English version below the Swedish version.

Integritetspolicy (Svenska)

Inledning

I denna Integritetspolicy kan du läsa om hur Flowocean AB med organisationsnummer 556935–6974 (nedan refererad till som “vi”, “vår”, “oss”) Behandlar Personuppgifter. Hänvisningar till “du”, “dig”, “din” avser den Registrerade vars Personuppgifter vi Behandlar.

Här har vi sammanställt information om bland annat:

• vilka Personuppgifter vi Behandlar,
• varför Behandlingen sker,
• vart Personuppgifterna blir lagrade.
• vem Personuppgifter kan bli delade till,
• vilka rättigheter de Registrerade har enligt GDPR, samt
• övrig information om vår Behandling av Personuppgifter.

Denna Integritetspolicy omfattar samtliga typer av Personuppgifter, i både strukturerade och ostrukturerade data.

Vi går igenom innehållet i denna Integritetspolicy minst en gång per år samt vid behov, för att säkerställa att informationen är korrekt och uppdaterad. Den senaste versionen finns alltid publicerad på vår Webbplats.

Definitioner

Följande begrepp ska ha nedan angiven innebörd, både när de uttrycks i plural och singular:

Webbplatsen: www.flowocean.com

Personuppgifter: Alla uppgifter som, direkt eller indirekt, ensamt eller tillsammans med andra uppgifter, kan bli kopplade till en identifierad eller identifierbar fysisk levande person, är Personuppgifter enligt GDPR. Vanliga exempel på Personuppgifter är: namn, telefonnummer, adress, e-postadress, användar-ID, kontokortsnummer, registreringsnummer på ett fordon, IP-adress m.m.

Registrerad: Den fysiska person som kan bli identifierad genom Personuppgifterna.

Behandling: Behandling av Personuppgifter kan ske på olika sätt. Allt som sker med Personuppgifter, automatiserat eller på annat sätt, är en form av Behandling. Behandling kan ske genom en enskild åtgärd eller genom kombination med olika åtgärder. Exempel på vanliga Behandlingar av Personuppgifter är lagring, radering, delning, inläsning, registrering, kopiering, insamling, organisering, användning, justering, förstöring m.m.

Personuppgiftsansvarig: Den som bestämmer ändamålet med en viss Behandling av Personuppgifter och hur Behandlingen ska gå till, är enligt GDPR att anse som Personuppgiftsansvarig. Fysiska personer, juridiska personer, myndigheter, institutioner eller andra organ kan vara Personuppgiftsansvariga.

Personuppgiftsbiträde: Den som Behandlar Personuppgifter för en Personuppgiftsansvariges räkning, enligt den ansvariges instruktioner, är enligt GDPR att anse som Personuppgiftsbiträde.

Tredje part: Tredje part innebär någon annan än, den Personuppgiftsansvarige (och de personer som är behöriga att Behandla Personuppgifterna), Registrerade eller Personuppgiftsbiträdet (och de personer som är behöriga att Behandla Personuppgifterna). Tredje part kan vara en juridisk person eller en fysisk person, institution, myndighet eller annat organ.

GDPR: Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på Behandling av Personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

SCC: Kommissionens genomförandebeslut (EU) 2021/914 av den 4 juni 2021 om standardavtalsklausuler för överföring av Personuppgifter till tredjeländer i enlighet med Europaparlamentets och rådets förordning (EU) 2016/679, eller senare uppdaterad version.

Eventuella andra GDPR-relaterade begrepp som inte definieras här ska ha samma innebörd i denna Integritetspolicy som anges i artikel 4 i GDPR.

Personuppgiftsansvarig

Vi är Personuppgiftsansvariga för all Behandling av Personuppgifter som utförs av oss eller för vår räkning, i den mån vi bestämmer medel och ändamål för Behandlingen (enligt principen om ansvarsskyldighet).

Om inte annat anges i denna Personsuppgiftspolicy, är vi Personuppgiftsansvariga för den behandling som beskrivs.

Vi Behandlar alla Personuppgifter som vi får tillgång till med varsamhet och delar inte Personuppgifterna med obehöriga personer eller aktörer. Vår Behandling av Personuppgifter sker i enlighet med GDPR (och SCC vid tillämpliga fall) samt de grundläggande dataskyddsprinciperna.

Hur vi får tillgång till Personuppgifter

De vanligaste sätten vi tar emot Personuppgifter på, är följande:

• när en person kontaktar oss,
• när vi ingår ett avtal med en fysisk eller juridisk person,
• i samband med att vi fullgör ett avtal som vi har ingått,
• när en person registrerar sig för att ta emot nyhetsbrev från oss, eller
• när vi får tillgång till personuppgifter från andra personer, offentliga register eller andra källor.

Vem Personuppgifterna som vi främst Behandlar tillhör

De Registrerade utgörs av främst följande kategorier:

• Våra aktieägare och styrelseledamöter.
• Våra anlitade konsulter och övriga anställda medarbetare.
• Kunders, Leverantörers och samarbetspartners representanter eller medarbetare (exempelvis firmatecknare och/eller kontaktpersoner).
• Potentiella kunders representanter eller medarbetare (exempelvis firmatecknare och/eller kontaktpersoner).
• Övriga personer som av någon anledning kontaktar oss, exempelvis arbetssökande eller andra intressenter.

Vilka Personuppgifter vi främst Behandlar

I enlighet med principen om uppgiftsminimering Behandlar vi enbart Personuppgifter som är adekvata, nödvändiga och relevanta för att uppfylla de ändamål som de blev insamlade för. Vi Behandlar främst nedan angivna kategorier av Personuppgifter som vi kan få tillgång till:

• Identifikationsuppgifter: förnamn, efternamn, profilbild/foton/video, personnummer eller motsvarande.
• Kontaktuppgifter: telefonnummer, e-postadress, adress och, om tillämpligt, användar-ID till sociala medier.
• Arbetsrelaterade uppgifter: arbetsgivare, titel, verksamhetsområde, avdelning, CV & personligt brev, registreringsnummer för fordon m.m.
• Övriga Personuppgifter: eventuella övriga Personuppgifter som blir lämnade till oss, exempelvis sådana som blir inkluderade i ett meddelande som skickas till oss.

Behandling av Personuppgifter

I enlighet med principen om ändamålsbegränsning, Behandlar vi enbart Personuppgifter för särskilda, uttryckligt angivna och berättigade ändamål. Dessutom är varje Behandling lagligt grundad i enlighet med bestämmelserna i GDPR.

Vi Behandlar Personuppgifter främst med stöd i någon av följande lagliga grunder:

1. Avtal,
2. Samtycke,
3. Intresseavvägning,
4. Rättslig förpliktelse.

I vissa fall är det valfritt för dig att lämna dina Personuppgifter till oss. Men om du till exempel inte lämnar in dina Personuppgifter, kanske vi inte kan tillhandahålla den begärda supporten eller hantera ärendet.

Du kan även behöva delge dina Personuppgifter för att kunna ingå ett avtal med oss eller för att vi ska kunna uppfylla rättsliga eller avtalsenliga förpliktelser. Du kommer dock inte att drabbas av några negativa juridiska konsekvenser om du inte delger dina Personuppgifter till oss, under förutsättning att inte annat uttryckligen anges.

