logotr
0
Menu
logotr
0

Integritetspolicy

  1. Inledning

BAGLAB AB, org.nr 559405–2192, Saxgatan 4, 211 24 Malmö (”vi”, ”oss”, ”bolaget”) värnar om din personliga integritet. Denna integritetspolicy förklarar hur vi behandlar personuppgifter i samband med besök på vår webbplats och vid köp via vår webbshop.

Behandling sker i enlighet med:

  • Europaparlamentets och rådets förordning (EU) 2016/679 (GDPR)
  • Dataskyddslag (2018:218)
  • Lag (2003:389) om elektronisk kommunikation
  • Bokföringslag (1999:1078)
  • Konsumentköplag (2022:260)
  • Lag (2005:59) om distansavtal och avtal utanför affärslokaler

Personuppgiftsansvarig är:
BAGLAB AB
Org.nr: 559405–2192
E-post: info@balkana.se

  1. Personuppgifter vi behandlar

Inom ramen för vår verksamhet kan vi komma att behandla följande kategorier av personuppgifter, i den mån det är nödvändigt för angivna ändamål och med stöd av tillämplig rättslig grund enligt artikel 6 i dataskyddsförordningen (EU) 2016/679 (GDPR):

  1. Identitetsuppgifter
    • För- och efternamn
    • Personnummer eller samordningsnummer (endast när det är nödvändigt för säker identifiering, kreditprövning, fakturering eller annan rättslig förpliktelse)
  2. Kontaktuppgifter
    • Bostadsadress och leveransadress
    • E-postadress
    • Telefonnummer
  3. Betalningsrelaterade uppgifter
    • Betalningsreferenser och transaktionsuppgifter
    • Uppgifter som krävs för genomförande av betalning
      (Kortuppgifter och fullständiga betalningsmedel lagras inte av oss utan hanteras av extern betaltjänstleverantör.)
  4. Order- och köprelaterade uppgifter
    • Köphistorik
    • Ordernummer
    • Leveransinformation
    • Retur- och reklamationsuppgifter
  5. Kommunikationsuppgifter
    • Korrespondens med kundservice
    • Ärendehistorik
    • Övrig kundkommunikation via e-post, formulär eller telefon
  6. Tekniska uppgifter och användningsdata
    • IP-adress
    • Enhetsinformation (t.ex. webbläsartyp, operativsystem, språkinställningar)
    • Logguppgifter och cookies i enlighet med vår cookiepolicy
  7. Produktspecifika uppgifter vid reklamation av hygienartiklar
    • Batch- eller lotnummer
    • Uppgifter som krävs för spårbarhet, produktsäkerhet och eventuell återkallelse

Behandling sker i enlighet med principerna om laglighet, korrekthet, transparens, ändamålsbegränsning och dataminimering enligt artikel 5 GDPR. Endast uppgifter som är adekvata, relevanta och nödvändiga för respektive ändamål behandlas.

  1. Rättslig grund för behandling (Artikel 6 GDPR)

Vi behandlar personuppgifter med stöd av:

  • Avtal (Art. 6.1 b) – för att fullgöra köp, leverans, betalning
  • Rättslig förpliktelse (Art. 6.1 c) – bokföring, konsumentskydd
  • Berättigat intresse (Art. 6.1 f) – kundservice, säkerhet, bedrägeribekämpning
  • Samtycke (Art. 6.1 a) – marknadsföring och icke nödvändiga cookies

Intresseavvägning dokumenteras internt.

  1. Ändamål med behandlingen

Personuppgifter behandlas endast för särskilt angivna och berättigade ändamål i enlighet med artikel 5.1 b i dataskyddsförordningen (EU) 2016/679 (GDPR). Behandlingen sker med stöd av tillämplig rättslig grund enligt artikel 6 GDPR.

