INTEGRITETSPOLICY

1. ALLMÄNT

1.1 Denna integritetspolicy (”Integritetspolicy”) gäller då Freja eID Group AB, org. nr 556587-4376 Box 456, 194 04 UPPLANDS VÄSBY, Sverige, (”Freja eID Group”) tillhandahåller en elektronisk legitimationstjänst via appen Freja eID (”Tjänsten”).

1.2 Du har registrerat dig som användare av Tjänsten enligt Användarvillkoren för Tjänsten. Denna Integritetspolicy utgör en integrerad del av Användarvillkoren.

1.3 Du ska alltid kunna känna dig trygg när du lämnar dina personuppgifter till oss. Vi vill med denna Integritetspolicy visa hur vi säkerställer att dina personuppgifter behandlas i enlighet med tillämplig lagstiftning.

1.4 När Tjänsten används kan flera aktörer vara involverade. Denna Integritetspolicy gäller endast i förhållande till den behandling som kan komma att utföras av Freja eID Group i egenskap av personuppgiftsansvarig. Vi rekommenderar därför att du läser även andra aktörers integritetspolicyer och villkor som kan vara involverade vid användandet av Tjänsten, exempelvis de aktörer som tillhandahåller de e-tjänster som du använder ditt Freja eID hos.

1.5 För att använda Tjänsten måste du, utöver att acceptera de krav som uppställs i Användarvillkoren för Tjänsten också acceptera villkoren i denna Integritetspolicy. När vi behandlar dina personuppgifter med stöd av ditt samtycke, har du alltid rätt att återkalla ditt samtycke utan att denna återkallelse påverkar dina möjligheter att använda Tjänsten i övrigt.

2. PERSONUPPGIFTSANSVARIG OCH DATASKYDDSOMBUD

2.1 Freja eID Group är personuppgiftsansvarig för Freja eID Groups behandling av dina personuppgifter och ansvarar för att behandlingen sker i enlighet med tillämplig lagstiftning.

2.2 I den mån tjänsten avser Tjänstelegitimation eller Organisations eID så är organisationen personuppgiftsansvarig för sin behandling av de personuppgifter de ansvarar för om dig, som exempelvis i din anställning, som kund eller medlem i en organisation, och som organisationen väljer att använda för din roll och där Freja eID Group i dessa fall är personuppgiftsbiträde.

2.3 Freja eID Group har utsett Tony Buss till dataskyddsombud (”Dataskyddsombudet”). Dataskyddsombudet har bland annat till uppgift att övervaka att Freja eID Groups behandling av personuppgifter sker i enlighet med tillämplig lagstiftning. Dataskyddsombudets kontaktuppgifter är gdpr@frejaeid.se, +46 8 5272 7984.

3. VÅR BEHANDLING AV DINA PERSONUPPGIFTER

3.1 Freja eID Groups behandling av dina personuppgifter kommer att behandlas för följande ändamål och på basis av följande lagliga grunder.

3.2 Du kan när som helst återta ditt godkännande enligt 1.5 som du har lämnat enligt ovan avseende Freja eID genom att skriftligen säga upp tjänsten.

3.3 Freja eID behandlar inte dina personuppgifter för automatiserat beslutsfattande eller profilering.

3.4 Utöver att godkänna de allmänna användarvillkoren och denna integritetspolicy, kan du välja att lämna samtycke för vissa personuppgiftsbehandlingar enligt nedan och då kommer den lagliga grunden för att vi ska få behandla dessa uppgifter vila på ditt uttryckliga samtycke. I andra fall, då exempelvis du av en arbetsgivare förväntas att använda ditt Freja eID som ett arbetsredskap i din tjänsteutövning, kommer istället vi att behandla dina personuppgifter som personuppgiftsbiträde åt din arbetsgivare, och den lagliga grunden för behandlingen blir då ditt anställningsavtal med arbetsgivaren. Den lagliga grunden för viss behandling i tjänsten framgår av tabellen nedan.

Om du börjar med enbart tjänstelegitimation och därefter börjar använda andra tjänster som finns tillgängliga då blir Freja eID AB både personuppgiftsbiträde och personuppgiftsansvarig beroende på om det är din arbetsgivares tjänster eller tjänster som du använder privat. För de privata tjänsterna gäller den lagliga grund såsom framgår av tabellen nedan.

