Hoppa till innehåll
Certify Logo
PriserOm ossKarriärKontaktLogga inKom igång

GDPR & Dataskydd

Vårt åtagande för dataskydd enligt EU:s dataskyddsförordning

Senast uppdaterad: 2025-12-19

Certify är fullt engagerad i att skydda personuppgifter i enlighet med EU:s allmänna dataskyddsförordning (GDPR). Vi har implementerat omfattande tekniska och organisatoriska åtgärder för att säkerställa att all personuppgiftsbehandling sker lagligt, rättvist och transparent.

1. Grundläggande principer

Vår behandling av personuppgifter styrs av GDPR:s grundläggande principer:

Laglighet & transparens

All behandling sker med tydlig rättslig grund och kommuniceras öppet.

Ändamålsbegränsning

Uppgifter samlas endast in för specifika, uttryckliga ändamål.

Uppgiftsminimering

Vi samlar endast in uppgifter som är nödvändiga för ändamålet.

Säkerhet

Lämpliga tekniska och organisatoriska skyddsåtgärder implementeras.

2. Rättsliga grunder för behandling

Enligt GDPR måste all personuppgiftsbehandling ha en giltig rättslig grund. Vi använder följande grunder:

Rättslig grundAnvändningExempel
Avtal (Art. 6.1.b)Nödvändig för att fullgöra avtalSkapa konto, hantera signeringar, leverera kvitton
Rättslig förpliktelse (Art. 6.1.c)Lagstadgade kravBokföring, incidentrapportering, myndighetsförfrågan
Berättigat intresse (Art. 6.1.f)Affärsmässigt motiveratSäkerhetsloggning, produktförbättring (aggregerat)
Samtycke (Art. 6.1.a)Frivilligt godkännandeNyhetsbrev, marknadsföring, valbara cookies

3. Dina rättigheter enligt GDPR

Som registrerad har du omfattande rättigheter enligt GDPR. Vi har implementerat processer för att hantera dessa effektivt:

1

Rätt till tillgång (Art. 15)

Begär ett registerutdrag över vilka personuppgifter vi behandlar om dig.

2

Rätt till rättelse (Art. 16)

Korrigera felaktiga eller ofullständiga uppgifter om dig.

3

Rätt till radering (Art. 17)

"Rätten att bli bortglömd" – begär radering av dina uppgifter under vissa förutsättningar.

4

Rätt till begränsning (Art. 18)

Begränsa behandlingen av dina uppgifter i vissa situationer.

5

Rätt till dataportabilitet (Art. 20)

Få ut dina uppgifter i ett strukturerat, maskinläsbart format.

6

Rätt att invända (Art. 21)

Invända mot behandling baserad på berättigat intresse eller för direktmarknadsföring.

4. Personuppgiftsbiträdesavtal (DPA)

När du använder Certify för att hantera dokument med personuppgifter agerar vi som personuppgiftsbiträde enligt GDPR Art. 28. Vi erbjuder ett standardiserat personuppgiftsbiträdesavtal (DPA) som reglerar:

  • Behandlingens omfattning: Vilka uppgifter som behandlas och i vilket syfte
  • Tekniska åtgärder: Kryptering, åtkomstkontroll, loggning och incidenthantering
  • Underbiträden: Lista över godkända underleverantörer och deras roll
  • Internationella överföringar: Skyddsåtgärder vid överföringar utanför EU/EES
  • Revisionsmöjligheter: Rätt att granska vår efterlevnad
  • Incidentrapportering: Procedurer vid personuppgiftsincidenter

Behöver du ett DPA? Kontakta oss på legal@certify.se för att få vårt standardavtal eller diskutera anpassningar för din organisation.

5. Internationella dataöverföringar

Vi prioriterar lagring inom EU/EES. Vid behov av överföring till tredjeland tillämpar vi:

  • Adekvansbeslut: Överföring till länder med godkänd skyddsnivå
  • Standardavtalsklausuler (SCC): EU-kommissionens modellavtal
  • Kompletterande åtgärder: Kryptering med EU-baserad nyckelhantering, pseudonymisering
  • Transfer Impact Assessment (TIA): Systematisk bedömning av risker vid tredjelandsöverföring

5.1 Underleverantörer

Vi använder noggrant utvalda underleverantörer som alla har genomgått säkerhetsbedömning och ingått personuppgiftsbiträdesavtal. En aktuell lista över underbiträden tillhandahålls på begäran.

6. Tekniska och organisatoriska åtgärder

Enligt GDPR Art. 32 har vi implementerat lämpliga säkerhetsåtgärder:

Tekniska åtgärder

  • AES-256 kryptering i vila
  • TLS 1.3 för överföring
  • Rollbaserad åtkomstkontroll
  • Kontinuerlig säkerhetsövervakning

Organisatoriska åtgärder

  • Dokumenterade säkerhetspolicyer
  • Regelbunden personalutbildning
  • Incidenthanteringsplan
  • Regelbundna säkerhetsrevisioner

7. Incidenthantering

Vi har etablerade procedurer för hantering av personuppgiftsincidenter enligt GDPR Art. 33-34:

  1. Upptäckt & klassificering: Automatisk övervakning och manuell rapportering av avvikelser
  2. Intern eskalering: Omedelbar bedömning av säkerhetsteam och ledning
  3. Anmälan till IMY: Inom 72 timmar vid risk för registrerades rättigheter
  4. Information till registrerade: Vid hög risk kommuniceras direkt till berörda
  5. Dokumentation: Fullständig loggning av incident, åtgärder och lärdomar

8. Kontakt för GDPR-frågor

För frågor om vår GDPR-efterlevnad eller för att utöva dina rättigheter:

E-post: privacy@certify.se

Post: Certify, Dataskyddsfrågor, Stockholm, Sverige

Vi strävar efter att besvara förfrågningar inom 30 dagar. Vid komplexa ärenden kan tiden förlängas med ytterligare två månader enligt GDPR Art. 12.3.

Du har också rätt att lämna klagomål till Integritetsskyddsmyndigheten (IMY) om du anser att vi behandlar dina personuppgifter i strid med GDPR.

www.imy.se

Certify Logo

Digital certifiering och säker signering – snabbt, enkelt och pålitligt. Med BankID-integration och fullständig spårbarhet.

Produkt

  • Funktioner
  • Priser
  • Säkerhet
  • Integrationer

Företag

  • Om oss
  • Kontakt
  • Karriär

Resurser

  • Dokumentation
  • API
  • Support
  • Status

Juridiskt

  • Integritetspolicy
  • Användarvillkor
  • GDPR
  • Cookies

© 2025 Certify – A digital solution by Alexum. Alla rättigheter förbehållna.

Säkrad av
BankID
eIDAS
GDPR