Dataskyddspolicy för våra sociala nätverk
I följande dataskyddspolicy vill vi informera dig om hur vi hanterar dina personuppgifter på våra sociala nätverk enligt artikel 13 i Allmänna dataskyddsförordningen (GDPR).
1. Ansvarig
Ansvarig för den nedan beskriva insamlingen och behandlingen av uppgifter är dels vi,
Lidl Sverige KB
Org.nr 969667–6312
Barkarbyvägen 5, 177 45 Järfälla
Box 6087, 175 06 Järfälla
Sverige
och dels respektive leverantör av de sociala medieplattformarna (”plattformar”).
För särskilda behandlingar fungerar vi och plattformsleverantören också som gemensamt ansvarig i betydelsen av artikel 26 GDPR (behandlingar enligt punkt 4).
Vi, Lidl Sverige KB (”Lidl”), driver följande sidor på sociala medier (”sidor”):
• Facebook: https://www.facebook.com/lidlsverige
• Instagram: https://www.instagram.com/lidlsve/
• Twitter: https://twitter.com/lidlsve
• YouTube: https://www.youtube.com/user/lidlsve
• LinkedIn: https://se.linkedin.com/company/lidl-sverige-kb
2. Plattformsleverantörens ansvar
Vi har endast begränsat inflytande över den databehandling leverantören av den sociala medieplattformen (t.ex. administration av medlemmar och delad information). I de fall vi kan påverka uppgiftsbehandlingen arbetar vi, inom ramen för de möjligheter som står till vårt förfogande, för att främja hantering i enlighet med dataskyddskraven hos leverantören av den sociala medieplattformen. På många sidor kan vi emellertid inte påverka plattformsleverantörens uppgiftsbehandling och vi har inte heller exakt kännedom om vilka uppgifter som denne behandlar.
Plattformsleverantören driver hela IT-strukturen för tjänsten, upprätthåller egna dataskyddsbestämmelser och har ett eget användarförhållande med dig (i den mån du är en registrerad användare av det sociala nätverket). Dessutom är leverantören ensam ansvarig för alla frågor avseende uppgifterna i din användarprofil, till vilka vi som företag inte har åtkomst till.
Mer information om databehandling genom leverantören av plattformen och ytterligare möjligheter att göra invändningar hittar du i leverantörens dataskyddspolicy:
• Facebook: https://www.facebook.com/privacy/explanation
• Instagram: https://help.instagram.com/519522125107875
• Twitter: https://twitter.com/en/privacy
• YouTube: https://policies.google.com/privacy?hl=sv&gl=se
• LinkedIn: https://se.linkedin.com/legal/privacy-policy?_l=sv_SE
Inom ramen för användning av plattformen blir dina personuppgifter i regel även behandlade av respektive plattformsleverantör på servrar i tredjeländer, i synnerhet i USA.
3. Vårt ansvar
a) Vår närvaro på sociala nätverk
Syftet med vår databehandling/ Rättslig grund:
Syftet med vår databehandling på sociala medier är att informera kunder om erbjudanden, produkter, tjänster, händelser, tävlingar, teman, företagsnyheter, interaktion med de som besöker våra sociala medier samt att svara på frågor, beröm eller kritik om dessa.
Vi förbehåller oss rätten att radera innehåll om detta skulle vara nödvändigt. Detta gäller exempelvis inlägg som utgör intrång eller olagliga kommentarer, hatkommentarer, suggestiva kommentarer (explicit sexuellt innehåll) eller bilagor (ex. bilder eller videor) som exempelvis kränker upphovsrätt, personliga rättigheter, strafflagar eller inlägg som strider mot Lidls etiska värdegrund.
Vi delar eventuellt ditt innehåll på vår sida förutsatt att det är en funktion för plattformen och vi kommunicerar med dig via plattformen. Den rättsliga grunden är artikel 6.1 f) GDPR. Databehandlingen sker i vårt berättigade intresse för PR och kommunikation.
