INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Relevanta dokument
Policy om behandling av personuppgifter. Beslutad av styrelsen i Brf Gurkan

Säkerhetspolicy rev. 0.1

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

INTEGRITETSPOLICY FÖR ROSENDAL106 AB OCH DOTTERBOLAG

Dataskyddsförordningen 2018

Integritetspolicy Torget Getupdated AB / Getupdated Sverige AB

Dataskyddsförordningen 2018

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

GDPR-POLICY. Svenska Ponnytravförbundet - SPTF

Personuppgiftsinformation för Svedala kommun

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

STOCKHOLMS FOTBOLLFÖRBUND

Policy för personuppgiftshantering

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Dataskyddsförordningen

Dataskyddsförordningen för prefekter och administrativa chefer

Mertzig Asset Management AB

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

Vården och reglerna om dataskydd

Integritetspolicy för personuppgiftshantering

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Dataskyddsförordningen GDPR

Behandling av personuppgifter vid Göteborgs universitet

INTEGRITETSTSPOLICY AVSEENDE RESTAURANGGÄSTER MED FLERA

Axholmen:s Integritetspolicy

Stockforsa Invest Koncern med dotterföretag, Policy för behandling av personuppgifter

Dataskyddsförordningen - GDPR

Dataskyddsförordningen

Integritetspolicy Upplev Norrköping

Pass 6. Skydd för personlig integritet. SND Svensk nationell datatjänst

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Nya dataskyddsförordningen GDPR

GDPR. Ulrika Harnesk 17 oktober 2018

Strand Kapitalförvaltning AB:s integritetspolicy

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

GDPR EU har beslutat om en ny förordning som innehåller regler om hur man får behandla personuppgifter. Förordningen börjar gälla den 25 maj 2018 och

INTEGRITETSPOLICY för Webcap i Sverige AB

Dataskyddsförordningen i utbildningsverksamhet

GDPR- Seminarium 2017

INTEGRITETSPOLICY Max Mitteregger Kapitalförvaltning AB. INTEGRITETSPOLICY Den 25 maj 2018

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

Information om behandling av personuppgifter

GDPR General data protection regulation Dataskyddsförordningen

Dataskyddsförordningen och Lunds universitet KRISTINA ARNRUP THORSBRO 30/

Kerstin Wardman, 25 april 2018

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

Integritetspolicy för Judiska församlingen (JF) i Stockholm

Dataskyddsförordningen GDPR - General Data Protection Regulation

Vad är en personuppgift och vad är en behandling av personuppgifter?

DATASKYDDSFÖRORDNINGEN (GDPR) Information för dig som jobbar med utbildning och administration

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)

Sekretesspolicy Åre 2019 AB

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

ANIMECH TECHNOLOGIES INTEGRITETSPOLICY - EXTERN

GDPR - Riktlinjer för hantering av personuppgifter

Integritets Policy -GDPR Inledning Syfte Behandling av personuppgifter

Policy för personuppgiftsbehandling

GDPR. Anders Ahlström

Integritetspolicy leverantör

Policy för behandling av personuppgifter

Att hantera personuppgifter

PuL och GDPR en översiktlig genomgång

Integritetspolicy kunder

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

BOLAGETS POLICY FÖR BEHANDLING AV PERSONUPPGIFTER

Barnens och vårdnadshavarnas personuppgifter är deras egna vi lånar dem bara.

AMF Fastigheters integritetspolicy

(5) Integritetspolicy - Kumla Bostäder AB

Integritetspolicy Rinkaby Rör

Riktlinjer för behandling av personuppgifter

POLICY FÖR PERSONUPPGIFTSHANTERING uppdaterad:

Personuppgiftsbehandling Dataskydd

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud

Personuppgiftsbehandling i forskning

PerGus Maskinförmedling AB:s policy för behandling av personuppgifter

Koncernkontoret Enheten för juridik

GDPR UTBILDNINGSDAG SKKF

Dataskyddsförordningen (GDPR)

Instruktion till mall för registerförteckning

Integritetspolicy Policy Kunder

Södertörns brandförsvarsförbund

Till dig som använder bildspelet för att presentera!

Den nya dataskyddsförordningen

Lindesbergs kommuns arbete med dataskyddsförordningen

Victoria Behandlingscenter AB Integritetspolicy

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

GDPR definition och hur utbildningen berör(t)s av förordningen

INTEGRITETSPOLICY Information om behandling av personuppgifter för dig som är medlem i brf Gandalf

Advokatbyrån Eriksson & Bengtsson AB:s policy för behandling av personuppgifter

1. Vad är en personuppgift och vad är en behandling av personuppgifter?

Integritetspolicy leverantör

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

Överförmyndarförvaltningen. Information Sida 1 (7) Integritetspolicy

Hantering av personuppgifter

Transkript:

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER 2018-05-03

INNEHÅLLSFÖRTECKNING 1 INLEDNING OCH SYFTE... 2 2 TILLÄMPNING OCH REVIDERING... 2 3 ORGANISATION OCH ANSVAR... 2 4 BEGREPP OCH FÖRKORTNINGAR... 3 5 PERSONUPPGIFTSBEHANDLING... 4 6 REGISTRERADES RÄTTIGHETER... 4 7 PERSONUPPGIFTSANSVARIGES SKYLDIGHETER... 5 8 BITRÄDESAVTAL... 6 9 HANTERING VID FÖRFRÅGAN... 6 10 HANTERING VID INCIDENT... 6 1

1 INLEDNING OCH SYFTE Dataskyddsförordningen (General Data Protection Regulation - GDPR) gäller som lag i alla EU:s medlemsländer från och med den 25 maj 2018. Denna förordning ersätter PUL. Ett av huvudsyftena med dataskyddsförordningen är att skydda enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Detta görs genom att uppmärksamma och stärka enskilda individers rättigheter i sammanhang där deras personuppgifter behandlas och registreras. Syftet med denna policy är att säkerställa att Hufvudstaden hanterar personuppgifter i enlighet med EUs dataskyddsförordning (General Data Protection Regulation GDPR). Policyn omfattar alla behandlingar där personuppgifter hanteras och omfattar såväl strukturerad som ostrukturerad data. Denna policy är förankrad hos alla våra medarbetare. Konsekvensen av att inte följa denna förordning kan bli synnerligen allvarlig då företaget kan tvingas betala en administrativ sanktionsavgift på upp till 4% av den totala omsättningen samt åtgärda grunden till anmälan. 2 TILLÄMPNING OCH REVIDERING Styrelsen ansvarar för att behandlingen av personuppgifter följer denna policy. Policyn ska fastställas av styrelsen minst en gång per år och uppdateras vid behov. CFO är ansvarig för att hålla i processen kring årlig uppdatering av policyn till följd av nya och förändrade regelverk. Denna policy är tillämplig för företagets styrelseledamöter, VD, medarbetare samt uppdragstagare som berörs av vår verksamhet. Hufvudstadens krav på att personuppgifter hanteras enligt GDPR ska alltid säkerställas vid upphandling och utveckling av IT-lösningar och tjänster. Det ska vara en del i kravspecifikationen och eventuella avtal. 3 ORGANISATION OCH ANSVAR VD har det övergripande ansvaret för innehållet i denna policy samt att den implementeras och efterlevs av verksamheten. VD får delegera ansvaret och implementationen till lämplig person på företaget. VD har delegerat implementering av denna policy till CFO. Alla medarbetare ansvarar för att de agerar i enlighet med denna policy och vad den vill säkerställa. 2

4 BEGREPP OCH FÖRKORTNINGAR Begrepp Personuppgift Direkta personuppgifter Indirekta personuppgifter Känsliga personuppgifter Registrerad Betydelse En personuppgift är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Direkta personuppgifter är framför allt namn, personnummer och information som direkt pekar ut en individ utan att man behöver tillföra ytterligare information. Exempel: personnummer namn adress Indirekta personuppgifter är uppgifter som pekar ut en individ om man kompletterar dem med annan information. Exempel: bilder video ljudupptagning IP-nummer och cookies Känsliga personuppgifter avses uppgifter om: ras eller etniskt ursprung, politiska åsikter religiös eller filosofisk övertygelse medlemskap i en fackförening hälsa en persons sexualliv eller sexuella läggning genetiska uppgifter och biometriska uppgifter som entydigt identifierar en person skyddad identitet Den fysiska person som direkt eller indirekt kan identifieras genom personuppgifterna i ett register. Personuppgiftsbehandling Alla former av åtgärder med personuppgifter är personuppgiftsbehandling. Exempel: insamling, registrering, organisering, strukturering, lagring, bearbetning, ändring, framtagning, läsning, användning, utlämning, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring. 3

Personuppgiftsansvarig Personuppgiftsbiträde Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Personuppgiftsansvarig är normalt den juridiska person (exempelvis aktiebolag, stiftelse eller förening) eller den myndighet som behandlar personuppgifter i sin verksamhet och som bestämmer vilka uppgifter som ska behandlas och vad de ska användas till. Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. 5 PERSONUPPGIFTSBEHANDLING Personuppgifter får bara samlas in för berättigade ändamål och mängden uppgifter ska begränsas till vad som är nödvändigt för ändamålen. Uppgifterna får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål och inte heller sparas längre än nödvändigt. Varje personuppgiftsbehandling ska ske enligt följande principer: Laglighet Ändamålsbegränsning Uppgiftsminimering Korrekthet Lagringsminimering Integritet och konfidentialitet Det finns särskilda regler när det gäller hanteringen av känsliga personuppgifter. Utgångspunkten är att det är förbjudet att registrera känsliga personuppgifter. Det finns undantag från förbudet, bland annat för arbetsrättsliga syften, för att försvara ett rättsligt anspråk, eller om det finns ett tydligt och frivilligt samtycke från den registrerade. När det gäller hantering av känsliga personuppgifter så skall dessa särskilt skyddas. 6 REGISTRERADES RÄTTIGHETER De registrerade har ett antal rättigheter enligt dataskyddsförordningen. Dessa rättigheter innebär att de registrerade ska få information om när och hur deras personuppgifter behandlas och ha kontroll över sina egna uppgifter. Rätten till information 4

