Sekretesspolicy enligt Data Privacy Framework

Ikraftträdandedatum: 31 mars 2024
Senast uppdaterad: 14 mars 2026

OBS! Besök http://www.plume.com/legal och klicka på önskat land eller språk för att läsa den här sekretesspolicyn enligt Data Privacy Framework.

Plume Design, Inc., dess dotterbolag och filialkontor (Plume eller vi) uppfyller EU-U.S. Data Privacy Framework (EU-U.S. DPF), Förenade kungarikets tillägg till EU-U.S. Data Privacy Framework samt Swiss-U.S. Data Privacy Framework (Swiss-U.S. DPF) enligt USA:s handelsdepartement.

Plume har intygat för USA:s handelsdepartement att företaget följer principerna i EU-U.S. Data Privacy Framework (EU-U.S. DPF-principer) avseende behandling av personuppgifter som tas emot från Europeiska unionen (EU) med stöd av EU-U.S. DPF och från Förenade kungariket (och Gibraltar) med stöd av Förenade kungarikets tillägg till EU-U.S. DPF. Plume har intygat för USA:s handelsdepartement att företaget följer principerna i Swiss-U.S. Data Privacy Framework (Swiss-U.S. DPF-principer) avseende behandling av personuppgifter som tas emot från Schweiz med stöd av Swiss-U.S. DPF. Om det finns någon konflikt mellan villkoren i denna sekretesspolicy och EU-U.S DPF-principerna eller Swiss-U.S. DPF-principerna ska DPF-principerna (definieras nedan) tillämpas. Om du vill veta mer om Data Privacy Framework-programmet och se vår certifiering kan du gå till https://www.dataprivacyframework.gov.

DEFINITIONER

Termer som används men inte definieras i denna DPF-policy har följande betydelser:

• Ombud avser tredje part som samlar in eller använder personuppgifter enligt anvisning från, och enbart för, en personuppgiftsansvarig eller till vilken en personuppgiftsansvarig lämnar ut personuppgifter för användning å den personuppgiftsansvariges vägnar.
• Registrerad (eller du) avser en fysisk person vars personuppgifter omfattas av den här DPF-policyn.
• Personuppgiftsansvarig avser en person eller organisation som, ensam eller tillsammans med andra, fastställer ändamål och medel för behandling av personuppgifter. Plume är personuppgiftsansvarig vad gäller viss behandling.
• DPF-principerna avser, gemensamt, EU-U.S. DPF-principerna (definieras ovan) och Swiss-U.S. DPF-principerna (definieras ovan), som anges av USA:s handelsdepartement här.
• DPF-programmet avser, gemensamt, EU-U.S. DPF, Förenade kungarikets tillägg till EU-U.S. DPF och Swiss-U.S. DPF.
• Personuppgifter avser all information, inklusive känsliga personuppgifter, som rör en identifierad eller identifierbar fysisk person som tas emot av Plume i USA från EES, Schweiz eller Förenade kungariket/Gibraltar och registreras i någon form.
  
  • En identifierbar fysisk person är en person som kan identifieras, direkt eller indirekt, i synnerhet genom hänvisning till en identifierare som ett namn, ett identifikationsnummer, platsdata, en onlineidentifierare eller till en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, mentala, ekonomiska, kulturella eller sociala identitet.
• Behandla, behandlar eller behandling avser alla åtgärder eller uppsättning åtgärder som utförs med personuppgifter, oavsett om de sker automatiskt eller inte, t.ex. insamling, registrering, organisering, lagring, anpassning eller ändring, hämtning, konsultation, användning, offentliggörande eller spridning och radering eller förstörelse.
• Känsliga personuppgifter avser personuppgifter med information om medicinska tillstånd eller hälsotillstånd, etniskt ursprung, politiska åsikter, religiösa eller filosofiska övertygelser, fackföreningsmedlemskap, en persons sexliv och personuppgifter som tas emot av Plume från en tredje part som den tredje parten identifierar och behandlar som känslig.

