Integritetsmeddelande

Gäller fr.o.m. 2025-10-01 och tills vidare.

Inledning

Denna webbplats, www.givma.se (”Plattformen”), tillhandahålls av Planestate Software AB, ett svenskt privat aktiebolag med organisationsnummer 556597-6924 (nedan refererad till som ”vi”, ”vår” eller ”oss”).

I detta integritetsmeddelande kan du läsa om hur vi behandlar personuppgifter, varför behandlingen sker, vart uppgifterna lagras, vilka som kan få tillgång till dem samt vilka rättigheter de registrerade har enligt GDPR. Hänvisningar till ”du”, ”dig” eller ”din” avser den registrerade vars personuppgifter vi behandlar.

Definitioner

I detta integritetsmeddelande användes definitioner som överensstämmer med de som finns i EU:s allmänna dataskyddsförordning 2016/679 (”GDPR”), såsom ”personuppgifter”, ”behandling”, ”registrerad”, ”tillsynsmyndighet”, ”personuppgiftsansvarig”, ”personuppgiftsbiträde” med flera. Var och en av dessa definitioner har samma innebörd som anges i artikel 4 i GDPR. För en fullständig lista och exakta definitioner, vänligen se denna artikel.

Personuppgiftsansvarig

Vi är personuppgiftsansvariga för behandling av personuppgifter när det är vi som bestämmer medel och ändamål för behandlingen, enligt principen om ansvarsskyldighet. Vår behandling av personuppgifter sker i enlighet med GDPR, de grundläggande dataskyddsprinciperna och kompletterande svensk dataskyddslagstiftning. Om inte annat anges, är vi personuppgiftsansvariga för den behandling av personuppgifter som beskrivs i detta integritetsmeddelande. Däremot ansvarar vi inte för behandling av personuppgifter som utförs av Givarorganisationer eller Mottagarorganisationer (eller dess företrädare). Exempelvis är Mottagarorganisationer självständigt personuppgiftsansvariga för behandling av personuppgifter de tar emot via Plattformen (t.ex. givarorganisationens namn, kontaktuppgifter och eventuella referenser i betalningar som sker utanför Plattformen). Vi är personuppgiftsbiträde endast om vi uttryckligen åtar oss sådan roll i ett separat personuppgiftsbiträdesavtal för en definierad behandling.

Hur vi får tillgång till dina personuppgifter

Vi får främst tillgång till dina personuppgifter direkt från dig när du kontaktar oss, ingår ett avtal med oss eller använder Plattformen.

I vissa fall kan vi få information om dig från någon annan, till exempel om du blir inbjuden till Plattformen av någon annan, din arbetsgivare, en samarbetspartner eller liknande. Det kan handla om att du är kontaktperson för en organisation som vi samarbetar med, eller att någon annan kontaktar oss i ett ärende där du berörs.

Vid behov, kan vi även kontrollera företrädare för en organisation mot registrerade uppgifter hos Bolagsverket, Skatteverket eller annan relevant myndighet.

Kategorier av personuppgifter vi behandlar

Vi behandlar enbart personuppgifter som är adekvata, nödvändiga och relevanta för att uppfylla det ändamål som de blev insamlade för, enligt principen om uppgiftsminimering.

De personuppgifter vi främst behandlar är identifierande uppgifter (t.ex. för- och efternamn och personnummer) och kontaktuppgifter (t.ex. e-postadress, telefonnummer och postadress).

Mer information om kategorier av behandlade personuppgifter anges i avsnitt 7 nedan, där vi beskriver ändamålen med specifika behandlingsaktiviteter närmare.

