DATASKYDDSMANUAL för Saferoad-gruppen

Transkript

1 DATASKYDDSMANUAL för Saferoad-gruppen

2

3 Innehåll 1. Introduktion till Dataskydd 5 2. Sammanfattning 7 3. Datainsamling 8 4. Känsliga personuppgifter och specialkategorier av personuppgifter Notis Förfrågningar om tillgång Datakvalitet, sekretess och säkerhet Lagring Utlämnande av personuppgifter Dataöverföring Marknadsföringsåtgärder och webbplatser Anmälning av databehandling Påföljder Do s and Don ts Rapportering Utbildning Internrevision Ansvarsfördelning för personuppgifter inom Saferoad Kontaktinformation till ansvariga chefer Relaterade dokument 23 3

4 Dataskydd handlar om olika länders lagar och regler gällande insamling, tillgänglighet och delning av personuppgifter.

5 1. Introduktion till dataskydd Dataskydd handlar om olika länders lagar och regler gällande insamling, tillgänglighet och delning av personuppgifter. Dataskyddslagar förbjuder lagring av vissa typer av personuppgifter, förutom vid särskilda fall och anger de krav som måste följas för att datalagringen ska ses som laglig. Saferoad-gruppen (hädanefter kallat "Saferoad") behandlar och lagrar personuppgifter på daglig basis. Individers integritet och säker hantering av personuppgifter är viktigt för Saferoad. Den här manualen har därför gjorts för att hantering och lagring av personuppgifter av Saferoad ska gå rätt till och vara laglig. Syftet med den här manualen är att ge anställda grundläggande förståelse för situationer, som normalt regleras av dataskyddslagar och därigenom möjliggöra för Saferoads anställda att följa dessa lagar. Denna handbok gäller för alla på Saferoad - all personal, chefer, ledande befattningshavare och medlemmar i styrelsen (alla kollektiv kallade "anställda". Utöver de allmänna riktlinjerna, måste de detaljerade kraven i lokala dataskyddslagar följas av anställda som ansvarar för verksamhet där behandling av personuppgifter ingår. 5

6 Dataskyddslagar anger hur olika typer av personuppgifter ska samlas in, under vilka omständigheter som data kan samlas in, och hur länge data får lagras.

7 2. Sammanfattning Dataskyddslagar anger hur olika typer av personuppgifter ska samlas in, under vilka omständigheter som data kan samlas in, och hur länge data får lagras. Föreslagna handlingar (till exempel insamling av anställdas eller kunders personuppgifter, inköp av kunddata i marknadsföringssyfte eller insamling av personuppgifter på webbplatser) måste analyseras noga för att säkerställa att de inte bryter mot dataskyddslagar. Proportionalitet och öppenhet är avgörande, och individer måste informeras om Saferoads behandling av personuppgifter. Personuppgifter får endast delas med tredje part när en regelrätt basis för hur överlämning ska ske upprättats. Det kan vara ett avtal om databehandling. Utlämning av personuppgifter till enheter utanför Europeiska Ekonomiska Samarbetsområdet (EES) eller att få tillgång till personuppgifter från enheter utanför EES får endast förkomma när den exporterande enheten fått en garanti för att personuppgifterna kommer att skyddas av den importerande enheten. Överträdelser kan leda till skadestånd, böter eller fängelse samt administrativa påföljder av tillsynsmyndighet. 7

8 3. Datainsamling "Personuppgifter" är all information, som direkt eller indirekt avser en identifierad eller identifierbar fysisk person. Personuppgifter får bara samlas in till särskilda och legitima syften och därefter inte bahandlas på något sätt som som är oförenligt med dessa syften. Om inte ett legitimt syfte kan fastställas i enlighet med nationell lagstiftning, får personuppgifter inte samlas in. "Behandling av personuppgifter" är varje åtgärd eller serie av åtgärder som vidtas beträffande personuppgifter: automatisk eller manuell, organisationen kring, lagring, bearbetning, utlämnande, blockering eller radering. ata s any information, which, directly or Det är bara legitimt att behandla personuppgifter om: den person som personuppgifterna avser har gett sitt medgivande; behandlingen är nödvändig för att fullgöra ett avtal i vilket den enskilde är en part i eller vid begäran av den enskilde innan ett sådant avtal ingås; processen är nödvändig för att överensstämma med en rättslig förpliktelse där Saferoad är föremål; behandlingen är nödvändig för att skydda vitala intressen för den enskilde; behandlingen är nödvändig för att utföra en uppgift som är i allmänhetens intresse eller vid myndighetsutövning eller om tredje part till vilken uppgifterna har lämnats ut, eller; behandlingen är nödvändig för ändamål som rör berättigade intressen vilka Saferoad eftersträvar, eller tredje part eller parter till vilka uppgifterna lämnas ut, förutom när ett sådant intresse upphävs av den personliga integriteten av den person som personuppgifterna avser. 8

