Integritetspolicy

Integritetspolicy för First Wellness Testing Group AB
Version 2.0 - Januari 2026

1. Inledning

Observera att FWT inte bedriver hälso - och sjukvård och inte tillhandahåller medicinsk

diagnos eller medicinsk behandling. Den information vi tillhandahåller är avsedd som

allmän information och ersätter inte rådgivning från läkare eller annan legitimerad hälso -

och sjukvårdspe rsonal.

Läs denna integritetspolicy noggrant. Den innehåller viktig information om:

• vilka personuppgifter vi samlar in och hur vi använder dem

• för vilka ändamål och med vilka rättsliga grunder vi samlar in, lagrar och

behandlar dina personuppgifter

• med vilka vi delar uppgifterna

• hur länge vi sparar dem

• vilka rättigheter du har enligt dataskyddslagstiftningen

• hur du kan kontakta oss och/eller tillsynsmyndigheter

Vi behandlar dina personuppgifter i enlighet med Europaparlamentets och rådets

förordning (EU) 2016/679 (”dataskyddsförordningen” eller ”GDPR”), lagen (2018:218)

med kompletterande bestämmelser till EU:s dataskyddsförordning samt övrig tillämplig

svensk la gstiftning. För användare i Storbritannien följer vi även UK GDPR och UK Data

Protection Act 2018.

I denna integritetspolicy avses med ”GDPR” EU:s dataskyddsförordning för användare

inom EU/EES och UK GDPR för användare i Storbritannien, beroende på vad som är

tillämpligt.

2. När gäller denna integritetspolicy?

Denna integritetspolicy gäller när vi behandlar dina personuppgifter i samband med att du

använder våra tjänster, till exempel när du:

a) besöker någon av våra webbplatser, inklusive https://firstwellnesstesting.com , eller

andra webbplatser som vi äger och driver,

b) besöker och köper produkter via vår webbshop,

c) registrerar dig på våra webbplatser för att ta del av de tjänster som FWT erbjuder

och som du begär, eller

d) tar del av testresultat som rapporteras av laboratorium via vår onlineportal.

Våra webbplatser kan innehålla länkar till tredjepartswebbplatser och tjänster som har

egna integritetspolicys. Denna policy gäller inte för webbplatser eller tjänster som vi inte

kontrollerar, även om länkar till sådana tjänster förekommer på våra webbplatser. Dessa

omfattas av sina egna integritetspolicys och vi rekommenderar att du läser dem noggrant

innan du använder sådana tjänster.

3. Varför samlar vi in personuppgifter och hur använder vi dem?

Enligt GDPR måste vi ha en rättslig grund för varje behandlingsändamål. Nedan beskriver

vi våra huvudsakliga ändamål, exempel och rättsliga grunder.

4. Vem är personuppgiftsansvarig?

personuppgifter som beskrivs i denna policy. Det innebär att vi bestämmer ändamål och

medel för behandlingen.

Om du har frågor om hur vi behandlar dina personuppgifter som inte besvaras i denna

5. Vad är personuppgifter?

Personuppgifter avser varje upplysning som direkt eller indirekt kan identifiera dig, såsom

namn, kontaktuppgifter, adress, födelsedatum, e -postadress, telefonnummer,

enhetsinformation (t.ex. IP -adress), betalningsuppgifter, uppgifter om din användning av

våra webbplatser eller onlinetjänster, testidentifierare och testresultat.

I vissa fall kan vi även behandla ditt personnummer, om detta är tydligt motiverat och

nödvändigt för ändamålet med behandlingen, i enlighet med svensk kompletterande

lagstiftning.

6. Vilka uppgifter samlar vi in?

De personuppgifter vi samlar in och använder omfattar både uppgifter som du medvetet

och aktivt lämnar till oss när du beställer eller använder någon av våra tjänster eller

kampanjer samt uppgifter som automatiskt skickas från dina enheter när du använder våra

produkter och tjänster.