Laglig grund för behandlingen av personuppgifterna

Vi behandlar personuppgifter endast för särskilda, uttryckligt angivna och berättigade ändamål i enlighet med principen om ändamålsbegränsning. Behandlingen grundas främst på någon av följande lagliga grunder:

  • Samtycke (Artikel 6.1.a GDPR): Du har gett ditt samtycke till vår behandling av dina personuppgifter för specifika ändamål.
  • Avtal (Artikel 6.1.b GDPR): Behandlingen av dina personuppgifter är nödvändig för att ingå eller fullgöra ett avtal med dig.
  • Rättslig förpliktelse (Artikel 6.1.c GDPR): Vi måste behandla dina personuppgifter enligt lagkrav.
  • Berättigat intresse (Artikel 6.1.f GDPR): Behandlingen av dina personuppgifter är nödvändig för våra eller en tredje parts berättigade intressen, efter en avvägning mot dina rättigheter och friheter.

I vissa fall är det frivilligt att lämna personuppgifter till oss, men utan dem kan vi exempelvis inte tillhandahålla önskad support, ingå eller fullgöra avtal.

Om behandling sker baserat på samtycke kan du när som helst återkalla det, och då ska behandlingen upphöra, utan att det påverkar tidigare laglig behandling.

Vid behandling baserad på berättigat intresse som laglig grund, har vi genomfört en intresseavvägning och bedömt att det finns ett berättigat intresse och att behandlingen inte inskränker din rätt till privatliv och integritet.

Ändamålen med vår personuppgiftsbehandling

Nedan beskriver vi ändamål, vilka personuppgifter som behandlas och varför, laglig grund, eventuella mottagare samt hur länge personuppgifterna lagras.

1) Kontakt och supportärenden

  • Ändamål: Hantering av inkommande ärenden via e-post, brev, kontaktformulär, telefon, Plattformen och/eller sociala medier.
  • Personuppgifter: Identifierande uppgifter (t.ex. förnamn och efternamn), kontaktuppgifter (t.ex. e-postadress, telefonnummer, adress).
  • Behandling: Identifiera individen som kontaktar oss, hantera och besvara ärendet, följa upp ärendet vid behov.
  • Laglig grund: Berättigat intresse. Vi har ett legitimt intresse av att kunna besvara förfrågningar och ge support.
  • Mottagare: Tjänsteleverantörer (t.ex. e-postleverantör, telefonoperatör).
  • Lagringstid: Supportärenden sparas i upp till 3 år efter senaste kontakt i ärendet, för att säkerställa uppföljning och förbättrad service.

2) Hantering av avtal och relationer med användare av Plattformen

Vi behandlar personuppgifter i samband med att användare och organisationer registreras på Plattformen. Detta omfattar även behandling av uppgifter om organisationers företrädare vid administration av användarkonton, kommunikation samt hantering av avtalsförhållandet.

  • Ändamål: Att administrera registreringen av användare och organisationer på Plattformen, bekräfta behörighet genom BankID, möjliggöra åtkomst till Plattformen, kommunicera med användare och organisationer samt att fullgöra ingångna avtal.
  • Personuppgifter: Identifierande uppgifter (t.ex. för- och efternamn och personnummer), kontaktuppgifter (t.ex. e-postadress och telefonnummer), organisationsrelaterade uppgifter (t.ex. organisationsnummer, firma och företrädarens befattning/roll), användaruppgifter kopplade till användarkontot (t.ex. användar-ID), samt tekniska uppgifter kopplade till inloggningen.
  • Behandling: Kontroll av identitet via BankID, administration av registreringsansökan, skapande av användarkonto, bekräftelse av behörighet samt möjliggörande av inloggning och användning av Plattformen och fullgörande av avtalet.
  • Laglig grund: Avtal. Behandlingen är nödvändig för att vi ska kunna ingå och fullgöra avtalet med användaren.
  • Mottagare: Leverantörer av BankID- och IT-tjänster, samt tjänsteleverantörer för drift och hosting av Plattformen.
  • Lagringstid:
    • Vid avslut av användarkonto: Personuppgifter raderas eller anonymiseras omedelbart, men kan kvarstå i backup-system i upp till 30 dagar.
    • Vid avstängning på Leverantörens initiativ: Det personnummer som är kopplat till användarkontot lagras i 5 år i syfte att förhindra otillbörliga nyregistreringar och skydda Plattformen. Därefter raderas eller anonymiseras uppgifterna.
    • Vid användarens inaktivitet i 24 månader: Användarkontot avslutas, och personuppgifter raderas eller anonymiseras omedelbart, men kan kvarstå i backup-system i upp till 30 dagar.