NÄR DENNA DPF-POLICY GÄLLER

Denna DPF-policy gäller personuppgifter som överförs från medlemsländerna i Europeiska ekonomiska samarbetsområdet (EES), vilket är medlemsstaterna i EU plus Island, Liechtenstein och Norge), Förenade kungariket (UK) och Schweiz till Plume i USA med stöd av EU-U.S. DPF, Förenade kungarikets tillägg till EU-U.S. DPF eller Swiss-U.S. DPF.

Personuppgifter som Plume behandlar i enlighet med DPF-programmet omfattas av Plumes andra sekretessrelaterade krav och policyer (gemensamt Plumes kundsekretesspolicy) som finns på www.plume.com/legal/privacy. För vissa av Plumes webbplatser eller mobilappar gäller en sekretesspolicy eller ett sekretessmeddelande som finns länkade eller publicerade där.

Plume är ombud för viss behandling för sina kunder och personuppgiftsansvarig vad gäller annan behandling för sina kunder enligt beskrivningen i Plumes sekretesspolicy.

Personuppgifter avseende Plumes nuvarande eller tidigare anställda, praktikanter, entreprenörer och projektanställda omfattas av Plumes meddelande för personal och Plumes DPF-meddelande för personal, som finns tillgängliga för berörda personer på begäran till privacy@plume.com.

Den här DPF-policyn gäller inte personuppgifter som överförs enligt standardavtalsklausuler eller någon godkänd avvikelse från EU:s allmänna dataskyddsförordning (GDPR), UK General Data Protection Regulation eller Swiss Federal Data Protection Act. Medan DPF-programmet är en auktoriserad internationell överföringsmekanism som gör att Plume kan ta emot registrerades personuppgifter i USA är Plumes skyldigheter och registrerades rättigheter enligt DPF-programmet åtskilda från dem i EU:s allmänna dataskyddsförordning, UK General Data Protection Regulation och Swiss Federal Data Protection Act.

PLUMES EFTERLEVNAD AV DPF-PRINCIPERNA

Plume åtar sig att tillämpa DPF-principerna på alla personuppgifter som Plume tar emot i USA från EES, Förenade kungariket och Schweiz med stöd av DPF-programmet. Plumes efterlevnad av denna DPF-policy kan begränsas i den utsträckning som krävs för att uppfylla Plumes juridiska, reglerande, statliga eller nationella säkerhetsåtaganden.

DPF-principerna

DPF-principerna är följande: 1. Underrättelse 2. Valmöjlighet 3. Ansvar för vidareöverföring 4. Säkerhet 5. Dataintegritet och ändamålsbegränsning 6. Åtkomst och 7. Regress, verkställighet och ansvar.

1. Principen om underrättelse Copy Link
Plume underrättar registrerade om sina behandlingsmetoder för personuppgifter som tas emot av Plume i USA från EES, Förenade kungariket och Schweiz i enlighet med DPF-programmet genom Plumes sekretesspolicy och denna DPF-policy, inklusive

• de typer av personuppgifter som Plume samlar in om dem
• de ändamål för vilka Plume behandlar personuppgifterna (se även 5 nedan)
• de typer av ombud och andra tredje parter som Plume lämnar ut personuppgifter till och ändamålen för att göra det (se även 3 nedan)
• de registrerades rättigheter att få åtkomst till sina personuppgifter (se 6 nedan)
• de valmöjligheter som Plume erbjuder registrerade för att begränsa användning och utlämnande av deras personuppgifter (se även 2 nedan)
• hur Plumes skyldigheter enligt DPF-programmet genomdrivs, inklusive Plumes utsedda oberoende tvistlösningsmekanism för att hantera klagomål och tillhandahålla lämpliga åtgärder utan kostnad, möjligheten, under vissa förhållanden, att åberopa bindande skiljeförfarande (se även 7 nedan)
• Plumes ansvar vid vidareöverföring till tredje part (se även avsnitt 3 nedan)
• hur registrerade kan kontakta Plume med frågor eller klagomål.

Plume är inte skyldig att tillämpa principen om underrättelse eller principen om valmöjlighet eller ansvar för vidareöverföring (se 2 och 3 nedan) på information i allmänna handlingar (dvs. handlingar som innehas av myndigheter eller organ på alla nivåer och som allmänheten i allmänhet kan konsultera) eller information som redan är allmänt tillgänglig för allmänheten om denna information inte kombineras med information i icke-offentliga handlingar och, för allmänna handlingar, eventuella villkor för konsultation som fastställts av den berörda jurisdiktionen respekteras.