När en Behandling av dina Personuppgifter baseras på ditt samtycke, har du rätt att när som helst återkalla samtycket, utan att detta påverkar lagligheten av Behandlingen på grundval av samtycket innan detta återkallades.

När vi Behandlar Personuppgifter sker med stöd i Intresseavvägning som laglig grund, är vår bedömning att Behandlingen inte utgör något intrång i din rätt till privatliv och integritet. Detta har vi kommit fram till, efter att ha gjort en avvägning mellan å ena sidan vad Behandlingen ifråga innebär för dina intressen samt rätt till privatliv, och å andra sidan vårt berättigade intresse till Behandlingen ifråga. Vi Behandlar aldrig känsliga Personuppgifter med stöd i Intresseavvägning som laglig grund.

Laglig grund och ändamål med Behandlingen

Nedan kan du läsa mer om laglig grund och ändamål med vår Behandling av Personuppgifter.

1. När du besöker Webbplatsen:

Webbplatsen använder cookies. Användningen av icke-nödvändiga cookies sker enbart om du lämnar ditt samtycke till det. Du kan när som helst återkalla ett lämnat samtycke (utan att detta påverkar lagligheten av Behandlingen som utförts med stöd i samtycket innan det blev återkallat). Laglig grund för ovan angiven Behandling: Samtycke.

Du kan läsa mer information om hur vi använder cookies på Webbplatsen i vår Cookiepolicy

2. Vid kontakt

När vi får kontakt med dig via e-post, telefon eller sociala medier:

Vi kan få kontakt med dig via e-post, telefon eller sociala medier. Vid sådana fall får vi tillgång till dina Personuppgifter som framgår i samband med sådan kontakt. Exempelvis följande kategorier av Personuppgifter: förnamn, efternamn, telefonnummer, e-postadress, användar-ID från sociala medier (om tillämpligt), meddelandeinnehåll och andra uppgifter som du anger till oss i samband med kontakt.

Ändamålet med vår behandling av dessa uppgifter är dels att vi ska kunna veta vem vi pratar med, dels att kunna hålla kontakten med dig i ärendet.

Enligt vår bedömning har både vi och du ett berättigat intresse till att Personuppgifterna Behandlas för ovan angivna ändamål. Vår bedömning är även att Behandlingen är nödvändig för ändamål som rör ett berättigat intresse, och att ditt intresse av skydd för dina Personuppgifter inte väger tyngre, och att Behandlingen ifråga inte gör intrång i dina grundläggande rättigheter och friheter.

Tillhandahållandet av Personuppgifterna till oss är frivilligt, vilket innebär att det inte är ett lagstadgat eller avtalsenligt krav. Det är inte heller ett krav som är nödvändigt för att ingå ett avtal med oss och du är inte skyldig att tillhandahålla Personuppgifterna, men de möjliga följderna av att sådana uppgifter inte lämnas, är att vi inte kommer att kunna hantera ärendet.

Laglig grund för ovan angiven Behandling: Intresseavvägning.

När du kontaktar oss via kontaktformulär på Webbplatsen:

Du kan kontakta oss genom att skicka ett meddelande till oss via de kontaktformulär som finns på Webbplatsen. Då får vi tillgång till följande kategorier av Personuppgifter: namn, e-postadress, telefonnummer och eventuella övriga Personuppgifter som du inkluderar i meddelandet.

Tillhandahållandet av namn, e-postadress, ifyllande av ämnesraden och ett meddelande är obligatoriskt att ange i kontaktformuläret, för att meddelandet ifråga ska kunna skickas till oss.

Däremot är tillhandahållandet av dina Personuppgifter via kontaktformuläret inte ett lagstadgat eller avtalsenligt krav eller ett krav som är nödvändigt för att ingå ett avtal med oss, och du är inte skyldig att tillhandahålla Personuppgifterna. Däremot är de möjliga följderna av att sådana uppgifter inte lämnas, att meddelandet inte kommer att kunna skickas till oss.

Innan meddelandet skickas till oss, lämnar du ditt aktiva samtycke till att vår Behandling av dina Personuppgifter sker i enlighet med ovan, genom att kryssa i en kryssruta för godkännande. 

Laglig grund för ovan angiven Behandling: Samtycke.

3. När vi ingår ett avtal:

När vi ingår ett avtal med en fysisk eller juridisk person, behandlar vi de Personuppgifter som blir lämnade till oss i samband med avtalets ingående samt sådana som lämnas till oss inom avtalstiden.

Exempelvis information om avtalsparten och Personuppgifter tillhörande eventuella kontaktpersoner och/eller firmatecknare, såsom namn, e-postadress och telefonnummer.

Vi Behandlar dessa Personuppgifter för att kunna fullgöra köpeavtalet, såsom att genomföra betalning och fullfölja övriga avtalsenliga förpliktelser.

Tillhandahållandet av ovan angivna uppgifter är nödvändigt för att vi ska ingå ett avtal med avtalsparten ifråga. De möjliga följderna av att sådana uppgifter inte lämnas till oss är att vi inte kan ingå avtalet eller fullgöra våra avtalsenliga förpliktelser.

Laglig grund för ovan angiven Behandling: Avtal.

4. I samband med vår bokföring

Vi behandlar följande bokföringsunderlag inom ramen för vår verksamhet: fakturor, kvitton och annat bokföringsunderlag som vi är skyldiga att Behandla och lagra enligt Skatteverkets krav och/eller vid var tid gällande lagstiftning, såsom bokföringslagen (1999:1078).

Bokföringsunderlag och verifikationer kan i vissa fall innehålla Personuppgifter, såsom namn, adress, orderinformation och eventuella övriga kontaktuppgifter tillhörande fysiskt levande personer (exempelvis referenspersoner, firmatecknare eller liknande). Sådant underlag lagras så länge som lagen och/eller Skatteverket kräver det (i enlighet med principen om lagringsminimering).

Laglig grund för ovan angiven Behandling: Rättslig förpliktelse.

5. När du tar emot nyhetsbrev från oss:

Du kan samtycka till att få nyhetsbrev från oss genom att lämna ditt aktiva samtycke till att vi får Behandla din e-postadress för att skicka nyhetsbrev till dig. Det är frivilligt att tillhandahållna din e-postadress till oss för detta ändamål, vilket innebär att det inte är ett lagstadgat eller avtalsenligt krav eller ett krav som är nödvändigt för att ingå ett avtal med oss, och du är inte skyldig att tillhandahålla din e-postadress, men de möjliga följderna av att du inte anger din e-postadress till oss är att vi inte kommer att skicka våra nyhetsbrev till dig.

Du kan när som helst säga upp din prenumeration genom att klicka på avregistreringslänken i nyhetsbrevet och därmed återkalla ditt samtycke. Om du återkallar ditt samtycke, ska vi inte fortsätta skicka nyhetsbrev till dig.

Laglig grund för ovan angiven Behandling: Samtycke.

Vi kan även skicka nyhetsbrev till din e-postadress som du tidigare har angivit till oss, exempelvis i samband med att ett avtal med oss har ingåtts eller som du har angivit i samband med övrig kontakt med oss (såsom genom meddelanden eller i samband med konferens, mässa eller liknande). Behandlingen av din e-postadress sker då av marknadsföringsändamål, för att vi ska skicka information till dig om vår verksamhet, som vi bedömer kan vara av intresse för dig.