3) Hantering av bokföringsunderlag

Vi är enligt lag skyldiga att behandla och lagra bokföringsunderlag som kan innehålla personuppgifter, såsom fakturor, kvitton och andra verifikationer.

  • Ändamål: Behandling av personuppgifter för att uppfylla lagstadgade krav på bokföring och redovisning.
  • Personuppgifter: Identifierande uppgifter (t.ex. för- och efternamn), kontaktuppgifter (t.ex. e-postadress, telefonnummer, postadress).
  • Behandling: agra och arkivera bokföringsunderlag för att uppfylla krav enligt bokföringslagen och Skatteverket, tillhandahålla underlag vid granskning eller revision.
  • Laglig grund: Rättslig förpliktelse. Behandlingen är nödvändig för att uppfylla våra skyldigheter enligt bokföringslagen (SFS 1999:1078) och Skatteverkets krav.
  • Mottagare: Redovisnings- och revisionsbyråer, ekonomisystem, Skatteverket och andra myndigheter vid lagkrav.
  • Lagringstid: Bokföringsunderlag sparas i upp till 7 år från utgången av det kalenderår då räkenskapsåret avslutades, i enlighet med bokföringslagen (SFS 1999:1078).

4) Hantering av begäran om registrerades rättigheter enligt lag

När du kontaktar oss för att utöva dina rättigheter enligt tillämplig lag, behandlar vi dina personuppgifter för att hantera och dokumentera din begäran. Information om dina rättigheter enligt GDPR finns i avsnitt 11 nedan.

  • Ändamål: Hantering av begäran om utövande av rättigheter enligt lag (exempelvis GDPR-rättigheter).
  • Personuppgifter: Identifierande uppgifter (t.ex. för- och efternamn och personnummer), kontaktuppgifter (t.ex. e-postadress, telefonnummer), supportärenden (t.ex. kommunikation gällande begäran).
  • Behandling: Verifiera identiteten på den som gör begäran, hantera och dokumentera begäran, säkerställa korrekt hantering och uppfyllande av lagkrav.
  • Laglig grund: Rättslig förpliktelse. Behandlingen är nödvändig för att uppfylla skyldigheter enligt tillämplig lag.
  • Mottagare: Myndigheter vid lagkrav, IT-leverantörer och system som används för hantering av begäran(t.ex. e-postleverantör).
  • Lagringstid: Uppgifter kopplade till begäran om utövande av rättigheter enligt lag lagras normalt i upp till 3 år efter att ärendet har avslutats, baserat på preskriptionstider. Vid en pågående rättslig process sparas uppgifterna så länge som krävs tills processen är avslutad, eller längre om lagstiftning kräver det.

5) Hantering och utredning av personuppgiftsincidenter

Vid en personuppgiftsincident behandlar vi relevanta personuppgifter och teknisk data för att utreda och hantera incidenten i enlighet med gällande lagkrav.