Leverantören har inga möjligheter att påverka behandling av dina uppgifter som sker av Lidl inom ramen för kundkommunikation eller tävlingar.
Såsom det konstaterades ovan försöker vi i så hög grad som möjligt att uppfylla dataskyddskraven vid utformning av sidor på sociala medier i den mån tillhandahållaren av den sociala medieplattformen ger oss möjlighet till detta.
De uppgifter som du anger på våra sidor, som t.ex. kommentarer, videor, bilder, likes, offentliga berättelser, m.m. publiceras för detta ändamål av plattformen och används eller behandlas inte av oss vid något annat tillfälle för något annat syfte.
Mottagare/kategorier av mottagare:
Eventuellt delar vi ditt innehåll på vår sida, om det är en funktion för plattformen och vi kommunicerar med dig via de sociala nätverken. Om du ställer en fråga till oss via plattformen, hänvisar vi beroende på det svar som krävs eventuellt också till andra säkra kommunikationsvägar som garanterar sekretess. Du har alltid möjlighet att skicka konfidentiella frågor till oss genom följande länk eller till adressen du finner under rubriken kontaktuppgifter.
Rörande uppgifter som du lämnar till oss på ett konfidentiellt sätt (t.ex. via privat meddelande, brev eller e-postmeddelande) lämnar vi aldrig dessa vidare till tredje part utanför Lidl-koncernen. I undantagsfall behandlas uppgifter av personuppgiftsbiträden på uppdrag av oss. Dessa väljs alltid ut omsorgsfullt, granskas regelbundet av oss i form av regelbundna revisioner och måste enligt avtal uppfylla kraven i artikel 28 GDPR. I vissa fall kan vi behöva lämna utdrag ur din förfrågan till en avtalspartner (t.ex. en leverantör om det gäller en produkt) för vidare behandling av din förfrågan. I detta fall anonymiseras dock förfrågan så att tredje part inte kan koppla den till dig. Om det i ett enskilt fall skulle bli nödvändigt att ge dina personuppgifter till tredje part informerar vi dig om detta i förväg och inhämtar ditt samtycke.
Lagringstid/kriterier för att fastställa lagringstiden:
Alla personuppgifter som du lämnar vid kontakt med oss (förslag, beröm eller kritik) via ett säkert meddelande raderas eller blir säkert anonymiserat senast 90 dagar efter att du mottagit det slutgiltiga svaret. Lagringstiden på 90 dagar förklaras med att det i enskilda fall kan förekomma att du som kund kontaktar oss en gång till om samma ärende varför vi i detta fall måste kunna ha tillgång till den tidigare korrespondensen. Erfarenheten har visat att det efter 90 dagar vanligtvis inte längre förekommer ytterligare frågor.
Alla offentliga inlägg som du gör på våra sociala medier förblir kvar på tidslinjen på obestämd tid, såvida vi inte raderar dessa på grund av en uppdatering av det underliggande temat, en rättsöverträdelse eller överträdelse av våra riktlinjer eller om du själv raderar inlägget.
Vi har inga möjligheter att påverka leverantörens radering av dina uppgifter. För detta gäller därför respektive leverantörs dataskyddsbestämmelser.
b) Tävlingar
Syftet med databehandlingen/rättsliga grunder:
Du har möjlighet att delta i olika tävlingar på vår webbplats, via vårt nyhetsbrev, på sociala medier eller med Lidl-appen. Om inget annat bestämts i den aktuella tävlingen, eller om du inte har gett oss uttryckligt samtycke, kommer de personuppgifter som du har lämnat till oss i samband med tävlingsdeltagandet uteslutande att användas för att genomföra tävlingen (t.ex. fastställande av vinnare, meddelande till vinnaren, leverans av vinsten och, om tillämpligt, anonym angivelse av vinnaren). I den mån du agerar under ditt riktiga namn på sociala nätverk eller om du känns igen genom foton i din profil, kan det inte uteslutas att en annan användare identifierar dig genom vår sida.
