Personuppgifter

SPRINTAS POLICY FÖR BEHANDLING AV PERSONUPPGIFTER

BAKGRUND OCH SYFTE

Sprinta ansvarar självt för hanteringen av personuppgifter enligt denna policy.

Sprinta behandlar personuppgifter. Denna policy har tagits fram för att ge stöd till för att på ett korrekt och effektivt sätt tillämpa dataskyddsförordningen (GDPR) och tillförsäkra att den personliga integriteten för kunder, anställda och andra intressenter skyddas inom bolagens verksamhet.

För att vårda och skydda Sprintas varumärke och värna Sprintas värderingar är det av stor betydelse att Sprintas behandling av personuppgifter har en god regelefterlevnad för att förhindra att kunder, anställda och andra intressenters personliga integritet kränks.

Dataskyddsförordningens syfte är att skydda levande människors personliga integritet mot de kränkningar som kan komma ifråga vid behandling av personuppgifter som ingår i eller är avsedda att ingå i en struktur av information. Det sammanhang som personuppgifter registreras i och på vilket sätt uppgifterna används, påverkar risken för integritetskränkning.

Sprinta ska hantera personuppgifter med tillfredställande säkerhet och uppgifter ska behandlas inom det ändamål för vilket de har samlas in.

ORGANISATION OCH FÖRDELNING AV ANSVAR

Personuppgiftsansvarig

Sprinta är personuppgiftsansvarig för de personuppgifter som insamlas och hanteras i och för bolagets räkning.

Detta innebär exempelvis att en före detta anställd ska kontakta det bolaget han eller hon var anställd i för att få sina rättigheter tillgodosedda.

Jambiz som koncernmoder har inget personuppgiftsansvar eller annat ansvar för respektive koncernbolags hantering av personuppgifter.

Dataskyddskontakt

Sprinta har utsett Michael Rosenlind till personuppgiftskontakt. Rollen ska ej förväxlas med den mer formella dataskyddsombud som nämns i lagtexten.

Kontaktuppgifter dataskyddskontakt
Mikael Fredman
mikael.fredman@progresslead.com

DEFINITIONER 

Personuppgifter

All slags information som gör en levande person identifierad eller identifierbar, t.ex. namn, IP-adress, fotografi, ljudfil och lägenhetsnummer.

Personuppgiftsansvarig

En personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter.

Personsuppgiftsbiträde 

Personuppgiftsbiträde är den som behandlar personuppgifter för en personuppgiftsansvarigs räkning. Ett personuppgiftsbiträde finns alltid utanför den egna organisationen.

Dataskyddsombud

Dataskyddsombudet ska se till att personuppgifter behandlas korrekt och lagligt inom en verksamhet. Dataskyddsombudet ska föra en förteckning över register och annan behandling av personuppgifter inom Föreningen och hjälper registrerade att få felaktiga uppgifter rättade.

BEHANDLING AV PERSONUPPGIFTER 

Med behandling av personuppgifter avses information som direkt eller indirekt kan knytas till en levande person, till exempel namn, adress, telefonnummer och fotografier. Krypterade uppgifter och olika elektroniska identiteter (till exempel ett användarid eller behörighetstag) omfattas också, ifall de kan kopplas till en viss person. I fall där det är förenat med stor kostnad eller mycket tidskrävande för att identifiera en person med de uppgifter som finns tillgängliga anses uppgifterna inte vara personuppgifter.

Dataskyddsförordningen i förhållande till annan lag 

Om det i en annan lag eller i en förordning finns bestämmelser som avviker från dataskyddsförordningen, ska de bestämmelserna gälla tillsammans med dataskyddsförordningen. Till exempel finns i andra lagar, både bokföringslagen och skattelagen ska dessa lagar följas och får ej överträdas på grund av Dataskyddsförordningen. Detta kan exempelvis innebära att betalningsunderlag sparas i 7 år enligt bokföringslagen, och därefter kräver DSF att informationen raderas.

Tillsynsmyndighet

Datainspektionen är tillsynsmyndighet avseende dataskyddsförordningen.

INSTRUKTION FÖR BEHANDLING AV PERSONUPPGIFTER

Till denna policy finns instruktioner som ska tillämpas av respektive bolags anställda och andra uppdragstagare i den löpande verksamheten. Instruktionerna anger vilka praktiska åtgärder som ska vidtas för att leva upp till kraven i policyn och i externa regler.

