Gå direkt till innehåll Gå direkt till meny

Policy för behandling av personuppgifter

Om du har frågor, vill begära utdrag eller bli glömd, kontakta: integritet@decerno.se 

1. SYFTE

Syftet med den här policyn är att beskriva hur vi på Decerno behandlar personuppgifter, vad vi använder dem till och vem som får ta del av dem. Policyn utgår från gällande dataskyddslagstiftning exempelvis Dataskyddsförordningen (EU:s Dataskyddsförordning (EU 2016/679), General Data Protection Regulation, GDPR) samt, i förekommande fall, andra lagar och föreskrifter som beskriver behandling av personuppgifter. Policyn förtydligar våra åtgärder för att tillvarata personers rättigheter och integritet när vi lagrar deras personuppgifter. Det kan exempelvis vara personer som anmält att de vill ha information från oss eller sökt arbete hos oss, leverantörer, anställda, samarbetspartners, kunder eller före detta anställda.

 

2. BAKGRUND

Decerno behandlar personuppgifter främst för att fullfölja våra förpliktelser. Vår utgångspunkt är att inte samla in eller spara fler personuppgifter än vad som behövs för ändamålet, att radera personuppgifter som vi inte längre har användning av och vi strävar alltid efter att inte använda mer känsliga uppgifter än nödvändigt.

Vi använder även personuppgifter för att kunna bedriva vår verksamhet och ge bra service. Det kan exempelvis gälla försäljning och marknadsföring, uppföljning, intern och extern information eller för att göra olika typer av undersökningar. Vi kan också behöva personuppgifter för att uppfylla myndigheters lagar och förordningar eller för att uppfylla ingångna gällande avtal.

När vi samlar in uppgifter om en person för första gången ska personen informeras om vad uppgifterna ska användas till och samtycke inhämtas (om krav finns på detta, se nedan). Om insamlingen grundas på samtycke kan de registrerade då direkt eller längre fram motsätta sig att vi lagrar uppgifterna varpå de raderas eller anonymiseras. De kan även motsätta sig att vi använder uppgifterna för vissa ändamål, exempelvis för direkt marknadsföring. Vid behandling av personuppgifter tänker vi på att inte skapa register vi inte har behov av, att när så krävs skicka eller distribuera dem på ett säkert sätt och att radera register när de inte längre används.

 

3. RIKTLINJER

3.1 Laglig behandling av personuppgifter

Personuppgifter får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Grundläggande principer inom integritetsskydd är att inte samla in mer information än vad som behövs, inte ha kvar information längre än nödvändigt och inte använda uppgifter till något annat än vad som var syftet när de samlades in. Har den registrerade lämnat sitt samtycke till behandling av personuppgifterna är behandling i regel tillåten. Ett samtycke ska vara individuellt, frivilligt och tydligt. Den registrerade ska innan samtycket ha informerats om tilltänkt behandling av lämnade personuppgifter. Den registrerade kan när som helst återkalla sitt samtycke varefter behandling inte längre får ske.

I några fall krävs inte samtycke enligt artikel 6 i dataskyddsförordningen. Detta gäller för nödvändig behandling för att:

Avtal med den registrerade ska kunna fullgöras eller åtgärder som den registrerade begärt ska kunna vidtas innan ett avtal träffas.
Personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse (lag, kollektivavtal etc).
Skydda vitala intressen för den registrerade.
Vid intresseavvägning (gäller ej känsliga personuppgifter). Se förklaring i Bilaga: Vanliga begrepp.

3.2 Känsliga personuppgifter

Särskilda regler gäller för känsliga personuppgifter. Känsliga personuppgifter är uppgifter som avslöjar

Ras eller etniskt ursprung
Politiska åsikter
Religiösa eller filosofiska övertygelser
Medlemskap i fackförening
Uppgifter som rör sexualitet och hälsa
Genetiska och biometriska uppgifter.
Enligt artikel 9 i Dataskyddsförordningen är det förbjudet att behandla känsliga personuppgifter. Det finns dock undantag som beskrivs i artikel 9. Om behandlingen omfattas av dessa undantag ska samtycke inhämtas.

3.3 Vilka personuppgifter behandlar vi?

Vi behandlar endast personuppgifter när vi har laglig grund att göra så. Här följer exempel på personuppgifterna vi behandlar:

Namn, användarnamn, e-postadress, telefonnummer, adress, födelsedatum, bankkontonummer, personnummer, foton mm
Uppgifter som anställda, kunder med flera självmant och frivilligt registrerat
Innehåll som personen själv publicerat, så kallat användargenererat innehåll

3.4 När inhämtar vi personuppgifter?

Vi inhämtar personuppgifter när det krävs, se avsnittet laglig behandling av personuppgifter. När vi samlar in personuppgifter ska vi inhämta samtycke när så krävs. Samtycket kan när som helst återkallas varvid uppgifterna raderas eller anonymiseras under förutsättning att uppgifterna inte krävs för att vi ska kunna fullgöra våra skyldigheter enligt lag, avtal eller berättigat intresse.

