1. SYFTE
Syftet med denna policy är att beskriva hur vi på Sokigo behandlar personuppgifter, vad vi använder dem till och vem som får ta del av uppgifterna. Policyn utgår från gällande dataskyddslagstiftning exempelvis Dataskyddsförordningen (EU:s Dataskyddsförordning (EU 2016/679), General Data Protection Regulation, GDPR) samt, i förekommande fall, andra lagar och föreskrifter som beskriver behandling av personuppgifter. Policyn förtydligar de åtgärder vi vidtar för att tillvarata individens rättigheter och integritet när vi lagrar dennes personuppgifter. Det kan exempelvis röra personer som anmält att de önskar få information från oss eller sökt arbete hos oss, leverantörer, anställda, samarbetspartners, kunder eller före detta anställda.
2. BAKGRUND
Sokigo behandlar personuppgifter främst för att fullfölja våra förpliktelser. Vår utgångspunkt är att inte samla in eller spara fler personuppgifter än vad som är nödvändigt för ändamålet, att radera personuppgifter vi inte längre har användning av och vi strävar alltid efter att inte använda mer känsliga uppgifter än nödvändigt.
Vi använder även personuppgifter för att kunna bedriva vår verksamhet och ge bra service. Det kan exempelvis gälla försäljning och marknadsföring, uppföljning, intern och extern information eller för att göra olika typer av undersökningar. Vi kan också behöva personuppgifter för att uppfylla myndigheters lagar och förordningar eller för att uppfylla ingångna gällande avtal.
När vi samlar in uppgifter om en person för första gången ska personen informeras om syftet för behandling av uppgifterna och samtycke inhämtas (om krav finns på detta, se nedan). Om insamlingen grundas på samtycke kan den registrerade då direkt, eller längre fram, motsätta sig att vi lagrar uppgifterna varpå de raderas eller anonymiseras. De kan även motsätta sig att vi använder uppgifterna för vissa ändamål, exempelvis för direkt marknadsföring.
Vid behandling av personuppgifter tänker vi på att inte skapa register vi inte har behov av, att när så krävs skicka eller distribuera dem på ett säkert sätt och att radera register när de inte längre används.
3. RIKTLINJER
3.1 Laglig behandling av personuppgifter
Personuppgifter får endast samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Grundläggande principer inom integritetsskydd är att inte samla in mer information än vad som behövs, inte ha kvar information längre än nödvändigt och inte använda uppgifter till något annat än vad som var syftet när de samlades in. Har den registrerade lämnat sitt samtycke till behandling av personuppgifterna är behandling i regel tillåten. Ett samtycke ska vara individuellt, frivilligt och tydligt. Den registrerade ska innan samtycket ha informerats om tilltänkt behandling av lämnade personuppgifter. Den registrerade kan när som helst återkalla sitt samtycke varefter behandling inte längre får ske.
I några fall krävs inte samtycke enligt artikel 6 i dataskyddsförordningen. Detta gäller för nödvändig behandling för att:
- Avtal med den registrerade ska kunna fullgöras eller åtgärder som den registrerade begärt ska kunna vidtas innan ett avtal träffas
- Personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse (lag, kollektivavtal etc.)
- Skydda vitala intressen för den registrerade.
- Vid intresseavvägning (gäller ej känsliga personuppgifter). Se förklaring i Bilaga: Vanliga begrepp
3.2 Känsliga personuppgifter
Särskilda regler gäller för känsliga personuppgifter. Känsliga personuppgifter är uppgifter som avslöjar
- Ras eller etniskt ursprung
- Politiska åsikter
- Religiösa eller filosofiska övertygelser
- Medlemskap i fackförening
- Uppgifter som rör sexualitet och hälsa
- Genetiska och biometriska uppgifter
Enligt artikel 9 i Dataskyddsförordningen är det förbjudet att behandla känsliga personuppgifter. Det finns dock undantag som beskrivs i artikel 9. Om behandlingen omfattas av dessa undantag ska samtycke inhämtas.
3.3 Vilka personuppgifter behandlar vi?
Vi behandlar endast personuppgifter när vi har laglig grund att göra så. Här följer exempel på personuppgifterna vi behandlar:
- Namn, e-postadress, telefonnummer, organisation, befattning
- Adress, födelsedatum, bankkontonummer, personnummer, foton mm (gäller endast anställda)
- Uppgifter som anställda, kunder med flera självmant och frivilligt registrerat
- Innehåll som personen själv publicerat, så kallat användargenererat innehåll
3.4 När inhämtar vi personuppgifter?
Vi inhämtar personuppgifter när det krävs, se avsnittet laglig behandling av personuppgifter. Vid insamling av personuppgifter ska vi inhämta samtycke när så krävs. Samtycket kan när som helst återkallas varvid uppgifterna raderas eller anonymiseras under förutsättning att uppgifterna inte krävs för att vi ska kunna fullgöra våra skyldigheter enligt lag, avtal eller berättigat intresse.