9 När så krävs enligt tillämplig lag eller att det på annat sätt anses rimligt, praktiskt möjligt och lämpligt, bör insamling av personuppgifter ske med samtycke från den berörda personen. Medgivanden från personer vars personuppgifter behandlas bör vara entydig, tydlig, och möjlig att återkalla av individen i fråga. Vid insamling av personuppgifter bör behovet av proportionalitet och öppenhet övervägas. Därför bör de personuppgifter som samlas vara adekvata, relevanta och nödvändiga med tanke på de ändamål uppgifterna har samlats in och / eller senare behandlas. 9

10 Känsliga personuppgifter ska inte samlas in om det inte är absolut nödvändigt och ska då ske inom lagens ramar.

11 4. Känsliga personuppgifter och specialkategorier av personuppgifter Till Känsliga personuppgifter räknas uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Känsliga personuppgifter ska inte samlas in om det inte är absolut nödvändigt och ska då ske inom lagens ramar. Andra kategorier av personuppgifter som inte räknas som känsliga uppgifter, som innefattas av dataskyddslagar ska hanteras med viss försiktighet och viss säkerhet bör tillämpas även här. Exempel på sådana särskilda kategorier av personuppgifter inkluderar följande (men är inte begränsade till): uppgifter om brott, brottmålsdomar eller andra säkerhetsåtgärder som bara får ges ut under kontroll av en myndighet; kreditinformation; barns personuppgifter; och personnummer. 11

12 12 När så erfordras enligt tillämplig lag eller om det är praktiskt möjligt och lämpligt, bör enskilda meddelas om behandlingen av personuppgifter.

13 5. Notis När så erfordras enligt tillämplig lag eller om det är praktiskt möjligt och lämpligt, bör enskilda meddelas om behandlingen av personuppgifter. Ett sådant meddelande måste minst innehålla följande information: det fullständiga namnet på den legitima enhet som enskilt eller tillsammans med andra bestämmer syftet med att behandla och spara personuppgifter (ibland kallad data controller); vad syftet med att behandla och spara personuppgifterna är; ytterligare information som är nödvändig för att individerna ska kunna utöva sina rättigheter i samband med processen, såsom olika typer av personuppgifter, mottagarna eller kategorier av mottagare av uppgifterna och arten av eventuell åtkomsträttighet enligt tillämplig lag, som beskrivs i avsnitt Förfrågningar om tillgång Om en individ begär att att få information om Saferoads behandling av personuppgifter; för att invända mot behandling av personuppgifter, eller för att korrigera fel, bör Saferoad svara på det sätt som krävs enligt tillämplig lag och på ett sätt som anses rimligt och lämpligt i samråd med VP Risk Management. 13

14 Anställda som har tillgång till personuppgifter måste behandla dessa i enlighet med vad syftet var med datainsamlingen och får inte dela, distribuera eller på något sätt avslöja personuppgifterna till tredje part, så vida de inte fått i uppdrag att göra så av Saferoad.

15 7. Datakvalitet, sekretess och säkerhet Bearbetade personuppgifter måste vara exakta och, i den mån det är nödvändigt, aktuella. Personuppgifter som är felaktiga eller ofullständiga ska raderas eller korrigeras. Anställda som har tillgång till personuppgifter måste behandla dessa i enlighet med vad syftet var med datainsamlingen och får inte dela, distribuera eller på något sätt avslöja personuppgifterna till tredje part, så vida de inte fått i uppdrag att göra så av Saferoad. Lämpliga tekniska och organisatoriska åtgärder bör vidtas för att skydda personuppgifter mot oavsiktlig eller olaglig förstörelse, oavsiktlig förlust eller ändring, otillåten spridning eller åtkomst och alla andra olagliga former av behandling. Omfattningen av sådana åtgärder bör vara anpassad till de risker som är förknippade med personuppgifterna. Säkerhetsöverträdelser, som äventyrar sekretess eller säkerhet för personuppgifter som behandlas av Saferoad ska rapporteras omedelbart till en överordnad chef och VP Risk Management. 8. Lagring Personuppgifter ska endast lagras så länge som är nödvändigt med hänsyn till de syften för vilka de samlades in och det ska vara tillämpliga legala förvaringsperioder. När lagringsperioden av personuppgifter har upphört att gälla, bör de raderas på ett permanent och säkert sätt. 15

16 Personuppgifter får endast lämnas ut till tredje part, såsom Saferoads leverantörer, partners och dotterbolag, när det finns en legitim grund för det.

17 9. Utlämnande av personuppgifter Personuppgifter får endast lämnas ut till tredje part, såsom Saferoads leverantörer, partners och dotterbolag, när det finns en legitim grund för det. När personuppgifter lämnas ut till tredje part, bör det skriftligen fastställas huruvida tredje part betraktas som en data controller eller en databehandlare av personuppgifter som lämnas ut. Databehandlare avser en juridisk person som behandlar personuppgifter på uppdrag av registeransvarig. Data controller avser en juridisk person som ensam eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. När så krävs enligt tillämplig lag måste ett bearbetningsavtal ingås med varje databehandlare, till exempel i samband med användning av molntjänster eller outsourcing av IT-tjänster. Sådana avtal bör kräva att databehandlaren skyddar personuppgifter från ytterligare utlämning och att personuppgifter bara får behandlas i enlighet med Saferoads instruktioner. Ett avtal om databehandling bör också kräva att databehandlaren vidtar lämpliga säkerhetsåtgärder för att skydda personuppgifter och hålla dem konfidentiella, och omfattar förfaranden vid dataintrång. 17