  • Ändamål: Hantering och utredning av säkerhetsincidenter som involverar personuppgifter.
  • Personuppgifter: Identifierande uppgifter (t.ex. för- och efternamn och personnummer), tekniska uppgifter (t.ex. IP-adress, loggfiler, enhetsinformation), incidentrelaterad information (t.ex. beskrivning av incidenten, påverkan, vidtagna åtgärder).
  • Behandling: Utreda, hantera och dokumentera säkerhetsincidenter, vid behov informera berörda registrerade och relevanta myndigheter enligt GDPR (Artikel 33–34), genomföra åtgärder för att minimera skador och förhindra framtida incidenter.
  • Laglig grund: Rättslig förpliktelse. Behandlingen är nödvändig för att uppfylla våra skyldigheter enligt artikel 5.2, 33 och 34 i GDPR, vilket inkluderar dokumentation av alla personuppgiftsincidenter och, vid behov, anmälan till tillsynsmyndigheten samt information till berörda registrerade.
  • Mottagare: Tillsynsmyndigheter (t.ex. Integritetsskyddsmyndigheten) vid anmälningsplikt, IT-säkerhetsleverantörer vid behov av teknisk analys och åtgärder, utredningsteam som hanterar incidenter.
  • Lagringstid: Personuppgifter som förekommer i incidentdokumentation sparas i 3 år efter att utredningen har slutförts, om ingen vidare tillsyn eller rättslig process pågår. Vid en pågående myndighetsutredning, tillsynsärende eller rättsligt förfarande kan dokumentationen sparas längre i enlighet med tillämplig lagstiftning.

6) Användning av cookies på Plattformen

Vi använder nödvändiga cookies på Plattformen för att säkerställa att den fungerar korrekt och är tekniskt säker.

  • Ändamål: Säkerställa Plattformens funktionalitet, prestanda och säkerhet.
  • Personuppgifter: Användar-ID, enhetsinformation och sessionsdata.
  • Behandling: Möjliggöra navigering och funktion, hantera sessionen, funktionalitet, prestanda och säkerhet.
  • Laglig grund: Berättigat intresse. Vi har ett legitimt intresse av att tillhandahålla en fungerande och säker Plattform.
  • Mottagare: Hostingleverantör.
  • Lagringstid: ookies lagras under den tid som krävs för att uppnå ändamålet. Läs mer i vårt cookiemeddelande som finns tillgängligt på Plattformen via följande länk: https://givma.se/cookies.

Lagringsplats

Målsättningen är att personuppgifter alltid ska behandlas inom Europeiska unionen (EU) eller Europeiska ekonomiska samarbetsområdet (EES). I vissa fall kan dock personuppgifter överföras och behandlas utanför EU/EES. För att säkerställa ett adekvat skydd av dina personuppgifter vid sådana överföringar vidtar vi lämpliga skyddsåtgärder. Det kan inkludera att använda standardavtalsklausuler som godkänts av Europeiska kommissionen.

Lagringstid

Vi behandlar personuppgifter endast så länge det är nödvändigt för att uppfylla de ändamål för vilka de samlades in, inklusive eventuella rättsliga, redovisnings- eller rapporteringskrav, i enlighet med principen om lagringsminimering. När personuppgifter inte längre behöver lagras, raderas eller anonymiseras de i enlighet med våra interna gallringsrutiner och tillämplig lagstiftning. Den exakta lagringsperioden beror på typen av personuppgift och ändamålet med behandlingen. Detaljerad information om lagringsperioder för specifika behandlingar anges i avsnitt 7 i detta integritetsmeddelande. Observera följande:

  • Om vi enligt lag är skyldiga att spara personuppgifter (t.ex. enligt bokföringslagen, penningtvättslagstiftningen eller konsumenträttslig lagstiftning) lagras personuppgifterna under den tid som krävs enligt respektive lag.
  • Vid pågående eller potentiella rättsliga tvister, myndighetsutredningar eller andra rättsliga förfaranden kan vi bevara relevanta personuppgifter tills ärendet är slutligt avgjort eller till dess att gällande preskriptionstid löpt ut.
  • Om personuppgifter behöver behandlas av oss för att hantera garantiärenden, reklamationer eller andra rättsliga krav, lagras de under den tid som krävs enligt tillämplig lagstiftning.
  • Om du begär radering av dina personuppgifter kan vi behöva behålla vissa personuppgifter i den utsträckning det är nödvändigt för att uppfylla våra avtalsmässiga, lagstadgade eller regulatoriska skyldigheter.

