Denna integritetspolicy är reviderad per 2025-10-13  (version 2025:1). Ändringshistorik finns hos Recway på begäran.

1. Introduktion

1.1 Syftet med integritetspolicyn

Recway AB (Recway), org.nr 559102-3444, värnar om den personliga integriteten för alla personer vars uppgifter behandlas av oss. Vi genomför kontroller på uppdrag av våra kunder, i syfte att bidra till trygga rekryteringar och säker verksamhet. Oftast agerar vi som personuppgiftsansvariga, men ibland som biträden. 

Bakgrundskontroller kan innebära verifiering av utbildning, anställningar och referenser, samt i vissa fall kreditupplysningar eller andra relevanta kontroller. Alla uppgifter behandlas i enlighet med dataskyddsförordningen (GDPR) och endast när det finns ett tydligt och legitimt behov. Kontrollerna ska alltid vara proportionerliga i förhållande till den aktuella tjänstens krav.

För vissa särskilt känsliga befattningar gäller kompletterande lagstadgade krav på prövning och registerkontroll. I dessa fall sker behandlingen av personuppgifter inom ramen för gällande lagstiftning, och vår roll är att bistå kunden i vissa delar. 

Vi hanterar endast de uppgifter som är nödvändiga, informerar alltid berörda personer om behandlingen, och lagrar uppgifterna på ett säkert sätt under den tid som krävs för uppdraget. Vårt arbete präglas av transparens, rättssäkerhet och respekt för individens integritet.

Denna policy innehåller information om vilka personuppgifter Recway AB behandlar, för vilka ändamål, den rättsliga grunden för behandlingen, hur länge dina uppgifter sparas samt vilka rättigheter du har.

1.2 Vad är en personuppgift? 

En personuppgift är all information som, antingen direkt eller indirekt, kan identifiera en levande person. Detta inkluderar uppgifter som namn, personnummer och adress, men även information som foton, IP-adresser och GPS-positioner, särskilt om de kan kopplas till en specifik individ. Det viktiga är att uppgiften, ensam eller i kombination med andra uppgifter, kan knytas till en identifierbar person. 

2. Vem är personuppgiftsansvarig samt hur kontaktar man denne? 

2.1 Recway som personuppgiftsansvarig

Recway är personuppgiftsansvarig för de bakgrundskontroller och säkerhetssamtal som inte omfattas av Säkerhetsskyddslagen (2018:585) samt för övriga behandlingar såsom kund- och avtalsadministration, fakturering, marknadsföring och drift av webbplatsen.

Att vara personuppgiftsansvarig innebär att vi bestämmer vilka uppgifter som samlas in och för vilka ändamål de behandlas.

2.2 Recway som personuppgiftsbiträde 

Vid uppdrag där vår kund bestämmer ändamål och medel för behandlingen – exempelvis säkerhetsprövningar enligt Säkerhetsskyddslagen (2018:585) – agerar Recway som personuppgiftsbiträde. Behandlingen sker då endast enligt kundens dokumenterade instruktioner och enligt personuppgiftsbiträdesavtal (PUB-avtal). Recway behandlar inte personuppgifter för egna ändamål i dessa uppdrag. Begäranden om registrerades rättigheter ska riktas till den personuppgiftsansvarige (kunden). Om vi får en sådan begäran vidarebefordrar vi den utan dröjsmål och bistår kunden enligt PUB-avtalet.

2.3 Kontaktuppgifter till Recway AB

Har du några frågor rörande hur vi behandlar dina personuppgifter som personuppgiftsansvariga, vänligen kontakta oss på dataprotection@recway.se. För fler kontaktuppgifter, se rubriken ”Så kontaktar du oss”.

3. Vilka uppgifter vi behandlar, varifrån de hämtas och vem de delas med

3.1 När du genomgår ”granskning”

Vilka personuppgifter som behandlas beror på vilken typ av bakgrundskontroll som utförs och vilken nivå som kunden har beställt. Vi kan behandla följande kategorier av uppgifter:

• Identitets- och kontaktuppgifter: namn, personnummer, födelsedatum, adress, e-post och telefonnummer.
  Källa: kandidaten själv, kundens rekryteringsunderlag.
  
