Tavex använder cookies för att förbättra din upplevelse. Genom att fortsätta använda vår sida utan att ändra dina inställningar så godkänner du att vi använder cookies från Tavex hemsida. Läs mer om vår cookie policy
Tavex använder cookies för att förbättra din upplevelse. Genom att fortsätta använda vår sida utan att ändra dina inställningar så godkänner du att vi använder cookies från Tavex hemsida. Läs mer om vår cookie policy
Cookie name | Cookie description | Cookie duration |
---|---|---|
tavex_cookie_consent | Stores cookie consent options selected | 60 weeks |
tavex_customer | Tavex customer ID | 30 days |
wp-wpml_current_language | Stores selected language | 1 day |
AWSALB | AWS ALB sticky session cookie | 6 days |
AWSALBCORS | AWS ALB sticky session cookie | 6 days |
NO_CACHE | Used to disable page caching | 1 day |
PHPSESSID | Identifier for PHP session | Session |
latest_news | Helps to keep notifications relevant by storing the latest news shown | 29 days |
latest_news_flash | Helps to keep notifications relevant by storing the latest news shown | 29 days |
tavex_recently_viewed_products | List of recently viewed products | 1 day |
tavex_compare_amount | Number of items in product comparison view | 1 day |
Cookie name | Cookie description | Cookie duration |
---|---|---|
chart-widget-tab-*-*-* | Remembers last chart options (i.e currency, time period, etc) | 29 days |
archive_layout | Stores selected product layout on category pages | 1 day |
Cookie name | Cookie description | Cookie duration |
---|---|---|
cartstack.com-* | Used for tracking abandoned shopping carts | 1 year |
_omappvp | Used by OptinMonster for determining new vs. returning visitors. Expires in 11 years | 11 years |
_omappvs | Used by OptinMonster for determining when a new visitor becomes a returning visitor | Session |
om* | Used by OptinMonster to track interactions with campaigns | Persistent |
Cookie name | Cookie description | Cookie duration |
---|---|---|
_ga | Used to distinguish users | 2 years |
_gid | Used to distinguish users | 24 hours |
_ga_* | Used to persist session state | 2 years |
_gac_* | Contains campaign related information | 90 days |
_gat_gtag_* | Used to throttle request rate | 1 minute |
_fbc | Facebook advertisement cookie | 2 years |
_fbp | Facebook cookie for distinguishing unique users | 2 years |
Innehållsförteckning / Table of Contents
Tavex AB (Tavex; Bolaget) erbjuder finansiella tjänster till både privatpersoner och juridiska personer. Tavex skyddar alla personuppgifter som mottas och behandlas i verksamheten. För att kunna använda Tavex’ tjänster måste kunduppgifter registreras och Tavex samlar således in nödvändiga kunduppgifter för att kunna bedriva sin verksamhet.
Denna dataskyddspolicy (”Dataskyddspolicyn”) ger information i det följande om hur Bolaget använder personuppgifter i enlighet med gällande lagstiftning.
Uppgifter som hanteras i verksamheten sker i enlighet med lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (Dataskyddslagen) och Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (Dataskyddsförordningen).
Tavex’ verksamhet omfattas även av de dataskyddsregler som återfinns i 5 kap. lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism
Personuppgiftsbehandling är endast laglig om åtminstone ett av följande krav är uppfyllda, se dataskyddsförordningen Artikel 6:
Dataförvaltare är Tavex AB, org nr 556671-1189. Tavex AB har sitt säte i Stockholm med adressen:
Tavex AB
Smålandsgatan 9
111 46 Stockholm
Denna Dataskyddspolicy avser endast sådan personuppgiftsinformation som hanteras och bearbetas av Tavex. Denna dataskyddspolicy avser alla data som samlas in online och offline, inklusive de personuppgifter Tavex’ kunder tillhandahåller.
Tavex samlar in och bearbetar information kunder tillhandahåller genom Bolagets webbplats eller på något annat sätt, innefattande namn, efternamn, personnummer/ födelsedatum, samt i vissa fall folkbokföringsadress, e-postadress, telefonnummer, samt i de fall kunden utgör ett företag, företagsnamn och företagsrepresentants position i företaget.
Insamlandet sker endast för de särskilda, uttryckligt angivna och berättigade ändamål som uppgetts till den registrerade och inte någonsin på sådant sätt som är oförenligt med dessa legitima ändamål, se dataskyddsförordningen Artikel 5.1 b).
