Bifogat finns följande dokument som rör vår databehandling. Varje avsnitt på denna sida innehåller en detaljerad förklaring av de viktigaste aspekterna av dessa dokument, och de fullständiga versionerna finns tillgängliga för nedladdning längst ned:
- Uttalande från svenska Integritetsskyddsmyndigheten från ett Förhandssamråd
- Dataflödeskarta - Illustrerar hur behandlingen utförs
- Tredjepartsleverantörer som kommer behandla datan (alla är inom EU/EES)
- Jämförelse mellan vår lösning och andra besöksräknare
- Informationsplikt - exempel på ändamål och skylt till entrén
- Tidigare genomförda DPIA:er (Balanstest) - genomförd av DLA Piper
- Teknisk sammanfattning - genomförd av DLA Piper
- Vårt Personuppgiftsbiträdesavtal (DPA)
1. Uttalande från Svenska Integritetsskyddsmyndigheten
Den svenska Integritetsskyddsmyndigheten (numera IMY f.d. Datainspektionen) har dragit slutsatsen att våra planerade behandlingsaktiviteter kan stödjas enligt artikel 6.1(f) i GDPR, som hänvisar till legitima intressen. IMY har särskilt noterat att "den behandling som bolaget planerar kan utföras med stöd av artikel 6.1 f i dataskyddsförordningen".
Detta innebär att Indivd inte behandlar, lagrar eller använder biometriska uppgifter och att Indivds patenterade anonymiseringsmetod i tillräcklig utsträckning minskar riskerna.
2. Dataflödeskarta
Som personuppgiftsbiträde hanterar vi bildmaterial för att anonymisera det och sedan analysera de anonymiserade uppgifterna för våra kunders specifika behov. Här är en översikt över processen:
-
Videoinspelning: Kameror spelar in videofilmer av besökare när de kommer in i lokalerna.
-
Säker överföring: De inspelade bilderna krypteras och överförs via en IPSec-tunnel till en molnbaserad bearbetningsinstans. Denna process tar mellan 1-10 sekunder, beroende på nätverksbuffring och brandväggsgenomgång.
-
Detektering av data: Bearbetningsinstansen identifierar och isolerar relevanta delar av bilden och reducerar data till väsentliga element.
-
Kodning och anonymisering: De isolerade bildsegmenten bearbetas av ett neuralt nätverk för att generera kodningsvektorer, som omedelbart anonymiseras med hjälp av avancerade och patenterade metoder som t.ex. Grupp ID och brus.
-
Omedelbar radering: Efter bearbetningen raderas all bilddata automatiskt inom millisekunder, utan att nå eller lagras på någon hårddisk eller annan permanent lagringsenhet.
-
Generering av insikter: De anonymiserade identifierarna lagras säkert och analyseras i Indivds bearbetningsmiljö för att generera handlingsbara insikter.
3. Tredjepartsleverantör
Tredjepartsleverantör 1
- Namn: GleSYS
- Underbiträde: GleSYS AB, Kanslistvägen 12, 311 39 Falkenberg, Sverige
- Kategorier av registrerade: Besökare på platser
- Kategorier av personuppgifter: Bilddata
- Behandling: Tillhandahålla infrastruktur för anonymisering/radering av bilddata
- Lagringsperiod: Inga personuppgifter lagras någonsin samt anonymisering och radering sker inom 1-3 millisekunder, plus buffring på 1-10 sekunder
- Plats för behandling: Sverige
- Kontaktperson: info@glesys.se
- Överföringsmekanism: All behandling sker inom EU
- Skyddsåtgärder: All behandling sker inom EU
- AI/Automatiserat beslutsfattande: Inte involverad
Tredjepartsleverantör 2
- Namn: Digital Ocean
- Underbiträde: Digital Ocean Holdings Inc, 101 Avenue of the Americas, 10th Floor, New York, New York, 10013, Förenta staterna
- Kategorier av registrerade: Användare i plattformen
- Kategorier av personuppgifter: E-postadress, förnamn, efternamn och webbloggar
- Behandling: Lagring av användardata
- Lagringsperiod: Till dess att prenumerationen eller användaren sägs upp.
- Plats för behandling: Tyskland
- Kontaktperson: support@digitalocean.com och/eller privacy@digitalocean.com
- Överföringsmekanism: All behandling sker inom EU
- Skyddsåtgärder: All behandling sker inom EU
4. Skillnader/likheter med andra besöksräknare
Både vår lösning och andra besöksräknare (2D och 3D) använder kameror för att fånga bilddata från besökare, men de viktigaste skillnaderna inkluderar:
- Avtal om databehandling: Alla olika typer av besöksräknare (2D- och 3D-kameror) kräver ett personuppgiftsbiträdesavtal och åtgärder som minskar riskerna på grund av den typ av storskalig personuppgiftsbehandling som det innebär att analysera eller radera personuppgifter (besökare går in i lokalen).
