Senast uppdaterad 2018-05-17

Laglig grund – hur vår lagliga rätt att samla in dina uppgifter ser ut

För att vi som företag ska kunna behandla och samla in dina personuppgifter måste vi helt enkelt följa lagen – vissa grundläggande kriterier måste uppfyllas och en laglig grund måste finnas angiven för varje behandling.

De lagliga grunder som vi baserar personuppgiftsbehandlingen på är:

1. Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse

2. Behandlingen är nödvändig för att fullgöra ett avtal med kunden eller kunden har begärt att viss behandlingutförs innan nämnda avtal ingås

3. Företaget (eller tredje part) har berättigade intressen av att behandla uppgifterna som väger tyngre änkundens intresse av skydd för sina personuppgifter(intresseavvägning)

Ändamål med personuppgiftsbehandling

 

1. För att kunna hantera kundens beställning/köp i digitala kanaler

Kategorier av personuppgifter som behandlas:
- Namn
- Kontaktuppgifter (t ex adress, e-post, telefonnummer)
- Betalinformation (t ex kortnummer, transaktionstidpunkt, kortinnehavare)
- Person- eller samordningsnummer
- Medlemsnummer
- Betalnings/orderhistorik
- Kreditupplysningar från kreditupplysningsföretag samt adressupplysningar från externa källor (SPAR, partner för betallösningar m.m.)
- Orderinformation, t ex vilken vara som kunden har beställt eller om varan ska levereras till annan adress.

Ändamål med personuppgiftbehandling

- Leverera en beställd/köpt produkt eller tjänst (inklusive avisering om leverans eller kontakter i samband med försenad leverans)
- Identifiera kunden och kontrollera kundens ålder
- Hantera kundens betalning (inklusive för att analysera vilka betallösningar som ska erbjudas kunden vilket innefattar kontroll mot kundens betalningshistorik och inhämtning av kreditupplysningar från kreditupplysningsbolag)
- Erbjuda olika betallösningar, inklusive analysera för att veta vilka betallösningar som ska erbjudas kunden vilket innefattar kontroll mot kundens betalningshistorik och inhämtning av kreditupplysningar från kreditupplysningsbolag
- Kontroll av kundens adress mot externa källor, t ex SPAR, Klarna eller liknande

Laglig grund för personuppgiftsbehandling:

- Köpeavtal med kunden. Behandlingen är nödvändig för att uppfylla villkor i lojalitetsprogram.

Lagringstid

- Uppgifter sparas så länge avtal i lojalitetsprogram är aktivt. Efter uppsägning av avtal lagras uppgifterna i 1 månad eller så länge som eventuell lagstiftning kräver. Om ditt medlemskap varit inaktivt och senaste registrerade köp/order ägde rum för mer än 12 månader sedan, kommer ditt medlemskap avslutas. Dina uppgifter lagras ytterligare 1 månad för att därefter helt raderas.

2. För att kunna hantera kundens beställning/köp i butik

Kategorier av personuppgifter som behandlas:
- Namn
- Kontaktuppgifter (t ex adress, e-post, telefonnummer)
- Kortuppgifter
- Person- eller samordningsnummer
- Medlemsnummer
- Betalnings/orderhistorik

Ändamål med personuppgiftbehandling

- Leverera en beställd/köpt produkt
- Identifiera kunden och kontrollera kundens ålder
- Hantera kundens betalning
- Hantera reklamations- och garantiärenden avseende en beställd eller köpt produkt

Laglig grund för personuppgiftsbehandling

- Köpeavtal med kunden. Behandlingen är nödvändig för att uppfylla villkor i lojalitetsprogram.

Lagringstid

- Uppgifter sparas så länge avtal i lojalitetsprogram är aktivt. Efter uppsägning av avtal lagras uppgifterna i 1 månad eller så länge som eventuell lagstiftning kräver. Om ditt medlemskap varit inaktivt och senaste registrerade köp/order ägde rum för mer än 12 månader sedan, kommer ditt medlemskap avslutas. Dina uppgifter lagras ytterligare 1 månad för att därefter helt raderas.