ANSVAR FÖR REGISTER

Sprinta bestämmer syfte med behandling

Sprinta är personupp­giftsansvarig för alla personregister som används i verksamheten. Sprinta har rätt att före register över anställda, arbetssökande, kunder och externa partners där bolagen var för sig bestämmer ändamål och medel över.

Användningen av personuppgiftsbiträden 

Sprinta har självständigt rätt att använda personuppgiftsbiträden för behandlingar som kan anses uppfylla GDPRs krav på behandling. Varje bolag har då ett ansvar att dokumentera behandlingen i behandlingsregistret och upprätta ett biträdesavtal med biträdet.

Samtliga bolag inom Jambizgruppen anlitar de andra bolagen i gruppen som personuppgiftsbiträden i syfte att underlätta sälj och agera underkonsulter till varandra.

Samtliga bolag använder Xbus som biträde för hanteringen av HR relaterade frågor.

GRUNDLÄGGANDE KRAV PÅ PERSONUPPGIFTSBEHANDLING

  • Sprinta ska inte behandla personuppgifter för otillbörliga syften, som förtal, förolämpning eller skandalisering.
  • Sprinta ska inte utan godtagbara skäl samla en stor mängd uppgifter om en person.
  • Sprinta ska undvika att registrera information i register, som inte särskilt anges i lag.
  • Sprinta ska ha ett godtagbart ändamål för att samla uppgifter om personer.
  • Sprinta ska efterleva eventuella åtaganden om sekretess eller tystnadsplikt.

PERSONUPPGIFTER

Behandling av personuppgifter i register är som huvudregel förbjuden enligt lag, om det inte finns ett undantag som gör behandlingen laglig. För Sprinta är följande undantag mest väsentliga och en laglighetsbedömning ska således göras i varje fall av personuppgiftsbehandling om någon av dessa förutsättningar är uppfyllda som medför att en behandling är laglig:

  • Rättsligt fullgörande
  • Ett avtals fullgörande
  • Samtycke
  • Skyddande av vitala intressen
  • Intresseavvägning

Vissa typer av uppgifter

För att behandling av vissa typer av personuppgifter ska få ske ställs hårdare krav:

  • Känsliga uppgifter
  • Brott och brottsuppgifter
  • Personnummer
  • Kreditupplysningar

ÄNDAMÅL MED BEHANDLINGEN

Ändamål med behandling av personuppgifter ska fastställas redan vid insamlingstillfället.

Sprinta får inte behandla uppgifter för ändamål som inte är förenligt med det ursprungliga ändamålet med behandlingen.

UTLÄMNANDE 

Sprinta ska i egenskap av personuppgiftsansvarig säkerställa att det finns stöd i lag inför ett eventuellt utlämnande av eller tillgång till uppgifter i Sprintas registersystem.

INFORMATION TILL DEN ENSKILDE 

Bolagen ska säkerställa att de registrerade har rätt till att få veta om, hur och var de är registrerade hos Bolagen.

Om uppgifter inhämtas direkt från den enskilde ska Bolagen självmant redan i samband med insamlingen informera individen om personuppgiftsbehandlingen.

Om uppgifter inhämtas från någon annan än den registrerade, ska information självmant lämnas vid tillfället för registreringen.

Informationen om behandling av personuppgifter enligt ovan ska innehålla följande. Om den registrerade redan känner till informationen behöver den inte lämnas.

  • Identitet och kontaktuppgifter för Sprintas VD samt namn och kontaktuppgifter för dataskyddskontakten.
  • Syftena med den behandling för vilken personuppgifterna är avsedda och den legala grunden för behandlingen.
  • Hur länge personuppgifterna kommer att lagras, eller om det inte går att veta från början, kriterier för när uppgifterna ska raderas, till exempel viss tid från det en medlem upphörde att vara medlem.
  • Om behandlingen är baserad på en intresseavvägning, Sprintas eller någon annans berättigade intressen.
  • Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna. I tillämpliga fall, att Sprinta avser att överföra personuppgifterna till en mottagare i ett tredjeland, alltså land utanför EU/EES.
  • Förekomsten av rättigheten att av Sprinta begära tillgång till och rättelse eller radering av de personuppgifter eller begränsning av behandling som rör den registrerade och att invända mot behandlingen av sådana personuppgifter.
  • Om behandlingen grundar sig på samtycke, rätten att dra tillbaka sitt samtycke när som helst, utan att detta påverkar lagligheten i behandlingen som skett med stöd av samtycket innan detta drogs tillbaka.
  • Rätten att inge klagomål mot Sprintas personuppgiftsbehandling till Datainspektionen.
  • Om tillhandahållandet av personuppgifter är ett lagstadgat eller avtalsenligt krav, eller ett krav som är nödvändigt för att ingå ett avtal, samt om den registrerade är skyldig att tillhandahålla uppgifterna och de möjliga följderna av om sådana uppgifter inte lämnas.
  • Förekomst av automatiskt beslutsfattande, inbegripen profilering, t.ex. att Sprinta kartlägger anställdas beteenden i olika avseenden, och information rörande skälen, samt betydelsen och de förutsedda följderna av sådan profilering för den registrerade.
  • Om Sprinta avser att behandla uppgifterna för ett annat syfte än det för vilket de insamlades för ska Sprinta före denna ytterligare behandling av personuppgifterna ge den registrerade informationen om detta andra syfte.