3.5 Freja eID finns på olika så kallade tillitsnivåer (Bas, Tillagd ID-handling och Plus). Som användare kan du se i appen vilken nivå du är på. Om du försöker komma åt en tjänst på högre nivå än vad du har kommer den inte vara möjlig att nå. Du måste uppgradera till motsvarande nivå för att nå tjänsten.

Freja eID Bas

För åtkomst till tjänster som inte kräver att din identitet är validerad och endast kräver e-post.

Freja eID med tillagd ID-handling och Freja eID+

En del tjänster kräver att din identitet är validerad när du använder Freja eID för att komma åt deras tjänster eller när du gör elektroniska underskrifter hos dem.

Utöver de uppgifter som behandlas för Freja eID Bas så gäller sektionerna ”Freja eID med tillagd ID handling” och” Freja eID+”. Freja eID+ utfärdas efter att du har gjort en extra validering av din identitet genom en fysisk ID-kontroll hos en Freja eID-ombud, eller efter att din identitet har verifierats genom att använda ett biometrisk ID-handling under registreringen.

3.6 Tabellen visar vilka personuppgifter vi hanterar på de olika tillitsnivåerna, från den lägsta (Bas) till din högsta (Plus). De högre nivåerna bygger på de lägre, så samtliga uppgifter som samlas på en tillitsnivå behandlas även på en högre tillitsnivå.

