GDPR och dataskydd

Vi behandlar endast en uppgift om en rättslig grund motiverar det (artikel 6 i GDPR): fullgörandet av det avtal som binder oss till den yrkesverksamma, det berättigade intresset av att säkerställa kontinuiteten i dennes telefonmottagning, eller samtycke när det krävs. När ett samtal spelas in för att kunna styrka ett möte eller ett åtagande bevaras inspelningen endast om den verkligen är nödvändig för detta ändamål. Varje ändamål fastställs i förväg; ingen uppgift återanvänds för ett ändamål som inte är planerat.

Vi samlar in det strikt nödvändiga för att kvalificera samtalet och boka mötet, inget mer. Transkriberingar och inspelningar bevaras under en begränsad tid, proportionerlig till sitt ändamål, och raderas eller anonymiseras därefter.

• Lagringstider fastställda per ändamål och dokumenterade i vår integritetspolicy.
• Databas och lagring hostade inom Europeiska unionen (Supabase, EU-region, Frankfurt).
• Åtkomst begränsad till enbart behöriga personer, inom ramen för deras uppdrag.

Att driva en röstagent förutsätter att man anlitar tekniska leverantörer (telefoni, transkription, språkmodell, hosting, e-post). Var och en agerar i egenskap av personuppgiftsbiträde, reglerat genom ett personuppgiftsbiträdesavtal (DPA, artikel 28 i GDPR) som anger att behandlingen sker enbart enligt våra instruktioner, samt konfidentialitet, säkerhetsåtgärder och vad som händer med uppgifterna vid avtalets slut.

Vi prioriterar europeisk hosting. När en överföring utanför Europeiska unionen är nödvändig stödjer den sig på den mekanism som är anpassad till den berörda leverantören: antingen ett beslut om adekvat skyddsnivå från Europeiska kommissionen (till exempel Data Privacy Framework för certifierade amerikanska enheter), eller standardavtalsklausuler kompletterade med en bedömning av de garantier som erbjuds. Vi framställer aldrig en överföring som obefintlig: vi beskriver den faktiska reglering som gäller.

I enlighet med artikel 32 i GDPR genomför vi tekniska och organisatoriska åtgärder anpassade till risken: åtkomstkontroll, kryptering av data under överföring och i vila hos våra hostingleverantörer, samt loggning av känsliga åtgärder. Vid en personuppgiftsincident som kan medföra en risk informeras den personuppgiftsansvarige så snart som möjligt så att denne kan fullgöra sina skyldigheter.

Varje berörd person — i första hand den som ringer — kan utöva de rättigheter som föreskrivs i GDPR: tillgång (art. 15), rättelse (art. 16), radering (art. 17), begränsning (art. 18), dataportabilitet (art. 20) och invändning (art. 21). När ett beslut som får betydande verkningar skulle fattas helt automatiserat öppnar artikel 22 även för en rätt till mänskligt ingripande. Dessa begäranden besvaras inom en månad (art. 12), med möjlighet till förlängning vid behov.

För att veta mer om de behandlingar som utförs, se vår integritetspolicy. För att utöva en rättighet eller ställa en fråga, skriv till oss via kontaktsidan.