Bolaget hanterar även uppgifter avseende Bolagets anställda och annan till Bolaget anknuten personal.
De personuppgifter Tavex samlar in är i första hand uppgifter direkt från kunden, antingen inhämtas kundinformationen på plats vid kundens besök i någon av Tavex’ butiker eller via Tavex webbshop. Den kundinformation Tavex samlat in avser även indirekt information som erhålls genom kundens användande av Tavex’ produkter och tjänster.
Tavex kan också komma att inhämta personuppgifter från tredje part, från offentliga eller andra externa källor som register som förs av myndigheter, till exempel folkbokföringsregister, bolagsregister och register hos brottsbekämpande myndigheter, sanktionslistor och andra kommersiella informationsleverantörer.
Den data tillika information Tavex hanterar inom ramen för sin verksamhet utgörs av följande kategorier:
Tavex är inte ansvariga för annan tredjeparts hantering och bearbetning av personuppgifter även om länkar till tredje part tillhandahålls på Bolagets webbplats eller på annat sätt.
Webbplatser eller applikationer tillhörande tredje part som en person kan få åtkomst till genom Tavex’ webbplats eller applikationer omfattas inte av denna dataskyddspolicy.
Hantering av kundinformation som berör enskilda personer görs med den enskildes samtycke när så krävs enligt gällande lagstiftning och gällande regelverk.
Tavex behandlar alla personuppgifter på ett lagligt, korrekt och öppet sätt i förhållande till den hos Tavex registrerade personen, se Artikel 5.1 a) dataskyddsförordningen.
Alla insamlingar av personuppgifter sker proportionerligt, det vill säga de är adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (”uppgiftsminimering”), se Artikel 5.1 c) dataskyddsförordningen.
I vissa situationer är Tavex skyldig att behandla personuppgifter för att kunna fullgöra en rättslig förpliktelse gentemot myndigheter som Finansinspektionen, Länsstyrelsen i Stockholm och Polisen.
Personuppgiftsbehandlingen i dessa situationer görs för att Tavex ska kunna tillhandahålla och utföra de tjänster och produkter kunderna efterfrågar och för att kunna bedriva valutaväxlings- och ädelmetallsverksamhet samt annan förenlig verksamhet.
Tavex kan komma att bearbeta personuppgifter i något av följande syften (syftet kan variera från fall till fall):
Behandling av personuppgifter enligt ovan 1 – 5 sker företrädesvis vid:
I vissa fall baseras behandlingen av kunders personuppgifter på en intresseavvägning mellan kundens intresse och Tavex berättigade intresse där Tavex berättigade intresse bedöms väga tyngre än den registrerades skydd för sina personuppgifter.
Situationer där Tavex behandlar personuppgifter utifrån en intresseavvägning innefattar situationer som avser att:
Behandling av personuppgifter enligt ovan nämnda ändamål, 1 – 4, sker:
Tavex kunders och anställdas säkerhet är högt prioriterad och därför används övervakningskameror i alla Tavex’ butiker i syfte att förhindra och underlätta utredande av misstänkta brott samt för att skydda Tavex’ rättsliga anspråk.
Tavex följer Dataskyddsförordningen och Dataskyddslagen vid all kamerainspelning och hantering av kamera-inspelat material.
Kameraövervakningen utförs utifrån Tavex’ berättigade intresse att säkerställa säkerheten för Tavex besökare, kunder, anställda, lokaler och egendom.
Tavex har efter en ingående intresseavvägning som även innefattar bedömning av den verksamhet Tavex’ bedriver kommit fram till att Tavex’ kunders intresse av skydd för sin integritet inte väger tyngre än Tavex’ berättigade intresse.
Se dataskyddsförordningen Artikel 7 ”Villkor för samtycke”.
I de fall personuppgiftsbehandlingen grundar sig på samtycke måste den personuppgiftsansvarige kunna visa att den registrerade samtyckt till behandlingen av sina personuppgifter. Begäran om samtycke framställs alltid till den enskilde i en begriplig och lättillgänglig form, med användning av klart och tydligt språk.
En registrerad person har rätt att när som helst återkalla sitt samtycke. Om en person återkallar sitt samtycke påverkar återkallandet inte den Bolagets lagliga rätt till personuppgiftsbehandling som skett innan samtycket återkallades. Innan samtycket lämnas ska den som ska registreras ha blivit informerad om detta.
