Privacy Policy

Dataskyddspolicy (Privacy policy) för Mondopia OOD

Personuppgiftsansvarig: Mondopia OOD EIK: 207277347 Dataskyddsombud: Dimitar Tsonev Kontakt: E: support@armodini.se

Länk till Information om skydd av personuppgifter

I. Inledning

  1. Allmän dataskyddsförordning Mondopia OOD:s dataskyddspolicy har utarbetats i enlighet med förordning (EU) 2016/679 (allmän dataskyddsförordning). Syftet med förordningen är att skydda fysiska personers "rättigheter och friheter" och att säkerställa att Mondopia OOD:s kunders personuppgifter behandlas med deras samtycke och att de informeras om sina rättigheter.
  2. Allmänna begrepp

"Personuppgifter" – varje upplysning som avser en identifierad eller identifierbar fysisk person ("registrerad"); en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller till en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet;

"Särskilda kategorier av personuppgifter" – personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt behandling av genetiska uppgifter, biometriska uppgifter för att unikt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.

"Behandling" – varje åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring;

"Personuppgiftsansvarig" – en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt;

"Registrerad" – varje levande fysisk person som är föremål för personuppgifter som lagras av den personuppgiftsansvarige.

"Samtycke av den registrerade" – varje slag av frivillig, specifik, informerad och otvetydig viljeyttring genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne;

"Personuppgiftsincident" – en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats;

"Mottagare" – en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ till vilket personuppgifterna utlämnas, vare sig det är en tredje part eller inte. Offentliga myndigheter som kan ta emot personuppgifter inom ramen för ett enskilt uppdrag i enlighet med unionsrätten eller medlemsstaternas nationella rätt ska dock inte betraktas som mottagare; behandlingen av sådana uppgifter ska vara förenlig med tillämpliga dataskyddsregler utifrån behandlingens ändamål;

"Tredje part" – en fysisk eller juridisk person, offentlig myndighet, institution eller organ som inte är den registrerade, den personuppgiftsansvarige, personuppgiftsbiträdet eller de personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar är behöriga att behandla personuppgifterna;

II. Grundläggande bestämmelser

  1. Denna policy avser alla funktioner för behandling av personuppgifter, inklusive de som utförs avseende personuppgifter om kunder, anställda, leverantörer och partners samt alla andra personuppgifter som organisationen behandlar från olika källor.
  2. Denna policy gäller för alla anställda hos Mondopia OOD. Varje överträdelse av den allmänna förordningen kommer att behandlas som ett brott mot arbetsdisciplinen, och om det finns misstanke om brott kommer ärendet att överlämnas till behöriga statliga myndigheter inom kortast möjliga tid.
  3. Partners och tredje parter som arbetar med eller för Mondopia OOD, samt som har eller kan ha tillgång till personuppgifterna, förväntas ta del av, förstå och följa denna policy. Ingen tredje part får ha tillgång till personuppgifter som lagras av Mondopia OOD utan att först ha ingått ett sekretessavtal som ålägger den tredje parten skyldigheter som inte är mindre betungande än de som Mondopia OOD har åtagit sig, och som ger Mondopia OOD rätt att utföra kontroller av efterlevnaden av de skyldigheter som åläggs genom avtalet.

III. Skyldigheter och roller enligt förordning (EU) 2016/679

  1. Mondopia OOD är personuppgiftsansvarig enligt förordning (EU) 2016/679.
  2. Mondopia OOD har en funktion – Dataskyddsombud, som utför följande aktiviteter:
  • utveckling och implementering av kraven i FÖRORDNING (EU) 2016/679 enligt denna policy;
  • hantering av säkerhet och risk avseende efterlevnad av policyn.
  1. Efterlevnad av dataskyddslagstiftningen är ansvaret för alla anställda hos Mondopia OOD som behandlar personuppgifter.
  2. Mondopia OOD genomför regelbundna utbildningar relaterade till skydd av personuppgifter i syfte att korrekt tillämpa den allmänna dataskyddsförordningen.
  3. E-post för kontakt med Mondopia OOD är support@armodini.se och +359886313847.

IV. Principer för dataskydd

  1. All behandling av personuppgifter utförs i enlighet med de dataskyddsprinciper som anges i förordning (EU) 2016/679. Mondopia OOD:s policyer och rutiner syftar till att säkerställa efterlevnad av dessa principer:

Laglighet – identifierar en laglig grund innan personuppgifter kan behandlas. Dessa kallas ofta "grunder för behandling", till exempel "samtycke".

Korrekthet – för att behandlingen ska vara korrekt tillhandahåller den personuppgiftsansvarige viss information till de registrerade, i den mån det är praktiskt möjligt.

Öppenhet – den allmänna förordningen innehåller regler om tillhandahållande av sekretessinformation till registrerade i artiklarna 12, 13 och 14 i GDPR. Dessa är detaljerade och specifika, med tonvikt på att sekretessmeddelanden ska vara begripliga och tillgängliga. Informationen ska kommuniceras till den registrerade i begriplig form med ett klart och tydligt språk.

  1. Den specifika informationen som tillhandahålls den registrerade inkluderar:
  • uppgifter som identifierar den personuppgiftsansvarige och kontaktuppgifter för den personuppgiftsansvarige och, i förekommande fall, för dennes företrädare;
  • kontaktuppgifter för dataskyddsombudet;
  • ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för behandlingen;
  • den period under vilken personuppgifterna kommer att lagras;
  • förekomsten av följande rättigheter – att begära tillgång till uppgifterna, rättelse, radering (rätten att bli bortglömd), begränsning av behandlingen, samt rätten att invända mot villkoren (eller avsaknaden av sådana) i samband med utövandet av dessa rättigheter;
  • kategorierna av personuppgifter;
  • mottagarna eller kategorierna av mottagare av personuppgifter, där så är tillämpligt;
  • där så är tillämpligt, huruvida den personuppgiftsansvarige avser att överföra personuppgifterna till en mottagare i ett tredje land och nivån på dataskyddet;
  • all ytterligare information som är nödvändig för att säkerställa korrekt behandling.
  • Uppgifter som samlats in för specifika ändamål används inte för ändamål som skiljer sig från de som officiellt angivits i meddelandet till Mondopia OOD:s kunder om skydd av personuppgifter (Privacy notice).

Dessutom:

  • Dataskyddsombudet ansvarar för att säkerställa att Mondopia OOD inte samlar in information som inte är strikt nödvändig för det ändamål för vilket den erhållits.
  • Dataskyddsombudet garanterar att alla metoder för datainsamling granskas på (årlig) basis för att säkerställa att de insamlade uppgifterna fortsätter att vara adekvata, relevanta och inte överdrivna.
  • Uppgifter som lagras av den personuppgiftsansvarige granskas och uppdateras vid behov. Inga uppgifter lagras i fall där det finns sannolikhet att de inte är korrekta.
  • Dataskyddsombudet garanterar att all personal utbildas i vikten av att samla in korrekta uppgifter och underhålla dem.
  • Det är också den registrerades skyldighet att intyga att de uppgifter som lämnas för lagring hos Mondopia OOD är korrekta och aktuella.
  • Minst en gång per år granskar dataskyddsombudet lagringstiderna för alla personuppgifter som behandlas av Mondopia OOD, och vid identifiering av uppgifter som inte längre behövs för det registrerade ändamålet ska dessa förstöras.
  • Dataskyddsombudet behandlar begäranden om rättelse av uppgifter inom en månad. Denna period kan förlängas med ytterligare två månader för komplexa förfrågningar. Om Mondopia OOD beslutar att inte tillmötesgå begäran, upprättar dataskyddsombudet ett motiverat avslag och informerar om rätten att lämna in ett klagomål till tillsynsmyndigheten och att söka rättsligt skydd.
  • När personuppgifter bevaras efter behandlingsdatumet kommer de att lagras på lämpligt sätt för att skydda den registrerades identitet vid en eventuell dataintrång.
  • Dataskyddsombudet genomför en konsekvensbedömning (när det är tillämpligt), med beaktande av alla omständigheter relaterade till Mondopia OOD:s datahantering eller behandlingsoperationer.

Vid fastställande av hur lämplig behandlingen är måste dataskyddsombudet också överväga graden av eventuell skada eller förlust som kan orsakas fysiska personer (t.ex. personal eller kunder) om en säkerhetsincident inträffar, samt eventuell skada på den personuppgiftsansvariges rykte, inklusive eventuell förlust av kundernas förtroende.

  1. Vid bedömningen av lämpliga tekniska åtgärder överväger dataskyddsombudet följande:
  • Lösenordsskydd;
  • Automatisk låsning av inaktiva arbetsstationer i nätverket;
  • Borttagning av åtkomsträttigheter för USB och andra bärbara lagringsmedier;
  • Antivirusprogram och brandväggar;
  • Rollbaserade åtkomsträttigheter, inklusive för tillfälligt anställd personal;
  • Skydd av enheter som lämnar organisationens lokaler, såsom bärbara datorer eller andra;
  • Säkerhet för lokala och vidsträckta nätverk;
  • Integritetsförbättrande teknik, såsom pseudonymisering och anonymisering;
  • Vid bedömningen av lämpliga organisatoriska åtgärder har dataskyddsombudet beaktat följande:
  1. Nivåerna för lämplig utbildning hos Mondopia OOD;
  • Åtgärder som tar hänsyn till de anställdas tillförlitlighet (t.ex. utvärderingar, referenser etc.);
  • Identifiering av disciplinära åtgärder för överträdelser avseende databehandling;
  • Regelbunden granskning av personalens efterlevnad av relevanta säkerhetsstandarder;
  • Kontroll av fysisk åtkomst till elektroniska och pappersbaserade register;
  • Upprätthållande av en ren arbetsplats (utan kunders personuppgifter).
  • Förvaring av pappersbaserade databaser i låsbara skåp;
  • Begränsning av användningen av bärbara elektroniska enheter utanför arbetsplatsen;
  • Begränsning av anställdas användning av personliga enheter på arbetsplatsen;
  • Antagande av tydliga regler för skapande och användning av lösenord;
  • Regelbunden säkerhetskopiering av personuppgifter och fysisk förvaring av kopior utanför kontoret;
  • Åläggande av avtalsenliga skyldigheter för motpartsorganisationer att vidta lämpliga säkerhetsåtgärder vid överföring av uppgifter utanför EU.
  • Dessa kontroller har valts utifrån identifierade risker för personuppgifter samt potentialen för skada för de personer vars uppgifter behandlas.
  1. Mondopia OOD visar efterlevnad av dataskyddsprinciperna genom tillämpning av dataskyddspolicyer, implementerar lämpliga tekniska och organisatoriska åtgärder, samt genom antagande av dataskydd genom design och dataskydd som standard, konsekvensbedömning avseende dataskydd, förfarande för anmälan av personuppgiftsincidenter etc.

I fall där registrerade vill återkalla sitt samtycke till att ta emot marknadsföringsmeddelanden kan de göra det genom att skicka ett meddelande i fri text till e-postadressen support@armodini.se.

Registrerade har följande rättigheter, som Mondopia OOD garanterar:

Rätt till tillgång: Att tillhandahålla en kopia av personuppgifterna på begäran. Rätt till rättelse: Att rätta felaktiga eller ofullständiga uppgifter. Rätt till radering ("Rätten att bli bortglömd"): Att radera personuppgifter under vissa villkor. Rätt till dataportabilitet: Att låta registrerade överföra sina uppgifter till en annan tjänst. Rätt att göra invändningar: Att invända mot behandling av uppgifter, särskilt för marknadsföringsändamål.

