Integritetspolicy

För att uppfylla våra skyldigheter enligt artikel 13 GDPR informerar vi dig genom denna integritetspolicy om typen, omfattningen och syftet med behandlingen av personuppgifter, nedan kallade “uppgifter”, som sker i samband med tillhandahållandet av våra tjänster och inom vårt onlineerbjudande. Detta onlineerbjudande omfattar särskilt de webbplatser som krävs för detta samt tillhörande funktioner och innehåll, liksom externa onlineprofiler, till exempel profiler i sociala nätverk och medier.

För de begrepp som används hänvisar vi till definitionerna i artikel 4 i dataskyddsförordningen, GDPR.

 

§ 1 Personuppgiftsansvarig

Personuppgiftsansvarig för databehandlingen enligt artikel 13.1 GDPR är:

 

XINYU INTERNATIONAL TRADING LIMITED
NO. 99 KING FUK ST SAN PO, Hong Kong

Verkställande direktör: Ze Duan

E-post: support@oryzomshop.com
Webb: www.oryzomshop.com

 

§ 2 Berörda personer

Den databehandling som vi utför berör besökare och användare av vårt onlineerbjudande.

 

§ 3 Typer av uppgifter som behandlas

Om vårt onlineerbjudande endast öppnas, alltså utan registrering eller annan uppgiftslämning, samlas endast de uppgifter in som överförs till vår server av respektive användares webbläsare, så kallade “serverloggfiler”. Detta omfattar följande uppgifter:

  • Datum och tidpunkt för åtkomsten
  • Mängden skickade data i byte
  • Källa/hänvisning från vilken du kom till sidan
  • Använd IP-adress
  • Användningsdata, till exempel cookies, besökta webbplatser, intresse för innehåll och åtkomsttider
  • Meta- och kommunikationsdata, till exempel programvaruinformation, IP-/MAC-adresser, använt operativsystem samt webbläsare.

Om respektive användare även genomför en registrering eller lämnar andra uppgifter behandlas dessutom följande uppgifter:

  • Grunduppgifter, till exempel personliga masterdata, namn och adresser,
  • Kontaktuppgifter, till exempel e-postadresser och telefonnummer,
  • Innehållsuppgifter, till exempel textinmatningar, foto- och videomaterial.

 

§ 4 Syfte med behandlingen

Behandlingen av uppgifterna sker

  • för att tillhandahålla onlineerbjudandet inklusive dess funktioner och innehåll,
  • för att uppfylla och hantera avtalsförpliktelser från en beställning,
  • för att besvara kontaktförfrågningar och kommunicera med användare,
  • för att säkerställa säkerhetsåtgärder,
  • för räckviddsmätning,
  • för marknadsföringsändamål,
  • för att säkerställa den varaktiga funktionsdugligheten hos våra informationstekniska system och tekniken på vår webbplats samt
  • för att tillhandahålla information som krävs för brottsbekämpande myndigheter vid en cyberattack.

 

§ 5 Använda begrepp

Personuppgifter” är enligt artikel 4.1 GDPR “varje upplysning som avser en identifierad eller identifierbar fysisk person, nedan kallad registrerad. En identifierbar fysisk person är en person som direkt eller indirekt kan identifieras, särskilt genom hänvisning till en identifierare såsom ett namn, ett identifikationsnummer, lokaliseringsuppgifter, en onlineidentifierare eller en eller flera faktorer som är specifika för den fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identiteten hos denna fysiska person”.

Behandling” är enligt artikel 4.2 GDPR “en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller inte, såsom insamling, registrering, organisering, strukturering, lagring, anpassning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller annat tillhandahållande, sammanställning eller samkörning, begränsning, radering eller förstöring”.

Med “profilering” avses enligt artikel 4.4 GDPR “varje form av automatisk behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga aspekter som avser en fysisk person, särskilt för att analysera eller förutsäga aspekter rörande den fysiska personens arbetsprestation, ekonomiska situation, hälsa, personliga preferenser, intressen, tillförlitlighet, beteende, vistelseort eller förflyttningar”.

Med “pseudonymisering” avses enligt artikel 4.5 GDPR “behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan hänföras till en specifik registrerad utan att kompletterande uppgifter används, förutsatt att dessa kompletterande uppgifter förvaras separat och omfattas av tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte kan hänföras till en identifierad eller identifierbar fysisk person”.

Ett “register” är enligt artikel 4.6 GDPR “en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller ordnad efter funktionella eller geografiska principer”.

Personuppgiftsansvarig” är enligt artikel 4.7 GDPR “en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för sådan behandling bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller medlemsstaternas nationella rätt”.

Personuppgiftsbiträde” är enligt artikel 4.8 GDPR “en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning”.

Mottagare” är enligt artikel 4.9 GDPR “en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ till vilket personuppgifter lämnas ut, oavsett om det är en tredje part eller inte. Myndigheter som kan komma att ta emot personuppgifter inom ramen för ett särskilt uppdrag enligt unionsrätten eller medlemsstaternas nationella rätt ska dock inte betraktas som mottagare. Dessa myndigheters behandling av sådana uppgifter ska ske i enlighet med tillämpliga dataskyddsregler enligt ändamålen med behandlingen”.