Det ska vara lika lätt att återkalla som att ge ett samtycke till personuppgiftsbehandling. Vid bedömning av huruvida samtycke är frivilligt ska största hänsyn bland annat tas till om genomförandet av ett avtal, inbegripet tillhandahållandet av en tjänst, har gjorts beroende av personens samtycke till sådan behandling av personuppgifter som inte utgjort en nödvändighet för genomförandet av det avtalet.
Under vilka förutsättningar emottagna personuppgifter får behandlas utöver de i förstone tillämpade syftet med personuppgiftsbehandlingen framgår av dataskyddsförordningen Artikel 6.4.
Tavex erbjuder inte sina tjänster till personer som är under 18 år, jfr dataskyddsförordningen Artikel 8.
Tavex baserar i vissa fall sin personuppgiftsbehandling på samtycke från den enskilde. Alla Tavex’ kunder har alltid rätt att när som helst återkalla ett sådant samtycke genom att kontakta Tavex.
I de fall Tavex’ personuppgiftsbehandling sker genom kundens samtycke kommer kunden ifråga informeras särskilt om det specifika ändamålet för Tavex’ behandling av personuppgifter.
Tavex behandlar personuppgifter genom samtycke i följande fall:
Behandling av personuppgifter enligt ovan angivna ändamål 1 – 2 sker:
Se Artikel 15 i dataskyddsförordningen.
En registrerad person har rätt att få bekräftelse av den personuppgiftsansvarige på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna och följande information:
All behandling av personuppgifter hos Tavex sker inom EU/ EES-området. Tavex varken utbyter eller tillhandahåller kundinformation till tredje part såvida det inte finns en rättslig grund för ett sådant utlämnande. Exempel på en sådan rättslig grund är typiskt sett ett samtycke från den enskilde kunden eller en rättslig förpliktelse vilken kräver att Tavex lämnar ut information.
Med syfte att påvisa att dataskyddsförordningen efterlevs för Tavex ett särskilt register över den personuppgiftsbehandling som sker genom Bolagets personuppgiftsansvarige i enlighet med dataskyddsförordningen.
Enligt dataskyddsförordningen Artikel 30 ska varje personuppgiftsansvarig och, i tillämpliga fall, dennes företrädare föra ett register över den personuppgiftsbehandling som utförts under deras ansvar.
Detta register ska innehålla samtliga uppgifter enligt det följande:
Skyldigheten enligt dataskyddsförordningen Artikel 30 att föra register över sin personuppgiftsbehandling gäller dock inte för ett företag eller en organisation som sysselsätter färre än 250 personer, såvida inte den behandling som utförs sannolikt kommer att medföra en risk för registrerades rättigheter och friheter, behandlingen inte är tillfällig eller behandlingen omfattar särskilda kategorier av uppgifter som avses i Artikel 9.1 (”särskilt känsliga personuppgifter”) eller enligt Artikel 10 (”Brottmålsdomar samt registrering av överträdelser”) som utförts under de personuppgiftsansvarigas ansvar, se dataskyddsförordningen Artikel 30.5.
Tavex vidtar alla rimliga åtgärder för att alla hanterade personuppgifter ska vara korrekta och vid behov uppdaterade. Felaktiga personuppgifter raderas eller korrigeras utan dröjsmål, se dataskyddsförordningen Artikel 5.1 d).
Enligt dataskyddsförordningen Artikel 16 har den registrerade rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör denne rättade. Med beaktande av ändamålet med behandlingen, ska den registrerade ha rätt att komplettera ofullständiga personuppgifter, bland annat genom att tillhandahålla ett kompletterande utlåtande. Den personuppgiftsansvarige ska underrätta varje mottagare till vilken personuppgifterna har lämnats ut om eventuella rättelser av personuppgifter eller begränsningar av behandling som skett, se dataskyddsförordningen Artikel 19.
Tavex hanterar alltid personuppgifter på ett lagligt och rättvist sätt och behandlingen görs alltid för ett för den berörde och Bolaget tydligt och specifikt ändamål.
Enskilda som berörs av Bolagets hantering av personuppgifter informeras samtidigt om de risker, regler, skyddsåtgärder och rättigheter som finns samt hur den enskilde kan utöva sina rättigheter.
Se Artikel 21 i dataskyddsförordningen.
