INTEGRITETSPOLICY HAELO

Haelo Clinic AB, org.nr 559343-0233, (”Haelo”, ”vi”, ”oss” och ”vår”) behandlar dina personuppgifter när du använder vår webbplats, använder våra tjänster eller köper produkter från oss. Vår målsättning är att du ska känna dig säker på att din personliga integritet respekteras och att dina personuppgifter behandlas korrekt. I denna integritetspolicy informerar vi om vilka typer av personuppgifter vi behandlar, varför vi gör det, vad vi använder dem till samt hur vi eventuellt delar med oss av uppgifterna.

Haelo är personuppgiftsansvarig för behandlingen av dina personuppgifter. Vi behandlar alltid dina personuppgifter i enlighet med gällande dataskyddslagstiftning, inklusive den allmänna dataskyddsförordningen 2016/679 (”GDPR”), patientdatalagen (2008:355) och Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2016:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården.

Har du några frågor om vår behandling av dina personuppgifter eller vill utöva dina rättigheter som beskrivs i denna integritetspolicy kan du kontakta oss via kontaktuppgifterna som anges nedan.

PERSONUPPGIFTER VI BEHANDLAR

Vi samlar in personuppgifter när du (i) bokar och genomgår behandlingar, (ii) köper produkter från vår webbshop, (iii) skapar ett medlemskonto och nyttjar förmåner som medlem, (iv) besöker vår webbplats, (v) kontaktar oss via e-post, telefon eller sociala medier, eller (vi) ingår andra avtal med oss. Vi kan även komma att inhämta information om dig från tredje part så som folkbokföringsregistret och våra koncernbolag.

Vi använder endast dina personuppgifter för de ändamål, baserat på de grunder och under den tid som beskrivs nedan.

ÄNDAMÅL, LAGLIG GRUND OCH LAGRINGSPERIODER

Kund/medlemsuppgifter

Ändamålet med behandlingen: När du bokar en behandling och/eller skapar ett medlemskonto hos oss kommer vi att behandla personuppgifter om dig för att administrera kundförhållandet och behandlingen, till exempel kunna kontakta dig med anledning av en behandling och skicka påminnelser och kallelser samt för att kunna ge dig de förmåner som det innebär att vara medlem, exempelvis att kunna få skräddarsydda produktpaket, få särskilda notiser om behandlingar, få ta del av våra särskilda erbjudanden och exklusiva inbjudningar till events. Ändamålen och uppgifterna som samlas in skiljer sig något beroende på vilken nivå av medlemskap som du har. Närmare information om medlemskonto och förmåner finns på vår webbplats.

Kategorier av personuppgifter: Namn, personnummer, telefonnummer, e-postadress, inloggningsuppgifter (användarnamn och lösenord), fakturadress, betalningsinformation, orderhistorik, behandlingshistorik och kommande behandlingar, deltagande på event samt annan information som du frivilligt lämnar till oss.

Legal grund för behandlingen: Vi behandlar dina personuppgifter med anledning av att det är nödvändigt för att fullgöra avtalet med dig (medlemsvillkoren och/eller avtal om behandling).

Beroende på nivån i ditt medlemskap kan vi i vissa fall inhämta ett separat GDPR-samtycke från dig för att du ska kunna nyttja samtliga förmåner i medlemskapet, exempelvis för att kunna få särskilda notiser om behandlingar. Du kan självklart alltid dra tillbaka ett sådant samtycke.

Har du ett betalkonto kan vissa personuppgifter behandlas för att uppfylla våra skyldigheter i bokföringslagen.

Lagringstid: Personuppgifter som vi behandlar för att administrera kundförhållandet och som finns sparat i ditt medlemskonto sparar vi i ett år efter att kundförhållandet har avslutats. Kundförhållandet anses ha avslutats när du (i) väljer att avsluta ditt medlemskonto eller (ii) inte har bokat en behandling på tre år. Personuppgifter som behandlas i bokföringssyfte och skatteunderlag sparar vi i sju plus innevarande år i enlighet med bokföringslagen.

Injektionsbehandlingar, inklusive konsultation

Ändamålet med behandlingen: När du bokar en behandling kommer vi att behandla personuppgifter om dig för att kunna utföra önskad behandling, exempelvis ge konsultation kring behandlingen, säkra kvaliteten på behandlingen och göra uppföljningar. Vi behandlar även personuppgifter för att uppfylla vår lagstadgade skyldighet att föra journal och upprätta annan dokumentation som behövs i och för din vård.

Kategorier av personuppgifter: Uppgifter om efterfrågade och utförda behandlingar, före- och efterbilder, journaluppgifter och andra hälsouppgifter exempelvis allergier, mediciner och sjukdomar, behandlingspersonalens anteckningar och analyser samt annan information som du frivilligt lämnar till oss.