Ändamål	Laglig grund	Personuppgiftsbehandling – Bas	Personuppgiftsbehandling – Tillagd ID-handling och Plus
Allmänt för tjänsten
För att vi ska kunna tillhandahålla, administrera, utveckla och anpassa Tjänsten, samt möjliggöra support, kundservice, och väsentlig information till dig som användare.	Behandlingen är nödvändig för att tillhandahålla tjänsten och fullgöra avtalet med dig som användare.	E-postadress (en obligatorisk och två frivilliga) Uppgifter om din enhet som tillverkare, modell och version av operativsystem	Namn och kön Personidentitetsbeteckning såsom ex.vis personnummer,samordningsnummer, civic registration number eller social security number Adress (endast personer med svenskt personnummer eller styrkt samordningsnummer Land Bild av din ID-handling ID-handlingens referensnummer ID-handlingens sista giltighetsdag Högupplöst foto från pass om du väljer det som ID Var, när och vem som gör fysisk ID-kontroll (endast Freja+) Övrig information som kan finnas i passets datafält från vissa länder
För att du ska kunna legitimera dig i en fysisk situation med ditt digitala ID och identifiera dig till andra individer.	Behandlingen är nödvändig för att tillhandahålla tjänsten och fullgöra avtalet med dig som användare.		Bild på ditt ansikte
För att du ska kunna kontrollera när och var din e-legitimation använts tillhandahåller vi en historik över dina transaktioner.	Behandlingen är nödvändig för att tillhandahålla tjänsten och fullgöra avtalet med dig som användare.	Historik över de tillfällen då du identifierat dig eller undertecknat något med din e-legitimation; hos vilken tjänst, vid vilken tid och vilka personuppgifter du samtyckt att dela med den tjänsten.
För säker verifiering av din identitet
För att säkerställa att det är samma person på ID- handlingen, som den som har registrerat sig i appen samt att detta är en levande person För att möjliggöra återställning av ditt eID om du skulle tappa den enda enhet du har appen på För att möjliggöra extra kontroll att det verkligen är du som nyttjar ditt Freja eID	Behandlingen är nödvändig för att tillhandahålla tjänsten och fullgöra avtalet med dig som användare.		Bild på ditt ansikte Videoupptagning av ansiktet under registrering av ID-foto Var, när och vem som gör fysisk ID-kontroll (endast Plus)
Delning av personuppgifter med tredje part
Att identifiera sig innebär att man behöver dela vissa personuppgifter till tredje part. Du får alltid godkänna i appen varje gång du delar. Avböjer du, delas ingenting.	Uttryckligt samtycke från dig som användare (varje uppgift som begärs av tredje part visas för dig och du får samtycka till att dela med dig av den)	E-postadress	Personidentitetsbeteckning såsom ex.vis personnummer,samordningsnummer, civic registration number eller social security number Land Födelsedatum Fullständigt namn ID-foto du tagit med Freja eID Adresser du är registrerad på Kön Bild på ID-handling Mobilenhets IP-adress Passuppgifter (inklusive: foto, namn och efternamn, födelsedatum, födelseort, nationalitet, personnummer, kön, dokumenttyp, utfärdandeland och -ort, adress, serienummer, utfärdande- och utgångsdatum, datakälla)
Om Covidbeviset
Detta ändamål gäller endast om du väljer att lägga till ditt så kallade Covidbevis för att hantera det i Freja eID. Covidbeviset är en e-tjänst som du kan använda för att beställa information om din Covid-19 status (vaccininformation, testinformation, information om återhämtning) från det Nationella vaccinationsregistret (NVR) hos Folkhälsomyndigheten. Du kan hantera ditt Covidbevis i Freja eID och dela din Covid-19 status med en onlinetjänst (t.ex. ett flygbolagsbokningstjänst) eller fysiskt genom att visa beviset som kan avläsas manuellt eller genom en QR-kod. För att möjligöra användningen av det Covidbeviset, behöver vi dela vissa personuppgifter med den tredje part som ska avläsa ditt intyg.	Uttryckligt samtycke från dig som användare när du lägger till det Covidbeviset till Freja eID. Uttryckligt samtycke från dig som användare varje gång du delar informationen med tredje part. Samtycke från dig som användare när du delar informationen fysiskt via mobilskärmen.	Inte tillämplig på denna tillitsnivå	Personuppgifter som är nödvändiga för att identifiera dig som innehavare av det Covidbeviset: Namn och efternamn Födelsedatum Giltighetstid för det Covidbeviset Vaccininformation:: Utfärdare av vaccinationsbevis Typ av vaccin Tillverkare Datum för vaccinering Dosnummer (hur många doser du fått) Land du vaccinerades i Unikt serienummer för vaccinbevis Testinformation: Typ av test NAANAA-testnamn RAT-testnamn och tillverkare Datum och tid för test Datum och tid för testresultat Testresultat Testcenter (var du testat dig) Land testet är utfört i Utfärdare av testbeviset Unikt serienummer för testbeviset Information om återhämtning: Datum för första positiva testresultat Landet där du gjort testet Datum – giltigt från och med Datum – giltigt till och med Unikt serienummer för testbeviset
Om tjänstelegitimation
Detta ändamål gäller endast om en arbetsgivare vill att arbetstagare ska kunna legitimera sig i sin yrkesroll med Freja eID.	Anställningsavt al mellan dig och din arbetsgivare Freja eID Group avtal med din arbetsgivare om tillhandahålland e av tjänstelegitimati on för behandling av anställdas uppgifter		Personuppgifter som är relaterade till din anställning och som din arbetsgivare är personuppgiftsansvarig för, exempelvis anställningsnummer, ditt användarnamn inom organisationen eller din jobb- epostaddress
Geografisk lokalisering*
För att informera dig om närmaste Freja eID-ombud	Samtycke från dig som användare	Geografisk lokalisering så att du kan hitta ett Freja eID ombud
För information, och marknadsföring
Möjliggöra riktad marknadsföring av Tjänsten och Freja eIDs liknande tjänster via post, e-post, SMS eller appen (inklusive marknads- och kundanalyser och marknadsundersökningar)	Samtycke	E-postadresser (en obligatorisk och två frivilliga) Telefonnummer (tre frivilliga)	Namn, personnummer, födelsedatum och kön Adress

*Utöver persondata som anges i tabellen samlar vi helt anonymiserad information om var Freja eID används för fysisk identifiering för att kunna förbättra tjänsten. Ingen personlig information sparas och du kan inte spåras utifrån detta. Du kan stänga av geografisk lokalisering för Freja utan att appens funktioner förändras, förutom att du inte kan hitta Freja-ombud via kartan.

3.7 Behandling av din porträttbild

Porträttbilden du tar i samband med registreringen används för stark verifiering av din identitet och jämförs med porträttbilden på din ID-handling. Porträttbilden kan också användas för att säkerställa din identitet i sammanhang där detta kan anses höja säkerheten i identifieringen, t. ex. när du vill återställa din PIN-kod i Freja. Detta görs på ditt initiativ och med ditt uttryckliga samtycke varje gång så sker. Din porträttbild kan också användas ifall du vill återställa Freja eID på en ny enhet. Den bild du tagit vid registreringen av ditt ansikte kan komma att delas med ditt uttryckliga samtycke.