Personuppgifter kan komma att behandlas för följande ändamål:

  1. Fullgörande av avtal (artikel 6.1 b GDPR)
    • För att administrera och genomföra beställningar
    • För att hantera leveranser och logistik
    • För att administrera betalningar och betalningsbekräftelser
    • För att tillhandahålla order-, leverans- och transaktionsinformation
    • För att hantera returer, reklamationer och kundserviceärenden
  2. Fullgörande av rättslig förpliktelse (artikel 6.1 c GDPR)
    • För att uppfylla skyldigheter enligt bokföringslagen
    • För att uppfylla skyldigheter enligt konsumentköplagen och distansavtalslagen
    • För att efterleva krav från myndigheter
  3. Berättigat intresse (artikel 6.1 f GDPR)
    • För att förebygga, upptäcka och utreda bedrägerier och obehöriga transaktioner
    • För att säkerställa IT- och informationssäkerhet
    • För att förbättra och utveckla webbshopens funktionalitet, användarvänlighet och tjänster genom analys av användarbeteende

Vid behandling som grundas på berättigat intresse görs en intresseavvägning där bolagets intresse av behandlingen vägs mot den registrerades grundläggande rättigheter och friheter.

  1. Samtycke (artikel 6.1 a GDPR)
    • För att skicka direktmarknadsföring via e-post eller andra elektroniska kommunikationsmedel
    • För att använda icke nödvändiga cookies och spårningsteknik

Samtycke kan när som helst återkallas utan att detta påverkar lagligheten av behandling som skett innan återkallelsen.

  1. Automatiserat beslutsfattande

Vi kan komma att använda helt eller delvis automatiserade system för att fatta beslut i samband med behandling av personuppgifter. Sådana system kan exempelvis användas för:

  • Riskbedömning av beställningar och transaktioner
  • Identifiering och förebyggande av bedrägerier eller obehöriga betalningar

Automatiserade beslut kan baseras på analys av exempelvis köpmönster, betalningshistorik, tekniska uppgifter eller avvikande beteende.

Om ett beslut grundas enbart på automatiserad behandling, inklusive profilering, och beslutet har rättsliga följder för den registrerade eller på liknande sätt i betydande grad påverkar denne, har den registrerade rätt att:

  • begära mänsklig inblandning i beslutsprocessen,
  • framföra sin ståndpunkt, samt
  • bestrida beslutet,

i enlighet med artikel 22 i dataskyddsförordningen (EU) 2016/679 (GDPR).

Automatiserat beslutsfattande används endast när det är nödvändigt för att ingå eller fullgöra avtal, är tillåtet enligt lag eller sker med uttryckligt samtycke från den registrerade.

  1. Delning av personuppgifter

Personuppgifter lämnas ut eller görs tillgängliga för tredje part endast i den utsträckning det är nödvändigt för att fullgöra avtal, uppfylla rättsliga förpliktelser eller tillvarata berättigade intressen, och alltid i enlighet med dataskyddsförordningen (EU) 2016/679 (GDPR).

Vi säkerställer att varje mottagare av personuppgifter behandlar dessa med lämplig säkerhet och endast för specificerade och berättigade ändamål.

6.1 Betalningsleverantörer

För att möjliggöra genomförande av betalningar anlitar vi externa betaltjänstleverantörer.

Vi använder:

  • Swedbank Pay

Swedbank Pay är självständigt personuppgiftsansvarig för den behandling som sker inom ramen för deras betaltjänst. Detta innebär att Swedbank Pay behandlar personuppgifter i enlighet med sin egen integritetspolicy och ansvarar för att sådan behandling uppfyller tillämplig dataskyddslagstiftning.

Endast de uppgifter som är nödvändiga för att genomföra betalningen överförs.

6.2 Frakt- och logistikföretag

För att leverera beställda varor delar vi nödvändiga kontakt- och leveransuppgifter med:

  • PostNord Sverige
  • Bring

Överföringen omfattar normalt namn, adress, telefonnummer och e-postadress.
Dessa aktörer behandlar personuppgifter i egenskap av självständigt personuppgiftsansvariga i den mån de ansvarar för egen transport- och logistikverksamhet.

6.3 IT- och driftleverantörer (Personuppgiftsbiträden)

För drift, teknisk utveckling, hosting, e-posthantering och kundsupport använder vi leverantörer som behandlar personuppgifter för vår räkning.

