GDPR POLICY Behandling av personuppgifter

Relevanta dokument
Personuppgiftsansvarig: Alpklyftan AB, Företrädare: Anna Wiklund, Administrativ chef,

Integritetspolicy Behandling av personuppgifter

POLICY Behandling av personuppgifter på Torkilstötens samfällighetsförening

Integritetspolicy. Behandling av personuppgifter. Senast reviderad den 22 Maj Syfte. Bakgrund. Mer information om GDPR:

INTEGRITETSPOLICY ADCARE NORDIC GROUP

Barnens och vårdnadshavarnas personuppgifter är deras egna vi lånar dem bara.

Integritets Policy -GDPR Inledning Syfte Behandling av personuppgifter

Utskriftsdatum Vversion 2018:1

Asitis personuppgiftspolicy. Asitis personuppgiftspolicy Syfte Ändamål Riktlinjer Asitis personuppgiftsbehandling...

INTEGRITETSPOLICY VIAMARE INVEST AB Behandling av personuppgifter

Denna dag, har följande policy upprättats för Uppsala Parkerings AB

Denna dag, har följande policy upprättats för Svensk biblioteksförening ( Föreningen ).

INTEGRITETSPOLICY Behandling av personuppgifter

Denna dag, har följande policy upprättats för Advokatfirman Upsala Juridiska Byrå HB.

GDPR och hantering av personuppgifter

INTEGRITETSPOLICY. Syfte. Bakgrund. Vilka uppgifter behandlar vi och varför? REAR AB:s behandling av personuppgifter

ABAs policy för behandling av personuppgifter

PERSONUPGIFTSPOLICY. Beslutade Behandling av personuppgifter

Denna policy har upprättats för Alfred Nobel Science Park AB (fortsättningsvis kallat ANSP).

Policy för behandling av personuppgifter

PERSONUPPGIFTSPOLICY. 1. Vilka uppgifter samlar vi in om dig?

INTEGRITETSPOLICY. Syfte. Bakgrund. Vilka uppgifter behandlar vi och varför? Market Solutions Sverige AB, , behandling av personuppgifter

Parter och ansvar för behandlingen av dina personuppgifter

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Med hänvisning till lag avser vi nedan Dataskyddsförordningen, GDPR, och annan gällande svensk dataskyddslagstiftning.

Integritetspolicy SYFTE & BAKGRUND PERSONUPPGIFTER VI BEHANDLAR. Örebro BEHANDLING AV PERSONUPPGIFTER

Personuppgiftsbiträdesavtal

PERSONUPPGIFTSPOLICY - KUNDER & LEVERANTÖRER

Verksamhetssystem Connect Bus

Riktlinjer för dataskydd

Integritetspolicy. Dokumentnamn: Integritetspolicy Version:

GDPR. Dataskyddsförordningen

Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

1. INLEDNING 2. PERSONUPPGIFTSANSVARIG 3. INSAMLING OCH ÄNDAMÅL

Integritetspolicy. Innehåll

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

PERSONUPPGIFTSBITRÄDESAVTAL

GDPR. Dataskyddsförordningen 27 april Emil Lechner

PERSONUPPGIFTSPOLICY

INTEGRITETSPOLICY SAMORDNINGSFÖRBUNDET CENTRALA ÖSTERGÖTLAND

1.2. Advokatfirman Carler är personuppgiftsansvarig för den behandling som utförs av Advokatfirman Carler i enlighet med denna personuppgiftspolicy.

GDPR NYA DATASKYDDSFÖRORDNINGEN

PERSONUPPGIFTSBITRÄDESAVTAL

Kommunstyrelsens anvisningar avseende behandlingen av personuppgifter

Personuppgiftsbiträdesavtal

Bilaga 1a Personuppgiftsbiträdesavtal

Denna integritetspolicy har upprättats för alla bolag i Creative Headzkoncernen (nedan gemensamt kallade Creative Headz, vi eller vår/vårt ).

