DATASKYDDSMANUAL för Saferoad-gruppen

Relevanta dokument
Omfattning och syfte Denna policy gäller för Volvo Cars-koncernens (kallad Volvo Cars eller vi ) behandling av kunders personuppgifter.

Denna policy gäller för Fordonsmäklarna (kallad Fordonsmäklarna eller "vi") behandling av kunders personuppgifter.

Dataskyddspolicy CENTRO KAKEL OCH KLINKER AB

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

Integritetspolicy - SoftOne

Dataskyddsförordningen i utbildningsverksamhet

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Dataskyddsförordningen 2018

Dataskyddsförordningen 2018

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

ANIMECH TECHNOLOGIES INTEGRITETSPOLICY - EXTERN

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)

PERSONUPPGIFTER SOM BEHANDLAS

INTEGRITET OCH BEHANDLING AV PERSONUPPGIFTER

GDPR- Seminarium 2017

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Vad är en personuppgift och vad är en behandling av personuppgifter?

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

BOLAGETS POLICY FÖR BEHANDLING AV PERSONUPPGIFTER

Vad är en personuppgift och behandling av personuppgifter?

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

Integritetspolicy för Judiska församlingen (JF) i Stockholm

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Integritetspolicy. Vad är personuppgifter och vad är en behandling av personuppgifter? Hur använder vi personuppgifter?

Victoria Behandlingscenter AB Integritetspolicy

1. Vad är en personuppgift och vad är en behandling av personuppgifter?

1.2. Advokatfirman Carler är personuppgiftsansvarig för den behandling som utförs av Advokatfirman Carler i enlighet med denna personuppgiftspolicy.

Personuppgiftsbiträdesavtal

PERSONUPPGIFTSPOLICY CLAESSON KONSULT & VÄRDERING I BORÅS AB

Hantering av personuppgifter

Integritet och behandling av personuppgifter. Näringslivets Regelnämnd samt Näringslivets Regelnämnd NNR AB

Integritet och behandling av personuppgifter

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

Integritet och behandling av personuppgifter

SGS SEKRETESS POLICY BE DATA SAFE

GRABBARNA FLYTT SWEDEN AB PRIVACY POLICY

Policy för behandling av personuppgifter

Dataskyddsförordningen GDPR

INTEGRITETSPOLICY VAD ÄR PERSONUPPGIFTER OCH VAD ÄR EN BEHANDLING AV PERSONUPPGIFTER?

Sjömarkens integritetspolicy

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter.

Information om integritetskydd Alfred Bergs Integritetsskyddspolicy

Advokatbyrån Eriksson & Bengtsson AB:s policy för behandling av personuppgifter

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

Behandling av personuppgifter - Maskinentreprenörerna

Vad är en personuppgift och vad är en behandling av personuppgifter? Vilka personuppgifter samlar vi in om dig och varför?

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

Tillägg om Zervants behandling av personuppgifter

PERSONUPPGIFTSBITRÄDESAVTAL

Informationsbrev. De nyheter som jag vill vara särskilt tydlig med är:

Mertzig Asset Management AB

Dataskyddsförordningen GDPR

Upprätthållandet av korrekta och uppdaterade uppgifter. Skicka relevant information och erbjudanden

(5) Integritetspolicy - Kumla Bostäder AB

Personuppgiftsbiträdesavtal

Personuppgiftspolicy

Personuppgiftsbiträde

Behandling av personuppgifter vid Göteborgs universitet

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

KURS I JURIDIKS PERSONUPPGIFTSPOLICY

PerGus Maskinförmedling AB:s policy för behandling av personuppgifter

PUL OCH DATASKYDDSFÖRORDNINGEN

Personuppgiftsbiträdesavtal

Personuppgiftslagen konsekvenser för mitt företag

PERSONUPPGIFTSPOLICY FÖR DIG SOM SÖKER JOBB ELLER EXAMENSARBETE HOS TB-GRUPPEN

Global Invests dataskyddspolicy

PERSONUPPGIFTSLAGEN (PUL)

Saknar du svar på någon fråga får du gärna hör av dig till oss. Information om hur du kontaktar oss finns under avsnitt 16 Kontaktuppgifter.