Vi kan också få tillgång till personuppgifter till exempel när:
- Personer söker anställning hos oss, besöker oss eller på annat sätt tar kontakt med oss
- Personer anmäler sig till våra kurser, digitala eller fysiska event, nyhetsbrev och andra utskick
- Personer svarar på enkäter och undersökningar
- Våra medarbetare får del av personuppgifter i kunduppdrag
- Vi får uppgifter från myndigheter och offentliga register
3.5 Behandlas uppgifterna på ett betryggande sätt?
Vi har utarbetade rutiner och en informationssäkerhetspolicy som beskriver hur vi behandlar personuppgifter på ett säkert sätt. Utgångspunkten är att endast personer inom vår organisation som har behov av personuppgifterna för att utföra sina arbetsuppgifter ska ha tillgång till dem. För tillgång till känsliga personuppgifter krävs särskild behörighet. Vi har en god fysisk och elektronisk säkerhet kring de platser där vi lagrar personinformation. Vi överför inte personuppgifter från ett ställe till ett annat för andra ändamål än för de som anges i denna policy. Vi har rutiner för att upptäcka och rapportera intrång i enlighet med gällande dataskyddslagstiftning.
3.6 När lämnar vi ut personuppgifter?
Vår utgångspunkt är att endast lämna ut personuppgifter till tredje part, t.ex. myndighet, om det är nödvändigt för att uppfylla våra förpliktelser enligt lag eller avtal eller om vi först fått samtycke till det. I de fall som inte grundas på utlämnande enligt lag, upprättar vi sekretessavtal med tredje part samt säkerställer att personuppgifterna hanteras och behandlas på ett betryggande sätt.
Om parten är utanför EU använder vi EUs standardavtalsklausuler. Syftet med EUs standardavtalsklausuler är att ge tillräckliga garantier för att enskildas rättigheter ska skyddas vid överföring av personuppgifter till länder som inte har en adekvat skyddsnivå.
3.7 Den registrerades rättigheter
De viktigaste rättigheterna för den registrerade är att:
- Få tillgång till sina personuppgifter (registerutdrag)
- Få felaktiga personuppgifter rättade
- Få sina personuppgifter raderade
- Invända mot att personuppgifter används för automatiserat beslutsfattande och profilering
- Flytta de personuppgifter som den registrerade själv har lämnat till oss (dataportabilitet)
Dataskyddsförordningen innehåller en skyldighet att på begäran lämna information till den registrerade om vilka uppgifter som behandlas gällande denne. Detta innebär att ett registerutdrag lämnas ut, se bilaga. När en sådan begäran hanteras behöver även viss ytterligare information lämnas ut, som exempelvis hur länge personuppgifterna kommer att lagras och att den registrerade har rätt att få felaktiga uppgifter rättade. Om en sådan begäran görs elektroniskt ska den registrerade också kunna begära att få ut informationen elektroniskt.
4. ANSVAR
Sokigo är personuppgiftsansvarig för alla personuppgifter som vi äger, vilket innebär att vi är ansvariga för hur en persons uppgifter lagras, hur de behandlas och att personens rättigheter tas tillvara.
För personuppgifter som ägs av kund är denne personuppgiftsansvarig. I de fall Sokigo behandlar personuppgifter för kunds räkning tecknas personuppgiftsbiträdesavtal som reglerar hur hantering av dessa ska ske mellan parterna.
4.1 Registerförteckning
Dokumentation över Sokigos behandling av personuppgifter ska sammanställas i en registerförteckning. Även ostrukturerat material ska ingå i denna förteckning.
4.2 Samtycke
När Sokigo inte har tillåtelse att inhämta eller behandla vissa personuppgifter, ska ett samtycke inhämtas.
4.3 Konsekvensbedömning
Innan en behandling av personuppgifter som kan leda till en hög risk för integritetsintrång inleds, exempelvis ett omfattande register med känsliga personuppgifter, måste en bedömning av konsekvenserna för den registrerade genomföras. Detta kallas för en konsekvensbedömning och innebär att risken och allvaret för det fall uppgifter skulle spridas utvärderas. Resultatet av bedömningen avgör vilka åtgärder som behöver vidtas. Åtgärder behöver planeras och införas för att hantera riskerna, såsom skyddsåtgärder, säkerhetsåtgärder och rutiner för att säkerställa skyddet av personuppgifterna i förhållande till genomförandekostnaderna. Om bedömningen visar att behandlingen kan leda till en hög risk om inte den personuppgiftsansvarige vidtar dessa åtgärder för att minska risken, krävs samråd med tillsynsmyndigheten.
De viktigaste principerna är att inte samla in mer information än vad som är nödvändigt, inte ha kvar informationen längre än nödvändigt, att inte använda uppgifterna till annat än till angivet syfte och beakta möjligheten att minimera tillgång till uppgifterna.
4.4 Personuppgiftsbiträdesavtal
Som personuppgiftsansvariga ska Sokigo alltid teckna personuppgiftsbiträdesavtal med underleverantör när hantering av personuppgifter är aktuellt. Detta gäller såväl behandling av våra personuppgifter som i de fall underleverantör behandlar personuppgifter åt våra kunder.
Sokigo ska även teckna personuppgiftsbiträdesavtal med sina kunder i de fall behandling av personuppgifter ska utföras åt kunden.
4.5 Personuppgiftsincident
Om det inträffar en oavsiktlig eller olaglig förstöring, förlust eller ändring av personuppgifterna Sokigo behandlar, till exempel ett dataintrång (någon obehörig får åtkomst till våra system) eller en oavsiktlig förlust av personuppgifter (en anställd tappar sin mobil, dator eller minnessticka), kan vi behöva dokumentera incidenten och anmäla den till tillsynsmyndigheten inom 72 timmar. Det behöver inte göras om det är osannolikt att incidenten leder till några risker för enskildas fri- och rättigheter (den förlorade datorn innehöll få eller inga personuppgifter eller innehållet var krypterat och datorn försedd med andra säkerhetsskydd). Vi kan också behöva informera den registrerade om det till exempel finns risk för id-stöld eller bedrägeri.
4.6 Ändringar i policyn
Sokigo förbehåller sig rätten att när som helst och av vilket skäl som helst komplettera och ändra denna policy. Ändringar kan vara påkallade som en följd av förändringar i lagar och förordningar.
4.7 Uppföljning
Policyn för behandling av personuppgifter följs upp och utvärderas löpande av företagsledningen samt vid lednings genomgång.
5. BILAGA: VANLIGA BEGREPP
Personuppgifter: Varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Känsliga personuppgifter: Känsliga personuppgifter är uppgifter som avslöjar, ras eller etniskt ursprung, politiska åsikter, religiösa eller filosofiska övertygelser, medlemskap i fackförening, uppgifter som rör sexualitet och hälsa samt genetiska och biometriska uppgifter.
Behandling: En åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
Intresseavvägningen innebär att det måste finnas ett berättigat intresse för den personuppgiftsansvarige som väger tyngre än den registrerades intresse av skydd mot kränkningar av den personliga integriteten. Det kan till exempel handla om att samla in personuppgifter genom cookies för att förbättra användarens upplevelse av webbplatsen eller förenkla inloggningen, liksom att skicka ut marknadsföringsinformation till en befintlig kunds e-postadress. Användning av de kategorierna av personuppgifter (cookies respektive e-postadress) anses innebära en låg risk för kränkning om ändamålet är relativt harmlöst.
Profilering: Varje form av automatisk behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar.
Anonymisering: Behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person.
Register: En strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.
Registerutdrag: Omfattar en förteckning av vilka personuppgifter som behandlas, för vilket ändamål, hur länge de lagras samt till vem eller vilka de lämnats ut. Ett registerutdrag omfattar inte personuppgifterna i sig.
Personuppgiftsansvarig: En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt.
Personuppgiftsbiträde: En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.
Samtycke av den registrerade: varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne.
Personuppgiftsincident: En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Andra exempel på personuppgiftsincidenter kan t.ex. vara:
- En besökare har använt skrivaren och lämnat utskrifter kvar i skrivaren som innehåller kundlistor med kontaktuppgifter
- En anställd råkar ta bort information i en databas som innehåller personuppgifter
- Ett mail som innehåller personuppgifter skickas till fel mottagare utanför organisationen
Tredje part: en fysisk eller juridisk person, offentlig myndighet, institution eller organ som inte är den registrerade, den personuppgiftsansvarige, personuppgiftsbiträdet eller de personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar är behöriga att behandla personuppgifterna.
Underleverantör: företag, person eller annan som vi kontrakterar för att utföra ett definierat arbete i ett kunduppdrag. Det kan gälla konsultuppdrag, drift att IT-lösning med mera.