GDPR & databehandling
Karl är byggt för att uppfylla GDPR. Den här sidan beskriver hur vi hanterar dataskydd för våra företagskunder. Den kompletterar vår Integritetspolicy och Cookiepolicy.
1. Omfattning: GDPR
Karl betjänar företag i Sverige och Storbritannien, så både EU:s dataskyddsförordning och brittiska UK GDPR är tillämpliga på vår behandling. Vi tillämpar samma skyddsnivå på alla personuppgifter vi hanterar, oavsett var kunden finns.
2. Våra roller: biträde och ansvarig
För de personuppgifter du lägger in i Karl, eller som Karl samlar in från dina kunder för din räkning — förfrågningar, meddelanden, bokningar, omdömen, kontaktuppgifter — är du personuppgiftsansvarig och Karl är ditt personuppgiftsbiträde. Vi behandlar dessa uppgifter endast enligt dina dokumenterade instruktioner, så som anges i vårt personuppgiftsbiträdesavtal (PUB-avtal).
För uppgifter om din egen relation med oss — konto, fakturering och support — är Karl personuppgiftsansvarig. Den behandlingen beskrivs i vår Integritetspolicy.
3. Personuppgiftsbiträdesavtal (PUB-avtal)
Vi tillhandahåller ett personuppgiftsbiträdesavtal till varje företagskund. Det omfattar behandlingens föremål och varaktighet, typer av personuppgifter och kategorier av registrerade, våra skyldigheter som biträde, de säkerhetsåtgärder vi tillämpar, vår användning av underbiträden samt hur vi bistår dig med registrerades begäranden och incidenthantering.
För att begära aktuellt PUB-avtal, mejla hello@getkarl.io.
4. Hantering av registrerades rättigheter
Där du är personuppgiftsansvarig hjälper vi dig att svara på begäranden från dina kunder om tillgång, rättelse, radering eller portabilitet. På din instruktion att radera tar vi bort de relevanta personuppgifterna i våra aktiva system — och från säkerhetskopior i deras normala cykel — inom 30 dagar, om vi inte enligt lag måste behålla dem.
5. Incidentrapportering
Om vi får kännedom om en personuppgiftsincident som rör uppgifter vi behandlar för dig, meddelar vi dig utan onödigt dröjsmål och, där det är möjligt, inom 72 timmar, med den information du behöver för att uppfylla dina egna skyldigheter att anmäla till tillsynsmyndighet och berörda personer.
6. Underbiträden och ändringsavisering
Vi använder granskade underbiträden för att leverera tjänsten; de redovisas per kategori i vår Integritetspolicy, och en namngiven lista finns för kunder under PUB-avtalet. Innan vi lägger till eller byter ut ett underbiträde som hanterar dina uppgifter ger vi dig förhandsavisering och en rimlig möjlighet att invända.
7. Internationella överföringar
Vid lansering lagras data som behandlas av Karl inom EES och UK. Varje överföring utanför EES eller UK stödjer sig på ett beslut om adekvat skyddsnivå eller på standardavtalsklausuler med eventuella ytterligare skyddsåtgärder. Där detta gäller, till exempel leverantörer i USA eller Kanada, dokumenterar vi vilken överföringsmekanism vi stödjer oss på.
8. Säkerhetsåtgärder
Vi tillämpar tekniska och organisatoriska åtgärder anpassade efter risken, inklusive kryptering under överföring, åtkomstkontroller och minsta behörighet, loggning och leverantörsgranskning. Vår infrastruktur drivs av etablerade molnleverantörer som upprätthåller erkända säkerhetscertifieringar såsom ISO 27001 och SOC 2; Authoricy AB innehar för närvarande ingen egen oberoende certifiering.
9. Branschspecifika regler
Karl används av reglerade yrken. Det är konfigurerat för att undvika reglerad rådgivning och för att slussa allt som kräver en kvalificerad människa till en sådan — till exempel tandvårds- och vårdmottagningar, veterinärer samt advokat- och revisionsbyråer. Karl stödjer din efterlevnad; det ersätter inte dina yrkesmässiga skyldigheter.
10. Kontakt
För dataskyddsfrågor, mejla hello@getkarl.io, märkt till vår dataskyddsansvarig. Du kan också klaga hos IMY (imy.se) i Sverige eller ICO (ico.org.uk) i Storbritannien.