18 10. Dataöverföring Utlämning av personuppgifter med enheter utanför Europeiska Ekonomiska Samarbetsområdet (EES) eller att få tillgång till personuppgifter från enheter utanför EES får endast förkomma när den exporterande enheten fått en garanti på att personuppgifterna kommer att skyddas av den importerande enheten. Detta kan åstadkommas genom att använda ett av Saferoads standardavtal för dataöverföring; Appendix 1 (dataöverföring till en data controller på enhet som inte hör till EES) eller Appendix 2 (dataöverföring till en databehandlare på enhet som inte hör till EES) som hör till den här manualen. Saferoads standardavtal för dataöverföring är baserat på mallar som antagits av EU-kommissionen, och måste kompletteras med uppgifter om överföringen. 11. Marknadsföringsåtgärder och webbplatser Användningen av personuppgifter vid marknadsföringsaktiviteter, såsom direkta marknadsföringskampanjer, marknadsföring via sociala webbplatser eller inköp av personuppgifter i marknadsföringssyfte, måste uppfylla kraven i gällande lag. Såvida inte ett legitimt syfte med att samla in personuppgifter till marknadsaktiviteter finns får inte personuppgifter användas. Individer har rätt att meddela om de motsätter sig behandlingen av deras personuppgifter för ändamål som rör direkt marknadsföring. Om en individ lämnar ett sådant meddelande, måste det infrias. Var och en av Saferoads externa webbplatser måste innehålla en online sekretesspolicy, inklusive förfaranden för att acceptera cookies, som uppfyller kraven i gällande lag. 18

19 12. Anmälning av databehandling Varje företag inom Saferoad är skyldiga att anmäla sin databehandling till tillämplig tillsynsmyndighet, om inte undantag från anmälningsskyldigheten gäller. Om databehandlingsverksamheten förändras, bör en bedömning göras om anmälningar som gjorts till tillämplig tillsynsmyndighet bör uppdateras eller ändras. 13. Påföljder Påföljder för brott mot dataskyddslagar omfattar: skadestånd till de personer vars personuppgifter har behandlats på otillåtet sätt, böter och fängelse. Dessutom kan tillsynsmyndigheten förbjuda enskilda företag inom Saferoad från att delta i vissa behandlingar och införa andra administrativa påföljder. EU överväger förslag till strängare påföljder för brott mot dataskyddslagar, såsom administrativa påföljder på upp till 5% av den registeransvariges årliga globala omsättning eller 100 miljoner euro. 19

20 14. Do s and Don ts DO: Vidta särskilda åtgärder vid behandling och lagring av känsliga personuppgifter. Tillhandahålla information till privatpersoner och svara på åtkomstförfrågningar i den utsträckning som krävs enligt tillämplig lag eller på annat sätt anses rimligt praktiskt möjligt och lämpligt i samråd med VP Risk Management. Håll personuppgifterna konfidentiella och tillämpa lämpliga säkerhetsåtgärder för uppgifterna. 20

21 DON T: Samla inte in personuppgifter utan att ha något syfte med det och sätt en tid för hur länge lagring av dem är relevant. Samla inte personuppgofter på den "det är bra att ha"- basis. Visa eller vidarebefordra inte personuppgifter, inte ens inom Saferoad, utan att ha genomfört lämpliga åtgärder. Till exempel ett avtal om databehandling. 21

22 15. Rapportering Anställda som misstänker att överträdelser inom Saferoad har begåtts mot denna policy eller mot relevanta dataskyddslagar ska kontakta VP Risk Management. 16. Utbildning Saferoad tillhandahåller lämplig utbildning för alla anställda. Utbildningen är linje med Saferoads riskprofil och anpassas för den anställdas ansvarsområde. 17. Internrevision VP Risk Management är ansvarig för att uppnå mål och granska Programmet för företagsriktlinjer samt granska rådande handelssanktioner, på en regelbunden basis mot bakgrund av Saferoads specifika verksamhetsområden, geografiska platser, och rättsväsende. 18. Ansvarsfördelning för personuppgifter inom Saferoad Varje företag inom gruppen ska ansvara för och kontrollera att behandling av personuppgifter inom företaget går rätt till. Varje företag ansvarar för att behandling av personuppgifter sker i enlighet med denna handbok och med den lokala dataskyddslagstiftningen. Varje företag inom gruppen är vidare ansvariga för att föra ett uppdaterat internt register av det behandlade personliga data som företaget är ansvariga över. 22

23 19. Kontaktinformation till ansvariga chefer VD:en ansvarar för den övergripande tillsynen och genomförandet av Programmet för företagsriktlinjer. VP Risk Management är ansvariga för att Saferoads dagliga verksamhet överensstämmer med denna manual och rådande dataskyddslagar. 20. Relaterade dokument Denna manual ska läsas tillsammans med följande dokument: Program för företagsriktlinjer beskrivning Uppförandekod 23

24 Saferoad AS, 2015.