Vi kan också få tillgång till personuppgifter till exempel när:

Personer söker anställning hos oss, besöker oss eller på annat sätt tar kontakt med oss
Personer anmäler sig till våra kurser, seminarier, nyhetsbrev och andra utskick
Personer svarar på enkäter och undersökningar
Våra medarbetare får del av personuppgifter i kunduppdrag
Vi får uppgifter från myndigheter och offentliga register

3.5 Behandlas uppgifterna på ett betryggande sätt?

Vi har utarbetade rutiner och en IT-säkerhetspolicy som beskriver hur vi behandlar personuppgifter på ett säkert sätt. Utgångspunkten är att endast personer inom vår organisation som har behov av personuppgifterna för att utföra sina arbetsuppgifter ska ha tillgång till dem. För tillgång till känsliga personuppgifter krävs särskild behörighet. Vi har en god fysisk och elektronisk säkerhet kring de platser där vi lagrar personinformation. Vi överför inte personuppgifter från ett ställe till ett annat för andra ändamål än för de som anges i denna policy. Vi har rutiner för att upptäcka och rapportera intrång i enlighet med gällande dataskyddslagstiftning.

3.6 När lämnar vi ut personuppgifter?

Vår utgångspunkt är att endast lämna ut personuppgifter till tredje part, tex myndighet, om det är nödvändigt för att uppfylla våra förpliktelser enligt lag eller avtal eller om vi först fått samtycke till det. I fall som inte grundas på utlämnande enligt lag, upprättar vi sekretessavtal med tredje part samt säkerställer att personuppgifterna hanteras och behandlas på ett betryggande sätt.

Om parten är utanför EU så använder vi EUs standardavtalsklausuler. Syftet med EUs standardavtalsklausuler är att ge tillräckliga garantier för att enskildas rättigheter ska skyddas vid överföring av personuppgifter till länder som inte har en adekvat skyddsnivå.

3.7 De registrerades rättigheter

De viktigaste rättigheterna för de registrerade är att:

Få tillgång till sina personuppgifter (registerutdrag)
Få felaktiga personuppgifter rättade
Få sina personuppgifter raderade
Invända mot att personuppgifter används för automatiserat beslutsfattande och profilering
Flytta de personuppgifter som den registrerade själv har lämnat till oss (dataportabilitet)
Dataskyddsförordningen innehåller en skyldighet att på begäran lämna information till de registrerade om vilka uppgifter som behandlas om dem. Detta innebär att ett registerutdrag lämnas ut, se bilaga. När en sådan begäran hanteras behöver man även lämna viss ytterligare information, som exempelvis hur länge personuppgifterna kommer att lagras och att man har rätt att få felaktiga uppgifter rättade. Om en sådan begäran görs elektroniskt ska den registrerade också kunna begära att få ut informationen elektroniskt.

 

4. ANSVAR

Decerno är personuppgiftsansvarig för alla personuppgifter som vi äger, vilket innebär att vi är ansvariga för hur personernas uppgifter lagras, hur de behandlas och att personernas rättigheter tas tillvara.

Decerno ansvarar för att säkerställa att egenutvecklade produkter som erbjuds marknaden, har sådana funktioner att våra kunder kan efterleva kraven på behandling av personuppgifter.

För personuppgifter som ägs av kund är denne personuppgiftsansvarig. I de fall Decerno behandlar personuppgifter för kunds räkning tecknas personuppgiftsbiträdesavtal som reglerar hur hantering av dessa ska ske mellan parterna.

4.1 Registerförteckning

Dokumentation över Decernos behandling av personuppgifter ska sammanställas i en registerförteckning. Även ostrukturerat material ska ingå i denna förteckning.

4.2 Samtycke

När Decerno inte har tillåtelse att inhämta eller behandla vissa personuppgifter, ska ett samtycke inhämtas.

4.3 Konsekvensbedömning

Innan man inleder en behandling av personuppgifter som kan leda till en hög risk för integritetsintrång, det kan till exempel vara ett omfattande register med känsliga personuppgifter, så måste man bedöma konsekvenserna för de registrerade. Det kallas för en konsekvensbedömning. Då bedömer man risken och allvaret om uppgifter skulle spridas. Resultatet av bedömningen avgör vilka åtgärder som behöver genomföras. Åtgärder behöver planeras och införas för att hantera riskerna, såsom skyddsåtgärder, säkerhetsåtgärder och rutiner för att säkerställa skyddet av personuppgifterna i förhållande till genomförandekostnaderna. Om man bedömer att behandlingen skulle leda till en hög risk om inte den personuppgiftsansvarige vidtar dessa åtgärder för att minska risken, måste man samråda med tillsynsmyndigheten.