En registrerad person hos Tavex har rätt att utan onödigt dröjsmål få sina personuppgifter hos Tavex raderade och den personuppgiftsansvarige är skyldig att utan onödigt dröjsmål radera personuppgifter om något av följande gäller:
Den personuppgiftsansvarige ska underrätta varje mottagare till vilken personuppgifterna har lämnats ut om en radering av personuppgifter som skett, se dataskyddsförordningen Artikel 19.
Se dataskyddsförordningen Artikel 13.
När personuppgifter som rör en registrerad person samlas in från den registrerade ska den personuppgiftsansvarige när personuppgifterna erhålls lämna information till den registrerade om följande:
Utöver denna information a) – c) ska den personuppgiftsansvarige vid insamlingen av personuppgifterna lämna den registrerade följande information för att säkerställa rättvis och transparent behandling:
Ovan förfarande aktualiseras endast i de fall som avser insamling av uppgifter som den registrerade inte redan förfogar över.
Tavex kan även komma lämna ut mottagna personuppgifter till annan enhet inom Tavex samt när så är nödvändigt, till Tavex’ underleverantörer eller samarbetspartners.
Ovan nämnda parter kan komma att hantera enskilds personuppgifter å Tavex’ vägnar enligt de syften som beskrivs ovan. Tavex kommer varken att sälja, hyra ut eller vidareförmedla emottagna personuppgifter till andra parter.
Tavex är även tvungen att lämna ut personuppgifter om detta krävs av tillämpliga lagar eller förordningar eller för att svara på en begäran från en rättslig eller administrativ myndighet.
Allt utlämnande till ovan nämnda aktörer sker territoriellt inom EU.
Tavex bedömer att inga av de personuppgifter som mottas och behandlas i verksamheten innefattar någon förhöjd eller allvarlig risk för registrerade personers rättigheter och friheter.
Den risk som förekommer motverkas av tydliga rutiner, strategier och åtgärder för hantering och skydd av personuppgifter samt av de dataskydds- och datasäkerhetssystem som Bolaget tillämpar.
Dataskyddsförordningen Artikel 25.
Den personuppgiftsansvarige ska vid fastställande av vilka medel personuppgiftsbehandlingen ska utföras med samt under själva behandlingen av personuppgifter genomföra lämpliga tekniska och organisatoriska åtgärder, exempelvis pseudonymisering, i form av åtgärder som är utformade för att vara effektiva för genomförandet av vedertagna dataskyddsprinciper som uppgiftsminimering samt för integrerande av nödvändiga skyddsåtgärder vid personuppgiftsbehandlingen.
Ovanstående ska genomföras för att skydda den registrerades rättigheter samt för att uppfylla dataskyddsförordningens krav.
Enligt dataskyddsförordningen Artikel 32 ska lämplig säkerhetsnivå vara säkerställd samt lämpliga åtgärder vidtas vid personuppgiftsbehandling.
Tavex strävar efter att skydda emottagna personuppgifter och upprätthåller lämpliga tekniska och organisatoriska åtgärder för att förhindra olämpliga, otillåtna eller ofrivilliga utlämnanden eller olämplig, otillåten eller ofrivillig användning, åtkomst, förlust, ändring eller skada med relevans för mottagna personuppgifter.
Tavex använder säkra datasystem som följer gällande industristandarder. Endast Tavex och dess anställda som behöver åtkomst till emottagna personuppgifter för en specifik uppgift för något av de system som anges ovan kommer att få åtkomst till dessa personuppgifter. Dessutom omfattas alla Tavex’ anställda och, i förekommande fall, Tavex’ underleverantörer och deras anställda av sekretessavtal.
Tavex’ personuppgiftsansvariga utvärderar löpande riskerna med Bolagets personuppgiftsbehandling och ser till att, där så är nödvändigt, kryptering sker av de personuppgifter som hanteras av Bolaget.
Bolaget bedömer att dess behandling av personuppgifter inte innefattar en sannolikt hög risk för personers rättigheter och friheter på ett sätt att särskild konsekvensbedömning måste utföras enligt dataskyddsförordningen.
Enligt dataskyddsförordningen kan en personuppgiftsincident som inte snabbt åtgärdas leda till fysisk, materiell eller immateriell skada för den enskilde. Skadorna kan innefatta förlust av kontroll av de egna personuppgifterna eller till begränsning av den enskildes rättigheter, diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, med mera.