Hantera ansökan om att bli medlem i lojalitetsprogram

Kategorier av personuppgifter som behandlas:
- Namn
- Kontaktuppgifter (t ex adress, e-post, telefonnummer)
- Kortuppgifter (vid ansökan i digitala kanaler)
- Person- eller samordningsnummer
- Kontroll av kundens adress mot externa källor, t ex SPAR

Ändamål med personuppgiftbehandling

- Erbjuda medlemmen förmåner såsom rabatter, generella och personliga erbjudanden, inbjudningar till event eller gåvor eller annan direktmarknadsföring.
- Genomföra analyser av de uppgifter som företaget samlar in för samma syfte, t ex av hur medlemmen använder företagets webbsidor och andra digitala kanaler, medlemmens köp- och orderhistorik, ålder, bostadsort, angivna preferenser (t ex om produkter, tjänster, branscher), civilstånd, och andra inställningar i företagets digitala tjänster samt medlemmens rörelsemönster i butik och liknande positioneringsdata och resultat från kundnöjdhets- eller marknadsundersökningar. Baserat på analysen kan medlemmen sorteras in i en kundgrupp (kundsegment). Olika kunder kan därför få olika erbjudanden och rabatter beroende på grupp. För att kunna lämna personliga erbjudanden och kommunikation genomförs analysen på individnivå.
- Ges möjlighet att använda självscanning
- Ges möjlighet att skapa konto och genomföra köp via digitala kanaler

Laglig grund för personuppgiftsbehandling

- Köpeavtal med kunden. Behandlingen är nödvändig för att du ska kunna bli medlem i lojalitetsprogram.

Lagringstid

- Uppgifter sparas så länge avtal i lojalitetsprogram är aktivt. Efter uppsägning av avtal lagras uppgifterna i 1 månad eller så länge som eventuell lagstiftning kräver. Om ditt medlemskap varit inaktivt och senaste registrerade köp/självscanning ägde rum för mer än 12 månader sedan, kommer ditt medlemskap avslutas. Dina uppgifter lagras ytterligare 1 månad för att därefter helt raderas.

3. För att kunna hämta beställda varor i butik

Kategorier av personuppgifter som behandlas:
- Namn
- Kontaktuppgifter (t ex adress, e-post, telefonnummer)
- Person- eller samordningsnummer
- Orderinformation

Ändamål med personuppgiftbehandling

- Leverera en beställd/köpt produkt
- Identifiera kunden och kontrollera kundens ålder
- Hantera reklamations- och garantiärenden avseende en beställd eller köpt produkt

Laglig grund för personuppgiftsbehandling

- Köpeavtal med kunden. Behandlingen är nödvändig för att du ska kunna bli medlem i lojalitetsprogram.

Lagringstid

- Uppgifter sparas så länge avtal i lojalitetsprogram är aktivt. Efter uppsägning av avtal lagras uppgifterna i 1 månad eller så länge som eventuell lagstiftning kräver. Om ditt medlemskap varit inaktivt och senaste registrerade köp/självscanning ägde rum för mer än 12 månader sedan, kommer ditt medlemskap avslutas. Dina uppgifter lagras ytterligare 1 månad för att därefter helt raderas.

4. För att kunna hantera och administrera kundens användarkonto

Kategorier av personuppgifter som behandlas:
- Namn
- Kontaktuppgifter (t ex adress, e-post, telefonnummer)
- Användarnamn och lösenord
- Orderhistorik
- Betalningshistorik
- Person- eller samordningsnummer
- Adressuppgifter från externa källor, t ex SPAR, partner för betallösningar eller liknande

Ändamål med personuppgiftbehandling

- Ge behörighet att logga in
- Säkerställa kundens/medlemmens identitet och ålder
- Upprätthålla korrekta och uppdaterade uppgifter
- Göra det möjligt för kunden att följa sin orderhistorik
- Hantera kundens val av inställningar och uppgifter om betalningshistorik och betalsätt (kundval)
- För att underlätta för kunden att spara shoppinglistor, lämna förslag på inköpslistor eller liknande åtgärder som innebär förenkling för kunden. För att möjliggöra detta utförs analyser/profilering som en del i avtal i lojalitetsprogrammet.

Laglig grund för personuppgiftsbehandling

- Lojalitetsavtal med kunden. Behandlingen är nödvändig för att uppfylla villkor i lojalitetsprogrammet.