2. Principen om valmöjlighet Copy Link

Plume ger de registrerade valmöjligheter när det gäller deras personuppgifter innan Plume använder personuppgifter som omfattas av denna DPF-policy för ett nytt ändamål som skiljer sig väsentligt från det ändamål för vilket personuppgifterna ursprungligen samlades in eller därefter godkändes för eller innan de lämnas ut till tredje part som inte är ombud och som inte redan har godkänts.
Plume inhämtar samtycke från registrerade innan känsliga personuppgifter lämnas ut till tredje part.
Plume erhåller den registrerades uttryckliga samtycke innan känsliga personuppgifter som omfattas av denna DPF-policy (i) lämnas ut till tredje part eller (ii) används för ett nytt ändamål som skiljer sig från det som personuppgifterna ursprungligen samlades in för eller därefter godkändes för av den registrerade (med vissa begränsningar som anges här). Enligt DPF-principerna behöver inte Plume tillhandahålla valmöjligheter när uppgifter lämnas till tredje part som agerar som ombud om Plume ingår i ett skriftligt avtal med ombudet (se 3 nedan).
För att välja bort denna användning eller utlämnande av personuppgifter eller känsliga personuppgifter kontaktar du Plume på följande sätt:

• Skicka ett e-postmeddelande till privacy@plume.com.
• Fyll i formuläret som finns här.

Plume kan kontakta en registrerad för att begära tillräcklig information så att Plume kan bekräfta identiteten på den registrerade som begär bortval. Plume kan använda personuppgifter för vissa direkta marknadsföringsändamål när det inte är praktiskt möjligt för Plume att ge en registrerad möjlighet till bortval innan personuppgifterna används. Plume erbjuder då samtidigt den registrerade möjligheten (och på begäran när som helst) att neka (utan kostnad) till att få ytterligare direktmarknadsföring och Plume respekterar individens önskemål.

3. Principen om ansvar för vidareöverföring Copy Link

Plume ger registrerade möjlighet att välja huruvida deras personuppgifter (i) lämnas ut till en tredje part eller (ii) används för ett ändamål som skiljer sig väsentligt från det/de ändamål som personuppgifterna ursprungligen samlades in för eller därefter godkändes för.
Överföringar till personuppgiftsansvariga: Plume överför personuppgifter som omfattas av denna DPF-policy till en tredje part som agerar som personuppgiftsansvarig i enlighet med Plumes relevanta sekretesspolicyer som tillhandahålls för varje berörd registrerad och den registrerades samtycke som lämnats till Plume.
Plume gör endast dessa överföringar om den personuppgiftsansvarige i ett skriftligt avtal har samtyckt till att (i) behandla personuppgifterna för begränsade och specificerade ändamål i enlighet med det samtycke som lämnas av de registrerade, (ii) tillhandahålla minst samma skyddsnivå som krävs enligt DPF-principerna och meddela oss om den fastställer att den inte kan göra det, och (iii) avbryta behandling av personuppgifterna eller vidta andra rimliga och lämpliga åtgärder för att åtgärda behandlingen om den fattar ett sådant beslut.
Plume vidtar rimliga och lämpliga åtgärder för att förhindra, stoppa eller åtgärda behandlingen om Plume får kännedom om att en personuppgiftsansvarig behandlar personuppgifter som omfattas av denna DPF-policy i strid med DPF-principerna.
Överföringar till ombud: Plume överför endast de personuppgifter som krävs för att ombudet ska kunna tillhandahålla tjänster eller produkter enligt Plumes anvisningar.
Plume kräver att varje ombud gör följande:

• Endast behandlar personuppgifterna för begränsade och specificerade ändamål enligt anvisningarna från Plume.
• Tillhandahåller åtminstone samma nivå av sekretesskydd som krävs enligt DPF-principerna.
• Vidtar rimliga och lämpliga åtgärder för att säkerställa att ombudet effektivt behandlar de personuppgifter som överförs på ett sätt som uppfyller Plumes skyldigheter enligt DPF-principerna.
• Meddelar Plume om ombudet fastställer att det inte längre kan uppfylla sin skyldighet att tillhandahålla samma skyddsnivå som krävs enligt DPF-principerna.