Vi samlar endast in personuppgifter som är nödvändiga, relevanta och proportionerliga

för de ändamål som anges i denna integritetspolicy och begär inte uppgifter som inte

behövs för att tillhandahålla våra tjänster.

När du använder våra webbplatser kan vi samla in följande personuppgifter när du

lämnar dem till oss:

• Namn - och kontaktuppgifter: för- och efternamn, e -postadress och

telefonnummer. När det är nödvändigt för att tillhandahålla tjänsten kan vi även

samla in hemadress och/eller arbetsadress.

• Konto - och inloggningsuppgifter: inloggningsuppgifter till vårt bokningssystem

(Rexbooker) eller onlineportal samt kommunikationspreferenser (t.ex. samtycke

till nyhetsbrev).

• Order - och tjänsteinformation: produkter och tjänster du köper,

leveransuppgifter, uppgifter relaterade till din användning av våra självtesttjänster

samt uppgifter du lämnar i formulär, via e -post eller genom support.

• Testrelaterad information: unika testidentifierare/koder, testresultat och

relaterad information från laboratoriet. Dessa uppgifter utgör hälsouppgifter enligt

GDPR och behandlas med förstärkta skyddsåtgärder.

• Uppgifter som samlas in automatiskt: IP-adress och/eller webbläsar - och

enhetsuppgifter samlas automatiskt in när du använder vår webbplats och/eller

vårt bokningssystem Rexbooker. Detta kan inkludera operativsystem,

språkpreferenser, land/region (ungefärlig geografisk position baserad på IP -

adress), uppgifter om hur och när du använder våra webbplatser och tjänster

(t.ex. besökta sidor, tid på sida, klick), teknisk information samt felloggar. Dessa

uppgifter identifierar normalt inte dig direkt, men kan gö ra det i kombination med

andra uppgifter och kan kopplas till ditt konto eller test om du är inloggad.

Uppgifterna används främst för att upprätthålla säkerhet och drift av våra system,

för intern analys och rapportering samt för att förbättra våra tjänste r och

användarupplevelsen. Vi begränsar sådan insamling till vad som är nödvändigt

för funktion, säkerhet och prestanda och använder inte uppgifterna för profilering

eller marknadsföring utan samtycke där detta krävs enligt lag

7. Barn

Vi samlar inte medvetet in personuppgifter om barn under 18 år utan vårdnadshavares

samtycke där detta krävs enligt lag.

Om vi blir medvetna om att vi har samlat in personuppgifter om ett barn på ett sätt som

inte är lagligt kommer vi utan dröjsmål att radera dessa uppgifter och, när det är lämpligt,

kontakta barnets vårdnadshavare.

När behandlingen grundas på samtycke tar vi hänsyn till barnets ålder och mognad och

följer tillämpliga EU - och svenska dataskyddsregler. Barn som är bosatta i Sverige och

har fyllt 13 år kan själva lämna samtycke till informationssamhällets tjänster när s amtycke

är den relevanta rättsliga grunden. För yngre barn inhämtas samtycke från

vårdnadshavare.

8. Dina rättigheter

Enligt GDPR har du följande rättigheter:

• Rätt till tillgång: få bekräftelse på om vi behandlar personuppgifter om dig och

få en kopia av dessa.

• Rätt till insyn och transparens: få tydlig information om hur vi behandlar dina

personuppgifter.

• Rätt till rättelse: få felaktiga eller ofullständiga personuppgifter korrigerade.

• Rätt till radering: begära radering av dina personuppgifter i vissa situationer.

• Rätt till begränsning: begära att behandlingen begränsas i vissa fall.

• Rätt till dataportabilitet: få ut personuppgifter som du själv har lämnat i ett

strukturerat, allmänt använt och maskinläsbart format samt, när det är tekniskt

möjligt, få dem överförda till annan personuppgiftsansvarig.

• Rätt att invända: invända mot behandling som grundas på berättigat intresse

samt alltid mot behandling för direktmarknadsföring.