Mottagare av personuppgifter

Vi behandlar personuppgifter med omsorg och delning av personuppgifter sker i enlighet med tillämplig dataskyddslagstiftning.

  1. Myndigheter: Vi kan lämna ut personuppgifter om vi är juridiskt skyldiga, exempelvis enligt skattelagstiftning eller vid en myndighetsutredning (t.ex. till Skatteverket eller Polisen). Laglig grund: Rättslig förpliktelse. Vi kan även dela personuppgifter till relevanta myndigheter om det krävs för att förebygga eller utreda brott, exempelvis för att skydda oss och Plattformens användare mot bedrägeri. Laglig grund: Berättigat intresse.
  2. Leverantörer och personuppgiftsbiträden: Vi samarbetar med olika tjänsteleverantörer som behandlar personuppgifter för vår räkning. Dessa agerar som våra personuppgiftsbiträden och får endast behandla personuppgifterna enligt våra instruktioner. Alla våra personuppgiftsbiträden ingår ett personuppgiftsbiträdesavtal med oss i enlighet med artikel 28 i GDPR. Delning av personuppgifter sker med stöd i följande laglig grund:
    • Vid avtalshantering: Vi kan dela personuppgifter med exempelvis vår hostingleverantör för att kunna fullgöra vårt avtal med dig. Laglig grund: Avtal.
    • Vid lagkrav: Vi kan dela personuppgifter som ingår i vårt bokföringsmaterial med vår redovisningsbyrå för att uppfylla bokföringslagens krav. Laglig grund: Rättslig förpliktelse.
    • För att driva och skydda vår verksamhet: Vi kan dela personuppgifter med våra IT-leverantörer för systemunderhåll och säkerhetstjänster för att förebygga cyberattacker. Laglig grund: Berättigat intresse.
  3. Självständiga personuppgiftsansvariga: I vissa fall delar vi personuppgifter med andra självständiga personuppgiftsansvariga tredje parter, som ansvarar för sin egen behandling. Exempelvis kan detta ske i samband med affärstransaktioner (såsom vid försäljning, fusion eller omstrukturering av vårt företag, då kan personuppgifter delas med berörda parter) eller när en tredje part har ett berättigat intresse av att hantera personuppgifterna. Laglig grund: Berättigat intresse. Vid sådana fall ansvarar den mottagande parten för att följa GDPR vid sin behandling av personuppgifterna.
  4. Företagsöverlåtelser: Vid överlåtelse av Plattformen eller verksamheten kan personuppgifter överföras till förvärvande part. Mottagaren måste följa gällande dataskyddslagstiftning. Laglig grund: Berättigat intresse.