Efter att ha fått ett meddelande från ett ombud om att ombudet inte längre kan uppfylla sin skyldighet att tillhandahålla samma skyddsnivå som krävs enligt DPF-principerna vidtar Plume rimliga och lämpliga åtgärder för att stoppa och åtgärda den icke godkända behandlingen. Plume tillhandahåller även en sammanfattning av relevanta sekretessbestämmelser i sina kontrakt med ombud till handelsdepartementet på begäran.
I vissa situationer kan Plume behöva lämna ut personuppgifter som svar på rättsliga krav från offentliga myndigheter, inklusive för att uppfylla nationella säkerhets- eller brottsbekämpningskrav.
Plume är fortfarande ansvarig enligt DPF-principerna om ett ombud behandlar personuppgifter som omfattas av denna DPF-policy på ett sätt som strider mot DPF-principerna, såvida inte Plume bevisar att Plume inte är ansvarig för händelsen som orsakade skadan.

4. Principen om säkerhet Copy Link

Plume vidtar rimliga och lämpliga åtgärder för att skydda personuppgifter som omfattas av denna DPF-policy från förlust, missbruk och obehörig åtkomst, utlämnande, ändring och förstörelse, med hänsyn till de risker som är involverade i behandlingen och personuppgifternas karaktär.

5. Principen om dataintegritet och ändamålsbegränsning Copy Link

Plume begränsar insamlingen av personuppgifter till information som är relevant för behandlingen. Plume behandlar inte personuppgifter på ett sätt som inte är kompatibelt med de ändamål för vilka de samlades in eller därefter godkändes för av den registrerade.
Plume vidtar rimliga åtgärder för att säkerställa att sådana personuppgifter är tillförlitliga, korrekta, fullständiga och aktuella för avsedd användning. Plume vidtar rimliga och lämpliga åtgärder för att uppfylla kraven i DPF-programmet att behålla personuppgifter i identifierbar form endast så länge som det finns ett ändamål för behandling. Plume behåller specifikt personuppgifter i enlighet med Plumes legitima affärsändamål och juridiska skyldigheter, såvida inte en längre lagringsperiod krävs eller tillåts enligt lag.
Plume följer DPF-principerna så länge företaget behåller personuppgifter som omfattas av denna DPF-policy.

6. Principen om åtkomst Copy Link

Registrerade vars personuppgifter omfattas av denna DPF-policy har rätt (i) att få bekräftelse från Plume om huruvida Plume behandlar personuppgifter som rör dem och att få åtkomst till dessa personuppgifter och (ii) att rätta, ändra eller radera sina personuppgifter om de är felaktiga eller om Plume behandlar dem i strid med DPF-principerna – utom när belastningen eller kostnaden för att tillhandahålla åtkomst, rättelse, ändring eller radering är orimlig, eller när radering skulle vara oproportionerligt i förhållande till riskerna för den registrerades integritet, när rättigheterna för andra personer än den registrerade skulle överträdas eller när utlämnande sannolikt skulle påverka säkerheten för viktiga motvägande allmänna intressen, som nationell säkerhet, nationellt försvar eller allmän säkerhet.

Plume vidtar rimliga och praktiska åtgärder i god tro för att uppfylla dessa begäranden, så länge det skulle vara överensstämmande med gällande lag eller Plumes avtalskrav.

Plume kan kontakta en registrerad för att begära tillräcklig information för att bekräfta den registrerades identitet eller om en begäran om åtkomst är vag eller bred eller för att bättre förstå motiveringen bakom begäran och lokalisera relevant information. Plume kan även fråga hur den registrerade har interagerat med Plume eller om de berörda personuppgifternas karaktär eller användning. Plume kan neka eller begränsa åtkomsten i den utsträckning som beviljande av fullständig åtkomst skulle avslöja Plumes egna eller konfidentiella kommersiella information, t.ex. konfidentiell kommersiell information som tillhör en annan som omfattas av en avtalsenlig skyldighet att upprätthålla sekretess. Plume kan sätta rimliga gränser för antalet gånger inom en given period som begäranden om åtkomst från en viss registrerad ska uppfyllas.