RÄTT TILL REGISTERUTDRAG

Om den registrerade begär det[1], ska Sprinta kostnadsfritt, skriftligen lämna registerutdrag angående vilken behandling av registrerades personupp­gifter som har vidtagits. Den registrerade kan begära ut registerutdrag i digitalt (USB) eller pappersformat. I båda fallen kan den registrerade välja att hämta uppgifterna på något av Sprintas kontor eller få dem skickade med reguljärpost till deras folkbokföringsadress. Både i samband med begäran och utlämnande krävs att den registrerade identifierar sig.

Registerutdrag skickas aldrig ut via mail.

KORREKT OCH AKTUELL INFORMATION

De personuppgifter som behandlas ska vara riktiga och, om nödvändigt, aktuella.

SÄKERHET FÖR PERSONUPPGIFTER

Sprinta ska vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda mot personuppgifter obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse.

ANMÄLA PERSONUPPGIFTSINCIDENT

Om en allvarlig personuppgiftsincident inträffar ska Sprinta eller dess personuppgiftskontakt anmäla denna till Datainspektionen inom 72 timmar från att den upptäckts[1].

En personuppgiftsincident har inträffat om personuppgifter oavsiktligt eller olagligt har förstörts, gått förlorade eller ändrats, eller röjts till någon obehörig.

Samtliga personuppgiftsincidenter loggas i ett för Jambizbolagen gemensamt incidentregister.

AVTAL VID PERSONUPPGIFTSINCIDENT

När Sprinta använder personuppgiftsbiträde, det vill säga uppdrar åt annan att behandla Sprintas personuppgifter inom det ändamål de är inhämtade för, ska Sprinta upprätta ett skriftligt avtal med personuppgiftsbiträdet. Avtalet ska säkra att behandlingen sker i enlighet med dataskyddsförordningen och annan lagstiftning samt i enlighet med av Sprintas antagna riktlinjer för behandling av personuppgifter.

När Sprinta är personuppgiftsbiträde, genom att behandla varandras och andras personuppgifter, ska ett skriftligt personuppgiftsbiträdesavtal[1] upprättas mellan bolagen alternativt kunden. Avtalet ska säkra att behandlingen sker i enlighet med dataskyddsförordningen.

EXPORT AV UPPGIFTER TILL TREDJE LAND 

 Personuppgifter som får behandlas enligt dataskyddsförordningen får fritt överföras till länder inom EU och EES (Norge, Island och Liechtenstein) och Schweiz. Uppgifter får inte överföras till andra länder om inte särskilda åtgärder vidtas på förhand.

GALLRING

Sprinta ska inte bevara personuppgifter längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

REVIDERING AV POLICY OCH INSTRUKTION

Denna policy bygger på externa regler och ingår i Jambizbolagens Ansvar som är en för Jambiz gemensam policysamling. Den uppdateras årligen mot externa regelverk.

Jambiz ledningsgrupp, bestående av alla bolagens VDar ska årligen fastställa denna policy. Det innebär att policyn årligen ska revideras och vid behov uppdateras. Policyn antas årligen på ledningsgruppens sammanträde.

Instruktioner till denna policy ska fastställas av Sprintas VD.  Instruktionerna ska i förekommande fall uppdateras av Sprintas dataskyddskontakt.

När policy och instruktion är uppdaterade och antagna ska de interna reglerna, rutinerna, checklistor och mallar ses över och vid behov uppdateras.