PERSONUPPGIFTSPOLICY WILDO SWEDEN AB

Koncernkontoret Enheten för juridik

Personuppgiftsinformation för Svedala kommun

Dataskyddsförordningen

Personuppgiftsbehandling för forskningsändamål

PERSONUPPGIFTSPOLICY FÖR DIG SOM LÄMNAR INTRESSEANMÄLAN PÅ TB-GRUPPENS HEMSIDA

2. Information som FläktWoods samlar in FläktWoods kan komma att samla in och behandla följande information för de syften som anges nedan i punkt 3.

Integritetspolicy Policy Kunder

INTEGRITETSPOLICY Max Mitteregger Kapitalförvaltning AB. INTEGRITETSPOLICY Den 25 maj 2018

XL OFFICE TEAM AB ( XL ) respekterar din integritet och skyddar dina personuppgifter.

1. INLEDNING 2. PERSONUPPGIFTSANSVARIG 3. INSAMLING OCH ÄNDAMÅL

INTEGRITETSPOLICY för Webcap i Sverige AB

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

BILAGA Personuppgiftsbiträdesavtal

INTEGRITETSTSPOLICY AVSEENDE RESTAURANGGÄSTER MED FLERA

Vad är en personuppgift och vad är en behandling av personuppgifter

Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)

Termen "Leverantör" avser en anställd hos en organisation som levererar Comforta till produkter eller tjänster.

GDPR definition och hur utbildningen berör(t)s av förordningen

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

Rödfärgarna. Rödfärgarnas integritetspolicy. Gäller fr.o.m

Dataskyddspolicy. Carve Capital AB

Personuppgiftspolicy för Tommy Byggares kunder

Att. GDPR Humlegårdsgatan , Stockholm. Besök oss gärna på

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

Hallsbergs Bostadsstiftelses integritetspolicy

Transkript:

DATASKYDDSMANUAL för Saferoad-gruppen

Innehåll 1. Introduktion till Dataskydd 5 2. Sammanfattning 7 3. Datainsamling 8 4. Känsliga personuppgifter och specialkategorier av personuppgifter 11 5. Notis 13 6. Förfrågningar om tillgång 13 7. Datakvalitet, sekretess och säkerhet 15 8. Lagring 15 9. Utlämnande av personuppgifter 17 10. Dataöverföring 18 11. Marknadsföringsåtgärder och webbplatser 18 12. Anmälning av databehandling 19 13. Påföljder 19 14. Do s and Don ts 20 15. Rapportering 22 16. Utbildning 22 17. Internrevision 22 18. Ansvarsfördelning för personuppgifter inom Saferoad 22 19. Kontaktinformation till ansvariga chefer 23 20. Relaterade dokument 23 3

Dataskydd handlar om olika länders lagar och regler gällande insamling, tillgänglighet och delning av personuppgifter.

1. Introduktion till dataskydd Dataskydd handlar om olika länders lagar och regler gällande insamling, tillgänglighet och delning av personuppgifter. Dataskyddslagar förbjuder lagring av vissa typer av personuppgifter, förutom vid särskilda fall och anger de krav som måste följas för att datalagringen ska ses som laglig. Saferoad-gruppen (hädanefter kallat "Saferoad") behandlar och lagrar personuppgifter på daglig basis. Individers integritet och säker hantering av personuppgifter är viktigt för Saferoad. Den här manualen har därför gjorts för att hantering och lagring av personuppgifter av Saferoad ska gå rätt till och vara laglig. Syftet med den här manualen är att ge anställda grundläggande förståelse för situationer, som normalt regleras av dataskyddslagar och därigenom möjliggöra för Saferoads anställda att följa dessa lagar. Denna handbok gäller för alla på Saferoad - all personal, chefer, ledande befattningshavare och medlemmar i styrelsen (alla kollektiv kallade "anställda". Utöver de allmänna riktlinjerna, måste de detaljerade kraven i lokala dataskyddslagar följas av anställda som ansvarar för verksamhet där behandling av personuppgifter ingår. 5

Dataskyddslagar anger hur olika typer av personuppgifter ska samlas in, under vilka omständigheter som data kan samlas in, och hur länge data får lagras.