Den rättsliga grunden för databehandlingen inom ramen för tävlingar är artikel 6.1 b) GDPR. Om samtycke har lämnats i samband med en tävling är den rättsliga grunden artikel 6.1 a) GDPR för den databehandling som baseras på samtycket. Om du har lämnat ditt samtycke inom ramen för en tävling har du möjlighet att när som helst återkalla detta samtycke med framtida verkan.
Mottagare/kategorier av mottagare:
En överföring av uppgifter till tredje part sker enbart om det är nödvändigt för genomförande av tävlingen eller om det krävs för utskicket av vinsten (exempelvis utskick av vinster genom sponsorn av en tävling eller överföring av uppgifterna till ett logistikföretag) eller om du har givit ditt uttryckliga samtycke till detta. Observera att du på vissa sociala medier under vissa omständigheter även kan delta direkt i tävlingar genom en offentlig, synlig webbnärvaro (exempelvis genom ett inlägg i feeden eller via kommentarer) och därmed också gör ditt deltagande offentligt för andra användare genom din interaktion med oss. I sådana fall kan det även synas på respektive sida i sociala medier att du vunnit tävlingen. I den mån du agerar under ditt riktiga namn på sociala nätverk eller om du känns igen genom foton i din profil, kan det inte uteslutas att en annan användare identifierar dig genom vår sida.
Lagringstid/kriterier för att fastställa lagringstiden:
Efter att en tävling avslutats och vinnaren tillkännagivits, raderas deltagarnas personuppgifter inom två veckor efter att vinsten skickats ut från tävlingens administreringsportal. Vinnarens uppgifter behålls under den period som föreskrivs av de lagstadgade garantikraven, för att ordna med reparation eller utbyte i händelse av en defekt på vinsten. Vid deltagande i en tävling på en sida (t.ex. genom inlägg eller kommentar) har vi eventuellt ingen möjlighet att påverka raderingen av dina uppgifter hos leverantören. För detta gäller därför respektive leverantörs dataskyddsbestämmelser.
c) Nyhetsbrevutskick
Syftet med databehandlingen/rättsliga grunder:
Via sociala medier har du också möjlighet att anmäla dig till vårt nyhetsbrev. Om du har samtyckt till att få våra nyhetsbrev använder vi din e-postadress och eventuellt ditt namn för att kunna skicka (om möjligt individuell) information om produkter, händelser, tävlingar, nyheter och butikserbjudanden samt för undersökningar kring kundnöjdhet. Vi lagrar och behandlar dessa uppgifter i syfte att skicka nyhetsbrevet.
Med ditt samtycke samlar vi in ditt användarbeteende på webbplatser som är anslutna till www.lidl.se, i mobilapplikationer samt i våra nyhetsbrev. Utvärderingen av användarbeteendet omfattar i synnerhet inom vilka delar av respektive webbplats, mobilapp eller nyhetsbrev du uppehåller dig och vilka länkar du där klickar på. Därmed skapar vi personliga användarprofiler tilldelat din person och/eller e-postadress, för att bättre kunna rikta en kampanj i form av nyhetsbrev, reklam på webbplatsen och tryckt reklam efter dina personliga intressen och för att kunna förbättra våra webberbjudanden.
Den rättsliga grunden för ovan nämnda databehandling är ditt samtycke enligt artikel 6.1 a) GDPR.
För att säkerställa att inga fel sker vid inmatningen av e-postadresser använder vi ett så kallat Double Opt-in-förfarande vilket innebär att vi, efter du har matat in din e-postadress i registreringsfältet, skickar dig en bekräftelselänk. Först när du klickar på denna bekräftelselänk läggs din e-postadress till i våra sändningslistor.
Du kan när som helst, med framtida verkan, återkalla ditt samtycke till mottagande av nyhetsbrevet, att delta i undersökningar om kundnöjdhet och skapandet av personliga användarprofiler t.ex. genom att avregistrera dig från nyhetsbrevet på vår webbplats. Länken till sidan för avregistrering hittar du här eller längst ner i varje nyhetsbrev. Din avregistrering betraktas som ett återkallande av ditt samtycke till skapandet av en personlig användarprofil och erhållandet av det på denna profil baserade nyhetsbrevet. Dina användaruppgifter raderas av oss.
