredje parter och journalister.
          • Genomföra verifiering (grundad på interna, fastslagna rutiner) av identitet innan begäran att utföra någon handling med lagrad användardata genomförs.
          • Sätta samman en rapport vid händelse av intrång i systemet och vidta skyddsåtgärder för att förhindra liknande attacker.
          • Säkerställa att de som drabbas vid händelse av intrång i systemet kontaktas.
  1. Data, hur vi använder det och dina rättigheter
    1. Våra två roller gällande personuppgifter
      • Eftersom NEXTme i högsta grad, och till största del, är en plattform, kan vi inte hållas ansvariga i lika hög utsträckning för den data som Användare anger själva i chatt/textfält av olika slag, jämfört med den strukturerade data vi samlar in genom konkreta formulär, skript etcetera. Nedan följer i vilka tillfällen vi agerar som personuppgiftsbiträde respektive personuppgiftsansvariga.

        1. Personuppgiftsbiträde
          • All data som fylls i av Användare kopplat till Kurser, det vill säga chattmeddelanden med Administratör, kursdata ifylld av Administratör etcetera, faller utanför området för vårt djupaste ansvar. Detta av ett flertal anledningar, däribland att vi driver en plattform och överlåter Administratörer att själva, utan vår inblandning styra över kursinnehållet och -upplägget. När det gäller den typen av datan är RDL Gruppen AB således ett personuppgiftsbiträde, och ansvarar inte för exempelvis hantering av potentiella känsliga uppgifter som kan "gömma sig" i datan, utan lagrar och hanterar all den typ av data enligt de instruktioner som kan läsas i Kontraktet, med andra ord som övrig data (om inte något annat explicit anges i Avtalet för aktuell Användare).

        2. Personuppgiftsansvariga
          • När det gäller all övrig data utom den som nämns i 3.1.1. i denna policy är RDL Gruppen AB personuppgiftsansavriga. För undantag till detta, se 3.7. i denna policy.

    2. Grundprinciper för insamling/lagring av data
      • I ett led att skydda användardata följer alla som på något sätt samlar in eller hanterar/lagrar användardata följande grundprinciper:

        • Datan måste ha ett klart syfte för vår verksamhet. Om redan lagrad data anses ha förbrukat sitt syfte ska den raderas.
        • Datan ska så långt som det går samlas in med personens explicita samtycke. Övriga fall av insamlande av information ska om praktiskt möjligt anges i någon del av Avtalet.
        • Datan ska vara korrekt och ej överflödig.
        • Datan som lagras på externa hårddiskar, USB-minnen, CD-skivor eller dylikt ska låsas in när de inte används.
        • Datan som är direkt kopplad till Användaren ska i högsta möjliga grad vara lättredigerad från Användarens perspektiv, med vilket menas t.ex. att Användaren genom sina inställningar kan redigera/ta bort sagda data.
        • Datan ska lagras på tillräckligt många platser för att garantera att aktuella Användare kan bruka Tjänsterna problemfritt, men samtidigt på så få platser som detta tillåter.
        • Känslig data ska bara vara lagrad elektroniskt.
        • Datan ska inte lagras längre än vad som anses - enligt internt fastslagna regler - skäligt.
        • Datan ska skyddas mot obehörigt tillträde. Servrar som vi själva kontrollerar ska exempelvis vara otillgängliga fysiskt (och teknologiskt) för obehöriga. Mjukvaran som används för åtkomst, lagring av datan ska vara uppdaterad med de senaste säkerhetssystemen och ha god funktion.
        • Datan ska säkerhetskopieras regelbundet, varvid säkerhetskopiorna ska skyddas precis lika mycket mot obehörigt tillträde som övrig data.
        • Datan ska ej förflyttas utanför Europeiska ekonomiska samarbetsområdet (EES) om inte det aktuella landet erbjuder skydd av rättigheter vad gäller dataintegritet motsvarande eller i vår bedömning likvärdigt GDPR.