V. Registrerades rättigheter

  1. Registrerade har följande rättigheter avseende databehandlingen samt de uppgifter som registreras om dem:
  • Att begära bekräftelse på huruvida personuppgifter som rör honom eller henne behandlas, och i så fall få tillgång till uppgifterna samt information om vilka som är mottagare av dessa uppgifter.
  • Att begära en kopia av sina personuppgifter från den personuppgiftsansvarige;
  • Att begära att den personuppgiftsansvarige rättar personuppgifter när de är felaktiga, samt när de inte längre är aktuella;
  • Att begära att den personuppgiftsansvarige raderar personuppgifter (rätten att bli bortglömd);
  • Att begära att den personuppgiftsansvarige begränsar behandlingen av personuppgifter, i vilket fall uppgifterna endast kommer att lagras men inte behandlas;
  • Att invända mot behandling av sina personuppgifter;
  • Att invända mot behandling av personuppgifter som rör honom eller henne för direktmarknadsföringsändamål.
  • Att vända sig till tillsynsmyndigheten med ett klagomål om han eller hon anser att någon bestämmelse i den allmänna dataskyddsförordningen har överträtts;
  • Att begära och få personuppgifterna i ett strukturerat, allmänt använt och maskinläsbart format;
  • Att när som helst återkalla sitt samtycke till behandling av personuppgifter genom en separat begäran till den personuppgiftsansvarige;
  • Att inte vara föremål för automatiserade beslut som påverkar honom eller henne i betydande grad, utan möjlighet till mänsklig inblandning;
  • Att motsätta sig automatiserad profilering som sker utan hans eller hennes samtycke;

Registrerade kan lämna in en begäran om tillgång, rättelse, radering, portabilitet eller invändning mot behandling av sina personuppgifter genom att skicka en begäran till e-postadressen support@armodini.se. Begäran ska innehålla information som möjliggör verifiering av den sökandes identitet samt en exakt beskrivning av begäran.

Mondopia OOD garanterar villkor som säkerställer möjligheten för registrerade att utöva dessa rättigheter:

Registrerade kan lämna in begäranden om att utöva sina rättigheter. Registrerade kan återkalla sitt samtycke till att ta emot reklammeddelanden genom att skicka ett meddelande till e-postadressen support@armodini.se med en begäran om att upphöra med utskicken. Begäran ska innehålla grundläggande information som möjliggör identifiering av avsändaren (t.ex. förnamn, efternamn, e-postadress som användes vid registreringen).

VI. Samtycke

  1. Med "samtycke" avser Mondopia OOD varje slag av frivillig, specifik, informerad och otvetydig viljeyttring genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne. Den registrerade kan när som helst återkalla sitt samtycke.

Registrerade kan återkalla sitt samtycke till behandling av personuppgifter genom att skicka en ansökan i fri text till support@armodini.se.

  1. Mondopia OOD avser med "samtycke" endast fall där den registrerade har varit fullständigt informerad om den planerade behandlingen och har uttryckt sitt samtycke utan att utsättas för påtryckningar. Samtycke som erhållits under påtryckningar eller på grundval av vilseledande information utgör inte en giltig grund för behandling av personuppgifter.
  2. Samtycke kan inte utläsas av avsaknad av svar på ett meddelande till den registrerade. Det måste finnas aktiv kommunikation mellan den personuppgiftsansvarige och den registrerade för att samtycke ska föreligga. Den personuppgiftsansvarige måste kunna visa att samtycke har erhållits för behandlingsaktiviteterna.

VII. Datasäkerhet

  1. Alla anställda ansvarar för att säkerställa säkerheten vid lagring av de uppgifter som de ansvarar för och som Mondopia OOD innehar, samt att uppgifterna lagras säkert och inte röjs under några omständigheter till tredje parter, såvida inte Mondopia OOD har gett sådan rätt till denna tredje part genom att ha ingått ett sekretessavtal/klausul.
  2. Alla personuppgifter ska endast vara tillgängliga för dem som behöver dem, och tillgång får endast ges i enlighet med de fastställda reglerna för åtkomstkontroll. Alla personuppgifter ska behandlas med största säkerhet och ska lagras:

i ett separat rum med kontrollerad åtkomst; och/eller i ett låsbart skåp eller i ett arkivskåp; och/eller om de är datoriserade, lösenordsskyddade i enlighet med de interna kraven som anges i de organisatoriska och tekniska åtgärderna för åtkomstkontroll av information; och/eller lagrade på bärbara datamedier som är skyddade i enlighet med de organisatoriska och tekniska åtgärderna för åtkomstkontroll av information.