Enligt vår bedömning har både vi och du ett berättigat intresse till att Personuppgifterna Behandlas för ovanstående syfte. Behandlingen är nödvändig för ett ändamål som rör ett berättigat intresse, och ditt intresse av skydd för dina Personuppgifter väger inte tyngre än vårt berättigade intresse att marknadsföra vår verksamhet. Vår bedömning är att Behandlingen ifråga inte gör intrång i dina grundläggande rättigheter och friheter.

Laglig grund för ovan angiven Behandling: Intresseavvägning.

Avprenumerera från nyhetsbreven

Ifall du inte längre vill få nyhetsbrev eller marknadsföring från oss via e-post, kan du när som helst motsäga dig detta genom att klicka på länken för avprenumeration längst ner i varje e-postutskick.

Om du avprenumererar från nyhetsbreven, kommer du att tas bort från e-postlistan för mottagare av nyhetsbreven, men din e-postadress kommer att finns kvar i databasen med en blockering för mottagande av nyhetsbrev. Syftet med detta, är att se till att du inte tar emot flera nyhetsbrev från oss. Enligt vår bedömning har både vi och du ett berättigat intresse till att Personuppgifterna Behandlas för detta syfte. Behandlingen är nödvändig för ett ändamål som rör ett berättigat intresse, och att ditt intresse av skydd för dina Personuppgifter inte väger tyngre. Vår bedömning är att Behandlingen ifråga inte gör intrång i dina grundläggande rättigheter och friheter.

Laglig grund för ovan angiven Behandling: Intresseavvägning.

Om du vill att din e-postadress ska raderas även från blocklistan, kan du kontakta vår support via e-post och begära detta. Du informeras härmed om att ifall din e-postadress raderas från blocklistan, innebär det att du kan få nyhetsbrev från oss igen om du eller någon annan registrerar din e-postadress för att ta emot nyhetsbrev på nytt.

6. Marknadsföring av vår verksamhet

Vi informerar dig härmed om att vi kan behandla din e-postadress som vi har fått tillgång till, för marknadsföringsändamål, exempelvis för att genomföra marknadsföring av vår verksamhet via sociala medier och annonsering på internet, genom att använda e-postadressen för att utföra riktad marknadsföring. Vi kan exempelvis få tillgång till din e-postadress genom att vi har kommit i kontakt med dig på mässor, via meddelanden (kontaktformulär) eller i samband med att ett avtal har ingåtts.

På vår webbplats har vi även publicerat profilbilder på våra medarbetare och styrelseledamöter inklusive namn och arbetsrelaterade kontaktuppgifter, för att underlätta kontakten med samarbetspartners, kunder, leverantörer och övriga intressenter, där den personliga kontakten och förtroendet är viktigt.

Vi Behandlar även Personuppgifter i vårt CRM-system som vi använder inom verksamheten, för att registrera kontaktuppgifter tillhörande bland annat firmatecknare och/eller övriga representanter för befintliga och/eller potentiella intressenter, kunder, samarbetspartners och leverantörer. Syftet med behandlingen är för att kunna kontakta dessa och hantera/planlägga kontakten. De Personuppgifter som kan komma att Behandlas i CRM-system är: namn, e-postadress och telefonnummer samt information om titel och arbetsgivare och eventuella andra uppgifter som vi bedömer är viktiga att notera.

Enligt vår bedömning har vi ett berättigat intresse till att ovan angivna Personuppgifter Behandlas för att marknadsföra vår verksamhet och att möjliggöra kontakt med ovan angivna personer. Behandlingen är nödvändig för ett ändamål som rör vårt berättigade intresse, och den Registrerades intresse av skydd för sina Personuppgifter väger inte tyngre än vårt berättigade intresse. Vår bedömning är att Behandlingen ifråga inte gör intrång i den Registrerades grundläggande rättigheter och friheter.

Laglig grund för ovan angiven Behandling: Intresseavvägning.

7. Övriga ändamål för vår Behandling av Personuppgifter:

Rättslig förpliktelse:Om vi är skyldiga enligt lag, domstols- eller myndighetsbeslut att Behandla vissa Personuppgifter, sker Behandlingen med stöd i denna lagliga grund. Behandlingen sker i sådana fall enbart i den utsträckning det är nödvändigt för att vi ska uppfylla våra rättsliga förpliktelser.

Uppfyllelse av avtalsenliga förpliktelser: Vi har rätt att Behandla Personuppgifter med stöd i den lagliga grunden “Avtal“, för att ingå ett avtal med den Registrerade och/eller uppfylla våra skyldigheter enligt ett ingått avtal med den Registrerade.

Intresseavvägning: Baserat på vårt berättigade intresse och med intresseavvägning som laglig grund, kan vi Behandla Personuppgifter för att skydda oss mot missbruk, brott, bedrägeri, intrång eller annan skadegörelse av vår egendom, genom att anmäla sådana händelser och delge nödvändiga uppgifter till relevanta myndigheter, exempelvis Polisen eller Integritetskyddsmyndigheten.

Lagringsplats och lagringstid

Vi strävar efter att lagra samtliga Personuppgifter som vi Behandlar inom EU/EES-området, i enlighet med principen om integritet och konfidentialitet. Om Personuppgifter blir lagrade i ett land utanför EU/EES-området, ska vi se till att sådan lagringsplats säkerställer en adekvat skyddsnivå i enlighet med bestämmelserna i GDPR och SCC.

Personuppgifter blir enligt huvudregeln lagrade så länge de är nödvändiga för att fullgöra de ändamål som de blev insamlade för. När Personuppgifterna inte längre behöver vara lagrade för ändamålen, blir de antingen raderade (gallrade) eller anonymiserade, i enlighet med principen om lagringsminimering.

Identifikationsuppgifter, kontaktuppgifter och finansiella uppgifter tillhörande våra avtalsparter blir lagrade i upp till sju (7) år efter en genomförd affär. Detta lagras för att vi ska kunna matcha en betalning mot ett kvitto/faktura under tiden vi är skyldiga att lagra sådant bokföringsunderlag i enlighet med vid var tid tillämplig lagstiftning.

Vi följer interna riktlinjer och skriftliga rutiner avseende gallring av Personuppgifter, för att säkerställa att Behandlingen av Personuppgifterna sker i enlighet med GDPR.

Överföring av Personuppgifter

Personuppgifter som vi Behandlar, delas inte med obehöriga personer. Däremot kan vi överföra Personuppgifter till någon annan, exempelvis myndigheter om det är nödvändigt för att förebygga, upptäcka, förhindra eller utreda brottslig aktivitet, för att skydda våra intressen och vår egendom, om vi är skyldiga att utlämna uppgifterna enligt tillämplig lagstiftning m.m.

Vi kan även dela Personuppgifter till anlitade Personuppgiftsbiträden, för att bland annat tillvarata våra rättsliga intressen och fullgöra våra avtalsenliga och rättsliga förpliktelser. Exempel på tjänsteleverantörer som vi anlitar är konsulter, leverantörer av molnlagring, redovisningsbyrå m.fl.