2. Sammanfattning Dataskyddslagar anger hur olika typer av personuppgifter ska samlas in, under vilka omständigheter som data kan samlas in, och hur länge data får lagras. Föreslagna handlingar (till exempel insamling av anställdas eller kunders personuppgifter, inköp av kunddata i marknadsföringssyfte eller insamling av personuppgifter på webbplatser) måste analyseras noga för att säkerställa att de inte bryter mot dataskyddslagar. Proportionalitet och öppenhet är avgörande, och individer måste informeras om Saferoads behandling av personuppgifter. Personuppgifter får endast delas med tredje part när en regelrätt basis för hur överlämning ska ske upprättats. Det kan vara ett avtal om databehandling. Utlämning av personuppgifter till enheter utanför Europeiska Ekonomiska Samarbetsområdet (EES) eller att få tillgång till personuppgifter från enheter utanför EES får endast förkomma när den exporterande enheten fått en garanti för att personuppgifterna kommer att skyddas av den importerande enheten. Överträdelser kan leda till skadestånd, böter eller fängelse samt administrativa påföljder av tillsynsmyndighet. 7

3. Datainsamling "Personuppgifter" är all information, som direkt eller indirekt avser en identifierad eller identifierbar fysisk person. Personuppgifter får bara samlas in till särskilda och legitima syften och därefter inte bahandlas på något sätt som som är oförenligt med dessa syften. Om inte ett legitimt syfte kan fastställas i enlighet med nationell lagstiftning, får personuppgifter inte samlas in. "Behandling av personuppgifter" är varje åtgärd eller serie av åtgärder som vidtas beträffande personuppgifter: automatisk eller manuell, organisationen kring, lagring, bearbetning, utlämnande, blockering eller radering. ata s any information, which, directly or Det är bara legitimt att behandla personuppgifter om: den person som personuppgifterna avser har gett sitt medgivande; behandlingen är nödvändig för att fullgöra ett avtal i vilket den enskilde är en part i eller vid begäran av den enskilde innan ett sådant avtal ingås; processen är nödvändig för att överensstämma med en rättslig förpliktelse där Saferoad är föremål; behandlingen är nödvändig för att skydda vitala intressen för den enskilde; behandlingen är nödvändig för att utföra en uppgift som är i allmänhetens intresse eller vid myndighetsutövning eller om tredje part till vilken uppgifterna har lämnats ut, eller; behandlingen är nödvändig för ändamål som rör berättigade intressen vilka Saferoad eftersträvar, eller tredje part eller parter till vilka uppgifterna lämnas ut, förutom när ett sådant intresse upphävs av den personliga integriteten av den person som personuppgifterna avser. 8

När så krävs enligt tillämplig lag eller att det på annat sätt anses rimligt, praktiskt möjligt och lämpligt, bör insamling av personuppgifter ske med samtycke från den berörda personen. Medgivanden från personer vars personuppgifter behandlas bör vara entydig, tydlig, och möjlig att återkalla av individen i fråga. Vid insamling av personuppgifter bör behovet av proportionalitet och öppenhet övervägas. Därför bör de personuppgifter som samlas vara adekvata, relevanta och nödvändiga med tanke på de ändamål uppgifterna har samlats in och / eller senare behandlas. 9

Känsliga personuppgifter ska inte samlas in om det inte är absolut nödvändigt och ska då ske inom lagens ramar.

4. Känsliga personuppgifter och specialkategorier av personuppgifter Till Känsliga personuppgifter räknas uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Känsliga personuppgifter ska inte samlas in om det inte är absolut nödvändigt och ska då ske inom lagens ramar. Andra kategorier av personuppgifter som inte räknas som känsliga uppgifter, som innefattas av dataskyddslagar ska hanteras med viss försiktighet och viss säkerhet bör tillämpas även här. Exempel på sådana särskilda kategorier av personuppgifter inkluderar följande (men är inte begränsade till): uppgifter om brott, brottmålsdomar eller andra säkerhetsåtgärder som bara får ges ut under kontroll av en myndighet; kreditinformation; barns personuppgifter; och personnummer. 11

12 När så erfordras enligt tillämplig lag eller om det är praktiskt möjligt och lämpligt, bör enskilda meddelas om behandlingen av personuppgifter.