    3. Behörighet till personuppgifter angivna/insamlade på Sajten
      • En rad olika personuppgifter om våra Användare lagras och behandlas på NEXTme. Vi vidtar lämpliga åtgärder både tekniskt och organisatoriskt för att säkerställa att endast behöriga får tillgång till data på våra servrar, i synnerhet när det gäller data med personuppgifter. En överväldigande majoritet av alla personuppgifter stannar mellan dig och tekniskt behöriga som jobbar direkt med NEXTme. Undantag till detta är (a) om någon myndighet lagligen kräver att få ta del av sådan information om en viss, flera eller alla Användare (vid händelse av detta kommer vi i den mån det är möjligt medvetandegöra aktuella individer om att deras information delats med aktuella myndigheter); (b) anonymiserade, indirekta personuppgifter som tredje part Google Analytics samlar in om alla som besöker Sajten, i syfte att ge oss essentiell statistik om Sajtens Användare. Dessa uppgifter görs tillgängliga inte bara för tekniskt behöriga hos oss, men också för Google Analytics. Mer om detta kan läsas i vår cookiepolicy (https://nextme.se/cookies); (c) vissa uppgifter om Studenter, vilka visas för aktuella Administratören i olika verktyg på Sajten. Dessa uppgifter är:

        • Namn (för- och efternamn).
        • Mejladress.
        • Eventuella personuppgifter som Studenter själva anger i chattverktyget.

    4. Vårt syfte med att samla in/lagra personuppifter
      • Vi samlar in (själva och med hjälp av tredje part enligt ovan) och lagrar personuppgifter om våra Användare för att:

        • Identifiera dig som specifik Användare.
        • Förbättra användarupplevelsen och funktionaliteten på Sajten.
        • Samla in essentiell statistik om Användarna och därigenom bättre kunna anpassa Tjänsterna och inte minst Sajten efter behov och efterfrågan hos dessa.

    5. Hur länge personuppgifterna lagras
      • Alla personuppgifter som samlas in av oss sparas tills vidare. Hur länge uppgifter insamlade av Google Analytics sparas kan läsas i vår cookiepolicy (länkad i 3.3. i denna policy). De personuppgifter som finns lagrade hos oss om en viss fysisk person raderas i följande scenarion:

        • Kontot raderas på begäran av Användaren enligt 4.5. i användarvillkoren (länkade i 1. i denna policy).
        • Kontot raderas av oss efter upprepade/allvarliga brott mot Avtalet enligt 2.3. i användarvillkoren (länkade i 1. i denna policy).
        • Användaren i fråga begär att uppgifterna ska raderas enligt 5.7. i användarvillkoren (länkade i 1. i denna policy). Detta om något av kraven i Art. 17 i GDPR uppfylls (https://gdpr-info.eu/art-17-gdpr/).

    6. Var personuppgifterna lagras
      • Personuppgifter som kommer in till oss lagras och behandlas i det land där vi innehar servrar, vilket kan komma att skifta över tid och även innefatta länder utanför EU. Vi reserverar oss således rätten att lagra och behandla dina personuppgifter utanför det land där du är bokförd/bosatt.

    7. Känsliga personuppgifter
      • Om du på Sajten delar med dig av känsliga personuppgifter (exempelvis (men inte begränsat till) religiösa, politiska och filosofiska övertygelser, etnicitet med mera) om dig själv så ger du oss din tillåtelse att lagra dessa på samma sätt som alla övriga personuppgifter, utan några ytterligare säkerhetsmekanismer eller begränsningar i tillgång. Vi agerar alltså i dessa fall som personuppgiftsbiträde. Du måste även, i de situationer då uppgifterna i fråga var avsedda att nås av andra personer, vara införstådd med att andra personer utöver de du tänkt ska se personuppgifterna i fråga också rent teoretiskt, på olika sätt, kan komma att få tillgång till dessa uppgifter.

    8. Personuppgifter som samlas in
        1. Från Användare utan Konto
          • Om du använder Tjänsterna utan att bruka ett Konto samlas nästintill bara "indirekta" personuppgifter in om dig, såsom kakor för identifiering av dig som specifik Användare, samt elektroniska identifaktionsdata såsom IP-adress, i syfte att ge dig en bättre användarupplevelse på Sajten samt för att på gruppnivå analysera användarmönster. Ett undantag uppstår om du kontaktar oss, antingen via formuläret för förfrågan om prisoffert (som kan hittas på https://nextme.se/foretagstjanster) eller via kontakt-sidan (länkad i 3.10. i denna policy). I dessa situationer sparas de uppgifter du angivit i respektive formulär i våra servrar tills vidare. Du kan begära att få dessa uppgifter raderade genom att kontakta oss på kontakt-sidan (länkad i 3.10. i denna policy), varpå också den datan som samlats in om dig i samband med nyss nämnda begäran kommer raderas.

        2. Från Användare med Konto
          • När ett Konto skapas (enligt vad som beskrivs i 4.1. i användarvillkoren (länkade i 1. i denna policy)) lagras omedelbart den till Användaren associerade mejladressen (vilken du angivit själv, såvida inte en mejladress vid skapandet av Kontot var associerat med aktuell Nyckel), lösenordet (som i våra databaser är lagrat i form av ett lösenordshash, vilket gör det faktiska lösenordet oåtkomligt även för oss), och om den informationen är tillgänglig, även för- och efternamnet. Genom att logga in på och använda ditt Konto samlar vi kontinuerligt in uppgifter som knyter ditt Konto till dig som fysisk person. Detta gör vi dels för att säkerställa att rätt fysisk person har tillgång till rätt Konto, dels för att förbättra användarupplevelsen och bringa in essentiell användarstatistik för oss att analysera i syfte att förbättra våra Tjänster. Till den informationen hör exempelvis (men inte enbart):

            • Kursrelaterad data (till vilket räknas såväl chattmeddelanden med Administratör som svar på frågor i Kursen, svar på slutprov, surfhistoriken kopplad till Kurssidor och dylikt).
            • Navigationsrelaterad data (med vilket menas hur, var och när du navigerar på Sajten).
            • Geografisk data (var du befinner dig vid besök på Sajten, ner till stadsnivå).
    9. Cloud Act
      • I USA trädde 23 mars 2018 en ny lag i kraft kallad CLOUD Act (https://www.congress.gov/bill/115th-congress/house-bill/4943). Denna lag gör gällande att alla amerikanska molntjänstleverantörer (såsom DigitalOcean, Inc., vilken vi använder för lagring av viss data) kan tvingas ge tillgång till data på begäran av amerikanska myndigheter, även i de fall datan lagras utanför amerikanskt territorium (vilket är fallet med oss, då vår server hos DigitalOcean finns i Frankfurt). Vi kan av den anledningen inte garantera att data inte når amerikanska myndigheter vid händelse av begäran från dem, och inte heller garanterar vi att vi få reda på (och således kan kontakta berörda individer) att sådan information delats med amerikanska myndigheter.

    10. Dina rättigheter
      • Alla individer som har data lagrade om sig på NEXTme har rätt att:

        • Efterfråga vilken data som lagraas om dem och varför.
        • Efterfråga hur de kan få tillgång till den datan.
        • Efterfråga att få datan om sig själva raderad (om något av kraven i Art. 17 i GDPR uppfylls (https://gdpr-info.eu/art-17-gdpr/).
        • Få information om hur de kan hålla informationen uppdaterad.
        • Få information om vad vi gör för att säkra lagringen av datan.

        Ärendana som beskrivs i punktlistan ovan behandlas via mejl. Notera att ingen begäran rörande användardata kommer slutföras förrän identitet på den som mejlet oss verifierats (enligt interna, fastslagna rutiner). Vi kommer naturligtvis vara till så stor hjälp vi förmår vara i dessa ärenden, och strävar efter att hantera din fråga/begäran inom 30 dagar.

        Du kan kontakta oss angående dessa typer av ärenden via kontakt-sidan (https://nextme.se/kontakt).

Frågor? Kontakta oss.