Innan vi delar några Personuppgifter till anlitade tjänsteleverantörer, ingår vi ett personuppgiftsbiträdesavtal med dem i enlighet med bestämmelserna i GDPR (alternativt SCC om Personuppgiftsbiträdet befinner sig i ett land utanför EU/EES-området). Detta sker för att säkerställa en säker och korrekt Behandling av Personuppgifterna.

Vi kan komma att överföra Personuppgifter till tillsynsmyndigheter, andra offentliga enheter, juridiska rådgivare, externa konsulter och partners, i enlighet med tillämplig dataskyddslagstiftning, om det görs för att vi ska kunna uppfylla rättsliga skyldigheter eller för att uppfylla vårt berättigade intresse.

I händelse av en fusion eller ett förvärv av vårt företag kan Personuppgifter överföras till tredje parter som är involverade i affären.

Vi har kommit fram till att vi har ett berättigat intresse av att Personuppgifterna Behandlas för det ändamål som anges ovan, och att vårt berättigade intresse inte utgör ett intrång i din rätt till integritet. Laglig grund för ovan angivna Behandlingar: Intresseavvägning.

Tekniska och organisatoriska säkerhetsåtgärder

Vi vidtar och implementerar olika tekniska och organisatoriska säkerhetsåtgärder med fokus på de Registrerades integritet. Åtgärderna avser att skydda mot intrång, missbruk, förlust, förstöring och andra förändringar som kan innebära en risk för integriteten (enligt principen om integritet och konfidentialitet).

Nedan följer exempel på några säkerhetsåtgärder som vi vidtar och implementerar:

• Vi har upprättat interna rutiner med instruktioner avseende Behandling av Personuppgifter som våra medarbetare ska följa.
• Interna rutiner och policys genomgås regelbundet, minst årligen samt vid behov.
• Vi har utsett en kontaktperson för personuppgiftsärenden som svarar direkt till bolagets högsta ledning. Kontaktpersonens kontaktuppgifter anges längre ned i denna integritetspolicy.
• Våra medarbetare är förpliktigade att iaktta sekretess beträffande bland annat Personuppgifter som Behandlas inom ramen för verksamheten.
• Åtkomst till våra databaser, IT-system och digitala lagringsplatser där Personuppgifter förekommer, kräver lösenord.
• Vi följer de grundläggande dataskyddsprinciperna vid all Behandling av Personuppgifter. Principerna finns dokumenterade i våra interna rutiner.

Registrerades rättigheter enligt GDPR

Enligt GDPR har du i egenskap av Registrerad följande rättigheter avseende Behandling av dina Personuppgifter:

• Rätt till information: Du har rätt att få information om vår insamling och användning av dina Personuppgifter, när dina Personuppgifter Behandlas av oss. Denna Integritetspolicy har upprättats för att ge dig informationen om vår Behandling av Personuppgifter. Dessutom har du rätt att få information om Behandlingen vid begäran. Vid vissa fall ska vi också informera dig om det inträffar en personuppgiftsincident som berör dina personuppgifter, såsom ett dataintrång. 
  
• Rätt till tillgång: Du har rätt till information om ifall vi Behandlar dina Personuppgifter eller inte, samt rätt att ta del av dina Personuppgifter som vi Behandlar och information om hur Personuppgifterna används. I det fall vi Behandlar dina Personuppgifter, har du rätt att få en kopia av de Behandlade Personuppgifterna i form av ett registerutdrag (en sammanställning av Personuppgifterna som vi Behandlar om dig). En sådan kopia är gratis att begära, men om du begär kopior regelbundet har vi rätt att debitera en administrativ avgift. Du har även rätt att få information om bland annat: vilka kategorier av Personuppgifter som vi Behandlar, syftet med Behandlingen, tidsfristen för Behandlingen, hur vi har samlat in Personuppgifterna, vilka som fått ta del av Personuppgifterna m.m. Syftet med registerutdraget är att du ska kunna kontrollera uppgifternas laglighet och riktighet. Detta innebär dock inte att du har rätt att få ut dokumenten som innehåller de Behandlade Personuppgifterna.
  • Undantag från rätten till tillgång: Det kan förekomma situationer då utlämnandet av vissa uppgifter skulle medföra nackdelar för andra personer, att annan lagstiftning eller andra undantag hindrar utlämnandet av vissa uppgifter eller registerutdrag. Vid sådana situationer får vi inte lämna ut uppgifterna ifråga och det kan därmed finnas information om dig som du inte har rätt att få tillgång till.
    
• Rätt till rättelse: Vi ansvarar för att se till att Personuppgifter som vi Behandlar är korrekta och uppdaterade över tid. Däremot kan det hända det att Personuppgifter är felaktiga eller ofullständiga. Om vi skulle Behandla Personuppgifter om dig som är felaktiga eller ofullständiga, har du rätt att vända dig till oss för att få dina Personuppgifter korrigerade. Efter att vi har korrigerat uppgifterna, meddelar vi dig om detta, under förutsättning att det inte är för betungande för oss.
  
• Rätt till radering: Vi ska radera dina Personuppgifter på din begäran, om uppgifterna inte längre behövs för de ändamål som de samlades in för. Detta är även kallat för “rätten att bli bortglömd”. Dessutom finns det fler tillfällen då vi ska radera dina Personuppgifter som vi Behandlar. Till exempel när: de inte längre är nödvändiga för ändamålet de blev insamlade för, när den rättsliga grunden är samtycke och du återkallar samtycket, vid din motsättning till direktmarknadsföring, om Behandlingen inte är laglig m.m. När vi raderar Personuppgifterna på din begäran, ska vi informera dig efter att raderingen har utförts, under förutsättning att det är möjligt och inte för betungande för oss.
  • Undantag från rätten till radering: Vi har dock rätt att fortsätta Behandla dina Personuppgifter, och därmed inte radera personuppgifterna trots din begäran därom, om Behandlingen exempelvis är nödvändig för: a) att tillgodose rätten till yttrande- och informationsfrihet, b) att uppfylla en rättslig förpliktelse, c) att utföra en uppgift som ett led i myndighetsutövning eller av allmänt intresse, d) att försvara, fastställa eller göra gällande rättsliga anspråk, e) arkiveringsändamål  av allmänt intresse eller statistiska, historiska eller vetenskapliga ändamål, eller f) för skäl av allmänt intresse inom folkhälsoområdet.
    
• Rätt till begränsning: I vissa fall har du rätt att begära att vår Behandling av dina Personuppgifter begränsas. Det innebär att Personuppgifterna enbart får bli Behandlade i framtiden för det avgränsande syftet. Exempel på ett tillfälle då denna rättighet är tillämplig för dig, är om Personuppgifter som vi Behandlar är felaktiga och du ber oss att rätta dem.
  
• Rätt att flytta dina personuppgifter: Du har rätt att begära att vi överför dina personuppgifter till dig eller någon annan tredje part. Denna rättighet är även kallad för “rätten till dataportabilitet”. Du informeras härmed om att denna rättighet enbart är tillämplig om Behandlingen av Personuppgifterna utförs automatiskt, och enbart om vår Behandling sker för att genomföra ett avtal som du är en avtalspart i eller grundas på ditt samtycke. På din begäran om att flytta dina Personuppgifter, kommer vi att tillhandahålla dina Personuppgifter i ett strukturerat, vanligt använt, maskinläsbart format. Överföring av Personuppgifterna till ett annat företag sker dock enbart om det är tekniskt genomförbart.
  