Lagringstid

- Uppgifter sparas så länge avtal i lojalitetsprogram är aktivt. Efter uppsägning av avtal lagras uppgifterna i 1 månad eller så länge som eventuell lagstiftning kräver. Om ditt medlemskap varit inaktivt och senaste registrerade köp/självscanning ägde rum för mer än 12 månader sedan, kommer ditt medlemskap avslutas. Dina uppgifter lagras ytterligare 1 månad för att därefter helt raderas.

5. För att kunna lämna förmåner och erbjudanden till medlemmen enligt villkoren för medlemskap i ett lojalitetsprogram samt utföra kundanalys

Kategorier av personuppgifter som behandlas:
- Namn
- Användarnamn
- Kundnummer
- Person- eller samordningsnummer
- Kontaktuppgifter
- Bostadsort
- Köp- och orderhistorik
- Användargenererad information
- Angivna kundval avseende produkter och tjänster
- Tekniska uppgifter om dator, mobiltelefon och andra enheter som medlemmen använder och dess inställningar, t ex språkinställning
- Demografi, köpkraft, kundsegment, hushållsuppgifter
- Uppgift om medkontohavare

Ändamål med personuppgiftbehandling

- Erbjuda medlemmen förmåner såsom rabatter, generella och personliga erbjudanden, inbjudningar till event eller gåvor eller annan direktmarknadsföring.
- Genomföra analyser av de uppgifter som företaget samlar in för samma syfte, t ex av hur medlemmen använder företagets webbsidor och andra digitala kanaler, medlemmens köp- och orderhistorik, ålder, bostadsort, angivna preferenser (t ex om produkter, tjänster, branscher), civilstånd, och andra inställningar i företagets digitala tjänster samt medlemmens rörelsemönster i butik och liknande positioneringsdata och resultat från kundnöjdhets- eller marknadsundersökningar. Baserat på analysen kan medlemmen sorteras in i en kundgrupp (kundsegment). Olika kunder kan därför få olika erbjudanden och rabatter beroende på grupp. För att kunna lämna personliga erbjudanden och kommunikation genomförs analysen på individnivå.

Laglig grund för personuppgiftsbehandling

- Lojalitetsavtal med kunden. Behandlingen är nödvändig för att uppfylla villkor i lojalitetsprogrammet.
- Berättigat intresse avseende kundanalys. Behandlingen är nödvändig för att kunna erbjuda kunden en förbättrad köpupplevelse och för att öka kundinsikten.

Lagringstid

- Medlem i lojalitetsprogram: Uppgifter sparas så länge avtal i lojalitetsprogram är aktivt. Efter uppsägning av avtal lagras uppgifterna i 1 månad eller så länge som eventuell lagstiftning kräver. Om ditt medlemskap varit inaktivt och senaste registrerade köp/självscanning ägde rum för mer än 12 månader sedan, kommer ditt medlemskap avslutas. Dina uppgifter lagras ytterligare 1 månad för att därefter helt raderas.
- Kundanalys: Statistisk och kundsegmenterad data lagras i 26 månader för att kunna utläsa trender och kundbeteenden över tid. Data på övergripande nivå som inte innehåller några personuppgifter och statistik sparas tillsvidare.

6. För att kunna ge medlemmen en personligt anpassad upplevelse av företagets tjänster enligt villkoren för medlemskap i ett lojalitetsprogram

Kategorier av personuppgifter som behandlas:
- Namn
- Användarnamn
- Ålder
- Bostadsort
- Köp- och orderhistorik
- Användargenererad information, t ex besöks- och klickhistorik, baserat på användning av företagets webbsidor och andra tjänster i digitala kanaler
- Angivna kundval avseende produkter och tjänster
- Uppgift om medkontohavare