Mottagare/kategorier av mottagare:
Om vi använder externa personuppgiftsbiträden för att skicka ut nyhetsbrevet eller tillhandahålla möjligheten att recensera köp, måste dessa enligt avtal efterleva artikel 28 GDPR.
Lagringstid/kriterier för att fastställa lagringstiden:
Om du återkallar ditt samtycke till att få Lidls nyhetsbrev kommer din e-postadress att spärras för mottagande av Lidls nyhetsbrev. Efter detta raderas dina uppgifter från motsvarande e-postlistor senast efter sex månader. När du prenumererar på nyhetsbrevet via en sida på sociala medier, kan vi inte påverka leverantörens radering av dina uppgifter. Därför gäller utöver detta även dataskyddsbestämmelserna för respektive sociala medier-plattform.
d) Social Listening
Syftet med databehandlingen/rättsliga grunder:
Utöver den information du ger oss direkt via sociala nätverk, utnyttjar vi möjligheten till s.k. Social Listening för att skapa oss en uppfattning om hur våra produkter och tjänster upplevs samt för att identifiera eventuella förbättringspotential. Detta innebär att publika inlägg på sociala medie-plattformar granskas och utvärderas enligt en sökbegäran (t.ex. för en ny produktlinje). Endast de inlägg som du har valt att göra allmänna och publika granskas.
Omfattningen av de inhämtade uppgifterna bestäms framförallt efter respektive art och innehåll; det kan t.ex. handla om ett inlägg i textform eller en uppladdad bildfil. I enskilda fall kan även respektive användar-ID som används vara relevant, t.ex. om Lidl vill erbjuda hjälp vid vissa problem. Delvis erhåller vi även information om räckvidden för inlägget i fråga från respektive plattformsleverantör.
Den rättsliga grunden för behandlingen av personuppgifter inom ramen för Social Listening är artikel 6.1 f) GDPR (berättigat intresse), eftersom Lidl har ett berättigat intresse att upptäcka eventuella brister i våra produkter genom publikt publicerade kommentarer och yttranden, och därigenom kunna reagera därefter.
Mottagare/kategorier av mottagare:
De personuppgifter som behandlas inom ramen för Social Listening överförs inte till en extern tredje part.
Lagringstid/kriterier för att fastställa lagringstiden:
De relevanta uppgifterna lagras inte varaktigt av Lidl, utan analyseras endast specifikt med avseende på eventuellt nödvändiga åtgärder och förbättringar.
4. Gemensamt personuppgiftsansvariga, artikel 26.1 GDPR
Med följande plattformsleverantörer har vi ett gemensamt ansvar enligt artikel 26.1 GDPR:
• Facebook: https://www.facebook.com/legal/terms/page_controller_addendum
• Instagram: https://www.facebook.com/legal/terms/page_controller_addendum
• Twitter: https://gdpr.twitter.com/en/controller-to-controller-transfers.html
• YouTube: https://policies.google.com/privacy
• LinkedIn: https://legal.linkedin.com/pages-joint-controller-addendum
Plattformsleverantören och vi är gemensamt personuppgiftsansvariga för de webtracking-metoder som tillhandahållaren av den sociala medieplattformen använder. Webtracking kan förekomma oavsett om du är inloggad eller registrerad på den sociala medieplattformen eller inte. Som konstateras ovan kan vi tyvärr inte påverka de webtracking-metoder som tillhandahållaren av den sociala medieplattformen använder. Vi kan till exempel inte avaktivera funktionen.
Den rättsliga grunden för webtracking-metoden är samtycke enligt art 6.1 a) GDPR.
Mer information om mottagarna och kategorierna av mottagare samt om lagringstiden och kriterierna för fastställande av lagringstiden finns i plattformsleverantörens dataskyddspolicyn. Vi kan inte påverka dessa.