• Rätt till invändning: Du har rätt att göra invändningar när dina Personuppgifter blir Behandlade för att utföra en uppgift av allmänt intresse, som ett led i myndighetsutövning eller när de blir Behandlade efter en intresseavvägning. Om du gör en invändning enligt denna rättighet ska vi upphöra med Behandlingen, såvida inte vårt intresse väger tyngre än dina intressen, rättigheter och friheter. Om så är fallet kommer vi att informera dig om den intresseavvägning som vi har gjort och våra intressen. Om vi Behandlar dina Personuppgifter för att utföra direktmarknadsföring, har du däremot rätt att begära att vi upphör med Behandlingen av dina Personuppgifter för det ändamålet. Vid sådana fall ska vi även informera dig om när vi raderat Personuppgifterna om du begär det.
  
• Rättigheter när beslut fattas automatiskt:Kort sagt handlar automatiserade beslut om Behandling som är automatisk, exempelvis genom algoritmer, där Personuppgifter Behandlas för att bedöma och analysera personliga egenskaper hos en person. Automatiserade beslut kan ha rättsliga följder för den Registrerade eller påverka den Registrerade på andra betydande sätt, och om så sker har den Registrerade rätt att inte bli föremål för det automatiserade beslutet. Om ett automatiserat beslut har fattats, med eller utan profilering, har du rätt få det automatiserade beslutet granskat eller för att bestrida det. 

Hur du utövar rättigheterna

Du varmt välkommen att kontakta oss via kontaktuppgifterna som framgår nedan, om du skulle vilja åberopa någon av ovan angivna rättigheter avseende dina Personuppgifter som vi Behandlar.

Det är kostnadsfritt att utöva rättigheterna, under förutsättning att dina förfrågningar inte är överdrivna, upprepade eller uppenbart ogrundade. Vid sådana fall har vi rätt att debitera en rimlig avgift för att hantera din begäran eller rätt att neka utförandet av din begäran.

Innan vi hanterar eller svarar på din begäran, kan vi komma att begära kompletterande information från dig om det behövs för att vi ska kunna bekräfta din identitet.

Vi kommer att informera dig om vår hantering av din begäran utan dröjsmål och senast inom en månad efter att vi mottagit begäran. Om begäran är komplex eller om vi exempelvis har fått in ett stort antal förfrågningar, kan denna tidsperiod bli förlängd med ytterligare två månader. I sådana fall kommer vi att meddela din om förlängningen inom den första månaden efter att vi mottagit din begäran.

Om vi inte kan uppfylla din begäran på grund av tillämplig lagstiftning eller andra undantag, kommer vi att meddela dig om detta samt informera om skälen till varför vi inte kan uppfylla din begäran med de begränsningar som följer av lag.

Personuppgiftsincidenter

Enligt GDPR innebär en personuppgiftsincident en säkerhetsincident som orsakat att Behandlade Personuppgifter blivit förstörda, gått förlorade, blivit ändrade eller kommit obehörig person tillhanda. En incident kan se avsiktligt eller oavsiktligt, exempelvis genom oaktsamhet eller på grund av brott (dataintrång m.m.).

Tillsynsmyndigheter är oberoende offentliga myndigheter. Varje land inom EU har utsett var sin tillsynsmyndighet för att hantera GDPR-relaterade ärenden. I Sverige är det Integritetsskyddsmyndigheten (IMY) som är tillsynsmyndigheten.

Vi följer bestämmelserna i GDPR avseende hantering, anmälning och dokumentation av personuppgiftsincidenter. När det krävs enligt GDPR, kommer vi att anmäla inträffade personuppgiftsincidenter till IMY inom 72 timmar, och meddela de Registrerade som berörs av inträffad personuppgiftsincident.

Ändringar

Innehållet i denna Integritetspolicy kan komma att uppdateras från tid till annan, utan föregående meddelande om detta. Exempelvis om det är nödvändigt för att förtydliga något, på grund av ändrad eller nytillkommen lagstiftning eller om vår Behandling av Personuppgifter förändras.

Den senaste versionen finns alltid publicerad på Webbplatsen som är tillgänglig för allmänheten. Du ansvarar själv för att läsa igenom innehållet i denna Integritetspolicy samt hålla dig uppdaterad om eventuella ändringar.

Frågor eller klagomål

Om du har frågor eller funderingar, eller är missnöjd över vår Behandling av dina Personuppgifter, är du alltid välkommen att kontakta oss.

Nedan följer våra företags- och kontaktuppgifter:
Firma: Flowocean AB
Org. nr: 556935–6974
E-post: info@flowocean.com
Postadress: Skivfilargränd 4, 721 30 Västerås

Vår kontaktperson för Personuppgiftsärenden:
Vi har även utsett en kontaktperson för Personuppgiftsärenden som du kan kontakta om du har frågor avseende vår Behandling av Personuppgifter.
Namn: Cristoffer Kos
E-post: cristoffer.kos@flowocean.com

Du har också rätt att kontakta den svenska tillsynsmyndigheten för att lämna klagomål eller har frågor om GDPR och behandling av personuppgifter.
Namn: Integritetsskyddsmyndigheten (IMY).
Telefon: 08-657 61 00.
E-post: imy@imy.se.
Postadress: Integritetsskyddsmyndigheten, Box 8114, 104 20 Stockholm.

---

Privacy policy (English)

Introduction

In this Privacy Policy, you can read about how Flowocean AB with company registration number 556935–6974 (referred to below as “we”, “our”, “us”) Processes Personal Data. References to “you” and/or “your” refer to the Data Subject whose Personal Data we Process.

Here we have compiled information about, among other things:

• which Personal Data we Process,
• why the Processing takes place,
• where the Personal Data is stored,
• to whom Personal Data may be shared,
• what rights the Data Subjects have according to the GDPR, as well as
• other information about our Processing of Personal Data.

This Privacy Policy covers all types of Personal Data, in both structured and unstructured data.

We review the content of this Privacy Policy at least once a year and when necessary, to ensure that the information is correct and up-to-date. The latest version is always published on our website.

Definitions

The following terms shall have the meanings set forth below, both when expressed in the plural and singular:

Website: www.flowocean.com

Personal Data: All data that, directly or indirectly, alone or together with other data, can be linked to an identified or identifiable physical living person, is Personal Data according to the GDPR. Common examples of Personal Data are: name, telephone number, address, e-mail address, user ID, credit card number, vehicle registration number, IP address, etc.

Data Subject: The natural person who can be identified through the Personal Data.

Processing: Processing of Personal Data can take place in different ways. Everything that is made with Personal Data, automated or otherwise, is a form of Processing. Processing can take place through an individual measure or through a combination of different measures. Examples of common Processes of Personal Data are the following: storage, erasure, sharing, usage, registration, copying, collection, organization, use, adjustment, destruction, etc.

Controller: The person/entity who determines the purpose of a certain Processing of Personal Data and how the Processing is to be carried out, is according to the GDPR to be considered as the Controller. Natural persons, legal persons, authorities, institutions or other bodies can be Controllers.

Processor: Anyone who Processes Personal Data on behalf of a Controller and according to the Controller’s instructions, is to be considered a Processor.