Legal grund för behandlingen: Vi behandlar dina personuppgifter för att uppfylla våra skyldigheter enligt lag. Personuppgifter, inklusive känsliga personuppgifter, kommer att behandlas i din patientjournal för att fullgöra våra journalföringsskyldigheter enligt patientdatalagen.

Vi har även skyldighet att enligt lag (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar att inhämta ditt skriftliga samtycke till behandlingen. Uppgift om samtycken och återkallade samtycken kommer även antecknas i patientjournalen.

I vissa fall kommer vi att inhämta ett separat GDPR-samtycke från dig för att behandla dina personuppgifter, exempelvis för att få behandla dina före- och efterbilder för annat ändamål än att följa våra skyldigheter enligt lag. Du kan självklart alltid dra tillbaka ett sådant samtycke.

Lagringstid: Personuppgifter som antecknas i din patientjournal sparas i tio år i enlighet med patientdatalagen.

Hud- och kroppsbehandlingar, inklusive konsultation

Legal grund för behandlingen: Vi behandlar dina personuppgifter, inklusive känsliga personuppgifter, baserat på ditt uttryckliga GDPR-samtycke som du lämnar inför varje behandling. Du kan självklart alltid dra tillbaka ett sådant samtycke.

Lagringstid: Personuppgifterna sparas i tio år efter utförd behandling.

Köp genom vår webbshop

Ändamålet med behandlingen: När du handlar i vår webbshop kommer vi att behandla dina personuppgifter för att kunna hantera och leverera din beställning.

Kategorier av personuppgifter: Namn, personnummer, leverans- och fakturadress, telefonnummer, e-postadress, betalningsinformation och orderinformation.

Legal grund för behandlingen: Vi behandlar dina personuppgifter med anledning av att det är nödvändigt för att fullgöra avtalet med dig avseende köpet. Vidare behandlar vi dina personuppgifter för att uppfylla våra skyldigheter enligt bokföringslagen.

Lagringstid: Vi sparar personuppgifterna under den period som är nödvändig för att vi ska kunna fullgöra våra avtalsförpliktelser (inklusive eventuella garantiåtaganden). Personuppgifter som behandlas i bokföringssyfte och skatteunderlag sparar vi i sju plus innevarande år efter köpet i enlighet med bokföringslagen.

Direktmarknadsföring

Ändamålet med behandlingen: Om du registrerar dig för nyhetsbrev och erbjudanden, har ett medlemskonto eller har köpt produkter i vår webshop kommer vi att skicka nyhetsbrev, information om vår verksamhet och annan marknadsföring om våra produkter och tjänster. Vår direktmarknadsföring bygger på profilering, vilket innebär att vi anpassar den information som du tar emot från oss baserat på vissa faktorer. Vi använder följande typer av personuppgifter för att sammanställa en profil: ditt kön, din position/ort, dina tidigare köp, ditt beteende på vår webbplats och/eller ditt tidigare beteende när du har erhållit direktmarknadsföring direkt från oss.

Kategorier av personuppgifter: Namn, telefonnummer, e-postadress, kön, position/ort, tidigare köp, beteende på vår webbplats och tidigare beteende när du har erhållit direktmarknadsföring direkt från oss.

Legal grund för behandlingen: Behandlingen är nödvändig för vårt berättigade intresse av att kunna marknadsföra våra produkter och tjänster och bedriva kundvård.

Lagringstid: Du har alltid rätt att motsätta dig direkt marknadsföring (inkl. profilering). Om du får utskick från oss och vill avanmäla dig från dem kan du göra det genom att följa anvisningarna i utskickat. Vi kommer då att radera dina uppgifter, om vi inte har annan legal grund för att fortsätta behandla dem.

Riktade budskap på annonsplattformar

Ändamålet med behandlingen: Vi använder tredjeparts marknadsföringsplattformar, såsom Facebook och Instagram, för att skicka meddelanden riktade till dig, baserat på ditt uppförande och webbplatsanvändningsmönster, på specifika tider och platser på dessa plattformar, för att öka effektiviteten av våra marknadsföringskampanjer. Dina personuppgifter delas med tredjeparts marknadsföringsplattformar och de kommer försöka matcha din profil i deras databas för att utreda den optimala tiden och platsen (den sida du använder) för att visa dig marknadsföring från oss. Vi analyserar nödvändig information för att förstå effekten av vår marknadsföring.