Sådana leverantörer agerar som personuppgiftsbiträden enligt artikel 28 GDPR.

Med samtliga personuppgiftsbiträden har vi ingått skriftliga personuppgiftsbiträdesavtal som säkerställer att:

  • personuppgifter endast behandlas enligt våra dokumenterade instruktioner,
  • lämpliga tekniska och organisatoriska säkerhetsåtgärder vidtas enligt artikel 32 GDPR,
  • underbiträden inte anlitas utan vårt föregående godkännande,
  • uppgifter raderas eller återlämnas när uppdraget upphör.


Denna reglering är bindande för vår behandling av personuppgifter och tillämpas i enlighet med GDPR samt kompletterande svensk dataskyddslagstiftning.

 

6.4 Rättsliga skyldigheter

Personuppgifter kan komma att lämnas ut till behörig myndighet, domstol eller annan offentlig aktör i den utsträckning det följer av lag, förordning, myndighetsbeslut eller annan rättsligt bindande föreskrift.

Sådant utlämnande sker med stöd av artikel 6.1 c i dataskyddsförordningen (EU) 2016/679 (GDPR), när behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

Utlämnande kan även ske med stöd av artikel 6.1 f GDPR, om det är nödvändigt för att fastställa, göra gällande eller försvara rättsliga anspråk.

Endast de personuppgifter som är nödvändiga för det aktuella ändamålet lämnas ut, och behandlingen sker i enlighet med principerna om dataminimering och proportionalitet enligt artikel 5 GDPR.

6.5 Överföring till tredje land

Om personuppgifter överförs till eller görs tillgängliga för mottagare i land utanför Europeiska unionen (EU) eller Europeiska ekonomiska samarbetsområdet (EES), säkerställs att sådan överföring sker i enlighet med kapitel V i dataskyddsförordningen (EU) 2016/679 (GDPR).

Överföring till tredje land får endast ske under förutsättning att en av följande skyddsmekanismer föreligger:

  1. Adekvansbeslut enligt artikel 45 GDPR, varigenom Europeiska kommissionen har fastställt att mottagarlandet säkerställer en adekvat skyddsnivå för personuppgifter.
  2. Lämpliga skyddsåtgärder enligt artikel 46 GDPR, såsom Europeiska kommissionens standardavtalsklausuler (SCC), bindande företagsbestämmelser (BCR) eller andra godkända överföringsmekanismer.
  3. Undantag för särskilda situationer enligt artikel 49 GDPR, i de fall detta är tillämpligt och lagligen tillåtet.

Vid överföring säkerställs att registrerades rättigheter och friheter upprätthålls genom kompletterande tekniska och organisatoriska skyddsåtgärder där så krävs, i enlighet med rättspraxis från EU-domstolen.

Registrerad har rätt att på begäran erhålla information om vilka skyddsåtgärder som tillämpas vid sådan överföring.

6.6 Förbud mot försäljning av personuppgifter

Vi säljer inte, hyr inte ut och överlåter inte personuppgifter till tredje part för kommersiella ändamål.

Personuppgifter används inte för tredje parts egen marknadsföring utan uttryckligt samtycke från den registrerade.

  1. Överföring utanför EU/EES

Om personuppgifter överförs till, behandlas i eller görs tillgängliga från land utanför Europeiska unionen (EU) eller Europeiska ekonomiska samarbetsområdet (EES) (”tredje land”), ska sådan överföring endast ske i enlighet med kapitel V (artiklarna 44–49) i dataskyddsförordningen (EU) 2016/679 (GDPR).

Överföring till tredje land får ske endast om någon av följande rättsliga grunder föreligger:

  1. Adekvansbeslut enligt artikel 45 GDPR, varigenom Europeiska kommissionen har fastställt att mottagarlandet säkerställer en adekvat skyddsnivå.
  2. Lämpliga skyddsåtgärder enligt artikel 46 GDPR, såsom Europeiska kommissionens standardavtalsklausuler (Standard Contractual Clauses, SCC), bindande företagsbestämmelser (Binding Corporate Rules, BCR) eller annan godkänd överföringsmekanism.
  3. Undantag för särskilda situationer enligt artikel 49 GDPR, i den mån sådant undantag är tillämpligt och lagligen tillåtet.