Third party: Third party means someone other than the Controller (and the persons authorized to Process the Personal Data), Data Subject or the Processor (and the persons authorized to Process the Personal Data). The third party can be a legal person or a natural person, institution, authority or other body.

GDPR: Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of Personal Data and on the free movement of such data and repealing Directive 95/46/EC (General Data Protection Regulation).

SCC: Commission implementing decision (EU) 2021/914 of 4 June 2021 on standard contractual clauses for the transfer of Personal Data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council, or later updated version.

Any other GDPR-related terms not defined here shall have the same meaning in this Privacy Policy as set forth in article 4 of the GDPR.

Personal Data Controller

We are the Controller for all Processing of Personal Data carried out by us or on our behalf, to the extent that we determine the means and purposes of the Processing (according to the principle of liability).

Unless otherwise stated in this Privacy Policy, we are the Controller for the Processing described.

We Process all Personal Data that we gain access to with care and do not share the Personal Data with unauthorized persons or actors. Our Processing of Personal Data takes place in accordance with the GDPR (and SCC where applicable) and the basic data protection principles.

How we access Personal Data

The most common ways we receive Personal Data are as follows:

• when a person contacts us,
• when we enter into an agreement with a natural or legal person,
• in connection with fulfilling an agreement that we have entered into,
• when a person registers to receive newsletters from us, or
• when we gain access to Personal Data from other people, public records or other sources.

To whom the Personal Data that we mainly process belong

The Data Subjects mainly consist of the following categories:

• Our shareholders and board members.
• Our hired consultants and other employed employees.
• Representatives or employees of our customers, suppliers and collaboration partners (for example, signatories and/or contact persons).
• Potential customers’ representatives or employees (for example, company signatories and/or contact persons).
• Other people who contact us for any reason, for example job seekers or other interested parties.

Personal Data we primarily Process

In accordance with the principle of data minimization, we only process Personal Data that is adequate, necessary and relevant to fulfill the purposes for which it was collected. We primarily process the following categories of Personal Data to which we can gain access:

• Identification data: first name, last name, profile picture/photos/video, social security number or equivalent.
• Contact information: phone number, email address, address and, if applicable, social media user ID.
• Work-related information: employer, title, area of activity, department, CV & cover letter, vehicle registration number, etc.
• Other Personal Data: any other Personal Data that is provided to us, for example such that is included in a message sent to us.

Processing of Personal Data

In accordance with the principle of purpose limitation, we only Process Personal Data in our capacity of Controller for special, explicitly stated and justified purposes. In addition, all Processing is legal in accordance with the provisions of the GDPR.

We Process Personal Data primarily with the support of one of the following legal basis:

1. Agreement,
2. Consent,
3. Legitimate interest,
4. Legal obligation.

In some cases, it is optional for you to provide your Personal Data to us. However, if, for example, you do not submit your Personal Data, we may not be able to provide the requested support or handle the matter.

You may also need to share your Personal Data in order to be able to enter into an agreement with us or for us to be able to fulfill legal or contractual obligations. However, you will not suffer any negative legal consequences if you do not share your Personal Data with us, unless otherwise expressly stated.

When a Processing of your Personal Data is based on your consent, you have the right to withdraw the consent at any time, without this affecting the legality of the Processing based on the consent before this was withdrawn.

When we Process Personal Data with the support of Legitimate interest as the legal basis, our assessment is that the Processing does not constitute an infringement of your right to privacy and integrity. We have come to this conclusion, after having made a balance between, on the one hand, what the Processing in question means for your interests and right to privacy, and on the other hand, our legitimate interest in the Processing in question. We never Process sensitive Personal Data with the support of Legitimate interests as the legal basis.

Legal basis and purpose of the Processing

Below you can read more about the legal basis and purpose of our Processing of Personal Data.

1. When you visit our Website:

The website uses cookies. The use of non-necessary cookies only takes place if you give your consent to it. You can revoke a given consent at any time (without this affecting the legality of the Processing carried out with the support of the consent before it was revoked). Legal basis for the above-mentioned Processing: Consent.

You can read more information about how we use cookies on the Website in our cookie policy: Cookie policy.

2. In connection with our contact

When we contact you through email, phone or social media:

We may get in contact with you through email, telephone or social media. In such cases, we gain access to your Personal Data that appears in connection with such contact. For example, the following categories of Personal Data: first name, last name, phone number, email address, user ID from social media (if applicable), message content and other information that you provide to us in connection with contact.

The purpose of our Processing of this information is partly to enable us to know who we are talking to, and partly to be able to keep in touch with you regarding the matter.

In our opinion, both we and you have a legitimate interest in the Personal Data being Processed for the purposes stated above. Our assessment is also that the Processing is necessary for purposes related to a legitimate interest, and that your interest in the protection of your Personal Data does not outweigh, and that the Processing in question does not infringe on your fundamental rights and freedoms.

The provision of Personal Data to us is voluntary, which means that it is not a statutory or contractual requirement. It is also not a requirement that is necessary to enter into a contract with us and you are not obliged to provide the Personal Data, but the possible consequences of not providing such data is that we will not be able to handle the matter.

Legal basis for the above-mentioned Processing: Legitimate interest.

When you contact us though the contact form on the Website:

You can contact us by sending us a message through the contact forms available on the Website. We then get access to the following categories of Personal Data: name, e-mail address, telephone number and any other Personal Data that you include in the message.

The provision of name, e-mail address, completion of the subject line and a message is mandatory in the contact form, in order for the message in question to be sent to us.

However, the provision of your Personal Data through the contact form is not a statutory or contractual requirement or a requirement necessary to enter into a contract with us, and you are not obliged to provide the Personal Data. However, the possible consequences of not providing such information are that the message will not be able to be sent to us.

Before the message is sent to us, you give your active consent to our Processing of your Personal Data in accordance with the above, by ticking a checkbox for approval.

Legal basis for the aforementioned processing: Consent.

3. When we enter into an agreement:

When we enter into an agreement with a natural or legal person, we process the Personal Data that is provided to us in connection with the conclusion of the agreement as well as those that are provided to us within the agreement period.

For example, information about the contracting party and Personal Data belonging to any contact persons and/or company signatories, such as name, e-mail address and telephone number.

We Process this Personal Data in order to fulfill the agreement, such as making payment and fulfilling other contractual obligations.

The provision of the information specified above is necessary for us to enter into an agreement with the contracting party in question. The possible consequences of such information not being provided to us is that we cannot enter into the contract or fulfill our contractual obligations.

Legal basis for the above-mentioned Processing: Agreement.

4. In connection with our accounting

We process the following accounting documents within the scope of our business: invoices, receipts and other accounting documents that we are obliged to Process and store according to the requirements of the Swedish Tax Agency and/or the legislation in force at any time, such as the Swedish Accounting Act (1999:1078).

Accounting records and verifications may in some cases contain Personal Data, such as name, address, order information and any other contact information belonging to physically living persons (for example, reference persons, company signatories or similar). Such data is stored as long as the law and/or the Swedish Tax Agency requires it (in accordance with the principle of storage limitation).

Legal basis for the above-mentioned Processing: Legal obligation.