De viktigaste principerna är att inte samla in mer information än vad som är nödvändigt, inte ha kvar informationen längre än nödvändigt samt att inte använda uppgifterna till annat än till angivet syfte. Beakta möjligheten att minimera tillgång till uppgifterna.

4.4 Personuppgiftsbiträdesavtal

Som personuppgiftsansvariga ska Decerno alltid teckna personuppgiftsbiträdesavtal med underleverantör när hantering av personuppgifter är aktuellt. Detta gäller såväl behandling av våra personuppgifter som i de fall underleverantör behandlar personuppgifter åt våra kunder.

Decerno ska även teckna personuppgiftsbiträdesavtal med sina kunder i de fall behandling av personuppgifter ska utföras åt kunden.

4.5 Personuppgiftsincident

Om det inträffar en oavsiktlig eller olaglig förstöring, förlust eller ändring av de personuppgifter som Decerno behandlar, till exempel ett dataintrång (någon obehörig får access till vårt system) eller en oavsiktlig förlust av personuppgifter (en anställd tappar sin mobil, dator eller minnessticka), kan vi behöva dokumentera incidenten och anmäla den till tillsynsmyndigheten inom 72 timmar. Det behöver inte göras om det är osannolikt att incidenten leder till några risker för enskildas fri- och rättigheter (den förlorade datorn innehöll få eller inga personuppgifter eller innehållet var krypterat och datorn försedd med andra säkerhetsskydd). Vi kan också behöva informera de registrerade om det till exempel finns risk för id-stöld eller bedrägeri.

4.6 Ändringar i policyn

Decerno förbehåller sig rätten att när som helst och av vilket skäl som helst komplettera och ändra denna policy. Ändringar kan framförallt vara påkallade som en följd av förändringar i lagar och förordningar.

4.7 Uppföljning

Policyn för behandling av personuppgifter följs upp och utvärderas löpande av företagsledningen samt vid lednings genomgång.

 

5. VANLIGA BEGREPP

Personuppgifter: Varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

Känsliga personuppgifter: Känsliga personuppgifter är uppgifter som avslöjar, ras eller etniskt ursprung, politiska åsikter, religiösa eller filosofiska övertygelser, medlemskap i fackförening, uppgifter som rör sexualitet och hälsa samt genetiska och biometriska uppgifter.

Behandling: En åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

Intresseavvägningen innebär att det måste finnas ett berättigat intresse för den personuppgiftsansvarige som väger tyngre än den registrerades intresse av skydd mot kränkningar av den personliga integriteten. Det kan till exempel handla om att samla in personuppgifter genom cookies för att förbättra användarens upplevelse av webbplatsen eller förenkla inloggningen, liksom att skicka ut marknadsföringsinformation till en befintlig kunds e-postadress. Användning av de kategorierna av personuppgifter (cookies respektive e-postadress) anses innebära en låg risk för kränkning om ändamålet är relativt harmlöst.

Profilering: Varje form av automatisk behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar.

Anonymisering: Behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person.

Register: En strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.

Registerutdrag: Omfattar en förteckning av vilka personuppgifter som behandlas, för vilket ändamål, hur länge de lagras samt till vem eller vilka de lämnats ut. Ett registerutdrag omfattar inte personuppgifterna i sig.

Personuppgiftsansvarig: En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt.

Personuppgiftsbiträde: En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.

Samtycke av den registrerade: varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne.

Personuppgiftsincident: En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Andra exempel på personuppgiftsincidenter kan t.ex. vara:

En besökare har använt skrivaren och lämnat utskrifter kvar i skrivaren som innehåller kundlistor med kontaktuppgifter
En anställd råkar ta bort information i en databas som innehåller personuppgifter
Ett mail som innehåller personuppgifter skickas till fel mottagare utanför organisationen
Tredje part: en fysisk eller juridisk person, offentlig myndighet, institution eller organ som inte är den registrerade, den personuppgiftsansvarige, personuppgiftsbiträdet eller de personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar är behöriga att behandla personuppgifterna.

Underleverantör: företag, person eller annan som vi kontrakterar för att utföra ett definierat arbete i ett kunduppdrag. Det kan gälla konsultuppdrag, drift att IT-lösning mm.

Vill du att vi hör av oss?

Please fill out