Möjligheterna att utöva dina rättigheter i förbindelse med dessa webtracking-metoder eller för att återkalla ditt samtycke kan du hitta i de under punkt 2 angivna plattformsleverantörers sekretesspolicyer. Du kan även kontakta plattformsleverantören via de i respektive utgivares angivna kontaktuppgifter.
Med avseende på statistik, som leverantören av plattformen ställer till vårt förfogande, kan vi endast begränsat påverka och förhindra denna. Vi ser dock till att vi inte erbjuds någon ytterligare, valfri statistik.
Observera att leverantören av plattformen använder dina profil- och beteendeuppgifter enligt sina användarvillkor och dataskyddsbestämmelser, för att analysera dina vanor, personliga relationer och preferenser. Lidl har inget inflytande över behandlingen eller överföringen av dina uppgifter genom leverantören av plattformen.
5. Behandling av uppgifter i tredjeland
Eventuellt sker en behandling av dina uppgifter vid användning av plattformen i ett tredjeland (säte utanför den Europeiska unionen) genom plattformsleveratören. Mer information om behandlingen av dina uppgifter i ett tredjeland, som Lidl inte har något inflytande över, kan du ta del av i de under punkt 2 angivna plattformsleverantörernas sekretesspolicyer.
6. De registrerades rättigheter
a) Översikt
Förutom rätten att återkalla de samtycken du gett oss har du även följande rättigheter, om de villkor som föreskrivs i lag är uppfyllda:
• Rätt till tillgång till dina personuppgifter som lagras hos oss enligt art 15 GDPR
• Rätt till rättelse av felaktiga eller komplettering av ofullständiga uppgifter enligt art 16 GDPR
• Rätt till radering av de uppgifter som lagras hos oss enligt art 17 GDPR
• Rätt till begränsning av behandlingen av dina uppgifter enligt artikel 18 GDPR
• Rätt till dataportabilitet enligt artikel 20 GDPR
• Rätt att göra invändningar enligt artikel 21 GDPR
b) Rätt till tillgång enligt artikel 15 GDPR
Enligt artikel 15.1 GDPR har du rätt att på begäran kostnadsfritt få tillgång till dina personuppgifter som lagras hos oss. Informationen omfattar i synnerhet följande:
• Ändamålen med behandlingen.
• De kategorier av personuppgifter som behandlingen gäller.
• De mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut.
• Den förutsedda period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.
• Förekomsten av rätten att av den personuppgiftsansvarige begära rättelse eller radering av personuppgifterna eller begränsningar av behandling av personuppgifter som rör dig eller att invända mot sådan behandling.
• Rätten att inge klagomål till en tillsynsmyndighet.
• Om personuppgifterna inte samlas in från den registrerade, all tillgänglig information om varifrån dessa uppgifter kommer.
• Förekomsten av automatiserat beslutsfattande, inbegripen profilering enligt artikel 22.1 och 22.4 i GDPR, varvid det åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade.
Om personuppgifterna överförs till ett tredjeland eller till en internationell organisation, ska du ha rätt till information om de lämpliga skyddsåtgärder som i enlighet med artikel 46 GDPR har vidtagits vid överföringen.
c) Rätt till rättelse enligt artikel 16 GDPR
Du har rätt att få felaktiga personuppgifter som rör dig rättade av oss utan onödigt dröjsmål. Med beaktande av ändamålet med behandlingen, har du rätt att komplettera ofullständiga personuppgifter, bland annat genom att tillhandahålla ett kompletterande utlåtande.
d) Rätt till radering enligt artikel 17 GDPR
Du har rätt att av oss få dina personuppgifter raderade, om något av följande gäller:
• Personuppgifterna är inte längre nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats.
• Du återkallar det samtycke på vilket behandlingen grundar sig enligt art 6.1 a) eller art 9.2 a) GDPR och det finns inte någon annan rättslig grund för behandlingen.
• Du invänder mot behandlingen i enlighet med artikel 21.1 eller 21.2 GDPR och det saknas i fråga om artikel 21.1 berättigade skäl för behandlingen som väger tyngre.