• Rätt att återkalla samtycke: när behandling grundas på samtycke kan detta

återkallas när som helst.

• Rätt att inte bli föremål för automatiserat beslutsfattande: inklusive profilering

som har rättsliga eller liknande betydande effekter, såvida inte villkoren i GDPR

är uppfyllda.

Du kan utöva dina rättigheter genom att kontakta oss på

privacy@firstwellnesstesting.com . Vi kan behöva begära rimlig information för att verifiera

din identitet.

Du har rätt att lämna klagomål till Integritetsskyddsmyndigheten (IMY). Användare i

Storbritannien kan lämna klagomål till Information Commissioner’s Office (ICO).

9. Säkerhet

Vi skyddar dina personuppgifter genom organisatoriska och tekniska säkerhetsåtgärder.

Vårt ledningssystem för informationssäkerhet är certifierat enligt ISO/IEC 27001, vilket

innebär att vi arbetar strukturerat och riskbaserat med informationssäkerhet.

Personuppgifter lagras på säkra servrar med åtkomst begränsad till behörig personal som

behöver uppgifterna i sitt arbete. All behandling sker enligt interna riktlinjer och

sekretessåtaganden.

Vi tillämpar pseudonymisering, bland annat genom användning av unika testkoder, för att

minska kopplingsbarheten mellan testresultat och identifierbara individer. Åtkomst till

kopplingsnycklar är begränsad.

Du ansvarar själv för att skydda dina inloggningsuppgifter. Vid misstanke om obehörig

åtkomst ska du omedelbart kontakta oss.

Vi har rutiner för att upptäcka, utreda och hantera personuppgiftsincidenter och

underrättar registrerade och tillsynsmyndigheter när så krävs enligt lag.

10. Med vilka delar vi personuppgifter?

Vi delar endast personuppgifter när det finns rättslig grund.

• Personuppgiftsbiträden: IT-leverantörer, molntjänstleverantörer,

betalningsleverantörer, bokningssystem och laboratorier. Dessa behandlar

uppgifter enligt våra dokumenterade instruktioner och

personuppgiftsbiträdesavtal enligt artikel 28 GDPR.

• Koncernbolag och närstående bolag: under förutsättning att de följer denna

• Myndigheter: när vi är rättsligt skyldiga att lämna ut uppgifter.

• Brottsbekämpande myndigheter: när det är nödvändigt för att förebygga eller

utreda brott.

• Med ditt samtycke: för andra ändamål som du uttryckligen godkänner.

Vi säljer, hyr ut eller handlar inte med personuppgifter för marknadsföringsändamål.

11. Internationella överföringar

Våra servrar och vår huvudsakliga verksamhet är belägna inom EU/EES. Vissa av våra

tjänsteleverantörer eller koncernbolag kan dock vara belägna utanför EU/EES.

Om du befinner dig inom Europeiska ekonomiska samarbetsområdet (det vill säga

Europeiska unionens medlemsstater samt Norge, Island och Liechtenstein (EES)),

kommer dina personuppgifter endast att överföras utanför EES om vi kan säkerställa att

någon av föl jande förutsättningar är uppfylld:

• Europeiska kommissionen har beslutat att landet säkerställer en adekvat

skyddsnivå, exempelvis om Europeiska kommissionen har antagit ett

adekvansbeslut avseende ett land eller ett specifikt ramverk, såsom EU –US Data

Privacy Framework (DPF);

• Vi använder standardavtalsklausuler (SCC) som antagits av Europeiska

kommissionen, tillsammans med ytterligare skyddsåtgärder där så är nödvändigt;

• Annan lämplig skyddsåtgärd eller undantag enligt GDPR är tillämpligt.

Du kan begära ytterligare information om de skyddsåtgärder som tillämpas vid

internationella överföringar, inklusive en kopia av relevanta avtalsmässiga skyddsåtgärder

där så är tillämpligt, genom att kontakta oss på privacy@firstwellnesstesting.com .