Med “IP-adress” avses en sifferkombination som tilldelas en enhet av en internetleverantör för att ge enheten åtkomst till internet.

 

§ 6 Rättsliga grunder

Enligt artikel 13.1 c GDPR är vi skyldiga att informera dig om de rättsliga grunderna för vår databehandling.

För användare inom tillämpningsområdet för dataskyddsförordningen, GDPR, som omfattar Europeiska unionen och Europeiska ekonomiska samarbetsområdet, gäller följande, om ingen annan rättslig grund anges i denna integritetspolicy:

  1. Artikel 6.1 a och artikel 7 GDPR är den rättsliga grunden för behandling av uppgifter som omfattas av ett samtycke.
  2. Artikel 6.1 b GDPR är den rättsliga grunden för behandling av uppgifter för att uppfylla våra skyldiga tjänster, genomföra åtgärder före avtal samt besvara förfrågningar.
  3. Artikel 6.1 c GDPR är den rättsliga grunden för behandling för att uppfylla våra rättsliga skyldigheter.
  4. Artikel 6.1 d GDPR är den rättsliga grunden för behandling av personuppgifter som är nödvändig på grund av vitala intressen för den registrerade eller en annan fysisk person.
  5. Artikel 6.1 e GDPR är den rättsliga grunden för behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som har anförtrotts den personuppgiftsansvarige.
  6. Artikel 6.1 f GDPR är den rättsliga grunden för behandling för att tillvarata våra berättigade intressen.
  7. Artikel 6.4 GDPR avser behandling av uppgifter för andra ändamål än de för vilka de samlades in. Sådan behandling är endast möjlig under de villkor som anges där.
  8. Artikel 9.2 GDPR innehåller särskilda krav för behandling av särskilda kategorier av uppgifter enligt artikel 9.1 GDPR.

 

§ 7 Säkerhetsåtgärder

För att säkerställa en skyddsnivå som är lämplig i förhållande till risken vidtar vi, med hänsyn till

  • de lagstadgade kraven och den senaste tekniken,
  • implementeringskostnaderna, typen, omfattningen, omständigheterna och ändamålen med behandlingen samt
  • de olika sannolikheterna och allvaret i risken för fysiska personers rättigheter och friheter,

lämpliga tekniska och organisatoriska åtgärder.

Dessa åtgärder omfattar särskilt säkerställande av uppgifternas konfidentialitet, integritet och tillgänglighet genom

  • kontroll av fysisk åtkomst till uppgifterna,
  • kontroll av åtkomst till uppgifterna,
  • kontroll av inmatningar, överföringar, säkerställande av tillgänglighet samt separering av uppgifterna.

Dessutom har vi infört rutiner som säkerställer utövande av registrerades rättigheter, radering av uppgifter och reaktion på hot mot uppgifterna.

 

§ 8 Samarbete med personuppgiftsbiträden, gemensamt personuppgiftsansvariga och tredje parter

För vissa tjänster är det inom ramen för vår behandling av uppgifterna nödvändigt att lämna ut dessa till andra personer, vanligtvis företag, det vill säga att överföra uppgifterna till dem eller på annat sätt ge dem åtkomst till uppgifterna. Dessa företag kan vara personuppgiftsbiträden eller gemensamt personuppgiftsansvariga, men även tredje parter såsom betalningsleverantörer. Ett sådant utlämnande sker endast på grundval av ett lagstadgat tillstånd eller en lagstadgad skyldighet, användarens samtycke eller våra berättigade intressen, till exempel vid användning av uppdragstagare eller webbhotell. Ett sådant berättigat intresse föreligger särskilt även vid behandling av uppgifter för administrativa ändamål.

Om vi gör uppgifter tillgängliga för andra företag inom vår företagsgrupp, genom utlämnande, överföring eller åtkomst på annat sätt, sker detta särskilt för administrativa ändamål. Detta utgör ett berättigat intresse enligt artikel 6.1 f GDPR. Därutöver kan tillgängliggörandet även baseras på ett lagstadgat krav.

 

§ 9 Överföring av uppgifter till tredjeländer

Utlämnande, överföring eller annat tillgängliggörande av uppgifter till en person, inklusive ett företag, i ett tredjeland, alltså utanför EU, EES eller Schweiz, sker endast om de lagstadgade kraven är uppfyllda. Detta gäller särskilt vid behandling för att uppfylla våra avtalsenliga eller föravtalsenliga skyldigheter. I övrigt måste behandlingen ske på grundval av ditt samtycke, en rättslig skyldighet eller våra berättigade intressen. Vi är dessutom skyldiga att även i denna situation säkerställa de nödvändiga minimistandarderna. Vi behandlar eller låter endast uppgifter behandlas i tredjeländer med en erkänd dataskyddsnivå och med avtalsenliga skyldigheter genom så kallade standardavtalsklausuler från EU-kommissionen, vid förekomst av certifieringar eller bindande interna dataskyddsregler, artikel 44 till 49 GDPR, informationssida från EU-kommissionen: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection_de.