5. Notis När så erfordras enligt tillämplig lag eller om det är praktiskt möjligt och lämpligt, bör enskilda meddelas om behandlingen av personuppgifter. Ett sådant meddelande måste minst innehålla följande information: det fullständiga namnet på den legitima enhet som enskilt eller tillsammans med andra bestämmer syftet med att behandla och spara personuppgifter (ibland kallad data controller); vad syftet med att behandla och spara personuppgifterna är; ytterligare information som är nödvändig för att individerna ska kunna utöva sina rättigheter i samband med processen, såsom olika typer av personuppgifter, mottagarna eller kategorier av mottagare av uppgifterna och arten av eventuell åtkomsträttighet enligt tillämplig lag, som beskrivs i avsnitt 6. 6. Förfrågningar om tillgång Om en individ begär att att få information om Saferoads behandling av personuppgifter; för att invända mot behandling av personuppgifter, eller för att korrigera fel, bör Saferoad svara på det sätt som krävs enligt tillämplig lag och på ett sätt som anses rimligt och lämpligt i samråd med VP Risk Management. 13

Anställda som har tillgång till personuppgifter måste behandla dessa i enlighet med vad syftet var med datainsamlingen och får inte dela, distribuera eller på något sätt avslöja personuppgifterna till tredje part, så vida de inte fått i uppdrag att göra så av Saferoad.

7. Datakvalitet, sekretess och säkerhet Bearbetade personuppgifter måste vara exakta och, i den mån det är nödvändigt, aktuella. Personuppgifter som är felaktiga eller ofullständiga ska raderas eller korrigeras. Anställda som har tillgång till personuppgifter måste behandla dessa i enlighet med vad syftet var med datainsamlingen och får inte dela, distribuera eller på något sätt avslöja personuppgifterna till tredje part, så vida de inte fått i uppdrag att göra så av Saferoad. Lämpliga tekniska och organisatoriska åtgärder bör vidtas för att skydda personuppgifter mot oavsiktlig eller olaglig förstörelse, oavsiktlig förlust eller ändring, otillåten spridning eller åtkomst och alla andra olagliga former av behandling. Omfattningen av sådana åtgärder bör vara anpassad till de risker som är förknippade med personuppgifterna. Säkerhetsöverträdelser, som äventyrar sekretess eller säkerhet för personuppgifter som behandlas av Saferoad ska rapporteras omedelbart till en överordnad chef och VP Risk Management. 8. Lagring Personuppgifter ska endast lagras så länge som är nödvändigt med hänsyn till de syften för vilka de samlades in och det ska vara tillämpliga legala förvaringsperioder. När lagringsperioden av personuppgifter har upphört att gälla, bör de raderas på ett permanent och säkert sätt. 15

Personuppgifter får endast lämnas ut till tredje part, såsom Saferoads leverantörer, partners och dotterbolag, när det finns en legitim grund för det.

9. Utlämnande av personuppgifter Personuppgifter får endast lämnas ut till tredje part, såsom Saferoads leverantörer, partners och dotterbolag, när det finns en legitim grund för det. När personuppgifter lämnas ut till tredje part, bör det skriftligen fastställas huruvida tredje part betraktas som en data controller eller en databehandlare av personuppgifter som lämnas ut. Databehandlare avser en juridisk person som behandlar personuppgifter på uppdrag av registeransvarig. Data controller avser en juridisk person som ensam eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. När så krävs enligt tillämplig lag måste ett bearbetningsavtal ingås med varje databehandlare, till exempel i samband med användning av molntjänster eller outsourcing av IT-tjänster. Sådana avtal bör kräva att databehandlaren skyddar personuppgifter från ytterligare utlämning och att personuppgifter bara får behandlas i enlighet med Saferoads instruktioner. Ett avtal om databehandling bör också kräva att databehandlaren vidtar lämpliga säkerhetsåtgärder för att skydda personuppgifter och hålla dem konfidentiella, och omfattar förfaranden vid dataintrång. 17