3.8 Behandling av hälsouppgifter inom ramen för Covidbevis

Samtycket för att lagra det Covidbeviset kan när som helst återkallas av användaren. Då raderas all data om det Covidbeviset.

När det Covidbeviset lagras hos Freja eID är informationen skyddad med hårdvarukryptering.

Freja eID Group delar informationen under en signering eller identifiering endast efter att användaren gett sitt uttryckliga samtycke via Freja eID-appen. Sådan delning sker endast till tredje part som Freja eID Group har ingått förlitade parts-avtal med. Freja eID Group möjliggör vidare att användaren själv genom ett aktivt val via Freja eID-appen, kan dela informationen till annan.

Tredje part som vill ställa en förfrågan att användaren delar sin information från det Covidbeviset via en identifiering eller signering med Freja eID, måste ha tecknat ett förlitade parts avtal med tillhörande bilaga som reglerar hanteringen av det Covidbeviset. Freja eID Group är den personuppgiftsansvarige för behandlingen av dina personuppgifter inom ramen för administrationen av det Covidbeviset. När en tredje part, som läser av ditt Covidbevis, mottar dina personuppgifter, blir den tredje parten en personuppgiftsansvarig för de mottagna personuppgifterna.

För tredje part som tar del av det Covidbeviset genom att användaren genom ett aktivt val öppnar informationsskärmen i Freja eID innehållande det Covidbeviset och låter parten läsa informationen eller skanna QR-koden, finns inte krav på ett förlitande partsavtal.

Informationen i det Covidbeviset raderas automatiskt när giltighetsdatum för informationen uppnås.

Freja eID har en funktion för att avbryta hanteringen av det Covidbeviset och radera all information kopplad till dessa ifall den lagliga grunden för hanteringen skulle dras tillbaka av lagstiftande församling inom EU eller Sverige.

3.9 Ålder och hantering av underårigas personuppgifter

Tjänsten är tillgänglig för personer från fem års ålder. Föräldrars samtycke krävs för personer under 13 års ålder

Föräldrar till barn under fem år kan för vissa e-tjänster använda Freja för att läsa av och skicka barnets passuppgifter till exempelvis en myndighet.

3.10 Landsspecifika uppgifter

Freja kan användas för att skapa en e-legitimation från ett stort antal länder, en aktuell lista över länder som stödjs finns här.

Personuppgiftsbehandlingen enligt vad som anges i punkt 3.6 är gemensam för samtliga dessa länder, dock finns lokala variationer i personidenitetsbeteckningen definieras och vissa länder saknar helt personidentitetsbeteckning. Data som anges i pass kan också variera mellan länder och Freja läser in den data som finns i passets datafält. Ingen sådan data delas utan användarens uttryckliga samtycke.

För användare med svenskt personnummer eller styrkt samordningsnummer görs en kontroll av personuppgifter mot SPAR (Statens personadressregister).

För användare som skaffar Freja Plus med körkort eller Skatteverkets ID-kort krävs en fysisk ID-kontroll hos en butik som är ombud för ATG (Aktiebolaget Trav och Galopp) som hanterar vissa av dina personuppgifter vid ID-kontrollens genomförande.

4. HUR LÄNGE BEVARAR VI DINA PERSONUPPGIFTER?

4.1 Dina personuppgifter bevaras endast så länge det finns ett behov av att bevara uppgifterna för att fullgöra de ändamål som uppgifterna samlades in för i enlighet med denna Integritetspolicy samt för att uppfylla lagkrav och andra regulatoriska krav. Normalt sparas dina uppgifter i tio år enligt gällande regelverk. För information om hur vi bevarar dina hälsouppgifter kopplat till Covidbevis, se specifikt punkt 3.8.

4.2 Du kan när som helst avsluta ditt användande av Tjänsten genom att välja ”Avregistrera konto” eller motsvarande funktion i Tjänsten samt att du spärrar Tjänsten enligt av Freja eID Group lämnade instruktioner. Freja eID Group bevarar inte dina personuppgifter efter det att du har avslutat ditt användande av Tjänsten enligt denna punkt 4.2, om det inte krävs för att följa gällande regelverk, lagkrav eller för att bevaka Freja eID Groups rättsliga intressen, exempelvis om det pågår en juridisk process.

5. VEM LÄMNAR VI UT PERSONUPPGIFTERNA TILL?

5.1 Freja eID Group lämnar ut dina personuppgifter till de du ger samtycke till när du gör en identifiering med hjälp av Freja eID. Detta kallas tredje part i juridiska sammanhang och i just det här sammanhanget kallar vi dem Förlitande Part, som det står i Användarvillkoren. Ger du inte ditt samtycke i appen, delas inget. För information om hur du kan dela dina hälsouppgifter kopplade till Covidbevis, se tabellen i punkt 3.6.

Personuppgifter i form av bilder på ID dokument kommer aldrig att delas eller lämnas ut till en tredje part. Den bild du tagit vid registreringen av ditt ansikte kan komma att delas med ditt uttryckliga samtycke.

5.2 I vissa sammanhang delar vi dina uppgifter med underbiträden som tillhandahåller service- och supporttjänster relaterade till Tjänsten samt koncernbolag, för att användas av mottagaren i syfte att uppfylla de ändamål med behandlingen av dina personuppgifter som anges i punkten 3 ovan.

Till 46elks AB lämnar vi ut personnummer, körkortsnummer och utgångsdatum för att slå upp i Transportstyrelsens register. Till Polisen lämnar vi ut personnummer, pass- eller nationellt- ID serienummer och utgångsdatum för att slå i Polismyndighetens pass- och ID-handlingsregister. Till AB Trav och Galopp lämnar vi ut personnummer, namn, efternamn, ID-handlingstyp, bild och serienummer vid registrering för Freja eID Plus. Dessa kontroller gäller bara för användare i Sverige.

6. ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJE LAND

Freja eID Group kommer inte att överföra dina personuppgifter till något land utanför EU/EES.

7. DINA RÄTTIGHETER

7.1 Freja eID Group ansvarar i egenskap av personuppgiftsansvarig för att dina personuppgifter behandlas i enlighet med gällande lagstiftning.

7.2 Freja eID Group kommer på din begäran eller på eget initiativ att rätta, avidentifiera, radera eller komplettera uppgifter som upptäcks vara felaktiga, ofullständiga eller missvisande.

7.3 Du har rätt att av Freja eID Group begära tillgång till och rättelse eller radering av dina personuppgifter (exempelvis om sådan radering krävs enligt tillämplig lagstiftning), begära begränsning av fortsatt behandling av dina personuppgifter samt en rätt att invända mot behandlingen (exempelvis om du ifrågasätter om personuppgifterna är korrekta eller om behandlingen är laglig). Freja eID Group kommer att underrätta varje mottagare till vilken personuppgifterna har lämnats ut enligt punkten 5 ovan om eventuella rättelser eller radering av uppgifter samt begränsning av behandling av uppgifter som sker enligt denna punkt 7.

7.4 Du har rätt till dataportabilitet, det vill säga en rätt att under vissa förutsättningar få ut och överföra dina personuppgifter i ett strukturerat, allmänt använt och maskinläsbart format till en annan personuppgiftsansvarig.

7.5 Freja eID Group kan komma att behandla dina personuppgifter för direkt marknadsföring till dig men endast om du har samtyckt till att så sker. Om du har samtyckt till sådan behandling har du rätt att när som helst skriftligen anmäla till Freja eID Group att du vill att den ska upphöra. När Freja eID Group har mottagit din anmälan kommer vi snarast att upphöra att behandla personuppgifterna för marknadsföringsändamål.

7.6 Du har rätt att en gång per kalenderår, genom en skriftligt undertecknad ansökan, kostnadsfritt erhålla ett registerutdrag från Freja eID Group om vilka personuppgifter som finns registrerade om dig, ändamålen med behandlingen och till vilka mottagare uppgifterna har lämnats eller ska lämnas ut. Du har även rätt att i registerutdraget få information om var uppgifterna har hämtats ifrån om personuppgifterna inte har samlats in från dig, förekomsten av automatiserat beslutsfattande (inklusive profilering) samt den förutsedda period under vilken uppgifterna kommer att lagras eller kriterierna som används för att fastställa denna period. Du har vidare rätt att i registerutdraget få information om dina övriga rättigheter som anges i denna punkt 7.