  
• Yrkes- och utbildningsuppgifter: tidigare anställningar, utbildningar, betyg, intyg och referenser.
  Källa: kandidaten, referenspersoner, utbildningsanordnare.
  
  
• Ekonomiska uppgifter: kreditupplysning, betalningsanmärkningar, skulder eller andra ekonomiska förhållanden, när det är relevant (motiverat) för tjänsten. Källa: kreditupplysningsföretag.
  
  
• Rättsliga uppgifter: utdrag ur offentliga register såsom domstols- eller förvaltningsregister, inklusive körkortsuppgifter, fordonsinnehav samt eventuella uppgifter från andra lagstadgade register.
  Källa: offentliga register, myndigheter, kandidaten själv.
  
  
• Fastighetsinnehav: uppgifter om registrerat ägande av fastighet eller bostadsrätt.
  Källa: Lantmäteriet, andra offentliga register.
  
  
• Bolagsengagemang och verklig huvudman: uppgifter om styrelseuppdrag, ägarintressen, firmateckning eller registrering som verklig huvudman.
  Källa: Bolagsverket, offentliga register.
  
  
• Internet- och medieexponering: uppgifter som är offentligt tillgängliga via sökmotorer, sociala medier, nyhetsartiklar eller andra öppna källor. Endast sakliga, relevanta och proportionerliga uppgifter från öppet tillgängliga källor beaktas; Recway gör inte intrång i privata konton eller slutna grupper.  Källa: öppna källor, internet, sociala medier, nyhetsmedier.
  
  
• Dokumentation och resultat: sammanställningar av genomförda kontroller, analyser, kommunikation med kunden och annan nödvändig administration.
  Källa: uppstår i samband med Recways arbete.

Känsliga personuppgifter (artikel 9 GDPR) behandlas inte inom ramen för våra bakgrundskontroller. Vi instruerar referenser och kandidater att inte lämna känsliga uppgifter. Om sådana uppgifter ändå skulle inkomma rensas de utan onödigt dröjsmål.

Uppgifter om lagöverträdelser (artikel 10 GDPR) behandlas endast när det finns uttryckligt stöd i EU-rätten eller svensk rätt, eller när vår kund är personuppgiftsansvarig och har sådant lagstöd. I förekommande fall tar vi del av registerutdrag som uppvisas av den registrerade men kopierar, skannar eller lagrar inte utdraget. Vi dokumenterar endast att kontroll skett (datum, typ och utfallet ”ok/ej ok”) och lagrar denna dokumentation endast i enlighet med tillämplig lag och avtal.

Kreditupplysning inhämtas endast när det är nödvändigt och proportionerligt i förhållande till den aktuella tjänsten. Laglig grund är berättigat intresse efter intresseavvägning. Kreditupplysningsföretaget skicka en omfrågekopia till den registrerade.

3.2 När du beställer tjänster av oss, eller i övrigt kontaktar oss

När du eller ditt företag blir kund hos Recway AB behöver vi behandla personuppgifter om dig som kontaktperson och om företaget du representerar. Syftet är att kunna hantera kundrelationen, leverera våra tjänster och uppfylla våra avtalsmässiga och rättsliga åtaganden.

Uppgifter vi behandlar:

• Identitetsuppgifter: namn, befattning, arbetsgivare.
  
  
• Kontaktuppgifter: e-postadress, telefonnummer, faktureringsadress, arbetsadress.
  
  
• Kund- och avtalsinformation: uppgifter om beställda tjänster, kundnummer, korrespondens och avtal.
  
  
• Betalnings- och faktureringsuppgifter: fakturauppgifter, betalningshistorik samt i förekommande fall organisationsnummer och personnummer för enskilda firmor.

Varifrån uppgifterna hämtas:

• Från dig själv när du kontaktar oss via telefon, e-post, webbformulär eller vid ingående av avtal.
  
  
• Från det företag du representerar i samband med beställning och administration av tjänster.
  
  
• Från offentliga källor, exempelvis Bolagsverket, Skatteverket eller kreditupplysningsföretag, i syfte att säkerställa riktiga företags- och kontaktuppgifter.
  