Ändamål med personuppgiftbehandling

- Ge medlemmen ett personligt anpassat innehåll, t ex genom att visa relevanta produktrekommendationer, skicka artiklar baserat på medlemmens intressen, ge förslag på inköpslistor eller andra liknande åtgärder som innebär en förenkling för medlemmen.
- Förenkla medlemmens användning av företagets tjänster, t ex genom att spara inköpslistor eller valt betalsätt i syfte att underlätta framtida köp eller påminna medlemmen om kvarglömda/övergivna digitala varukorgar.
- Genomföra analyser av de uppgifter som företaget samlar in för samma syfte, t ex av hur medlemmen använder företagets webbsidor och andra digitala kanaler (t ex vilka sidor och delar av sidor medlemmen besökt och vilka sökningar medlemmen gjort), medlemmens köp- och orderhistorik, ålder, bostadsort, angivna preferenser och resultat från kundnöjdhets- eller marknadsundersökningar.
- För att kunna uppfylla sina åtaganden utför företaget vissa analyser avseende:
   - Hur medlemmen använder företagets webbsidor och andra digitala kanaler (t ex vilka sidor och delar av sidor medlemmen besökt och vilka sökningar medlemmen gjort)
   - Medlemmens köp- och orderhistorik
   - Ålder
   - Bostadsort
   - Medlemmens angivna preferenser
   - Resultat från kundnöjdhets- eller marknadsundersökningar

Laglig grund för personuppgiftsbehandling

- Lojalitetsavtal med kunden. Behandlingen är nödvändig för att uppfylla villkor i lojalitetsprogrammet.

Lagringstid

- Medlem i lojalitetsprogram: Uppgifter sparas så länge avtal i lojalitetsprogram är aktivt. Efter uppsägning av avtal lagras uppgifterna i 1 månad eller så länge som eventuell lagstiftning kräver. Om ditt medlemskap varit inaktivt och senaste registrerade köp/självscanning ägde rum för mer än 12 månader sedan, kommer ditt medlemskap avslutas. Dina uppgifter lagras ytterligare 1 månad för att därefter helt raderas.

7. För att kunna marknadsföra produkter och tjänster

Kategorier av personuppgifter som behandlas:
- Namn
- Kontaktuppgifter såsom telefonnummer, e-postadress, bostadsadress
- Ålder
- Bostadsort
- Uppgifter om hur kunden använder företagets webbsidor, och andra digitala kanaler
- Uppgifter om genomförda köp
- Köp- och användargenererade data (t ex klick- och besökshistorik)

Ändamål med personuppgiftbehandling

- Visa relevanta produktrekommendationer, ge förslag på inköpslistor, påminna kunden/medlemmen om kvarglömda/övergivna digitala varukorgar eller spara shoppinglistor för att förenkla framtida köp eller liknande åtgärder som innebär förenkling för kunden
- Skicka direktmarknadsföring via e-post, sms, sociala medier eller andra liknande elektroniska kanaler för kommunikation samt via post, inklusive erbjudanden från samarbetspartners till befintliga kunder utanför ett lojalitetsprogram
- Utföra kampanjer eller skicka erbjudanden och inbjudningar till event till:
   - Alla kunder
   - Ett visst kundsegment
   - En enskild kund
- För att kunna förstå vilken typ av marknadsföring eller direktmarknadsföring som ska användas genomför företaget analyser om:
   - Hur kunderna använder företagets webbsidor och andra digitala kanaler (t ex vilka sidor eller delar av sidor som kunderna besökt och vilka sökningar kunderna gjort)
   - Kundernas köp- och orderhistorik
   - Ålder och bostadsort
   - Resultat från kundnöjdhets- eller marknadsundersökningar

Laglig grund för personuppgiftsbehandling

- Medlemmar i ett lojalitetsprogram: fullgörande av avtalet om medlemskap i lojalitetsprogram
- Besökare i digitala kanaler – berättigat intresse (intresseavvägning), behandlingen är nödvändig för att kunna marknadsföra, utveckla och effektivisera företagets tjänster, samt marknadsföringslagens bestämmelser om samtycke alternativt etablerat kundförhållande

Lagringstid

- Medlem i lojalitetsprogram: Uppgifter sparas så länge avtal i lojalitetsprogram är aktivt. Efter uppsägning av avtal lagras uppgifterna i 1 månad eller så länge som eventuell lagstiftning kräver. Om ditt medlemskap varit inaktivt och senaste registrerade köp/självscanning ägde rum för mer än 12 månader sedan, kommer ditt medlemskap avslutas. Dina uppgifter lagras ytterligare 1 månad för att därefter helt raderas.
- Besökare i digitala kanaler: Enbart statistisk och användargenererad data som inte kan härledas till individ lagras (26 månader)