Facebook kan använda webbsignaler, pixlar och andra spårningstekniker för att samla in eller ta emot data om dig. När vi instruerar Facebook, baserat på data som samlas in av Facebooks produkter, att skapa en grupp Facebook-användare som utgör målgruppen för våra annonskampanjer agerar vi och Facebook Ireland som gemensamt personuppgiftsansvariga. Vi ansvarar för att tillhandahålla den information som anges i detta avsnitt, och Facebook Ireland ansvarar för att upprätthålla dina rättigheter med avseende på personuppgifter som lagras av Facebook Ireland efter den gemensamma behandlingen. Information om hur Facebook Ireland behandlar dina personuppgifter, inklusive rättslig grund för behandlingen och hur du kan utöva dina rättigheter mot Facebook hittar du i Facebooks dataskyddspolicy: https://www.facebook.com/about/privacy.

Kategorier av personuppgifter: IP-adress och användargenererad information från cookies (såsom klick, visade sidor och sökhistorik).

Legal grund för behandlingen: Behandlingen baseras på det samtycke du ger till oss när du accepterar våra cookies (se vår Cookiepolicy).

Lagringstid: Lagringsuppgifterna för våra olika cookies hittar du i vår våra Cookieinställningar.

Webbplatsanvändning och analyser

Ändamålet med behandlingen: När du surfar runt på vår webbplats behandlar vi dina personuppgifter för att kontinuerligt kunna erbjuda en mer användarvänlig upplevelse och förbättra vår webbplats.

Kategorier av personuppgifter: IP-adress, annan enhetsinformation och användargenererad information från våra cookies.

Legal grund för behandlingen: Behandlingen baseras på det samtycke du ger oss när du accepterar våra cookies. Vad gäller strikt nödvändiga cookies, är vår behandling nödvändig för vårt berättigade intresse att kunna ge dig en fungerande hemsida när du besöker och använder tjänsterna på vår webbplats. Se mer information i vår Cookiepolicy.

Lagringstid: Lagringsuppgifterna för våra olika cookies hittar du i våra Cookieinställningar.

Support och frågor

Ändamålet med behandlingen: När du kontaktar oss via e-post, telefon eller via våra sociala medier behandlar vi dina personuppgifter för att kunna besvara ditt meddelande till oss och bedriva kundvård.

Kategorier av personuppgifter: Namn, telefonnummer, e-postadress samt annan information som du frivilligt lämnar till oss.

Legal grund för behandlingen: Vi behandlar dina personuppgifter med hänsyn till vårt berättigade intresse av att kunna interagera med dig och värna om våra kunder.

Lagringstid: Vi behandlar dina personuppgifter så länge som det är nödvändigt med hänsyn till syftet med ditt meddelande, men maximalt i [1 år] efter senaste kontakt.

Kontaktpersoner leverantörs- och samarbetsavtal

Ändamålet med behandlingen: När vi ingår avtal med leverantörer och samarbetspartners kommer vi att behandla personuppgifter till dig som är kontaktperson eller företrädare för leverantören eller samarbetspartnern.

Kategorier av personuppgifter: Namn, telefonnummer, e-postadress, titel och arbetsgivare.

Legal grund för behandlingen: Vi behandlar dina personuppgifter med hänsyn till vårt berättigade intresse av att kunna administrera och hantera leverantörs- och samarbetsavtalet.

Lagringstid: Vi sparar uppgifterna så länge som du är kontaktperson och som längst till det relevanta avtalet upphör att gälla.

SÄKERHETSÅTGÄRDER OCH DELNING

Vi har vidtagit lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda dina personuppgifter mot bland annat förlust, obehörig åtkomst och skada. Samtliga personer hos oss som får tillgång till personuppgifter omfattas av en lagstadgad tystnadsplikt och får alltså inte sprida några uppgifter om dig eller din behandling. Endast de personer som behöver tillgång till dina personuppgifter för att utföra sitt arbete kommer att få sådan tillgång. Åtkomsten till uppgifterna och vidtagna åtgärder loggas.

Vi kan även komma att dela dina uppgifter till koncernbolag och andra leverantörer som anlitas för att tillhandahålla tjänster till oss, så som våra IT-system, exempelvis patientjournalen, och marknadsföringstjänster. Sådana leverantörer är ett personuppgiftsbiträden till oss och får behandla dina personuppgifter endast i enlighet med våra instruktioner.

Vi kan dela dina personuppgifter med andra personuppgiftsansvariga. Sådana personuppgiftsansvariga kan vara [t.ex. fraktföretag och leverantörer av betalningstjänster] för att de ska kunna [leverera dina beställda produkter och utföra betaltjänster vid köp av produkter]. Vi kan även komma att dela uppgifterna med myndigheter, exempelvis har vi en skyldighet att utreda och anmäla händelser som har medfört eller hade kunnat medföra en allvarlig vårdskada till Inspektionen för vård och omsorg (IVO). När personuppgifter delas med andra personuppgiftsansvariga är de ansvariga för sin behandling av personuppgifter, och vi hänvisar till dem för frågor eller mer information om hur de behandlar personuppgifter.