  

3.3 När du besöker vår hemsida

När du besöker Recway AB:s webbplats behandlar vi vissa uppgifter om dig för att webbplatsen ska fungera på ett säkert och användarvänligt sätt, samt för att vi ska kunna förbättra våra tjänster.

Uppgifter vi behandlar:

• Teknisk information: IP-adress, webbläsartyp och version, operativsystem, tidpunkt för besöket och vilka sidor du besöker.
  
  
• Cookies och liknande tekniker: information om hur du använder webbplatsen, exempelvis navigering och preferenser.
  
  
• Uppgifter du själv lämnar: namn, e-postadress, telefonnummer och eventuella andra uppgifter som du fyller i om du använder kontaktformulär eller prenumererar på nyhetsbrev.

Varifrån uppgifterna hämtas:

• Direkt från din enhet när du använder vår webbplats.
  
  
• Från dig själv om du väljer att fylla i formulär, prenumerera på utskick eller kontakta oss via webbplatsen.
  
  
• Från cookies och analysverktyg som används på webbplatsen.

3.4 Delning av personuppgifter

Vi kan dela personuppgifter med följande kategorier av mottagare när det är nödvändigt:

• Kunden (beställaren) inom ramen för granskningen
• Referenspersoner, utbildningsanordnare och kreditupplysningsföretag
• Leverantörer av IT-/molntjänster (personuppgiftsbiträden), med personuppgiftsbiträdesavtal
• Myndigheter när vi är rättsligt skyldiga

3.5 Överföringar utanför EU/EES

Recway AB strävar efter att all behandling av personuppgifter ska ske inom EU/EES. I vissa fall kan dock dina personuppgifter komma att överföras till, eller lagras i, ett land utanför EU/EES, exempelvis om vi använder en leverantör av IT-, moln- eller kommunikationstjänster som har sitt säte eller sina servrar i ett tredjeland.

När en överföring sker till ett land utanför EU/EES säkerställer vi att det finns en laglig överföringsmekanism enligt kapitel V i dataskyddsförordningen (GDPR). Detta innebär att något av följande krav måste vara uppfyllt:

• EU-kommissionen har beslutat att landet säkerställer en adekvat skyddsnivå (ett så kallat ”adekvansbeslut”).
  
  
• Om inget adekvansbeslut finns använder vi EU-kommissionens standardavtalsklausuler (SCCs) som ger bindande och verkställbara rättigheter för de registrerade. Standardavtalsklausulerna finns publicerade på EU-kommissionens webbplats:
  https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_sv
  
  
• Vid behov genomför vi även ytterligare skyddsåtgärder (t.ex. kryptering, pseudonymisering, tekniska och organisatoriska åtgärder) för att säkerställa en adekvat skyddsnivå i praktiken.
  
  

En förteckning över våra aktuella leverantörer (inklusive uppgift om lagringsland och överföringsmekanism) finns tillgänglig på begäran via dataprotection@recway.se. När standardavtalsklausuler används genomför vi en överföringsbedömning (”Transfer Impact Assessment”, TIA) och vidtar vid behov kompletterande tekniska och organisatoriska skyddsåtgärder.

3.6 Information när uppgifter inte inhämtas från dig (artikel 14 GDPR)

3.6.1 Allmän information

När vi hämtar personuppgifter från andra källor än dig – t.ex. referenser, utbildningsanordnare, kreditupplysningsföretag eller öppna källor – informerar vi dig om vår behandling inom en (1) månad från insamlingen, eller i samband med första kommunikationen med dig, eller senast när uppgifterna lämnas ut till vår kund (beroende på vad som inträffar först). Informationen innehåller uppgiftskategorier, källor, ändamål, laglig grund, mottagare, lagringstider, dina rättigheter och hur du invänder.

Om det visar sig omöjligt eller skulle innebära en oproportionell ansträngning att informera (artikel 14.5), eller om tystnadsplikt eller särskild lag hindrar oss från att lämna informationen, kan vi avstå från att informera i den delen. I sådana fall säkerställer vi dataminimering och annan lämplig riskreducering.

3.6.2 Digital identitetsverifiering

I samband med digitala säkerhetsprövningsintervjuer, uppföljningssamtal och avslutningssamtal – både för säkerhetsklassade och icke-säkerhetsklassade uppdrag – använder Recway AB tjänsten Shufti Pro för att verifiera kandidatens identitet.