Vid överföring ska den personuppgiftsansvarige säkerställa att registrerades rättigheter och friheter inte undergrävs, bland annat genom införande av kompletterande tekniska och organisatoriska skyddsåtgärder där så krävs enligt gällande rätt och EU-domstolens praxis.

Den registrerade har rätt att på begäran erhålla information om vilka skyddsåtgärder som tillämpas vid överföring till tredje land.

  1. Lagringstid

Personuppgifter behandlas och lagras endast under den tid som är nödvändig för att uppfylla de ändamål för vilka uppgifterna samlats in, i enlighet med principen om lagringsminimering enligt artikel 5.1 e i dataskyddsförordningen (EU) 2016/679 (GDPR), eller så länge som krävs enligt tillämplig lag eller annan författning.

Följande lagringstider tillämpas som huvudregel:

  • Bokföringsrelaterade uppgifter lagras i sju (7) år i enlighet med 7 kap. 2 § bokföringslagen (1999:1078).
  • Köpuppgifter och avtalsrelaterade uppgifter lagras under den tid reklamationsrätt föreligger enligt konsumentköplagen (2022:260), vilket som huvudregel uppgår till tre (3) år från det att varan mottagits, samt därefter under den tid som krävs för att fastställa, göra gällande eller försvara rättsliga anspråk.
  • Personuppgifter som behandlas för marknadsföringsändamål med stöd av samtycke lagras till dess att samtycket återkallas eller den registrerade invänder mot behandlingen.
  • Uppgifter kopplade till kundkonto lagras så länge kundrelationen består och raderas eller anonymiseras när kontot avslutas eller efter tjugofyra (24) månaders inaktivitet, om inte fortsatt lagring krävs enligt lag eller för att tillvarata berättigat intresse.

När lagringstiden löpt ut raderas eller anonymiseras personuppgifterna på ett säkert sätt.

  1. Dina rättigheter

Du har rätt att:

  • Begära registerutdrag (Art. 15 GDPR)
  • Begära rättelse (Art. 16)
  • Begära radering (Art. 17)
  • Begära begränsning (Art. 18)
  • Invända mot behandling (Art. 21)
  • Dataportabilitet (Art. 20)
  • Återkalla samtycke

Begäran skickas till: info@balkana.se

Du har rätt att inge klagomål till:
Integritetsskyddsmyndigheten (IMY)
www.imy.se

  1. Säkerhetsåtgärder (Artikel 32 GDPR)
    Vi vidtar lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, i enlighet med artikel 32 i dataskyddsförordningen (EU) 2016/679 (GDPR).

Säkerhetsåtgärderna syftar till att skydda personuppgifter mot obehörig eller olaglig behandling samt mot oavsiktlig förlust, förstöring eller skada.

  1. Tekniska och organisatoriska skyddsåtgärder

Beroende på behandlingens art, omfattning, sammanhang och ändamål samt riskerna för fysiska personers rättigheter och friheter, tillämpar vi bland annat följande säkerhetsåtgärder:

  • Kryptering av dataöverföring genom SSL/TLS
  • Åtkomstkontroll genom rollbaserad behörighetsstyrning
  • Brandväggar och system för intrångsdetektering och intrångsskydd
  • Loggning och övervakning av systemåtkomst
  • Regelbundna säkerhetsuppdateringar och patchhantering
  • Säkerhetskopiering och återställningsrutiner
  • Skriftliga personuppgiftsbiträdesavtal enligt artikel 28 GDPR
  • Interna rutiner och policyer för informationssäkerhet

Åtkomst till personuppgifter begränsas till personer som behöver uppgifterna för att fullgöra sina arbetsuppgifter.

  1. Personuppgiftsincidenter

En personuppgiftsincident avser en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust, ändring eller obehörigt röjande av eller obehörig åtkomst till personuppgifter.