Personuppgiftsbiträdesavtal

Axholmen:s Integritetspolicy

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Lathund Dataskydd för krögare

INTEGRITETSPOLICY LH Ingenjörsbyrå AB

GDPR- Seminarium 2017

Novare Peritos - Integritetspolicy. Datum för ikraftträdande: Senast uppdaterad:

Personuppgiftsbiträdesavtal

BOSTADSRÄTTSFÖRENINGEN MAGNETENS PERSONUPPGIFTSPOLICY

Integritetspolicy. Parter och ansvar för behandlingen av dina personuppgifter

Policy. Behandling av personuppgifter

Integritetspolicy. Vårt dataskyddsarbete

PERSONUPPGIFTSPOLICY

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Integritetspolicy för Bernhold Ortodonti

INTEGRITETSPOLICY FÖR SANDBÄCKEN-KONCERNEN

Integritetsskyddsinformation konsumentkund pellets

CORPLUS PERSONUPPGIFTSPOLICY

Integritetspolicy. Anställda Q-linea har utarbetat en särskild integritetspolicy som tillämpas på bolagets anställda, konsulter och förtroendevalda.

Integritetspolicy för Crom Marine ABs kunder

PERSONUPPGIFTSBITRÄDESAVTAL Bilaga till Avtal om Swelön

Generell information Personuppgiftsansvarig Vilka personuppgifter samlar vi in? Varifrån har vi fått tillgång till uppgifterna?

Policy för behandling av personuppgifter i Brain Accounting och Brain Competence

ADDSECURES BEHANDLING AV PERSONUPPGIFTER

INTEGRITETSPOLICY FÖR ADVOKATFIRMAN VICI

ANIMECH TECHNOLOGIES INTEGRITETSPOLICY - EXTERN

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

KURS I JURIDIKS PERSONUPPGIFTSPOLICY

Personuppgiftspolicy Dokument: Personuppgiftspolicy för Oasen boende- och vårdcenter Ändrad av Oasen:s styrelse 30 oktober 2018

ADVOKATFIRMAN ALDOS INTEGRITETSPOLICY FÖR BEHANDLING AV PERSONUPPGIFTER

Stockforsa Invest Koncern med dotterföretag, Policy för behandling av personuppgifter

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

LRF Konsult AB, , är personuppgiftsansvarig för företagets behandling av personuppgifter.

PERSONUPPGIFTSBITRÄDESAVTAL

Dataskyddspolicy för Rotsunda Utbildning AB

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Riktlinjer för hantering av personuppgifter

LANTEAMS INTEGRITETSPOLICY

Vill du läsa mer om personuppgiftshantering och de lagar och regler som gäller, gå in på Datainspektionens hemsida.

INTEGRITETSPOLICY. Org.nr:

Riktlinjer för hantering av personuppgifter

Personuppgiftsbiträdesavtal

Novare Professionals - Integritetspolicy. Datum för ikraftträdande: Senast uppdaterad:

Ifylld blankett lämnas eller skickas in till Alingsåshem (se adress nedan). Obs! Endast fullständigt ifylld blankett godkänns för registrering.

Integritetspolicy för personuppgiftshantering

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Integritetspolicy för Helsingborgs Stängsel AB

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

Transkript:

GDPR POLICY Behandling av personuppgifter Denna dag, 2018-05-07 har följande policy upprättats för bolagen inom My First Home koncernen, inkluderande MFH Bygg AB och Junior Living bolagen. Syfte Vi värnar om våra kunders, anställda och samarbetspartners integritet. De ska kunna känna sig trygga när de anförtror oss sina personuppgifter. Därför har vi upprättat den här policyn. Den utgår från gällande dataskyddslagstiftning och förtydligar hur vi arbetar för att ta tillvara våra anställda, kunder och köpares rättigheter och integritet. Syftet med den här policyn är att kartlägga hur vi behandlar personuppgifter, vad vi använder dem till, vilka som får ta del av dem och under vilka förutsättningar samt hur respektive part kan ta tillvara sina rättigheter. Företaget har inte fler än 250 anställda och behöver varken föra register eller utse ett dataskyddsombud. Bakgrund Vi behandlar personuppgifter främst för att fullfölja våra förpliktelser d.v.s. med laglig rätt och för att uppfylla lagar. Vår utgångspunkt är att inte behandla fler personuppgifter än vad som behövs för ändamålet, och vi strävar alltid efter att använda de minst integritetskänsliga uppgifterna. Vid något tillfälle har vi använt personuppgifter i form av e-postadresser för utskick i informationssyfte. Vi har även erhållit personuppgifter vid anställningsprocesser. Slutligen erhåller vi många gånger personuppgifter från personer som vill anmäla sitt intresse för våra lägenheter. Kunder och intressenter har rätt att motsätta sig att vi använder personuppgifter för direktmarknadsföring. Vi kommer enbart att sända e-postutskick med information som gäller lägenhetsprojekt. Det kommer i utskicket framgå att man kan bli avregistrerad och borttagen från intresseregistret. 08-20 57 50