10. Dataöverföring Utlämning av personuppgifter med enheter utanför Europeiska Ekonomiska Samarbetsområdet (EES) eller att få tillgång till personuppgifter från enheter utanför EES får endast förkomma när den exporterande enheten fått en garanti på att personuppgifterna kommer att skyddas av den importerande enheten. Detta kan åstadkommas genom att använda ett av Saferoads standardavtal för dataöverföring; Appendix 1 (dataöverföring till en data controller på enhet som inte hör till EES) eller Appendix 2 (dataöverföring till en databehandlare på enhet som inte hör till EES) som hör till den här manualen. Saferoads standardavtal för dataöverföring är baserat på mallar som antagits av EU-kommissionen, och måste kompletteras med uppgifter om överföringen. 11. Marknadsföringsåtgärder och webbplatser Användningen av personuppgifter vid marknadsföringsaktiviteter, såsom direkta marknadsföringskampanjer, marknadsföring via sociala webbplatser eller inköp av personuppgifter i marknadsföringssyfte, måste uppfylla kraven i gällande lag. Såvida inte ett legitimt syfte med att samla in personuppgifter till marknadsaktiviteter finns får inte personuppgifter användas. Individer har rätt att meddela om de motsätter sig behandlingen av deras personuppgifter för ändamål som rör direkt marknadsföring. Om en individ lämnar ett sådant meddelande, måste det infrias. Var och en av Saferoads externa webbplatser måste innehålla en online sekretesspolicy, inklusive förfaranden för att acceptera cookies, som uppfyller kraven i gällande lag. 18

12. Anmälning av databehandling Varje företag inom Saferoad är skyldiga att anmäla sin databehandling till tillämplig tillsynsmyndighet, om inte undantag från anmälningsskyldigheten gäller. Om databehandlingsverksamheten förändras, bör en bedömning göras om anmälningar som gjorts till tillämplig tillsynsmyndighet bör uppdateras eller ändras. 13. Påföljder Påföljder för brott mot dataskyddslagar omfattar: skadestånd till de personer vars personuppgifter har behandlats på otillåtet sätt, böter och fängelse. Dessutom kan tillsynsmyndigheten förbjuda enskilda företag inom Saferoad från att delta i vissa behandlingar och införa andra administrativa påföljder. EU överväger förslag till strängare påföljder för brott mot dataskyddslagar, såsom administrativa påföljder på upp till 5% av den registeransvariges årliga globala omsättning eller 100 miljoner euro. 19

14. Do s and Don ts DO: Vidta särskilda åtgärder vid behandling och lagring av känsliga personuppgifter. Tillhandahålla information till privatpersoner och svara på åtkomstförfrågningar i den utsträckning som krävs enligt tillämplig lag eller på annat sätt anses rimligt praktiskt möjligt och lämpligt i samråd med VP Risk Management. Håll personuppgifterna konfidentiella och tillämpa lämpliga säkerhetsåtgärder för uppgifterna. 20

DON T: Samla inte in personuppgifter utan att ha något syfte med det och sätt en tid för hur länge lagring av dem är relevant. Samla inte personuppgofter på den "det är bra att ha"- basis. Visa eller vidarebefordra inte personuppgifter, inte ens inom Saferoad, utan att ha genomfört lämpliga åtgärder. Till exempel ett avtal om databehandling. 21

15. Rapportering Anställda som misstänker att överträdelser inom Saferoad har begåtts mot denna policy eller mot relevanta dataskyddslagar ska kontakta VP Risk Management. 16. Utbildning Saferoad tillhandahåller lämplig utbildning för alla anställda. Utbildningen är linje med Saferoads riskprofil och anpassas för den anställdas ansvarsområde. 17. Internrevision VP Risk Management är ansvarig för att uppnå mål och granska Programmet för företagsriktlinjer samt granska rådande handelssanktioner, på en regelbunden basis mot bakgrund av Saferoads specifika verksamhetsområden, geografiska platser, och rättsväsende. 18. Ansvarsfördelning för personuppgifter inom Saferoad Varje företag inom gruppen ska ansvara för och kontrollera att behandling av personuppgifter inom företaget går rätt till. Varje företag ansvarar för att behandling av personuppgifter sker i enlighet med denna handbok och med den lokala dataskyddslagstiftningen. Varje företag inom gruppen är vidare ansvariga för att föra ett uppdaterat internt register av det behandlade personliga data som företaget är ansvariga över. 22

19. Kontaktinformation till ansvariga chefer VD:en ansvarar för den övergripande tillsynen och genomförandet av Programmet för företagsriktlinjer. VP Risk Management är ansvariga för att Saferoads dagliga verksamhet överensstämmer med denna manual och rådande dataskyddslagar. 20. Relaterade dokument Denna manual ska läsas tillsammans med följande dokument: Program för företagsriktlinjer beskrivning Uppförandekod 23

Saferoad AS, 2015.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss