Global Data Protection Policy

Denna globala dataskyddspolicy (denna ”Policy” eller ”Policyn”) är framtagen av Sodexo och innehåller information om hur personuppgifter behandlas på en nivå som är gemensam för alla Sodexos företag och enheter (”Sodexo”). Policyn beskriver de hur den globala organisationen Sodexo samlar in, använder, lagrar, delar, överför, tar bort eller på annat sätt behandlar (hädanefter "behandlar") dina individers personuppgifter, som i stor utsträckning reflekterar hur Sodexo Sverige behandlar personuppgifter.

Inledning

Med "du", "din” eller ”dina” menas i denna Policy personer vars personuppgifter behandlas av Sodexo. Med "Vi", "oss", "vår" och "Sodexo" menas den globala organisationen Sodexo, inklusive Sodexo Sverige. Med ”personuppgifter” menas all information som går att härleda till en levande fysisk person. Med ”Behandling” eller ”behandling av personuppgifter” menas varje åtgärd som görs med personuppgifter, exempelvis insamling, lagring, ändring, användning, utlämnande genom överföring eller på annat sätt tillgängliggörande, begränsning, eller radering.

Policyn beskriv hur Sodexo behandlar personuppgifter, som direkt eller indirekt har samlats in från individer, inklusive men inte begränsat till Sodexos tidigare eller potentiella anställda, kunder, konsumenter, leverantörer, entreprenörer/underleverantörer, aktieägare eller tredje part. Policyns diskurs utgår många gånger från att du är en av de personer vars personuppgifter behandlas av Sodexo.

Insamling och behandling av personuppgifter

Berättigade ändamål och dataminimering

Dina personuppgifter samlas in för angivna, explicita och legitima ändamål och behandlas inte vidare på ett sätt som är oförenligt med dessa.

Som personuppgiftsansvarig behandlar Sodexo dina personuppgifter huvudsakligen för, men inte begränsat till, följande ändamål:

• fullgörande av tjänste- och produktavtal,
• rekrytering, personalförvaltning,
• ekonomisk förvaltning och relaterade kontroller, finans- och skattehantering,
• riskhantering,
• administration av IT-verktyg,
• interna webbplatser och andra digitala lösningar eller samarbetsplattformar,
• hantering av informationssäkerhet,
• hantering av kundrelationer, bud, försäljnings- och marknadsföringsåtgärder,
• intern och extern kommunikation, evenemangshantering,
• efterlevnad av skyldigheter att bekämpa penningtvätt och/eller andra rättsliga krav,
• dataanalysverksamhet,
• juridisk eller ekonomisk rådgivning och implementering av efterlevnadsprocesser.

Om du har några frågor avseende för vilket ändamål just dina personuppgifter behandlas, vänligen kontakta oss på privacy.nordics@sodexo.com.

Laglighet, rättvisa och öppenhet

Vi samlar bara in, och behandlar, personuppgifter när vi har rätt att så göra. Vi kan behöva behandla dina personuppgifter för att fullgöra ett avtal som du är part i, när det är nödvändigt för att uppfylla en rättslig skyldighet som åvila oss, eller, om så krävs, med ditt samtycke. Därutöver är det vanligt att vi behandlar dina personuppgifter för ändamål som rör vårt eller tredje parts berättigade intresse, om inte ditt intresse av att inte vara föremål för behandling väger tyngre. För varje behandling som görs på grundval av vårt eller tredje parts berättigade intresse har vi gjort en intresseavvägning.
När vi samlar in och behandlar dina personuppgifter kan vi komma att ge dig ett informationsmeddelande som kompletterar denna policy.

Korrekthet och lagringsminimering

Sodexo strävar efter att i största möjliga mån behandla korrekta och aktuella personuppgifter och att inte behandla personuppgifter längre än vad som är nödvändigt för det eller de ändamål som uppgifterna samlades in. Sodexo kan komma att lagra personuppgifter i syfte att leva upp till krav ställda i lag, eller för att kunna försvara eller göra gällande rättsliga anspråk. Om du vill veta mer om våra specifika lagringsperioder, vänligen kontakta oss på privacy.nordics@sodexo.com.

Vid utgången av en tillämplig lagringsperiod kommer vi att gallra dina personuppgifter på ett säkert sätt i enlighet med tillämpliga lagar och förordningar.

Säkerhet

Vi arbetar ständigt med att upprätthålla och implementera lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifter mot oavsiktlig eller olaglig ändring och förlust, eller från obehörig användning, avslöjande eller åtkomst. För att säkerställa detta har vi uppdaterarat våra säkerhetspolicys och inte minst säkerställer vi att nya digitala projekt efterlever vår säkerhetsstandard. Som en följd av detta utbildas personal i dataskydd, och åtkomsten till personuppgifter är generellt begränsad till bara de personer som behöver personuppgifterna för sitt arbete.

Därutöver, för att kunna avgöra vilka skyddsåtgärder som är lämpliga i förhållande till en viss personuppgiftsbehandling, utförs riskanalyser och konsekvensbedömningar avseende dataskydd (DPIA). Det ska tilläggas att vi implementerar särskilda säkerhetsåtgärder för personuppgifter som per definition är känsliga, t.ex. uppgifter om hälsa.

Utlämnande av dina personuppgifter

Vi delar dina personuppgifter med följande mottagare under följande omständigheter:

• andra Sodexo-bolag för de ändamål som beskrivs i denna policy.
• tredje part, inklusive vissa tjänsteleverantörer, för de ändamål som beskrivs i denna policy och de tjänster vi tillhandahåller.
• företag som tillhandahåller tjänster för att motverka penningtvätt, finansiering av terrorism och andra bedrägeri- och brottsförebyggande ändamål och företag som tillhandahåller liknande tjänster.
• domstolar, brottsbekämpande myndigheter, tillsynsmyndigheter, advokater eller andra parter om det är nödvändigt för att upprätta, göra gällande eller försvara ett rättsligt anspråk.
• Involverade parter vid försäljning eller förvärv av ett företag eller ett företags tillgångar.

Överföring av personuppgifter till tredje land

GDPR tillåter inte överföring av personuppgifter till tredjeländer (länder utanför EU/EES) om det tredjelandet inte säkerställer en, vad man i dataskyddsrättsliga termer kallar, ”adekvat skyddsnivå”. Vissa av de tredjeländer där Sodexo är verksamma, eller på annat sätt har dataflöden, uppfyller inte en sådan adekvat skyddsnivå. För överföring av personuppgifter till sådana länder, antingen till mottagare inom eller utanför Sodexo, har Sodexo genom avtal med mottagaren säkerställt skyddet av dina personuppgifter.

För ytterligare information, inklusive att få en kopia av de dokument som används för att skydda dina personuppgifter, vänligen kontakta oss på privacy.nordics@sodexo.com.

Cookies

Vissa av våra webbplatser kan använda "cookies". Cookies är textfiler som placeras på datorns hårddisk när du besöker vissa webbplatser. Vi kan använda cookies för att till exempel veta om du har besökt oss tidigare eller om du är en ny besökare och för att hjälpa oss att identifiera funktioner där du kan ha störst intresse.

Vi meddelar dig vilka typer av cookies som vi använder när du besöker våra webbplatser, hur dem används och eventuella alternativ för användningsområde. Mer information finns i vår cookiespolicy.

Dina rättigheter

I tabellen nedan redogörs för dina rättigheter enligt GDPR. Notera att rättigheterna inte är absoluta och att de därför inte alltid går att utföra.

Rätt till tillgång och rättelse

Du kan begära en kopia av de personuppgifter som är under behandling. Kopian ska inte menligt inverka på andras fri-och rättigheter. Du kan också begära rättelse av felaktiga personuppgifter eller att komplettera ofullständiga personuppgifter.

Rätt till radering

Din rätt att bli bortglömd ger dig rätt att begära radering av dina personuppgifter i fall då:

1. Uppgifterna inte längre är nödvändiga för det ändamål för vilket uppgifterna samlades in.
2. du väljer att återkalla ditt samtycke;
3. du motsätter dig behandlingen av dina personuppgifter;
4. dina personuppgifter har behandlats olagligt;
5. det finns en rättslig skyldighet att radera dina personuppgifter;
6. radering krävs för att säkerställa efterlevnad av tillämpliga lagar.

Rätt till begränsning av behandling

Du kan begära att behandlingen av dina personuppgifter begränsas i fall då:

1. du bestrider riktigheten i dina personuppgifter;
2. Sodexo inte längre har ett ändamål med behandlingen;
3. du har invänt mot behandling av legitima skäl.

Rätt till dataportabilitet

Personuppgifter som du har tillhandahållit oss har du rätt att få ut i ett strukturerat, vanligt förekommande och maskinläsbart format som du sedan har rätt att överföra till en annan personuppgiftsansvarig utan hinder från Sodexo i fall då:

1. Behandlingen av dina personuppgifter baseras på samtycke eller på ett avtal, och
2. behandlingen utförs på automatiserat sätt.

Rätt att invända mot behandling och rätt att återkalla samtycke

Du kan invända (dvs. utöva din rätt att "opt-out") till behandlingen av dina personuppgifter särskilt i samband med profilering eller marknadsföring.

När vi behandlar dina personuppgifter på grundval av ditt samtycke kan du när som helst återkalla ditt samtycke.

Rätt att inte bli föremål för automatiserat beslutsfattande

Du har rätt att inte bli föremål för ett beslut som enbart grundar sig på automatiserad behandling, inklusive profilering, som har en juridisk effekt på dig eller avsevärt påverkar dig.

Rätt att lämna in klagomål

Om du anser att vi behandlar personuppgifter i strid med GDPR eller annan tillämplig dataskyddslagstiftning är du välkommen att lämna in ett klagomål till oss på privacy.nordics@sodexo.com.

Du har även rätt att lämna ett klagomål till Integritetsmyndigheten. Läs mer här: https://www.imy.se/privatperson/utfora-arenden/lamna-ett-klagomal/

För att utöva dessa rättigheter kan du antingen skicka din begäran till privacy.nordics@sodexo.com eller klicka här för att komma till vårt webbformulär för utövande av dina rättigheter.

Ändringar i denna policy

Vi kan uppdatera denna policy från tid till annan som vår verksamhet ändras eller rättsliga krav förändras. Om vi gör några betydande ändringar i denna policy kommer vi att publicera ett meddelande på vår webbplats när ändringarna träder i kraft och, i förekommande fall och om möjligt, kommunicera direkt till dig om ändringen.

Kontakta oss

Personuppgiftsansvarig för behandling av personuppgifter inom Sverige är sannolikt Sodexo AB (med org.nr. 556528–2984). Vid tiden för insamling av dina personuppgifter blir du informerad mer precist vem som är personuppgiftsansvarig för den då aktuella behandlingen.

Om du har frågor om denna policy eller på annat sätt vill kommunicera något som är relaterat till dataskydd är du välkommen att skriva till privacy.nordics@sodexo.com.

På global nivå har Sodexo ett dataskyddsombud. För att komma i kontakt med Sodexos dataskyddsombud, group.dpo@sodexo.com.

• Global Data Protection Policy in English
• Länk till vårt webbformulär för utövande av dina rättigheter

Definitions

Complaint means the complaint lodged by a Data subject with a Supervisory Authority if the Data subject considers his or her rights under Applicable Data Protection Laws are infringed.

Controller means the entity that determines the purposes and means of the Personal data processing.

EU/EEA means the European Union/European Economic Area.

European data protection law or General Data Protection Regulation or GDPR means the Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of Personal data and on the free movement of such data.

Local Special Data Protection Point of Contact means the person appointed by a Sodexo entity, in charge of handling local data privacy issues. This point of contact is part of the Global Data Protection Network.

Personal data means any information relating to an identified or identifiable natural person; an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person.

Processing or Processing of Personal data means any operation or set of operations which is performed on Personal data or on sets of Personal data, whether or not by automated means, such as collection, recording, organization, structuring, storage adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction.

Privacy by design means that where a new digital project or a new business opportunity is initiated, involving Processing of Personal data, data protection shall be taken into account, both at the time of the definition of the means and the related appropriate technical and organizational security measures for the Processing and at the time of the implementation of Processing itself. The same principle applies where Sodexo intends to merge with or acquire a company, it shall make sure that data protection principles are respected.

Privacy by default means that personnel should be trained to handle Personal data and implement procedures to ensure that each time Personal data is processed, appropriate technical and organizational measures are taken for ensuring that, by default, only Personal data which is necessary for each specific purpose is processed (in terms of amount of data processed, extent of the processing and data retention) and is made accessible only to a limited number of persons who need to know.

Request means one of the mechanisms provided by the GDPR to individuals to allow them to exercise their rights (such as the right of access, to rectification, to erasure etc.). An individual may make a Request against any entity which processes its Personal Data, the Controller or the Processor, if relevant.

Sensitive Personal data designated as “Special Categories of Data” under the GDPR means any Personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, trade-union memberships and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person's sex life or sexual orientation. This definition includes also Personal data relating to criminal convictions and offences.

Sodexo Group means the network of entities comprising (i) four Global Hubs including Sodexo Global Services LLC in the USA, Sodexo Global Services Limited in the UK, Sodexo Services Asia in Singapore and Sodexo SA in France (collectively “the Hubs” or “the Global Hubs”) hosting Global management functions of the Sodexo Group, Global functions of the OSS activity and some Global functions of the PHS and BRS activities; (ii) the Region Leading Entities (“RLEs”) managing one of the various Regions of the OSS activity; (iii) the Management Company, Sodexo Pass International (“SPI”) incorporated in France and hosting some global management support functions of the PHS and BRS activities, (iv) the Operational companies which are in charge of conducting the Group’s daily business in the OSS, BRS or PHS activity and, any entities which are directly or indirectly controlled by or under the common control with any of those entities. “Control” in the context of this definition means the power, either directly or indirectly to direct or cause the direction of the management and policies of an entity.

Sodexo entity or Sodexo entities means any corporation, partnership or other entity or organization which is admitted from time to time as member of the Sodexo Group.

Supervisory Authority means an independent public authority which is established by a Member State as specified in the GDPR.