Riktlinjer Vilka personuppgifter behandlar vi? Vi behandlar endast personuppgifter när vi har laglig grund. Vi behandlar inte personuppgifter i annat fall än när de behövs för att fullgöra förpliktelser enligt lag och avtal. Här följer exempel på personuppgifterna vi behandlar: Personuppgifter i löneuppdrag Personuppgifter om anställda och närstående Personuppgifter i samband med anställningsprocesser Personuppgifter på ägarna och ledning avseende våra klienter Personuppgifter på köpare av lägenheter Personuppgifter för att kunna åtgärda garantifel Personuppgifter för att kunna hålla ett intresseregister aktuellt Vi försöker i möjligaste mån inhämta samtycke innan vi börjar behandla personuppgifter. Respektive part samtycker till behandling genom att acceptera våra allmänna villkor. När de samtycker till våra allmänna villkor samtycker de också till att vi behandlar personuppgifterna. Respektive part kan när som helst återkalla sitt samtycke. Vi kommer då inte längre att behandla personuppgifterna eller inhämta nya, under förutsättning att det inte behövs för att fullgöra våra skyldigheter enligt avtal eller lag. Företaget lagrar uppgifter främst på servern men uppgifter finns också sparade i fysiska pärmar. Server, mobil samt bärbar dator skall vara lösenordskyddad. Byråns policy är att e-posten får användas även i privata sammanhang och när en anställd slutar så får anställd bara radera personlig e-post, ej e-post som avser byggprojekt. Personlig e-post skall raderas så snart det saknas skälig grund till att inte radera uppgifterna, dock senast efter 12 månader. Dokumentation som gäller projekt måste sparas så länge som projektgaranti löper. När en anställning är tillsatt så skall övriga sökandes CV raderas om inte tillstånd erhålls från dem att uppgifterna kan sparas. Alla uppgifter om anställda lagras i lönesystemet och i lönepärmen vilket även omfattar utvecklingssamtal, genomförda utbildningar mm. Uppgifter om anställda lagras inte någon annanstans. Personuppgiftsansvarig Den personuppgiftsansvarige är enligt dataskyddsförordningen som utgångspunkt skyldig att informera de registrerade om att dennes personuppgifter behandlas. Information om

personuppgiftsbehandlingen ska lämnas av den personuppgiftsansvarige både när uppgifterna samlas in men även när den registrerade begär det. Vad gäller uppgifter om de anställda informeras om detta från och med nu i samband med att anställningsavtalet skrivs under. Det framgår även på anställningsavtalet. På upprättade sekretessavtal framgår att byrån behandlar personuppgifter och de skyldigheter som gäller. Tidigare anställda och konsulter får skriva under ett samtycke. Därutöver kan företaget även ha en skyldighet att informera registrerade vars personuppgifter behandlas med anledning av ett uppdrag. Det är viktigt att komma ihåg att en sådan informationsskyldighet endast gäller för personuppgiftsansvariga och att det inte finns någon informationsplikt om man bedömer sig vara personuppgiftsbiträde. Företaget har tagit fram en mall som skall användas för att uppfylla informationsplikten när personuppgifter behandlas i företagets register för antagande och hantering av anställda, kunder och uppdragstagare. Detta dokument kommer att distribueras per mejl. Kunden, som generellt också anses vara personuppgiftsansvarig för personuppgifter som lämnas till företaget för dessa ändamål (bl.a. kundadministrationsändamål och garantiåtgärder), åläggs i uppdragsbrevet att uppfylla informationsplikten gentemot de registrerade med avseende på den behandling som företaget kommer att utföra med anledning av uppdraget. Av artikel 14 i dataskyddsförordningen framgår att det finns undantag från informationsplikten. Några av undantagen innebär att information inte behöver lämnas om den registrerade redan förfogar över informationen, om tillhandahållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, om erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom lag alternativt om personuppgifterna måste förbli konfidentiella till följd av lagstadgad tystnadsplikt. I dessa fall behöver den personuppgiftsansvarige inte informera den registrerade om behandlingen av den registrerades personuppgifter. Att underlåta att informera registrerade med stöd av ett undantag medför alltid en risk. Med hänvisning till detta och till den öppenhetsprincip som gäller enligt dataskyddsförordningen har företaget tagit fram en mall för information till de registrerade i intresseregistret. Sammanfattningsvis har företaget bara ett personuppgiftsansvar för anställda, inhyrda konsulter samt privatpersoner som anmält sig till vårt intresseregister. Vi kommer hantera dessa i enlighet med den nya dataskyddsförordningen-gdpr. Personuppgiftsbiträde Ansvaret för att ett personuppgiftsbiträdesavtal ingås åvilar visserligen den personuppgiftsansvarige (i dessa fall åberopande av garantifel) men det ligger i