Syftet är att säkerställa att rätt person intervjuas och att minimera risken för felaktiga personuppgifter i samband med säkerhetsprövningen.

Shufti Pro Limited agerar som personuppgiftsbiträde till Recway AB i enlighet med artikel 28 GDPR och behandlar endast de uppgifter som krävs för verifieringen, såsom namn, födelsedatum, ID-handling och bild.

All behandling och lagring sker på säkra servrar inom Europeiska ekonomiska samarbetsområdet (EES).

Shufti Pro uppfyller gällande krav på informationssäkerhet och är certifierade enligt ISO 27001 och QG-GDPR Standard.

Mer information finns i Shufti Pros integritetspolicy: https://shuftipro.com/privacy-policy/.

4. Ändamål och laglig grund för behandling

4.1 När du genomgår ”granskning”

Ändamål:

• Att verifiera riktigheten i de uppgifter som du lämnat i samband med en rekrytering.
  
  
• Att ge vår kund ett tillförlitligt beslutsunderlag inför anställning eller uppdrag.
  
  
• Att uppfylla särskilda lagkrav i de fall registerutdrag eller liknande är obligatoriska.

Laglig grund:

•  Berättigat intresse (art. 6.1 f) – att tillhandahålla säkra och tillförlitliga bakgrundskontroller som beslutsunderlag inför anställning/uppdrag, efter dokumenterad intresseavvägning och med dataminimering.
• Rättslig förpliktelse (art. 6.1 c) – när viss kontroll krävs enligt lag/förordning (t.ex. särskilda registerkontroller).
• Avtal (art. 6.1 b) – i den mån behandling är nödvändig för att fullgöra avtal med kunden.
• Vi grundar inte bakgrundskontroller på samtycke från kandidater i anställningsprocesser, eftersom samtycke normalt inte anses frivilligt i ett beroendeförhållande.

4.2 När du beställer tjänster av oss, eller i övrigt kontaktar oss

Ändamål:

• Att administrera och upprätthålla kundrelationen.
  
  
• Att leverera de tjänster du har beställt.
  
  
• Att hantera fakturering och betalningar.
  
  
• Att uppfylla våra rättsliga skyldigheter, exempelvis enligt bokföringslagen.
  
  

Laglig grund:

• Avtal (artikel 6.1 b GDPR): för att kunna leverera våra tjänster och hantera kundrelationen.
  
  
• Rättslig förpliktelse (artikel 6.1 c GDPR): för att uppfylla lagstadgade krav, exempelvis bokföringsskyldighet.
  
  
• Berättigat intresse (artikel 6.1 f GDPR): att kunna kommunicera med dig som kund, följa upp affärsrelationen och utveckla våra tjänster.
  
  

4.3 När du besöker vår hemsida

Ändamål:

• Att webbplatsen ska fungera tekniskt och vara säker.
  
  
• Att analysera användningen av webbplatsen och förbättra användarupplevelsen.
  
  
• Att kunna besvara dina förfrågningar via kontaktformulär.
  
  
• Att skicka nyhetsbrev eller marknadsföringsutskick om du uttryckligen samtyckt till det.

Laglig grund:

• Berättigat intresse (artikel 6.1 f GDPR): att säkerställa funktionalitet, säkerhet och grundläggande analys av webbplatsen.
  
  
• Samtycke (artikel 6.1 a GDPR): för användning av cookies som inte är tekniskt nödvändiga och för utskick av nyhetsbrev/marknadsföring.
  
  
• Avtal (artikel 6.1 b GDPR): när vi behandlar dina uppgifter för att kunna besvara din kontaktförfrågan.

5. Balanseringstest vid berättigat intresse

När Recway AB behandlar personuppgifter med stöd av berättigat intresse (artikel 6.1 f GDPR) görs alltid en intresseavvägning, även kallad balanseringstest. Syftet är att väga vårt intresse av att behandla uppgifter mot den registrerades rätt till skydd för sin personliga integritet. Recway bedriver inte automatiserat beslutsfattande eller profilering som innebär rättsliga följder eller på liknande sätt i betydande grad påverkar dig.