- Godkännande: Indivd är den första och enda besöksräknaren som har granskats och godkänts av myndigheterna.
5. Informationsplikt
Enligt artiklarna 12 och 13 i GDPR måste personuppgiftsansvariga tillhandahålla tydlig och tillgänglig information när de samlar in personuppgifter, och se till att den är kortfattad, transparent och begriplig. Detta kan göras i olika nivåer, med grundläggande information på skyltar och detaljerad information på webbplatser eller i broschyrer. För Indivds behandling är tydlighet avgörande på grund av dess användning av AI och anonymiseringstekniker. Detta bygger på vägledning från Integritetsskyddsmyndigheten och är inte juridisk rådgivning.
För mer information, läs det bifogade dokumentet "Duty to provide information to visitors".
Exempel på ändamål för behandlingen
Dessa ändamål har bedömts inom ramen för det Förhandssamrådet med Datainspektionen. Vi förutsätter därför att dessa är korrekta.
- Förstå hur olika objekt i butiksmiljön (hyllor, gångar, inredning, entré, skyltning, belysning m.m) attraherar intresse (uppmärksammas, integreras med, leder till konvertering) från besökare för att kunna göra förändringar som leder till att butiksmiljön blir mer effektiv och relevant för alla besökare.
- Förstå var och när köer bildas (t.ex. kassor, omklädningsrum, toaletter, kundtjänstdiskar) för att kunna göra förändringar som leder till en effektivisering av butiksdriften och minimering av köbildning.
- Förstå hur besöksflöden sker för att kunna göra förändringar som leder till en effektivisering av kundflöden i butiken.
- Effektivisera den interna driften genom att förstå besöksflöden och därefter anpassa bemanning på olika platser/avdelningar i butikslokalen.
- Förstå hur besökare navigerar i butikens planerade kundvarv (dvs. vilken väg besökarna tar i butiken) för att kunna genomföra förändringar som leder till ökad effektivitet och relevans av kundvarven.
- Möjliggöra tydligare jämförelser och därmed förstå skillnader mellan olika butiker, exempelvis våra butiksmiljöers inverkan, köbildning, besöksflöden, attraktiviteten av objekt, besökares navigation i butikernas planerade kundvarv m.m. för att lära oss om skillnaderna och göra förändringar som leder till en effektivisering av vår organisations totala verksamhet. Exempelvis så skulle vi kunna genomföra två separata investeringar i två butiker med liknande förutsättningar. I den ena butiken investerar vi i en vidareutbildning till personalen och i den andra butiken investerar vi i en ny butiksinredning. Om resultaten av en sådan studie skulle visa att det är mer gynnsamt i att ge personalen en vidareutbildning, så skulle det kunna leda till att vi omstrukturerar våra investeringar och ökar effektiviteten av vår organisations totala verksamhet.
- Möjliggöra tydligare jämförelser och därmed förstå skillnader mellan olika butiker, exempelvis våra butiksmiljöers inverkan, köbildning, besöksflöden, attraktiviteten av objekt, besökares navigation i butikernas planerade kundvarv m.m. för att effektivisera/anpassa planerade etableringar, inklusive att identifiera nya städer/områden för etablering.
- Möjliggöra tydligare jämförelser och därmed förstå skillnader mellan våra butiker och andra butiker över tid, exempelvis avseende butiksmiljöers inverkan, attraktiviteten av objekt, köbildning, besöksflöden, attraktiviteten av objekt, besökares navigation i butikernas planerade kundvarv m.m. för att få och prova nya idéer och erbjudanden, exempelvis genom att introducera en yogastudio eller löparklubb för att öka vår innovationskraft samt stärka vår konkurrenskraft. Exempelvis skulle insikter om att en stor andel av besökarna är attraherade av (uppmärksammar, interagerar med) sportprodukter kunna leda oss till att tillfälligt prova lansera en löparklubb i butiken. En återkommande aktivitet i butiken skulle kunna leda till att besökare samlas för att springa och prata om löpning i syfte om att stärka butikens varumärke mot den målgruppen. I och med en ökad förståelse för skillnader, attraktiviteten av objekt, besöksflöden osv. så kan vi förstå om detta var en lönsam investering genom att förstå om (i) fler besökare besöker oss (ii) nya målgrupper besöker oss (iii) det leder till ökad attraktivitet för andra produkter (iii) vi har en ökad besöksfrekvens och en ökad attraktivitet i förhållande till benchmark data vilket i sig leder till en ökad konkurrenskraft.
För att underlätta för dig har vi skapat ett exempel på en skylt som visar hur du presenterar denna information, baserat på rekommendationer från Europeiska Dataskyddsstyrelsen (EDPB). Du kan ladda ner "Example sign" för mer information.
Ansvarsfriskrivning
Detta dokument är avsett för allmän information och ska inte betraktas som juridisk rådgivning. För juridisk rådgivning, vänligen kontakta en advokat.