För att lämna en begäran om dataåtkomst kan en registrerad kontakta Plume på följande sätt:

• Skicka ett e-postmeddelande till privacy@plume.com.
• Fylla i formuläret som finns här.

Plume svarar på begäranden om åtkomst inom rimlig tid.

7. Regress, verkställighet och ansvar Copy Link

Federal Trade Commission (FTC) har jurisdiktion över Plumes efterlevnad av EU-U.S. DPF, Förenade kungarikets tillägg till EU-U.S. DPF och Swiss-U.S. DPF.

I enlighet med EU-U.S. DPF, Förenade kungarikets tillägg till EU-U.S. DPF och Swiss-U.S. DPF åtar sig Plume att lösa klagomål gällande vår insamling eller användning av personuppgifter som överförs till USA i enlighet med EU-U.S. DPF, Förenade kungarikets tillägg till EU-U.S. DPF och Swiss-U.S. DPF.

Personer inom EU, Förenade kungariket och Schweiz som har frågor eller klagomål bör först kontakta Plume via e-post till privacy@plume.com.

Plume har vidare åtagit sig att hänvisa olösta klagomål relaterade till DPF-principerna till en oberoende tvistlösningsmekanism i USA, BBB NATIONAL PROGRAMS. Om du inte får någon bekräftelse på ditt klagomål i tid eller om ditt klagomål inte hanteras på ett tillfredsställande sätt kan du gå till www.bbbprograms.org/dpf-complaints för mer information och för att lämna in ett klagomål. BBB NATIONAL PROGRAMS-tjänsten tillhandahålls kostnadsfritt för dig.

Om ditt DPF-klagomål inte kan lösas via ovanstående kanaler kan du under vissa förhållanden åberopa bindande skiljedom för vissa kvarstående anspråk som inte lösts av andra gottgörelsemekanismer.

Se https://www.dataprivacyframework.gov/framework-article/ANNEX-I-introduction för mer information. (Observera att paragraf C i bilaga I till DPF-principerna förklarar kraven för skiljeförfarande.)

* * * * *

Plume samtycker till att regelbundet granska och verifiera att de uppfyller DPF-principerna och att åtgärda eventuella problem som uppstår till följd av Plumes underlåtenhet att följa DPF-principerna. Plume är införstådda med att företaget tas bort från USA:s handelsdepartements lista över DPF-deltagare vid underlåtenhet att tillhandahålla en årlig självcertifiering till departementet.

All Plume-personal i USA som har tillgång till personuppgifter som omfattas av denna DPF-policy ansvarar för att säkerställa att behandlingen av personuppgifter uppfyller denna DPF-policy. Plume-personal ansvarar även för att se till att ombud eller andra oberoende tredje parter som behandlar personuppgifter som omfattas av denna DPF-policy följer denna DPF-policy och behandlar personuppgifter i enlighet med DPF-principerna, inklusive avtal som krävs enligt DPF-programmet.

ÄNDRINGAR I DENNA DATA PRIVACY FRAMEWORK-POLICY

Denna DPF-policy kan då och då ändras i enlighet med kraven i DPF. När vi gör ändringar i DPF-policyn reviderar vi datumet för den senaste uppdateringen i början av DPF-policyn. Vi vidtar även lämpliga åtgärder för att informera dig i förväg om förändringar som vi anser är betydande så att du har möjlighet att granska den reviderade DPF-policyn innan den träder i kraft. Om ditt samtycke krävs enligt DPF-principerna inhämtar vi ditt samtycke. Vi rekommenderar att du regelbundet läser den här DPF-policyn för att säkerställa att du känner till den uppdaterade versionen.

FRÅGOR?

Plume åtar sig att skydda dina personuppgifters sekretess. Om du har några frågor eller kommentarer om DPF-policyn kan du kontakta privacy@plume.com.