För användare i Storbritannien sker överföringar av personuppgifter från Storbritannien till

länder utanför Storbritannien i enlighet med brittisk dataskyddslagstiftning (UK GDPR och

Data Protection Act 2018), exempelvis med stöd av brittiska adekvansföres krifter eller

lämpliga skyddsåtgärder såsom UK International Data Transfer Agreement (IDTA) eller

det brittiska tillägget till EU:s standardavtalsklausuler.

Personuppgifter som tillhandahålls av användare i Storbritannien lagras och behandlas i

första hand inom EU/EES eller Storbritannien. Om vi överför dina personuppgifter till ett

land utanför EU/EES eller Storbritannien säkerställer vi att lämpliga skyddsåt gärder finns

på plats och att dina rättigheter är skyddade.

För mer information om internationella överföringar inom EU och EU –US Data Privacy

Framework, se Europeiska kommissionens sidor om dataskydd. För användare i

Storbritannien finns ytterligare vägledning om internationella överföringar hos Information

Commis sioner’s Office (ICO).

12. Hur länge sparar vi dina personuppgifter?

Vi sparar dina personuppgifter endast så länge det är nödvändigt för de ändamål som

anges i denna integritetspolicy, såvida inte längre lagring krävs eller är tillåten enligt lag

(exempelvis för skatte -, redovisningsändamål eller så länge som krävs enligt tillämplig

lagstiftning i Sverige, Storbritannien och EU). När det relevanta ändamålet har uppfyllts

raderar vi uppgifterna eller anonymiserar dem oåterkalleligt så att de inte lä ngre kan

kopplas till dig.

Eftersom vi är verksamma i mer än ett land och för olika typer av kunder varierar

lagringstider beroende på sammanhanget:

12.1 Testrelaterade uppgifter

Vi sparar i regel identifierbara testrelaterade uppgifter (exempelvis dina kontaktuppgifter

kopplade till ett test och testresultatet) i upp till tio (10) år från datumet för ditt senaste test,

såvida inte en längre eller kortare period krävs eller är till åten enligt lag.

Vi gör detta för att:

o Ge dig tillgång till dina tidigare resultat

o Hantera frågor eller klagomål avseende ett test, och

o Fastställa, göra gällande eller försvara rättsliga anspråk i samband med

När vi inte längre behöver identifierbara testuppgifter för dessa ändamål kommer vi att

anonymisera eller radera dem.

När ditt prov analyseras av ett partnerlaboratorium skickar vi endast ett kodat prov och

testinformation – inte ditt namn eller dina kontaktuppgifter. Koden som gör det möjligt för

oss att koppla resultatet till dig lagras i våra system endast under den be gränsade period

som anges ovan och raderas därefter eller separeras oåterkalleligt från laboratoriets

register. Efter denna tidpunkt kan varken vi eller laboratoriet identifiera dig utifrån

laboratoriets bevarade testuppgifter.

Under perioden före radering av koden förblir FWT din primära kontaktpunkt i förhållande

till de tjänster vi tillhandahåller och för att utöva dina rättigheter enligt

dataskyddslagstiftningen avseende behandling som utförs av FWT. I den mån ett

laboratoriu m agerar som självständig personuppgiftsansvarig för egna lagstadgade

skyldigheter kan du även utöva dina rättigheter direkt gentemot det laboratoriet i enlighet

med denna integritetspolicy.

12.2 Laboratoriepartner och hälso - och sjukvårdsspecifika regler

När ditt prov analyseras av ett partnerlaboratorium kan laboratoriet lagra uppgifter

kopplade till en kodad identifierare under en längre period än vi, i enlighet med sina egna

rättsliga skyldigheter och yrkesmässiga standarder.

Laboratoriet behandlar kodade prover och relaterad testinformation för vår räkning enligt

ett skriftligt personuppgiftsbiträdesavtal. Laboratoriet får inte tillgång till ditt namn eller dina

kontaktuppgifter och kan inte självständigt identifiera dig utifr ån det kodade provet.

Lagring av kodade laboratorieuppgifter regleras genom avtalsmässiga överenskommelser

och tillämpliga rättsliga krav som kan fastställa egna lagringstider. FWT fastställer eller

kontrollerar inte de lagringstider som laboratoriet eller vårdgivaren tillämpar med

avseende på sådana lagstadgade skyldigheter.

12.3 Marknadsföringsuppgifter

Om du har samtyckt till att ta emot marknadsföring från oss (eller om vi skickar

marknadsföring med stöd av berättigat intresse där detta är tillåtet enligt lag), sparar vi

dina kontaktuppgifter för marknadsföringsändamål till dess att du återkallar ditt s amtycke

eller invänder mot marknadsföring.

Om du avregistrerar dig eller invänder kommer vi att upphöra med att använda dina

uppgifter för marknadsföring men kan behålla begränsad information (exempelvis din e -

postadress på en spärrlista) för att säkerställa att vi respekterar ditt val.

12.4 Avtal, redovisnings - och skattehandlingar

Vi är rättsligt skyldiga att bevara vissa handlingar som kan innehålla personuppgifter

(exempelvis fakturor, betalningsuppgifter, avtal och korrespondens avseende

transaktioner) under minimiperioder som följer av redovisnings - och skattelagstiftning,

• minst sju (7) år i Sverige, räknat från utgången av det räkenskapsår som berörs;

• sex (6) år i Storbritannien, räknat från utgången av det relevanta räkenskapsåret

eller redovisningsperioden, i enlighet med tillämplig brittisk lagstiftning.

Vid behov kan vi även bevara begränsade personuppgifter under tillämpliga

preskriptionsfrister för att fastställa, göra gällande eller försvara rättsliga anspråk.

12.5 Anonymiserade uppgifter

Vi kan bevara anonymiserade uppgifter (uppgifter som inte längre kan kopplas till dig)

under en längre period, exempelvis för att ta fram statistik, förbättra våra tjänster eller för

forsknings - och utvecklingsändamål. Anonymiserade uppgifter utgör inte lä ngre

personuppgifter och omfattas inte av dataskyddslagstiftningen.

13. Hur du kontaktar oss och hur du lämnar klagomål

Om du har frågor, synpunkter eller klagomål avseende vår behandling av dina

personuppgifter kan du kontakta oss på:

E-post: privacy@firstwellnesstesting.com

Birger Jarlsgatan 41A

SE-111 45 Stockholm, Sverige

Om du befinner dig i Sverige har du även rätt att lämna klagomål till

Integritetsskyddsmyndigheten (IMY): www.imy.se

Dataskyddsförordningen ger dig rätt att lämna klagomål till tillsynsmyndigheten i det

EU/EES -land där du vanligtvis arbetar, är bosatt eller där den påstådda överträdelsen av

dataskyddslagstiftningen har ägt rum.

Om du befinner dig i Storbritannien har du även rätt att lämna klagomål till Information

Commissioner’s Office (ICO): www.ico.org.uk

14. Ändringar av denna integritetspolicy

Denna integritetspolicy publicerades första gången och trädde i kraft den 10 maj 2022 och

uppdaterades senast den 31 januari 2026.

Vi kan från tid till annan ändra denna integritetspolicy, exempelvis för att återspegla

förändringar i vår behandling eller i tillämplig lagstiftning. När vi gör väsentliga ändringar

kommer vi att informera dig via vår webbplats och, där så är lämpligt, vi a e-post eller andra

kommunikationskanaler.

Den senaste versionen finns alltid tillgänglig på vår webbplats och anger datum för

senaste uppdatering.

Senast uppdaterad: 31 januari 2026

First Wellness Testing Group AB
Birger Jarlsgatan 41A, 111 45 Stockholm, Sverige
E-post: info@firstwellnesstesting.com