personuppgiftsbiträdets intresse att se till att rollfördelningen regleras och att tydliga instruktioner lämnas eftersom företaget i frånvaron av sådan reglering inte kan fullgöra sina skyldigheter och dessutom kan komma att betraktas som personuppgiftsansvarig av tillsynsmyndigheten för behandlingen av personuppgifterna. Vissa delar av ett personuppgiftsbiträdesavtal är obligatoriska och inte förhandlingsbara. Om kunden vill använda en egen mall måste vi tillse att vi inte tar på oss ett större ansvar än vad som anges i dataskyddsförordningen. Avtalen behöver därför granskas noggrant. Företagets egna personuppgiftsbiträden Oavsett om vi är personuppgiftsansvariga eller personuppgiftsbiträde vid behandling av personuppgifter inom ramen för verksamheten, så måste vi när vi i vår tur anlitar egna personuppgiftsbiträden, t.ex. en IT-tjänst eller en annan underleverantör, ingå ett personuppgiftsbiträdesavtal med en sådan leverantör. Datainspektionen har tidigare gjort bedömningen att den som anlitar en molntjänstleverantör är personuppgiftsansvarig varför ett personuppgiftsbiträdesavtal alltid ska ingås med molntjänstleverantören. I dagsläget har vi ingått personuppgiftsbiträdesavtal med Butik.it och Visma och vi har därmed uppfyllt detta krav. Vi behandlar personuppgifter på ett betryggande sätt Vi har utarbetat rutiner och arbetssätt för att personuppgifterna ska hanteras på ett säkert sätt. Utgångspunkten är att endast medarbetare inom företaget som behöver personuppgifterna för att utföra sina arbetsuppgifter ska ha tillgång till dem. I servern kan bara de som är behöriga använde de program som finns på klienten. I dagsläget har vi inte bedömt att vi hanterar särskilt känsliga personuppgifter och vi har därför i dagsläget inte inrättat särskilda behörighetskontroller, som har ett högre skydd för personuppgifter. Våra säkerhetssystem är sedan tidigare utvecklade med integritet i fokus och skyddar i mycket hög grad mot intrång, förstöring samt andra förändringar som kan innebära en risk för att den personliga integriteten. Vi anser att vi har en god IT-säkerhet för att säkerställa att personuppgifterna behandlas säkert. Vi överför inte personuppgifter i andra fall än de som uttryckligen anges i denna policy. När lämnar vi ut personuppgifter? Vår utgångspunkt är att inte lämna ut personuppgifter till tredje part om personen inte har samtyckt till det eller om det inte är nödvändigt för att uppfylla våra förpliktelser enligt avtal eller lag. I de fall vi lämnar ut personuppgifter till tredje part kan det i särskilda fall finnas

behov av att upprätta sekretessavtal samt säkerställer att personuppgifterna behandlas på ett betryggande sätt. Vår mall för detta ändamål skall då användas. Personuppgiftsincidenter Det är viktigt att vi vet vad som skall göras i händelse av att en personuppgiftsincident inträffar. En personuppgiftsincident eller personal data breach är en säkerhetsincident som t.ex. leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av de personuppgifter som behandlas, alltså finns i våra register. Även incidenter som leder till obehörigt röjande av eller obehörig åtkomst till de behandlade personuppgifterna räknas som en personuppgiftsincident, t.ex. att någon bara av nyfikenhet läser eller till obehöriga sprider uppgifter om vissa personer som finns i företagets register. En sådan händelse ska enligt huvudregeln anmälas till Datainspektionen av den personansvariga inte senare än 72 timmar efter det att man har fått vetskap om personuppgiftsincidenten. Anmälan behöver inte göras om det inte finns minsta risk för fysiska personers rättigheter. Under vissa omständigheter kan den personuppgiftsansvarige även vara skyldig att informera de registrerade som berörs av incidenten. Det anges även både vad sådan information ska innehålla och hur det ska informeras. Ansvar MFH/Junior Living är personuppgiftsansvariga, vilket innebär att företagen är ansvariga för hur personuppgifterna behandlas och att de registrerades rättigheter tas tillvara. e-post: info@juniorliving.se tel: 08-20 57 50

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss