INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Transkript

1 INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

2 INNEHÅLLSFÖRTECKNING 1 INLEDNING OCH SYFTE TILLÄMPNING OCH REVIDERING ORGANISATION OCH ANSVAR BEGREPP OCH FÖRKORTNINGAR PERSONUPPGIFTSBEHANDLING REGISTRERADES RÄTTIGHETER PERSONUPPGIFTSANSVARIGES SKYLDIGHETER BITRÄDESAVTAL HANTERING VID FÖRFRÅGAN HANTERING VID INCIDENT

3 1 INLEDNING OCH SYFTE Dataskyddsförordningen (General Data Protection Regulation - GDPR) gäller som lag i alla EU:s medlemsländer från och med den 25 maj Denna förordning ersätter PUL. Ett av huvudsyftena med dataskyddsförordningen är att skydda enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Detta görs genom att uppmärksamma och stärka enskilda individers rättigheter i sammanhang där deras personuppgifter behandlas och registreras. Syftet med denna policy är att säkerställa att Hufvudstaden hanterar personuppgifter i enlighet med EUs dataskyddsförordning (General Data Protection Regulation GDPR). Policyn omfattar alla behandlingar där personuppgifter hanteras och omfattar såväl strukturerad som ostrukturerad data. Denna policy är förankrad hos alla våra medarbetare. Konsekvensen av att inte följa denna förordning kan bli synnerligen allvarlig då företaget kan tvingas betala en administrativ sanktionsavgift på upp till 4% av den totala omsättningen samt åtgärda grunden till anmälan. 2 TILLÄMPNING OCH REVIDERING Styrelsen ansvarar för att behandlingen av personuppgifter följer denna policy. Policyn ska fastställas av styrelsen minst en gång per år och uppdateras vid behov. CFO är ansvarig för att hålla i processen kring årlig uppdatering av policyn till följd av nya och förändrade regelverk. Denna policy är tillämplig för företagets styrelseledamöter, VD, medarbetare samt uppdragstagare som berörs av vår verksamhet. Hufvudstadens krav på att personuppgifter hanteras enligt GDPR ska alltid säkerställas vid upphandling och utveckling av IT-lösningar och tjänster. Det ska vara en del i kravspecifikationen och eventuella avtal. 3 ORGANISATION OCH ANSVAR VD har det övergripande ansvaret för innehållet i denna policy samt att den implementeras och efterlevs av verksamheten. VD får delegera ansvaret och implementationen till lämplig person på företaget. VD har delegerat implementering av denna policy till CFO. Alla medarbetare ansvarar för att de agerar i enlighet med denna policy och vad den vill säkerställa. 2

4 4 BEGREPP OCH FÖRKORTNINGAR Begrepp Personuppgift Direkta personuppgifter Indirekta personuppgifter Känsliga personuppgifter Registrerad Betydelse En personuppgift är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Direkta personuppgifter är framför allt namn, personnummer och information som direkt pekar ut en individ utan att man behöver tillföra ytterligare information. Exempel: personnummer namn adress Indirekta personuppgifter är uppgifter som pekar ut en individ om man kompletterar dem med annan information. Exempel: bilder video ljudupptagning IP-nummer och cookies Känsliga personuppgifter avses uppgifter om: ras eller etniskt ursprung, politiska åsikter religiös eller filosofisk övertygelse medlemskap i en fackförening hälsa en persons sexualliv eller sexuella läggning genetiska uppgifter och biometriska uppgifter som entydigt identifierar en person skyddad identitet Den fysiska person som direkt eller indirekt kan identifieras genom personuppgifterna i ett register. Personuppgiftsbehandling Alla former av åtgärder med personuppgifter är personuppgiftsbehandling. Exempel: insamling, registrering, organisering, strukturering, lagring, bearbetning, ändring, framtagning, läsning, användning, utlämning, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring. 3

5 Personuppgiftsansvarig Personuppgiftsbiträde Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Personuppgiftsansvarig är normalt den juridiska person (exempelvis aktiebolag, stiftelse eller förening) eller den myndighet som behandlar personuppgifter i sin verksamhet och som bestämmer vilka uppgifter som ska behandlas och vad de ska användas till. Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. 5 PERSONUPPGIFTSBEHANDLING Personuppgifter får bara samlas in för berättigade ändamål och mängden uppgifter ska begränsas till vad som är nödvändigt för ändamålen. Uppgifterna får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål och inte heller sparas längre än nödvändigt. Varje personuppgiftsbehandling ska ske enligt följande principer: Laglighet Ändamålsbegränsning Uppgiftsminimering Korrekthet Lagringsminimering Integritet och konfidentialitet Det finns särskilda regler när det gäller hanteringen av känsliga personuppgifter. Utgångspunkten är att det är förbjudet att registrera känsliga personuppgifter. Det finns undantag från förbudet, bland annat för arbetsrättsliga syften, för att försvara ett rättsligt anspråk, eller om det finns ett tydligt och frivilligt samtycke från den registrerade. När det gäller hantering av känsliga personuppgifter så skall dessa särskilt skyddas. 6 REGISTRERADES RÄTTIGHETER De registrerade har ett antal rättigheter enligt dataskyddsförordningen. Dessa rättigheter innebär att de registrerade ska få information om när och hur deras personuppgifter behandlas och ha kontroll över sina egna uppgifter. Rätten till information 4

6 Den enskilde har alltid rätt att få veta när, hur och varför hans eller hennes personuppgifter behandlas. Rätten till tillgång - Registerutdrag De enskilde har rätt till att få ta del av den information om dem som finns sparad hos en organisation. En person kan be att få ut ett så kallat registerutdrag, det vill säga en kopia på alla de uppgifter som organisationen har samlat på sig om honom eller henne. Rätten till rättelse Den enskilde kan kräva att de uppgifter som behandlas är korrekta. Därmed har den enskilde också rätt att få uppgifterna korrigerade eller kompletterade vid behov. Rätten till radering Rätten att bli glömd Den enskilde har rätt att begära att personuppgifter ska tas bort. Om det inte finns någon annan grund för behandlingen än samtycke eller om grunden är ett avtalsförhållande och det har avslutats, så har man rätt att begära att "bli glömd". Gäller ej då det finns annan laglig grund för att behandla uppgifterna. Rätten till begränsning Den enskilde har i vissa fall rätt att kräva att behandlingen av personuppgifter begränsas. Uppgifterna får då endast behandlas för vissa avgränsade syften. Rätten till dataportabilitet Den enskilde har rätt att på begäran få ut de uppgifter som finns registrerade i syfte att föra över dem och återanvända dem hos en annan part. Rätten till invändningar Den enskilde har i vissa fall rätt att invända mot den personuppgiftsansvariges behandling av hans eller hennes personuppgifter. Rätten att invända gäller när personuppgifter behandlas för att utföra en uppgift av allmänt intresse, som ett led i myndighetsutövning eller efter en intresseavvägning. Rätten till att göra invändningar De registrerade har rätt att invända mot att deras uppgifter används i syfte att skicka direktmarknadsföring samt att ifrågasätta rättslig grund för behandlingen. Rätten att slippa beslut grundat på en automatisk handling Om någon registrerad anser sig ha blivit förfördelad, så ska han eller hon kunna bestrida det automatiskt fattade beslutet och begära att en omprövning görs av en fysisk person. 7 PERSONUPPGIFTSANSVARIGES SKYLDIGHETER De som behandlar personuppgifter måste se till att behandlingen sker i enlighet med dataskyddsförordningens samtliga bestämmelser. På Hufvudstaden innebär detta bland annat: föra ett register över sina behandlingar av personuppgifter. 5

7 Hufvudstadens uppgiftsbehandlingar dokumenteras löpande i Airtable samt DraftIT. informera de registrerade i samband med behandling av personuppgifter samt att kommunicera öppet kring hur organisationen behandlar personuppgifter. tillhandahålla uppgifterna i ett "strukturerat, allmänt använt och maskinläsbart format" som gör det möjligt för den registrerade att skicka informationen vidare. omedelbart vidta åtgärder för att skydda personuppgifter 8 BITRÄDESAVTAL När en extern part hanterar ett företags eller en organisations personuppgifter för dennes räkning uppstår en biträdessituation. Ett skriftligt avtal måste upprättas. I avtalet ska det särskilt föreskrivas att personuppgiftsbiträdet bara får behandla personuppgifterna i enlighet med instruktionerna och att biträdet måste vidta de säkerhetsåtgärder som behövs för att skydda uppgifterna. Den personuppgiftsansvarige kan överlåta den faktiska behandlingen av personuppgifter, men personuppgiftsansvaret kan aldrig överlåtas. Hufvudstaden har en mall för biträdesavtal som skall undertecknas i de fall som annan part hanterar våra personuppgifter. Det är ansvarig för respektive process som ansvarar för att detta avtal tas fram. 9 HANTERING VID FÖRFRÅGAN Exempel på förfrågan; den registrerade vill veta vilka personuppgifter som finns i olika behandlingar, få registerutdrag på vilka behandlingar som finns registrerade, vill bli glömd/raderad Vid förfrågning så skall ärendet anmälas till gdpr@hufvudstaden.se och hanteras inom 30 dagar. Det är viktigt att den registrerade kan styrka sin identitet genom att identifiera sig med giltig legitimation. 10 HANTERING VID INCIDENT Exempel på incidenter: någon har olovligen kommit över personuppgifter, glömd företagsdator, tappat USB minne, stöld, intrång, förlust Eventuella incidenter rörande personuppgifter som vi behandlar ska utan dröjsmål rapporteras till GDPR ansvarig. Krisgruppen gör en risk och konsekvensanalys och 6

8 därefter bedömer om incidenten skall rapporteras vidare till Datainspektionen samt i övrigt vidta nödvändiga åtgärder med anledning av incidenten. Detta skall i så fall ske inom 72 timmar. Anmälan ska innehålla informationen om: Vilken typ av incident det är fråga om Vilka kategorier av personer som kan komma att beröras Hur många personer det berör Vilka konsekvenser incidenten kan få samt Vilka åtgärder man vidtagit för att motverka ev. negativa konsekvenser 7