  1. En organisation har skapats för att garantera att datorskärmar och terminaler inte kan ses av andra än Mondopia OOD:s behöriga anställda. Alla anställda måste utbildas i efterlevnad av de organisatoriska och tekniska åtgärderna för åtkomst samt reglerna för låsning av arbetsstationer innan de beviljas tillgång till information av något slag.
  2. Pappershandlingar får inte lämnas där de kan vara tillgängliga för obehöriga personer och får inte tas bort från de avsedda kontorslokalerna utan uttryckligt tillstånd. Så snart pappersdokument inte längre behövs för det pågående kundstödsarbetet förstörs de.

VIII. Utlämnande av uppgifter

  1. Mondopia OOD säkerställer villkor under vilka personuppgifter inte röjs för obehöriga tredje parter, vilket inkluderar familjemedlemmar, vänner, statliga myndigheter, även utredande sådana, om det finns rimligt tvivel om att de inte begärs på föreskrivet sätt. Alla anställda bör vara försiktiga när de ombeds att röja lagrade personuppgifter om en annan person till en tredje part.

Särskild utbildning och periodiska instruktioner genomförs för anställda för att undvika risken för sådana överträdelser.

  1. Alla begäranden från tredje parter om tillhandahållande av uppgifter ska stödjas av lämplig dokumentation och alla sådana utlämnanden av uppgifter ska vara särskilt godkända av dataskyddsombudet.

IX. Lagring och förstöring av uppgifter

  1. Mondopia OOD lagrar inte personuppgifter i en form som möjliggör identifiering av de registrerade längre än vad som är nödvändigt med avseende på de ändamål för vilka uppgifterna samlades in.
  2. Mondopia OOD får lagra uppgifter under längre perioder endast om personuppgifterna kommer att behandlas för arkivändamål i allmänt intresse, vetenskapliga eller historiska forskningsändamål och för statistiska ändamål, och endast vid genomförande av lämpliga tekniska och organisatoriska åtgärder för att garantera den registrerades rättigheter och friheter.

X. Register över databehandlingar (datainventering)

  1. Mondopia OOD har skapat en process för datainventering som en del av sin metod för att hantera risker och möjligheter i processen för efterlevnad av policyn enligt förordning (EU) 2016/679. Vid datainventeringen hos Mondopia OOD och i dataflödet fastställs:

affärsprocesser som använder personuppgifter; källor till personuppgifter; antalet registrerade; beskrivning av kategorierna av personuppgifter och elementen i varje kategori; behandlingsaktiviteter; ändamålen med den behandling för vilken personuppgifterna är avsedda; den rättsliga grunden för behandlingen; mottagarna eller kategorierna av mottagare av personuppgifter; de viktigaste systemen och lagringsplatserna; alla personuppgifter som är föremål för överföring utanför EU; lagrings- och raderingsfrister.

  1. Personuppgifter kan överföras till följande kategorier av tredje parter för att fullgöra Mondopia OOD:s skyldigheter gentemot kunderna:

Orderhanteringspartners: BigArena, för fullgörande och behandling av kundorder. Kurirföretag: Econt och Speedy, för leverans av beställningar. E-handelsplattform: WordPress, för hosting och hantering av onlinebutiken.

  1. Mondopia OOD bedömer risknivån för de personer som är förknippade med behandlingen av deras personuppgifter (där det är tillämpligt).
  2. Mondopia OOD hanterar alla risker som identifierats i konsekvensbedömningen i syfte att minska sannolikheten för bristande efterlevnad av förordningen.

När en typ av behandling kan leda till hög risk för fysiska personers rättigheter och friheter, särskilt vid användning av ny teknik och med beaktande av behandlingens art, omfattning, sammanhang och ändamål, ska Mondopia OOD före behandlingen göra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter.

  1. När det av konsekvensbedömningen framgår att Mondopia OOD kommer att börja behandla personuppgifter som på grund av hög risk skulle kunna orsaka skada för de registrerade, måste beslutet om huruvida behandlingen ska fortsätta eller inte överlämnas för granskning av dataskyddsombudet.

Denna policy gäller från och med den 06.01.2026