Vid inträffad personuppgiftsincident:

  • Anmäls incidenten till Integritetsskyddsmyndigheten (IMY) utan onödigt dröjsmål och, om möjligt, senast inom 72 timmar efter att vi fått kännedom om incidenten, i enlighet med artikel 33 GDPR, om det är sannolikt att incidenten medför risk för fysiska personers rättigheter och friheter.
  • Informeras berörda registrerade utan onödigt dröjsmål i enlighet med artikel 34 GDPR, om incidenten sannolikt medför hög risk för deras rättigheter och friheter.

Vi dokumenterar samtliga personuppgiftsincidenter i enlighet med artikel 33.5 GDPR, oavsett om anmälan till tillsynsmyndighet krävs eller inte.

Denna reglering är bindande och utgör en del av bolagets systematiska arbete med informationssäkerhet och dataskydd.

  1. Cookies

Vi använder cookies och liknande tekniker i enlighet med dataskyddsförordningen (EU) 2016/679 (GDPR) samt lag (2003:389) om elektronisk kommunikation.

Behandling av personuppgifter som sker genom användning av cookies grundas på artikel 6 GDPR. Rättslig grund för behandlingen är:

  • Fullgörande av avtal (artikel 6.1 b GDPR) eller berättigat intresse (artikel 6.1 f GDPR)** avseende strikt nödvändiga cookies som krävs för webbplatsens funktion och säkerhet, samt
  • Samtycke (artikel 6.1 a GDPR) avseende icke nödvändiga cookies, såsom analys-, statistik- och marknadsföringscookies.

I enlighet med 9 kap. 28 § lag (2003:389) om elektronisk kommunikation får uppgifter lagras i eller hämtas från en användares terminalutrustning endast om användaren har fått tydlig och fullständig information om ändamålet med behandlingen och lämnat sitt samtycke, såvida cookien inte är strikt nödvändig för att tillhandahålla en av användaren uttryckligen begärd tjänst.

Icke nödvändiga cookies aktiveras först efter att användaren lämnat ett frivilligt, specifikt, informerat och otvetydigt samtycke. Samtycke kan när som helst återkallas via webbplatsens cookieinställningar.

  1. Barns personuppgifter

Vår webbplats och våra tjänster riktar sig inte till barn under tretton (13) år. Vi samlar inte medvetet in eller behandlar personuppgifter om barn under denna ålder utan verifierat samtycke från vårdnadshavare.

Om behandling av personuppgifter avseende barn under tretton (13) år ändå skulle bli aktuell, sker sådan behandling endast i enlighet med artikel 8 i dataskyddsförordningen (EU) 2016/679 (GDPR) samt tillämplig svensk dataskyddslagstiftning.

När behandling grundas på samtycke enligt artikel 6.1 a GDPR och avser ett barn under tretton (13) år, krävs samtycke eller godkännande från barnets vårdnadshavare. Vi vidtar rimliga åtgärder för att verifiera att sådant samtycke har lämnats av behörig vårdnadshavare.

Om vi får kännedom om att personuppgifter har samlats in från barn under tretton (13) år utan erforderligt samtycke, kommer uppgifterna att raderas utan onödigt dröjsmål.

  1. Hygienprodukter och spårbarhet

Vid försäljning av hygienartiklar och andra produkter som omfattas av särskilda krav på säkerhet och spårbarhet kan vi behandla uppgifter kopplade till produktens batch- eller lotnummer.

Sådan behandling kan ske i syfte att:

  • säkerställa produktsäkerhet,
  • möjliggöra effektiv hantering av reklamationer,
  • genomföra produktåterkallelser eller säkerhetsåtgärder,
  • uppfylla skyldigheter enligt tillämplig produktsäkerhets- och konsumentskyddslagstiftning.

Batch- eller lotnummer kan, i förekommande fall, kopplas till orderuppgifter för att möjliggöra identifiering av berörda kunder vid säkerhetsåtgärder eller återkallelser.

Behandlingen grundas på:

  • Rättslig förpliktelse (artikel 6.1 c GDPR), i den mån behandlingen är nödvändig för att uppfylla krav enligt produktsäkerhetslagstiftning eller myndighetsföreskrifter, samt
  • Berättigat intresse (artikel 6.1 f GDPR), bestående i bolagets intresse av att säkerställa produkters kvalitet, spårbarhet och kundskydd.