5. When you receive newsletters from us:

You can consent to receive newsletters from us by providing your active consent for us to process your email address in order to send you newsletters. Providing your email address to us for this purpose is voluntary, which means that it is not a legal or contractual requirement or a requirement necessary to enter into a contract with us, and you are under no obligation to provide your email mailing address, but the possible consequences of not providing your email address to us is that we will not send you our newsletters.

You can cancel your subscription at any time by clicking on the unsubscribe link in the newsletter and thereby withdraw your consent. If you withdraw your consent, we will not continue to send you newsletters.

Legal basis for the aforementioned processing: Consent.

We can also send newsletters to your e-mail address that you have previously provided to us, for example in connection with the conclusion of an agreement with us or that you have provided in connection with other contact with us (such as through messages or in connection with conferences, trade fairs or similar). The Processing of your e-mail address then takes place for marketing purposes, so that we can send you information about our business, which we believe may be of interest to you.

According to our assessment, both we and you have a legitimate interest in the Personal Data being Processed for the above purpose. The Processing is necessary for a purpose related to a legitimate interest, and your interest in the protection of your Personal Data does not outweigh our legitimate interest in marketing our business. Our assessment is that the Processing in question does not infringe your fundamental rights and freedoms.

Legal basis for the above-mentioned Processing: Legitimate interest.

Unsubscribe from newsletters

If you no longer wish to receive newsletters or marketing from us through e-mail, you can unsubscribe at any time by clicking on the unsubscribe link at the bottom of each e-mail.

If you unsubscribe from the newsletters, you will be removed from the email list of recipients of the newsletters, but your email address will remain in the database with a block for receiving newsletters. The purpose of this is to ensure that you do not receive any more newsletters from us. In our assessment, both we and you have a legitimate interest in the Personal Data being Processed for this purpose. The Processing is necessary for a purpose related to a legitimate interest, and that your interest in the protection of your Personal Data is not outweighed. Our assessment is that the Processing in question does not infringe your fundamental rights and freedoms.

Legal basis for the above-mentioned Processing: Legitimate interest.

If you want your email address to be deleted from the block list as well, you can contact our support by email and request this. You are hereby informed that if your e-mail address is deleted from the block list, it means that you can receive newsletters from us again if you or someone else registers your e-mail address to receive newsletters again.

6. Marketing of our business

We hereby inform you that we may Process your e-mail address to which we have obtained access, for marketing purposes, for example to carry out marketing of our business through social media and internet advertising, by using the e-mail address to carry out targeted marketing. We can, for example, gain access to your email address by contacting you at trade fairs, via messages (contact form) or in connection with the conclusion of an agreement.

On our website, we have also published profile pictures of our employees and board members, including names and work-related contact details, to facilitate contact with partners, customers, suppliers and other stakeholders, where personal contact and trust are important.

We also Process Personal Data in our CRM system that we use within the business, to register contact details of, among other things, company signatories and/or other representatives of existing and/or potential stakeholders, customers, partners and suppliers. The purpose of the Processing is to be able to contact them and manage/plan the contact. The Personal Data that may be Processed in CRM systems are: name, e-mail address and telephone number as well as information about title and employer and any other information that we deem important to note.

According to our assessment, we have a legitimate interest in the Personal Data specified above being Processed to market our business and to enable contact with the persons specified above. The Processing is necessary for a purpose related to our legitimate interest, and the Data Subject’s interest in the protection of his Personal Data does not outweigh our legitimate interest. Our assessment is that the Processing in question does not infringe the Data Subject’s fundamental rights and freedoms.

Legal basis for the above-mentioned Processing: Legitimate interest.

7. Other purposes for our Processing of Personal Data:

Legal obligation: If we are obliged by law, court or authority decision to Process certain Personal Data, the Processing takes place with the support of this legal basis. In such cases, the Processing takes place only to the extent necessary for us to fulfill our legal obligations.

Fulfillment of contractual obligations: We have the right to Process Personal Data based on the legal basis “Agreement”, in order to enter into an agreement with the Data Subject and/or fulfill our obligations according to an agreement with the Data Subject.

Legitimate interests: Based on our legitimate interest and with Legitimate interest as a legal basis, we may Process Personal Data to protect ourselves against abuse, crime, fraud, infringement or other damage to our property, by reporting such events and sharing the necessary information with the relevant authorities, for example the Police or the Supervisory authority.

Storage location and storage duration

We strive to store all Personal Data that we Process within the EU/EEA area, in accordance with the principle of integrity and confidentiality. If Personal Data is stored in a country outside the EU/EEA area, we shall ensure that such storage location ensures an adequate level of protection in accordance with the provisions of GDPR and SCC.

According to the main rule, Personal Data is stored as long as it is necessary to fulfill the purposes for which it was collected. When the Personal Data no longer need to be stored for the purposes, they are either deleted (thinned) or anonymized, in accordance with the principle of storage limitation.

Identification data, contact data and financial data belonging to our contractual parties are stored for up to seven (7) years after a transaction has been completed. This is stored in order for us to be able to match a payment against a receipt/invoice during the time we are obliged to store such accounting records in accordance with the legislation applicable at any given time.

We follow internal guidelines and written procedures regarding the erasure of Personal Data, to ensure that the Processing of Personal Data takes place in accordance with the GDPR.

Transfer of Personal Data

Personal Data that we Process is not shared with unauthorized persons. However, we may transfer Personal Data to someone else, for example authorities if it is necessary to prevent, detect, prevent or investigate criminal activity, to protect our interests and our property, if we are obliged to disclose the data according to applicable legislation, etc.

We can also share Personal Data with hired Processors, in order to, among other things, safeguard our legal interests and fulfill our contractual and legal obligations. Examples of service providers that we employ are: consultants, providers of cloud storage, accounting firms, etc.

Before we share any Personal Data with contracted service providers, we enter into a Data Processing Agreement with them in accordance with the provisions of the GDPR (alternatively SCC if the Processor is located in a country outside the EU/EEA area). This is made to ensure safe and correct Processing of Personal Data.

We may transfer Personal Data to regulatory authorities, other public entities, legal advisors, external consultants and partners, in accordance with applicable data protection legislation, if this is made in order for us to fulfill legal obligations or to fulfill our legitimate interest.

In the event of a merger or acquisition of our company, Personal Data may be transferred to third parties involved in the transaction.

We have concluded that we have a legitimate interest in the Personal Data being Processed for the purposes stated above, and that our legitimate interest does not constitute an infringement of your right to privacy. Legal basis for the above-mentioned Processing: Legitimate interest.

Technical and organizational security measures

We implement various technical and organizational security measures with a focus on the privacy of the Data Subjects. The measures are intended to protect against intrusion, misuse, loss, destruction and other changes that may pose a risk to integrity (according to the principle of integrity and confidentiality).

Below are examples of some security measures we take and implement:

• We have established internal procedures with instructions regarding the Processing of Personal Data that our employees must follow.
• Internal routines and policies are reviewed regularly, at least annually and when necessary.
• We have appointed a contact person for Personal Data matters who answers directly to the company’s top management. The contact person’s contact details are stated further down in this Privacy Policy.
• Our employees are obliged to observe confidentiality regarding, among other things, Personal Data Processed within the scope of the business.
• Access to our databases, IT systems and digital storage locations where Personal Data occurs requires a password.
• We follow the basic data protection principles in all Processing of Personal Data. The principles are documented in our internal procedures.