7.7 Du har rätt att inge eventuella klagomål angående Freja eID Groups behandling av dina personuppgifter till din nationella dataskyddsmyndighet.

7.8 Freja eID Group AB är ett företag registrerat i Sverige och den svenska dataskyddsmyndigheten är IMY – Integritetsskyddsmyndigheten.

8. BARNS PERSONUPPGIFTER

Barn har rätt till skydd vid användning av informationssamhällets tjänster, och verifierad ålderskontroll kan begränsa oönskad tillgång till tjänster avsedda för barn.

Barns uppgifter är extra skyddsvärda och Freja ger barn tydlig information om vad tjänsten innebär och förbättrar kontinuerligt information, kontroller och skyddsåtgärder anpassade för barn samt vårdnadshavares möjligheter att lämna samtycke och hantera tjänsten för sina barn.

Freja är tillgänglig för barn som är fem år med vårdnadshavarens samtycke till behandling av barns personuppgifter. Barn från 13 år får enligt gällande dataskyddslagstiftning lämna eget samtycke.

Om du som vårdnadshavare får kännedom om att ditt barn har lämnat uppgifter till Freja och har invändningar eller synpunkter kan du kontakta oss på angivna kontaktuppgifter.

För barn under fem år kan föräldrar i vissa fall använda Freja för att läsa in och dela barnets passuppgifter till exempelvis myndigheter.

9. SKYDDET AV DINA PERSONUPPGIFTER

Du ska alltid kunna känna dig trygg när du lämnar dina personuppgifter till oss. Freja eID Group har därför vidtagit de säkerhetsåtgärder som behövs för att skydda dina personuppgifter mot otillbörlig åtkomst, förändring och radering.

I säkerhetssyfte utför vi registervård som innebär att vi blockerar och upprättar en spärrlista över avlidna användare som inte längre kan utnyttja tjänsterna, samt för att undvika att annan utnyttjar Tjänsterna i sådan användares namn.

10. COOKIES

Freja eID Group använder cookiesliknande tekniker i syfte att tillhandahålla vissa funktioner i tjänsten. Informationen lagras i form av en fil innehållande användarens krypterade sessionsstatus (under pågående session) samt användarinställningar som förbättrar användarupplevelsen innan en användare autentiseras till tjänsten (som sparas mellan sessionerna). Informationen används t ex för att komma ihåg ditt val av språk. Informationen lämnas inte ut till tredje part. Om du inte längre önskar att Freja eID Group lagrar och hämtar informationen måste du avsluta ditt användande av Tjänsten enligt punkten 4.2 ovan.

11. FÖRÄNDRINGAR AV DENNA INTEGRITETSPOLICY

Freja eID Group har rätt att när som helst ändra denna Integritetspolicy. Den senast daterade och gällande verisionen publiceras på Freja eID Group hemsida, www.frejaeid.com. Vid väsentliga förändringar i denna policy kommer Freja eID Group att informera dig på ett lämpligt sätt, exempelvis genom information i appen, Mina sidor, via epost eller i en notifiering till dig i Freja eID appen.

Om du inte godtar de ändrade villkoren har du rätt att säga upp avtalet med Freja eID Group innan förändringarna träder ikraft. Du säger upp avtalet genom att följa instruktionerna enligt punkten 4.2 ovan.

12. KONTAKTINFORMATION

Tveka inte att kontakta Freja eID Group om du har några frågor om denna Integritetspolicy, behandlingen av dina personuppgifter eller om du vill begära ett registerutdrag. Freja eID Groups kontaktinformation hittar du under punkten 1 ovan.

13. ANVÄND CHATBOT

org.frejaeid.com webbplatsen använder Tidio, en chattplattform som sätter användare i kontakt med kundsupporten för Freja eID Group.
Vi samlar in e-postadresser endast med användarnas samtycke, för att starta chatten. Meddelanden och data som utbyts lagras i Tidio-applikationen.

För mer information, se deras integritetspolicy. Freja eID Group använder inte dessa meddelanden eller data annat än för att följa upp användares registrerade problem eller förfrågningar. Dina personuppgifter kommer att behandlas och överföras i enlighet med den allmänna dataskyddsförordningen (GDPR).