5.1 Vårt intresse

Recway har ett berättigat intresse av att:

• kunna erbjuda säkra och tillförlitliga bakgrundskontroller som stöd för arbetsgivares rekrytering,
  
  
• administrera, utveckla och följa upp kundrelationer, och
  
  
• säkerställa teknisk drift, IT-säkerhet och grundläggande analys av vår webbplats.
  
  

5.2 Nödvändighet

För att uppnå dessa intressen är det nödvändigt att behandla vissa personuppgifter. Mindre ingripande alternativ (t.ex. att endast ta del av CV eller muntliga uppgifter) skulle inte ge samma säkerhet eller tillförlitlighet. Behandlingen begränsas därför till vad som är relevant, proportionerligt och absolut nödvändigt för ändamålet.

5.3 Balans mot den registrerades rättigheter

• Endast uppgifter som är relevanta och nödvändiga för ändamålet samlas in.
  
  
• Kandidater, kunder och webbplatsbesökare informeras tydligt i förväg om behandlingen.
  
  
• Personuppgifter lagras under en begränsad tid och skyddas med lämpliga tekniska och organisatoriska säkerhetsåtgärder.
  
  
• Känsliga uppgifter, inklusive uppgifter om lagöverträdelser (artikel 10 GDPR), behandlas endast när det finns särskilt lagstöd eller då den registrerade själv frivilligt uppvisar registerutdrag, utan att Recway sparar utdraget.
  
  
• Registrerade har alltid rätt att invända mot behandlingen, begära rättelse eller radering samt utöva sina övriga rättigheter enligt GDPR.
  
  

5.4 Samlad bedömning

Recway bedömer efter denna avvägning att vårt intresse av att behandla personuppgifter för att tillhandahålla säkra och tillförlitliga tjänster väger tyngre än den begränsade risk för intrång i den personliga integriteten som behandlingen innebär. Integritetsriskerna minimeras genom tydlig information, begränsning av uppgifter, kort lagringstid och höga säkerhetskrav.

6. Lagring

Recway AB tillämpar alltid principen om dataminimering och sparar inte personuppgifter längre än vad som är nödvändigt för de ändamål de samlats in för. När uppgifterna inte längre behövs raderas eller anonymiseras de på ett säkert sätt.

6.1 När du genomgår ”granskning”

• Uppgifter som samlats in inom ramen för en bakgrundskontroll sparas endast under den tid som krävs för att genomföra kontrollen och fullfölja våra åtaganden gentemot kunden.
  
  
• När kontrollen är slutförd och resultatet överlämnats till kunden raderas uppgifterna inom 14 dagar, om inte längre lagring krävs på grund av rättslig skyldighet. Tekniska loggar och incidentjournaler kan bevaras under en begränsad tid för informationssäkerhet och ansvarsskyldighet.
• Dokumentationen om att kontroll skett (datum, typ, ”ok/ej ok”) sparas endast när det krävs enligt lag eller avtal och annars raderas inom 14 dagar tillsammans med övrigt underlag.

6.2 När du beställer tjänster av oss, eller i övrigt kontaktar oss

• Kunduppgifter sparas under den tid kundförhållandet består och därefter så länge som krävs enligt lag, exempelvis bokföringslagen (1999:1078), vilket i regel innebär sju år efter räkenskapsårets slut.
  
  
• Kontaktuppgifter till kundrepresentanter sparas så länge de är aktuella och tas bort eller anonymiseras när de inte längre behövs.
  
  

6.3 När du besöker vår webbplats

• Tekniska säkerhets- och åtkomstloggar bevaras endast för felsökning och informationssäkerhet och raderas eller anonymiseras inom 12 månader, om inte längre tid krävs enligt lag eller för att utreda incidenter.

• Cookies lagras under den tid som anges i vår cookiepolicy eller tills du återkallar ditt samtycke.
  
  
• Uppgifter som du lämnar via kontaktformulär eller nyhetsbrevsanmälan sparas så länge det krävs för att hantera din förfrågan eller tills du avanmäler dig.
  
  

7. Dina rättigheter

Som registrerad har du enligt dataskyddsförordningen (GDPR) flera rättigheter när vi behandlar dina personuppgifter. Du kan utöva dessa rättigheter genom att kontakta oss via de kontaktuppgifter som anges i slutet av denna policy.

7.1 Rätt till tillgång

Du har rätt att begära bekräftelse på om vi behandlar dina personuppgifter samt få en kopia av de uppgifter vi har om dig.

7.2 Rätt till rättelse

Du har rätt att få felaktiga eller ofullständiga personuppgifter korrigerade.

7.3 Rätt till radering

Du har i vissa fall rätt att begära att dina personuppgifter raderas, exempelvis om de inte längre behövs för ändamålet eller om behandlingen bygger på ditt samtycke som du återkallar.

7.4 Rätt att invända

När vi behandlar dina uppgifter med stöd av berättigat intresse har du rätt att invända mot behandlingen. Vi kommer då att göra en ny avvägning och endast fortsätta behandlingen om vi kan visa tvingande berättigade skäl som väger tyngre än dina intressen och rättigheter.

Du har alltid rätt att invända mot behandling för direktmarknadsföring, inklusive profilering som har samband med sådan marknadsföring. Invändning kan göras via länken i utskicket eller genom kontakt till dataprotection@recway.se, varefter vi upphör med sådan behandling.

7.5 Rätt till begränsning av behandling

Du har i vissa fall rätt att begära att vi tillfälligt begränsar behandlingen av dina uppgifter, exempelvis under tiden vi utreder riktigheten i uppgifter du invänder mot.

7.6 Rätt till dataportabilitet

Om vi behandlar dina uppgifter med stöd av avtal eller samtycke och behandlingen sker automatiserat har du rätt att få ut dina personuppgifter i ett strukturerat, maskinläsbart format och i vissa fall få dem överförda till en annan personuppgiftsansvarig.

7.7 Rätt att återkalla samtycke

Om behandlingen av dina personuppgifter grundar sig på samtycke kan du när som helst återkalla detta. Återkallelsen påverkar dock inte lagligheten av behandlingen innan den återkallades.

7.8 Rätt att lämna klagomål

Om du anser att dina rättigheter inte respekteras av Recway AB får du gärna kontakta oss. Du har också alltid rätt att inge klagomål till tillsynsmyndigheten Integritetsskyddsmyndigheten om du anser att Recway AB behandlar dina personuppgifter i strid med tillämplig lagstiftning. Sådana klagomål kan inges via e-post, imy@imy.se, eller med brev till Integritetsskyddsmyndigheten, Box 8114, 104 20 Stockholm. Läs mer på www.imy.se

Vid bakgrundskontroller där Recway är biträde ska du i första hand vända dig till den personuppgiftsansvarige (kunden). Om du kontaktar Recway vidarebefordrar vi din begäran och bistår kunden.

7.9 Hur du utövar dina rättigheter

Begäran om rättigheter skickas till dataprotection@recway.se. Vi kan behöva begära kompletterande uppgifter för att verifiera din identitet. Vi svarar utan onödigt dröjsmål och senast inom en (1) månad från mottagandet. Tiden kan vid behov förlängas med upp till två månader vid komplexa eller omfattande begäranden; i så fall informerar vi dig.

8. Cookies och länkar till andra hemsidor

På vår hemsida använder vi cookies som kan innebära personuppgiftsbehandling. Läs mer om vår användning av cookies i vår cookie-policy.

På hemsidan förekommer även länkar till andra hemsidor. Recway AB ansvarar inte för den eventuella personuppgiftsbehandling som sker när du besöker andra hemsidor.

9.  Säkerhet

 Vi skyddar personuppgifter genom lämpliga tekniska och organisatoriska åtgärder, såsom åtkomstkontroller, kryptering i transit och vila där det är relevant, loggning och uppföljning av åtkomst, samt regelbundna säkerhets- och leverantörsgranskningar. Åtgärderna dimensioneras efter risk, i enlighet med artikel 32 GDPR.

10. Så kontaktar du oss

För ytterligare information är du välkommen att kontakta oss på:

Recway AB
Olof Palmes gata 29
111 20 Stockholm
E-postadress: dataprotection@recway.se
‍Växel: +46 8 502 492 55