Dina rättigheter enligt GDPR

  • Rätt till information Du har rätt att få tydlig information om hur vi behandlar dina personuppgifter, inklusive ändamål, kategorier av uppgifter och eventuella mottagare. Denna information finns i detta integritetsmeddelande.
  • Rätt till tillgång – Du kan begära en kopia av dina personuppgifter som vi behandlar och få information om behandlingen, inklusive eventuella gränsöverskridande överföringar och skyddsåtgärder.
  • Rätt till rättelse – Om dina personuppgifter är felaktiga eller ofullständiga har du rätt att få dem korrigerade. Vi informerar i sådana fall berörda mottagare av dina personuppgifter om detta, ifall det är möjligt och inte för betungande för oss. Du har även rätt till information om vilka mottagarna är.
  • Rätt till radering ("rätten att bli bortglömd") – Under vissa omständigheter kan du begära att vi raderar dina personuppgifter, exempelvis om de inte längre behövs för det ändamål de samlades in för eller om du återkallar ditt samtycke. Rättsliga skyldigheter kan dock kräva fortsatt lagring. Om vi raderar dina personuppgifter, informerar vi berörda mottagare av dina personuppgifter, ifall det är möjligt och inte för betungande för oss. Du har även rätt till information om vilka mottagarna är.
  • Rätt till begränsning av behandling – Du kan begära att vi begränsar behandlingen av dina personuppgifter, exempelvis om du bestrider deras riktighet eller om behandlingen är olaglig men du motsätter dig radering. Vid begränsning får vi endast lagra uppgifterna, behandla dem med ditt samtycke eller för att fastställa, utöva eller försvara rättsliga anspråk. Vi informerar dig när begränsningen upphör.
  • Rätt till dataportabilitet – Om vi behandlar dina personuppgifter baserat på samtycke eller avtal som laglig grund, har du rätt att få dem i ett strukturerat, maskinläsbart format och att få dem överförda till en annan personuppgiftsansvarig, där det är tekniskt möjligt.
  • Rätt att invända – Du kan invända mot vår behandling av dina personuppgifter om den grundas på berättigat intresse som laglig grund. Vi får endast fortsätta behandlingen om vi kan visa berättigade skäl som väger tyngre än dina intressen. Du har dock alltid rätt att invända mot behandling för direktmarknadsföring, vilket innebär att vi omedelbart måste upphöra med sådan behandling.
  • Rätt att inte bli föremål för automatiserat beslutsfattande - Du har rätt att slippa beslut som enbart baseras på automatiserad behandling, inklusive profilering, om besluten väsentligt påverkar dig. Undantag gäller om beslutet är nödvändigt för ett avtal eller krävs enligt lag. I sådana fall har du rätt att begära mänsklig granskning av beslutet. Vi fattar inga automatiserade beslut, vare sig med eller utan profilering.

Hur du utövar rättigheterna

Du kan kontakta oss via de kontaktuppgifter som anges i slutet av integritetsmeddelandet om du vill utöva någon av dina rättigheter enligt GDPR. Att utöva dina rättigheter är kostnadsfritt, under förutsättning att din begäran inte är upprepande, ogrundad eller orimlig, då vi har rätt att ta ut en rimlig avgift eller neka begäran. För att säkerställa att vi behandlar begäran korrekt kan vi behöva verifiera din identitet. Vi besvarar din begäran normalt inom en månad, men vid komplexa ärenden eller hög arbetsbelastning kan svarstiden förlängas med upp till två månader. I sådana fall informerar vi dig om förlängningen inom den första månaden. Observera att vissa rättigheter är begränsade enligt GDPR och endast gäller under specifika förutsättningar. Om vi inte kan uppfylla din begäran informerar vi dig om skälen, i enlighet med gällande lag.

Ändringar

Vi uppdaterar detta integritetsmeddelande vid behov för att hålla informationen korrekt och aktuell. Du ansvarar för att läsa den senaste versionen som finns tillgänglig på Plattformen via följande länk: https://givma.se/Privacy. Om vi gör väsentliga ändringar som påverkar hur vi behandlar dina personuppgifter, informerar vi dig om detta i den mån det krävs enligt lag.

Frågor eller klagomål

Om du har frågor om detta integritetsmeddelande eller vår behandling av dina personuppgifter kan du kontakta oss via följande kontaktuppgifter:

  • E-post: privacy@givma.se

Om du är missnöjd med vår behandling av dina personuppgifter kan du lämna klagomål till den svenska dataskyddsmyndigheten, Integritetsskyddsmyndigheten (IMY):

  • Telefon: 08-657 61 00
  • E-post: imy@imy.se
  • Postadress: Integritetsskyddsmyndigheten, Box 8114, 104 20 Stockholm

Om du är bosatt i ett annat EU/EES-land kan du vända dig till tillsynsmyndigheten i ditt land. Lista över myndigheter: https://edpb.europa.eu/about-edpb/about-edpb/members_en