8. För att kunna genomföra och hantera deltagande i tävlingar och event

Kategorier av personuppgifter som behandlas:
- Namn
- Person- eller samordningsnummer alternativt ålder
- Kontaktuppgifter (t ex adress, e-post, telefonnummer)
- Uppgifter lämnade i tävlingsbidrag
- Uppgifter lämnade i utvärderingar av event

Ändamål med personuppgiftbehandling

- Kommunicera med deltagare som deltar i en tävling som arrangeras av företaget
- Kommunicera med deltagare innan och efter ett event (t ex bekräftelse på anmälningar, frågor eller utvärderingar)
- Identifiera deltagaren och kontrollera deltagarens ålder
- Utse vinnare och förmedla vinster (t ex utbetalningar eller resebokningar)

Laglig grund för personuppgiftsbehandling

- Berättigat intresse (intresseavvägning). Behandlingen är nödvändig för att tillgodose berörda City Gross-butiker och City Gross Sveriges berättigade intresse av att genomföra event och täv­lingar.

Lagringstid

- Uppgifter sparas under tiden för eventet eller tävlingens aktualitet, d.v.s. om nödvändigt både före och efter själva genomförandet. Därefter kan uppgifter sparas upp till13 månader för att tillgodose berättigat intresse att följa upp och utvärdera deltagandet och kunna planera för framtida event eller tävlingar. Publicerade personuppgifter i sociala medier bevaras som utgångs­punkt tillsvidare.

9. För att kunna hantera kundtjänstärenden

Kategorier av personuppgifter som behandlas:
- Namn
- Kontaktuppgifter såsom telefonnummer, e-postadress, bostadsadress
- Kundens korrespondens
- Uppgift om köptidpunkt, köpställe, felet/klagomålet på produkt
- Användaruppgifter för Mina Sidor t ex vid inloggningsproblem
- Tekniska uppgifter om kundens utrustning som är nödvändig för supportärenden
- Person- eller samordningsnummer

Ändamål med personuppgiftbehandling

- Kommunicera med kunden och besvara förfrågningar som kommer in till kundtjänst via telefon eller i digitala kanaler (inklusive sociala medier)
- Säkerställa kundens identitet
- Utreda klagomål- och supportärenden (inklusive teknisk support)

Laglig grund för personuppgiftsbehandling

- Berättigat intresse (intresseavvägning), behandlingen är nödvändig för att kunna tillmötesgå och tillgodose service- och supportärenden i enlighet med kundvillkor.

Lagringstid

- Uppgifter sparas så länge kundförhållandet och/eller ärendehantering är aktuellt och därefter upp till 6 månader för att kunna hantera eventuella reklamationer eller förfrågningar kopplat till avslutat ärende. Publicerade personuppgifter i sociala medier bevaras som utgångs­punkt tillsvidare.

10. För att kunna fullgöra rättsliga förpliktelser (t ex avseende krav i bokföringslagen, produktansvar och produktsäkerhet och skydd av personuppgifter i IT-system)

Kategorier av personuppgifter som behandlas:
- Namn
- Kontaktuppgifter såsom telefonnummer, e-postadress, bostadsadress
- Kundens korrespondens
- Uppgift om köptidpunkt, köpställe, felet/klagomålet på produkt
- Användaruppgifter för Mina Sidor
- Person- eller samordningsnummer
- Betalningshistorik
- Bildmaterial från kamerainspelning

Ändamål med personuppgiftbehandling

- Uppfylla rättsliga förpliktelser, enligt krav i lagar, domar eller myndighetsbeslut. Sådana krav kan t ex avse krav avseende produktansvar och produktsäkerhet såsom framtagande av kommunikation och information till allmänheten och kunder om produktlarm och produktåterkallelser, t ex vid en defekt eller hälsovådlig vara eller i den mån det krävs av bokföringslagen eller penningtvättslagen och kan hänföras till en enskild individ.

Laglig grund för personuppgiftsbehandling

- Rättslig förpliktelse, behandlingen är nödvändig för att tillmötesgå eventuella rättsliga förpliktelser eller krav.

Lagringstid

- Dina personuppgifter bevaras för den tid som är nödvändig i förhållande till respektive rätts¬lig förpliktelse i syfte att tillgodose vårt berättigade intresse av att hantera och bemöta rättsliga krav, samt för den tid därefter som är nödvändig för att tillgodose företagets intressen som del i rättsligt anspråk.