Vid behandling som grundas på berättigat intresse genomförs en intresseavvägning i enlighet med artikel 6.1 f GDPR.

Endast de uppgifter som är nödvändiga för ovan angivna ändamål behandlas, och lagring sker inte längre än vad som krävs för att uppfylla rättsliga krav eller hantera potentiella säkerhets- och reklamationsärenden.

  1. Ansvarsbegränsning

I den utsträckning det är tillåtet enligt tillämplig lag ansvarar vi inte för indirekt skada, följdskada, utebliven vinst eller annan ekonomisk förlust som uppkommer till följd av behandling av personuppgifter som sker i enlighet med denna integritetspolicy och gällande dataskyddslagstiftning.

Ansvarsbegränsningen gäller dock inte i följande fall:

  • om skadan orsakats genom uppsåt eller grov vårdslöshet från vår sida,
  • om ansvar följer av tvingande bestämmelser i dataskyddsförordningen (EU) 2016/679 (GDPR), dataskyddslagen (2018:218) eller annan tvingande lagstiftning,
  • om ersättningsskyldighet föreligger enligt artikel 82 GDPR eller annan direkt tillämplig unionsrättslig bestämmelse.

Ingenting i denna bestämmelse ska tolkas som en begränsning av registrerads rättigheter enligt tvingande konsumentskyddslagstiftning eller dataskyddslagstiftning.

  1. Delvis ogiltighet

Om någon bestämmelse i denna integritetspolicy helt eller delvis skulle befinnas ogiltig, oskälig eller utan verkan enligt:

  • dataskyddsförordningen (EU) 2016/679 (GDPR),
  • dataskyddslagen (2018:218),
  • annan tillämplig EU-rätt eller nationell lagstiftning,
  • 36 § lagen (1915:218) om avtal och andra rättshandlingar på förmögenhetsrättens område (Avtalslagen), eller
  • genom lagakraftvunnet domstolsavgörande eller bindande myndighetsbeslut,

ska detta inte medföra att integritetspolicyn i dess helhet är ogiltig eller utan verkan.

Övriga bestämmelser ska fortsätta att gälla med oförändrad verkan i den utsträckning detta är förenligt med tillämplig rätt.

Den ogiltiga eller icke verkställbara bestämmelsen ska, i den mån det är rättsligt möjligt, ersättas eller justeras så att den uppnår ett resultat som så långt som möjligt motsvarar den ursprungliga bestämmelsens syfte och ekonomiska innebörd, utan att strida mot tvingande lag.

  1. Uppdateringar

Vi förbehåller oss rätten att när som helst ändra, komplettera eller uppdatera denna integritetspolicy, i den utsträckning det är nödvändigt till följd av förändringar i lagstiftning, myndighetspraxis, tekniska lösningar eller vår verksamhet.

Vid väsentliga förändringar som påverkar hur personuppgifter behandlas kommer berörda registrerade att informeras på lämpligt sätt, exempelvis genom meddelande via e-post eller genom tydlig information på webbplatsen, innan ändringarna träder i kraft, i den mån detta krävs enligt tillämplig dataskyddslagstiftning. Den vid var tid gällande versionen av integritetspolicyn publiceras på vår webbplats och anger datum för senaste uppdatering. Den publicerade versionen anses vara den rättsligt gällande versionen.

Senaste version publiceras alltid på webbplatsen.

 

Back To Top

Hudvård med naturens kraft — botaniska produkter rotade i generationers visdom.

🔒 SSL-säkrad

💳 Trygg betalning

🔄 Hudvård för alla generationer

Butik

Alla produkter
Nyheter
Hittar du inte produkten du letar efter?

Information

Om oss
Blogg
Integritetspolicy

Kontakt

✉  info@balkana.se
📦 order@balkana.se
📍 Sverige

Instagram

© Balkana 

Designad av Internet.se

🔒 Säker & trygg e-handel