• Personuppgifterna har behandlats på olagligt sätt.
• Personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse.
• Personuppgifterna har samlats in i samband med erbjudande av informationssamhällets tjänster, i de fall som avses i artikel 8.1. GDPR.
Om vi har offentliggjort personuppgifterna och är skyldiga att radera dem vidtar vi, med beaktande av tillgänglig teknik och kostnaden för genomförandet, rimliga åtgärder för att underrätta tredje part som behandlar personuppgifterna om att du har begärt att de ska radera eventuella länkar till, eller kopior eller reproduktioner av dessa personuppgifter.
e) Rätt till begränsning av behandlingen enligt artikel 18 GDPR
Du har rätt att av oss kräva att behandlingen begränsas om något av följande alternativ är tillämpligt:
• Du bestrider personuppgifternas korrekthet.
• Behandlingen är olaglig och du begär i stället en begränsning av deras användning.
• Den personuppgiftsansvarige behöver inte längre personuppgifterna för ändamålen med behandlingen men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk, eller
• du har invänt mot behandlingen i enlighet med artikel 21.1 GDPR och det är ännu ej fastställt huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än dina intressen.
f) Rätt till dataportabilitet enligt artikel 20 GDPR
Du har rätt att få ut de personuppgifter som rör dig och som du har tillhandahållit oss i ett strukturerat, allmänt använt och maskinläsbart format och ha rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig utan att vi hindrar detta, om
• behandlingen grundar sig på samtycke enligt artikel 6.1 a) eller artikel 9.2 a) eller på ett avtal enligt artikel 6.1 b) GDPR, och
• behandlingen sker automatiserat.
Vid utövandet av din rätt till dataportabilitet ska du ha rätt till överföring av personuppgifterna direkt från oss till en annan personuppgiftsansvarig, när detta är tekniskt möjligt.
g) Rätt att göra invändningar enligt artikel 21 GDPR
Enligt villkoren i artikel 21.1 GDPR har du rätt att när som helst göra invändningar mot behandlingen av personuppgifterna av skäl som hänför sig till en specifik situation.
Den allmänna rätten att göra invändningar gäller alla ändamål som avses i dessa dataskyddsbestämmelser och för vilka personuppgifter behandlas i enlighet med artikel 6.1 f) GDPR. Till skillnad mot vad som gäller vid den särskilda rätten till invändningar när uppgifter behandlas för marknadsföringsändamål, är vi enligt den allmänna dataskyddsförordningen endast skyldiga att genomföra en sådan allmän invändning om du anför skäl som väger tyngre, t.ex. en möjlig fara för liv eller hälsa. Dessutom finns alltid möjligheten för dig att vända dig till tillsynsmyndigheten som har översyn över Lidl eller till Lidls dataskyddsansvarige.
h) Rätten att lämna klagomål till tillsynsmyndigheten för dataskydd enligt artikel 77 GDPR
Dessutom har du när som helst rätt att lämna klagomål hos ansvarig tillsynsmyndighet för dataskydd vilket är Integritetsskyddsmyndigheten (tidigare Datainspektionen).
7. Kontaktuppgifter
a) Kontaktuppgifter vid frågor eller för utövande av dina dataskyddsrättigheter
Vid frågor om våra sidor på sociala nätverk eller för att utöva dina rättigheter gällande behandlingen av dina uppgifter (dataskyddsrättigheter) kan du vända dig till vår kundservice:
Eller Lidls dataskyddsombud:
Dataskyddsombud
Box 6087
175 06 Järfälla
e-post: dataskydd@lidl.se
b) Kontaktperson vid frågor om dataskydd
Om du har ytterligare frågor om behandlingen av dina uppgifter, kan du vända dig till dataskyddsombudet.
8. Kontakta dataskyddsombudet
Dataskyddsombudet för Lidl Sverige kan nås på den adress som nämns under punkt 1 eller på dataskydd@lidl.se.