ÖVERFÖRING TILL TREDJE LAND

Dina personuppgifter behandlas normalt endast i länder inom EU/EES. Lagringen av dina journaluppgifter sker på servrar i Tyskland. Om uppgifterna undantagsvis överförs till ett land utanför EU/EES, säkerställer vi att sådan överföring är laglig, Om Europeiska Kommissionen inte anser att landet säkerställer en adekvat skyddsnivå kommer överföringen till den tredje parten att ha stöd i kommissionens standardavtalsklausuler för överföring av personuppgifter till ett land utanför EU/EES. I tillämpliga fall kompletteras standardavtalsklausulerna med ytterligare skyddsåtgärder. Vi överför aldrig några känsliga personuppgifter, exempelvis din patientjournal, till ett land utanför EU/EES.

DINA RÄTTIGHETER

I enlighet med GDPR har du vissa rättigheter i förhållande till vår behandling av dina personuppgifter. Rättigheterna är inte absoluta och en begäran om utövande av rättigheterna resulterar därför inte alltid i någon åtgärd. Notera även att rättigheterna kan skilja sig om en begäran avser patientdata, se särskilt om dessa rättigheter under rubriken ”Information och rättigheter enligt patientdatalagen”.

Dina rättigheter enligt GDPR inkluderar:

Rätt till tillgång – Enligt artikel 15 GDPR har du rätt att få tillgång till dina personuppgifter samt viss information rörande behandlingen av dem. Den informationen framgår av detta dokument.
Rätt till rättelse – Enligt artikel 16 GDPR har du rätt att få felaktiga personuppgifter rättade samt att komplettera ofullständiga personuppgifter.
Rätt till radering – Under vissa omständigheter har du enligt artikel 17 GDPR rätt att få personuppgifterna raderade.
Rätt till begränsning av behandling – Under vissa omständigheter har du enligt artikel 18 GDPR rätt att begränsa behandlingen som vi vidtar.
Rätt till dataportabilitet – Enligt artikel 20 GDPR har du rätt att få ut personuppgifterna (eller få dem överförda till en annan personuppgiftsansvarig) i ett strukturerat, allmänt använt och maskinläsbart format.
Rätt att göra invändningar – Enligt artikel 21 GDPR har du rätt att invända mot att dina personuppgifter behandlas för våra berättigade intressen, exempelvis marknadsföring av våra produkter och tjänster.
Återkalla samtycke – Har du samtyckt till viss behandling av dina personuppgifter har du alltid rätt att återkalla samtycket. Återkallar du ditt samtycke kommer vi att avbryta behandlingen förutsatt att vi inte har något annat stöd för behandlingen.

Om du skulle ha några klagomål avseende vår behandling av dina personuppgifter har du rätt att inge klagomål till svenska Integritetsskyddsmyndigheten (IMY) eller annan behörig tillsynsmyndighet som utövar tillsyn över personuppgiftbehandlingar.

INFORMATION OCH RÄTTIGHETER ENLIGT PATIENTDATALAGEN

Utöver dina rättigheter som föreskrivs i GPDR har du även rätt till ytterligare information och rättigheter enligt patientdatalagen:

Du har som utgångspunkt rätt att få tillgång till din patientjournal. Även en närstående till dig kan begära att få ta del av journalen.
Du har rätt att få information om vilken åtkomst till uppgifter om dig som har förekommit. Det ska då även framgå från vilken vårdenhet samt vid vilken tidpunkt någon har tagit del av uppgifterna. Du har rätt få informationen på så sätt att du kan bedöma om åtkomsten har varit befogad eller inte.
Om du anser att en uppgift i din patientjournal är oriktig eller missvisande kan du begära att få den rättad. Det är dock den som ansvarar för patientjournalen som ansvarar för sakinnehållet och som avgör hur anteckningen ska lyda. Kommer ni inte överens om en rättelse har du alltid rätt att få din synpunkt antecknad i journalen.
Du har även rätt att i vissa fall få uppgifter, som görs tillgängliga genom elektronisk åtkomst för personal hos oss som arbetar inom en annan vårdprocess, spärrade.
I undantagsfall har du rätt att radera uppgifter i din journal. Om du vill ansöka om journalförstöring kan du göra det hos IVO.
Du har rätt till skadestånd enligt artikel 82 GDPR, samt kompletterande nationella bestämmelser, vid behandling av personuppgifter i strid med patientdatalagen och GDPR.
I journalsystemet är det möjligt att söka på namn, personnummer och e-postadress.

KONTAKTUPPGIFTER

Postadress:
Haelo Clinic AB
Drottninggatan 33, 2 tr
111 51 Stockholm

E-post: hello@haelo.se

ÄNDRINGSHISTORIK