11. För att kunna utvärdera, utveckla och förbättra företagets tjänster, produkter och system för kundkollektivet i stort

Kategorier av personuppgifter som behandlas:
- Köp- och användargenererade data (t ex klick- och besökshistorik)
- Ålder
- Bostadsort
- Kunders korrespondens och feedback avseende företagets tjänster och
produkter
- Tekniska data rörande enheter som kunden använder och inställningar, t ex språkinställning, IP-adress, webbläsarinställningar, tidzon, operativsystem, skärmupplösning och plattform
- Information om hur kunden interagerat med företaget, d v s hur kunden använt tjänsten, inloggningsmetod, var och hur länge olika sidor besökts, svarstider, nedladdningsfel, hur kund når och lämnar tjänsten etc.

Ändamål med personuppgiftbehandling

- Göra tjänster mer användarvänliga, t ex ändra användargränssnittet för att förenkla informationsflödet eller för att lyfta fram funktioner som ofta används av kunder i ett företags digitala kanaler
- Ta fram underlag i syfte att förbättra varu- och logistikflöden, t ex genom att kunna prognostisera inköp, lager och leveranser
- Ta fram underlag i syfte att utveckla och förbättra företagets sortiment
- Ta fram underlag i syfte att utveckla och förbättra företagets resurseffektivitet ur ett miljö- och hållbarhetsperspektiv, t ex genom att effektivisera inköp och planering av leveranser
- Ta fram underlag i syfte att planera nyetableringar av butiker och lager
- Ge kunderna en möjlighet att påverka det sortiment som ett företag tillhandahåller
- Ta fram underlag i syfte att förbättra IT-system i syfte att höja säkerheten för företaget och för besökarna/kunderna generellt

Laglig grund för personuppgiftsbehandling

- Berättigat intresse (intresseavvägning), behandlingen är nödvändig för kunna att utveckla, utvärdera och förbättra företagets tjänster och system.

Lagringstid

- Uppgifter bevaras under kundförhållandet eller upp till 26 månader för att kunna följa trender och kundbeteenden utifrån statistisk och användargenererad data.

12.  För att kunna förhindra missbruk av en tjänst eller för att förhindra, förebygga och utreda brott mot företaget

Kategorier av personuppgifter som behandlas:
- Köp- och användargenererade data (t ex klick- och besökshistorik)
- Person- eller samordningsnummer
- Videoinspelning från kamerabevakning
- Data rörande enheter som kunden använder och inställningar, t ex språkinställning, IP-adress, webbläsarinställningar, tidzon, operativsystem, skärmupplösning och plattform
- Analyser om hur kunden använder företagets digitala tjänster

Ändamål med personuppgiftbehandling

- Utreda eller förhindra bedrägerier eller andra lagöverträdelser genom t ex incidentrapportering i butik
- Förhindra skräppostutskick, phishing, trakasserier, försök till olovlig inloggning på användarkonton eller andra åtgärder som är förbjudna enligt ett företags användarvillkor
- Skydda och förbättra företagets IT-miljö mot angrepp och intrång

Laglig grund för personuppgiftsbehandling

- Fullgöra rättslig förpliktelse vid myndighetsutövande om hantering av brottsuppgift och för att kunna tillgodose eventuella överklaganden och kompletterande bevisunderlag under tills den tid en dom vunnit laga kraft
- Berättigat intresse (intresseavvägning), behandlingen är nödvändig för att tillgodose företagets berättigade intresse att utreda och förhindra bedrägerier.

Lagringstid

- Dina personuppgifter bevaras under den tid som är nödvändig för detta syfte, samt för den tid därefter som är nödvändig för att tillgodose vårt berättigade intresse av att hantera och bemöta rättsliga krav

- Bildmaterial från kameraövervakning bevaras upp till 90 dagar innan radering om inte annan rättslig grund föreligger, i detta fall sparas uppgifter enligt föregående punkt.

- Eventuell behandling av uppgifter som del av myndighetsutövning i samband med lagöverträdelser/brott sker endast om behandlingen är nödvändig för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras i ett enskilt fall eller avser enstaka uppgifter och är nödvändig för att anmäla misstanke om brott till rättsutövande myndighet.

Varnings ikonAnslutningsproblem