Policy för behandling av personuppgifter
Policy för behandling av personuppgifter
Bakgrund och syfte
Sustera värnar om sina kunders, samarbetspartners och anställdas integritet och är alltid mån om att följa gällande dataskyddsregelverk. Var och en har rätt till skydd av de personuppgifter som berör denne.
Sustera har därför antagit denna Policy för behandling av personuppgifter för att säkerställa att alla inom företaget följer dataskyddsreglerna.
Den 25 maj 2018 börjar EU:s Dataskyddsförordning (även kallad GDPR efter den engelska förkortningen) tillämpas. Dataskyddsförordningen blir direkt tillämplig i Sverige och EU:s medlemsländer. Dataskyddsförordningen ersätter PUL och medför ett förstärkt skydd för de personer vars personuppgifter behandlas och den ställer hårdare krav på företag och organisationer som behandlar personuppgifter.
Tillämpningsområde och omfattning
Denna policy gäller vid var tid för Susteras samtliga anställda och underleverantörer/konsulter.
Susteras styrgrupp ska se till att denna policy efterlevs, vilket bland annat innefattar utbildning för alla anställda. Utbildningen för de anställda ska även innefatta information om att överträdelse av policyn kan komma att medföra till exempel arbetsrättsliga konsekvenser.
Grundläggande principer
Personuppgifter ska behandlas lagligt, skäligt och transparent i förhållande till den registrerade.
Personuppgifter får endast samlas in och behandlas för särskilda och berättigade ändamål enligt ett antal legala grunder, till exempel fullgörande av avtal, för att fullgöra rättslig förpliktelse m.m. eller där samtycke inhämtats från den registrerade, och de får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.
Kopior av register får ej förekomma utöver bolagets ordinarie system-backup.
Personuppgifter
Personuppgifter är alla upplysningar som avser en identifierad eller identifierbar fysisk person och som direkt eller indirekt kan identifiera en person.
Behandling av s k Särskilda kategorier av personuppgifter, till exempel personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, biometriska eller genetiska uppgifter, uppgifter om en persons sexualliv/sexuella läggning eller hälsa, är som huvudregel förbjuden.
Vi behandlar följande personuppgifter:
- Namn,
- Adress,
- Telefonnummer,
- E-postadress,
- Fotografi,
- Personnummer (anställda),
- Anhöriga (anställda)
Säkerhetsåtgärder, behörighetsstyrning och åtkomst, radering, biträden
Personuppgifterna ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna med användning av tekniska och organisatoriska åtgärder.
Åtkomst till personuppgifter ska vara behörighetskontrollerad och skyddad med lösenord.
Personuppgifter gallras när de inte behövs längre eller om ett samtycke återkallas.
Sustera tecknar s k Personuppgiftsbiträdesavtal med de externa parter som har tillgång till, eller tillhandahåller, våra system. Personuppgiftsbiträderna är skyldiga att följa Susteras instruktioner och har inte rätt att lämna ut dina personuppgifter till någon annan eller att använda dem för andra ändamål än vad som omfattas av Susteras instruktioner. Personuppgiftsbiträdena är även skyldiga att vidta vissa tekniska och organisatoriska åtgärder för att skydda dina personuppgifter.
Överföring till tredje land
Om överföring av personuppgifter till länder utanför EU och EES ska komma ifråga, t ex för vissa molnbaserade tjänster, så får det endast ske under särskilda förutsättningar och behöver då analyseras särskilt.
Registerutdrag och utlämnande
Den registrerade har rätt till information när personuppgifterna samlas in och kan begära en kopia av personuppgifterna (registerutdrag). Är personuppgifterna som behandlas felaktiga kan den registrerade kräva korrigering. Visar den registrerade att ändamålet för vilket personuppgifterna behandlas inte längre är tillåtet, nödvändigt eller rimligt ska de aktuella personuppgifterna raderas om det inte finns några lagbestämmelser som anger annat. Den registrerades identitet ska alltid säkerställas för utlämning av registerutdrag.
Personuppgifter kan även komma att lämnas ut för det fall det följer av lag, förordning eller myndighetsbeslut.
Personuppgiftsincidenter
En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring eller obehörig åtkomst till behandlade personuppgifter. Exempel: stöld av kundregister, oavsiktligt avslöjande av löneinformation via e-post till fel mottagare, personuppgifter publiceras på webben av misstag, en bärbar dator tappas bort eller stjäls vid ett inbrott som leder till att information om anställda eller kunder avslöjas.
Vid en misstänkt personuppgiftsincident – kontakta omedelbart kontakt@sustera.com eller 010-204 19 00 så avgör vi om tillsynsmyndigheten eller de registrerade behöver underrättas. Inträffade incidenter ska dokumenteras.
Personuppgiftsincidenter kan behöva anmälas till Datainspektionen inom 72 timmar från att den upptäckts om det är sannolikt att det föreligger en risk för fysiska personers rättigheter och friheter.
Övrigt
Dataskyddsförordningen, lagtext och terminologi etc finns på www.imy.se
Frågor
Vänligen kontakta kontakt@sustera.com vid frågor angående behandling av personuppgifter.