Data Subjects’ rights according to GDPR

According to the GDPR, you as a Data Subject, have the following rights regarding the Processing of your Personal Data:

Right to information: You have the right to receive information about our collection and use of your Personal Data. This Privacy Policy has been established to provide you with the information about our Processing of Personal Data. In addition, you have the right to receive information about the Processing upon request. In some cases, we will also inform you if there is a Personal Data breach that affects your Personal Data.

Right of access: You have the right to information about whether we Process your Personal Data or not, as well as the right to access your Personal Data that we Process and information about how the Personal Data is used. In the event that we Process your Personal Data, you have the right to receive a copy of the Processed Personal Data in the form of a compilation of the Personal Data that we Process about you. You also have the right to receive information about, among other things: which categories of Personal Data we Process, the purpose of the Processing, the duration of the Processing, how we have collected the Personal Data, who has received the Personal Data, etc. The purpose of the compilation is for you to be able to check the legality and accuracy of the information. However, this does not mean that you have the right to obtain the actual documents that contain the Processed Personal Data.

• Exemption from the right of access: There may be situations where the disclosure of certain information would entail disadvantages for other persons, that other legislation or other exceptions prevent the disclosure of certain information or extract from the records of Processing activities. In such situations, we may not disclose the information in question and there may therefore be Personal Data and/or other information about you that you do not have the right to access.

Right to rectification: We are responsible for ensuring that Personal Data that we Process is accurate and updated over time. However, Personal Data may be incorrect or incomplete. If we were to process Personal Data about you that is incorrect or incomplete, you have the right to contact us to have your Personal Data rectified. After we have corrected the information, we will notify you of this, provided that it is not proved to be impossible or would involve excessive effort.

Right to erasure: We will erase your Personal Data at your request, if the data is no longer needed for the purposes for which it was collected. This is also called the “right to be forgotten”. In addition, there are more occasions when we erase your Personal Data that we Process. For example, when they are no longer necessary for the purpose for which they were collected, when the legal basis is consent and you revoke the consent, in your objection to direct marketing, if the Processing is not legal, etc. When we erase the Personal Data at your request, we will inform you after the deletion has been performed, provided that it is not proved to be impossible or would involve excessive effort.

• Exemption from the right to erasure: However, we have the right to continue to Process your Personal Data, and thus not delete the Personal Data despite your request, if the Processing is necessary to: a) satisfy the right to freedom of expression and freedom of information, b) to fulfill a legal obligation, c) to perform a task carried out in the public interest or in the exercise of official authority, d) to defend, establish or assert legal claims, e) archiving purposes of public interest or statistical, historical or scientific purposes, or f) for reasons of public interest in the field of public health.

Right to limitation of Processing: In some cases, you have the right to demand that our Processing of your Personal Data shall be limited. This means that the Personal Data may only be Processed in the future for certain limited purposes. An example of when this right is applicable to you is if your Personal Data that we Process is incorrect and you ask us to rectify it, you may request that our Processing of the Personal Data in question shall be limited until the accuracy of the data has been investigated.

Right to transfer your Personal Data: In some cases, you mighthave the right to request that we transfer your Personal Data that we Process to you or any other third party. This right is also called the right to “data portability”. You are hereby informed that this right only applies if the Processing of Personal Data is performed automatically, and only if our Processing takes place to implement an agreement in which you are a party to a contract or based on your consent. Also, the transfer of Personal Data to another company only takes place if it is technically possible. If you have the right to data portability, we will at your request to move your Personal Data, provide your Personal Data in a structured, commonly used, machine-readable format.

Right to object: You have the right to object when your Personal Data is Processed to perform a task of public interest, as part of the exercise of authority or when it is Processed after a balancing of interest has been made. If you object to our Processing according to this right, we will cease the Processing, unless our interest outweighs your interests, rights and freedoms. If this is the case, we will inform you about the balance of interests we have made and our interests. However, if we Process Your Personal Data for the purpose of performing direct marketing on the legal basis of legitimate interest, you have an absolute right to request that we discontinue the Processing of your Personal Data for that purpose. In such cases, we will also inform you when we have deleted the Personal Data, if you request it.

Rights regarding automated decision-making, including profiling: In short, automated decisions are about Processing that is automatic, for example through algorithms, where Personal Data is Processed to assess and analyze a person’s personal characteristics. Automated decisions can have legal consequences for the Data Subject or affect the Data Subject in other significant ways, and if this happens, the Data Subject has the right not to be the subject of the automated decision. If an automated decision has been made, with or without profiling, you have the right to have the automated decision reviewed or to challenge it.

How to exercise the rights

You are welcome to contact us through the contact information listed below, if you would like to invoke any of the above rights in your capacity of a Data Subject, regarding your Personal Data that we Process as Controller.

Exercising the rights is free of charge, provided that your requests are not exaggerated, repeated or unfounded. In such cases, we have the right to charge a reasonable fee to process your request or the right to refuse the execution of your request.

Before we process or respond to your request, we may request additional information from you if it is necessary to enable us to verify your identity.

We will inform you of our processing of your request without delay, and no later than within one (1) month after we receive the request. If the request is complex or if, for example, we have received a large number of requests, this time period can be extended by another two (2) months. In such cases, we will notify you of the extension within the first month after we receive your request.

If we are unable to comply with your request due to applicable law or other exceptions, we will notify you and inform you of the reasons why we are unable to comply with your request with the limitations imposed by law.

Personal Data breaches

According to the GDPR, a Personal Data breach means a security incident that has caused Processed Personal Data to be destroyed, lost, altered or obtained by an unauthorized person. A breach can be made intentional or unintentional, for example through negligence or due to crime (data breach, etc.).

Regulatory authorities are independent public authorities. Each country within the EU has appointed its own Supervisory Authority to handle GDPR-related matters. In Sweden, the Swedish Authority for Privacy Protection (IMY) is the Supervisory Authority.

We comply with the provisions of the GDPR regarding handling, reporting and documentation of Personal Data breaches. When required under the GDPR, we will report Personal Data breaches to IMY within 72 hours, and notify the Data Subjects affected by the Personal Data breach.

Changes

The content of this Privacy Policy may be updated from time to time, without prior notice. For example, if it is necessary to clarify something, due to changed or newly added legislation or if our Processing of Personal Data changes.

The latest version is always published on the Website which is accessible to the public. You are responsible for reading through the contents of this Privacy Policy and staying up to date on any changes.

Questions or complaints

If you have questions, concerns or are dissatisfied with our Processing of your Personal Data, you are always welcome to contact us.

Below are our company and contact details:

Company: Flowocean AB
Reg. no: 556935–6974
Email address: info@flowocean.com
Postal adress: Skivfilargränd 4, 721 30 Västerås

Our contact person for Personal Data matters:
We have also appointed a contact person for Personal Data matters who you can contact if you have questions regarding our Processing of Personal Data.
Name: Cristoffer Kos
Email address: cristoffer.kos@flowocean.com

You also have the right to contact the Swedish Authority for Privacy Protection to submit a complaint regarding our Processing of your Personal Data.
Name: Integritetsskyddsmyndigheten (IMY).
Phone: 08-657 61 00.
Email: imy@imy.se.
Postal address: Integritetsskyddsmyndigheten, Box 8114, 104 20 Stockholm.

---