Enligt samma stadgande ska därför den personuppgiftsansvarige anmäla en inträffad personuppgiftsincident utan onödigt dröjsmål och helst inom 72 timmar från att denne fått kännedom om att incidenten inträffat, se även dataskyddsförordningen Artikel 33:
”Vid en personuppgiftsincident ska den personuppgiftsansvarige utan onödigt dröjsmål och, om så är möjligt, inte senare än 72 timmar efter att ha fått vetskap om den, anmäla personuppgiftsincidenten till den tillsynsmyndighet som är behörig i enlighet med Artikel 55, såvida det inte är osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter. Om anmälan till tillsynsmyndigheten inte görs inom 72 timmar ska den åtföljas av en motivering till förseningen.”
Vidare ska den personuppgiftsansvarige (om incidenten sannolikt innebär en hög risk för personens rättigheter och friheter) utan onödigt dröjsmål underrätta den registrerade personen om den inträffade personuppgiftsincidenten så att den drabbade kan vidta nödvändiga försiktighetsåtgärder, se Artikel 34 dataskyddsförordningen- den information som ska lämnas till den drabbade enskilde personen ska innehålla en tydlig och klar beskrivning av personuppgiftsincidentens art och åtminstone de upplysningar och åtgärder som avses i Artikel 33.3 b, c och d, nämligen:
Tavex tillämpar ingående skriftliga regler för format och förfaranden för anmälan av personuppgiftsincidenter enligt dataskyddsförordningen.
Enligt dataskyddsförordningen Artikel 33.5 ska den personuppgiftsansvarige dokumentera alla personuppgiftsincidenter, inbegripet omständigheterna kring personuppgiftsincidenten, dess effekter och de korrigerande åtgärder som vidtagits. Dokumentationen ska göra det möjligt för tillsynsmyndigheten att kontrollera Bolagets regelefterlevnad enligt Artikel 33.
Tavex behåller endast personuppgifter så länge som behövs för att uppfylla det syfte för vilka de samlades in, inom de gränser som gäller enligt tillämplig lagstiftning och i enlighet med juridiska och regulatoriska krav.
I enlighet med dataskyddsförordningens bestämmelser har en enskild som omfattas av Bolagets hantering av personuppgifter rätt att begära åtkomst, ändringar eller borttagning av lämnade uppgifter samt ha sådan enskild rätt att protestera mot Bolagets hantering av dennes personuppgifter. Den som anser sig ha giltigt skäl för detta, ska kontakta Bolaget genom att skicka ett e-postmeddelande till dpo@tavex.se alternativt skriftligt via brev till:
Tavex AB
– Datasekretess
Smålandsgatan 9
111 46 Stockholm
I enlighet med gällande lag ska begäran vara egenhändigt undertecknad samt ska en vidimerad kopia av identitetshandling som innehar personens underskrift bifogas. Du ska även ange till vilken adress svaret ska skickas.
Dataskyddsförordningen Artikel 24.
Den personuppgiftsansvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen. Detta ska göras med beaktande av personuppgiftsbehandlingens art, omfattning, sammanhang och ändamål samt med beaktande av riskerna.
Riskerna ska bedömas och kan vara av varierande sannolikhetsgrad och allvarlighet. Det övergripande syftet är att värna fysiska personers rättigheter och friheter.
Tavex åtgärder för säkerställandet av korrekt personuppgiftsbehandling ses över och uppdateras vid behov. Om det står i proportion till behandlingen, ska de åtgärder som nämns ovan omfatta den personuppgiftsansvariges genomförande av lämpliga strategier för dataskydd.
Tillämpningen av godkända uppförandekoder som avses i dataskyddsförordningen Artikel 40 eller godkända certifieringsmekanismer som avses i förordningens Artikel 42 får användas för att visa att den personuppgiftsansvarige fullgör sina skyldigheter.
Tavex tillämpar inte möjligheten att utöver personuppgiftsansvarig anlita personuppgiftsbiträden enligt dataskyddsförordningen Artikel 28.
Dataskyddsförordningen Artikel 37.
Tavex bedömer att dess verksamhet enligt dataskyddsförordningen ska inneha ett dataskyddsombud. Dataskyddsombudets roll är förutom interna uppgifter enligt Artikel 37 i dataskyddsförordningen även att ha en övervakande roll samt utgöra Tavex kontaktperson och ansvarig för samråd med relevanta myndigheter.
Kontaktuppgifterna till Tavex’ dataskyddsombud är följande:
E-postadress: dpo@tavex.se
Telefon: +46 (0)72 451 43 33