Den enskilde har alltid rätt att få veta när, hur och varför hans eller hennes personuppgifter behandlas. Rätten till tillgång - Registerutdrag De enskilde har rätt till att få ta del av den information om dem som finns sparad hos en organisation. En person kan be att få ut ett så kallat registerutdrag, det vill säga en kopia på alla de uppgifter som organisationen har samlat på sig om honom eller henne. Rätten till rättelse Den enskilde kan kräva att de uppgifter som behandlas är korrekta. Därmed har den enskilde också rätt att få uppgifterna korrigerade eller kompletterade vid behov. Rätten till radering Rätten att bli glömd Den enskilde har rätt att begära att personuppgifter ska tas bort. Om det inte finns någon annan grund för behandlingen än samtycke eller om grunden är ett avtalsförhållande och det har avslutats, så har man rätt att begära att "bli glömd". Gäller ej då det finns annan laglig grund för att behandla uppgifterna. Rätten till begränsning Den enskilde har i vissa fall rätt att kräva att behandlingen av personuppgifter begränsas. Uppgifterna får då endast behandlas för vissa avgränsade syften. Rätten till dataportabilitet Den enskilde har rätt att på begäran få ut de uppgifter som finns registrerade i syfte att föra över dem och återanvända dem hos en annan part. Rätten till invändningar Den enskilde har i vissa fall rätt att invända mot den personuppgiftsansvariges behandling av hans eller hennes personuppgifter. Rätten att invända gäller när personuppgifter behandlas för att utföra en uppgift av allmänt intresse, som ett led i myndighetsutövning eller efter en intresseavvägning. Rätten till att göra invändningar De registrerade har rätt att invända mot att deras uppgifter används i syfte att skicka direktmarknadsföring samt att ifrågasätta rättslig grund för behandlingen. Rätten att slippa beslut grundat på en automatisk handling Om någon registrerad anser sig ha blivit förfördelad, så ska han eller hon kunna bestrida det automatiskt fattade beslutet och begära att en omprövning görs av en fysisk person. 7 PERSONUPPGIFTSANSVARIGES SKYLDIGHETER De som behandlar personuppgifter måste se till att behandlingen sker i enlighet med dataskyddsförordningens samtliga bestämmelser. På Hufvudstaden innebär detta bland annat: föra ett register över sina behandlingar av personuppgifter. 5

Hufvudstadens uppgiftsbehandlingar dokumenteras löpande i Airtable samt DraftIT. informera de registrerade i samband med behandling av personuppgifter samt att kommunicera öppet kring hur organisationen behandlar personuppgifter. tillhandahålla uppgifterna i ett "strukturerat, allmänt använt och maskinläsbart format" som gör det möjligt för den registrerade att skicka informationen vidare. omedelbart vidta åtgärder för att skydda personuppgifter 8 BITRÄDESAVTAL När en extern part hanterar ett företags eller en organisations personuppgifter för dennes räkning uppstår en biträdessituation. Ett skriftligt avtal måste upprättas. I avtalet ska det särskilt föreskrivas att personuppgiftsbiträdet bara får behandla personuppgifterna i enlighet med instruktionerna och att biträdet måste vidta de säkerhetsåtgärder som behövs för att skydda uppgifterna. Den personuppgiftsansvarige kan överlåta den faktiska behandlingen av personuppgifter, men personuppgiftsansvaret kan aldrig överlåtas. Hufvudstaden har en mall för biträdesavtal som skall undertecknas i de fall som annan part hanterar våra personuppgifter. Det är ansvarig för respektive process som ansvarar för att detta avtal tas fram. 9 HANTERING VID FÖRFRÅGAN Exempel på förfrågan; den registrerade vill veta vilka personuppgifter som finns i olika behandlingar, få registerutdrag på vilka behandlingar som finns registrerade, vill bli glömd/raderad Vid förfrågning så skall ärendet anmälas till gdpr@hufvudstaden.se och hanteras inom 30 dagar. Det är viktigt att den registrerade kan styrka sin identitet genom att identifiera sig med giltig legitimation. 10 HANTERING VID INCIDENT Exempel på incidenter: någon har olovligen kommit över personuppgifter, glömd företagsdator, tappat USB minne, stöld, intrång, förlust Eventuella incidenter rörande personuppgifter som vi behandlar ska utan dröjsmål rapporteras till GDPR ansvarig. Krisgruppen gör en risk och konsekvensanalys och 6

därefter bedömer om incidenten skall rapporteras vidare till Datainspektionen samt i övrigt vidta nödvändiga åtgärder med anledning av incidenten. Detta skall i så fall ske inom 72 timmar. Anmälan ska innehålla informationen om: Vilken typ av incident det är fråga om Vilka kategorier av personer som kan komma att beröras Hur många personer det berör Vilka konsekvenser incidenten kan få samt Vilka åtgärder man vidtagit för att motverka ev. negativa konsekvenser 7

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss