Policy för personuppgiftshantering
Lotico AB (556192-6337)
Innehållsförteckning
1 Inledning och syfte
Syftet med denna policy är att säkerställa att Lotico AB hanterar personuppgifter i enlighet med EU:s dataskyddsförordning (General Data Protection Regulation – GDPR). Policyn omfattar alla behandlingar där personuppgifter hanteras och omfattar såväl strukturerad som ostrukturerad data.
2 Tillämpning och revidering
Styrelsen ansvarar för att behandlingen av personuppgifter följer denna policy.
Policyn ska fastställas av styrelsen minst en gång per år och uppdateras vid behov.
Ordföranden är ansvarig för att hålla i processen kring årlig uppdatering av policyn till följd av nya och förändrade regelverk.
Denna policy är tillämplig för företagets styrelsemedlemmar och leverantörer till företaget.
3 Organisation och ansvar
Styrelsens ordförande har det övergripande ansvaret för innehållet i denna policy samt att den implementeras och följs av verksamheten. Denne får, om så önskas delegera ansvaret och implementationen till lämplig person i företaget.
Alla styrelsemedlemmar ansvarar för att de agerar i enlighet med denna policy och vad den vill säkerställa.
4 Begrepp och förkortningar
| Begrepp | Betydelse |
| Personuppgift | En personuppgift är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. |
| Registrerad | Den som en personuppgift avser, det vill säga den fysiska person som direkt eller indirekt kan identifieras genom personuppgifterna i ett register. |
| En åtgärd eller kombination av åtgärder beträffande personuppgifter – oberoende av om de utförs automatiserat eller ej – såsom insamling, registrering, organisering och strukturering. |
5 Personuppgiftsbehandling
-
Varje personuppgiftsbehandling ska ske enligt följande principer:
-
Laglighet, korrekthet och öppenhet
-
Personuppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Kravet på att behandlingen av personuppgifter ska vara laglig innebär bland annat att det måste finnas en rättslig grund för behandlingen.
-
Personuppgifter ska behandlas på ett öppet sätt i förhållande till den registrerade innebär bland annat att det ska vara klart och tydligt för denne hur hans eller hennes personuppgifter samlas in och i övrigt behandlas. De registrerade måste därför få information om behandlingen som är både lättillgänglig och formuleras med ett klart och tydligt språk.
-
Ändamålsbegränsning
-
Personuppgifter ska bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Det innebär att den som ska behandla personuppgifter måste ha ändamålen klara för sig redan innan insamlingen av personuppgifter börjar. Personuppgifterna får sedan inte behandlas på ett sätt som är oförenligt med dessa ändamål.
-
Uppgiftsminimering
-
Principen om uppgiftsminimering innebär att personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Det är med andra ord inte tillåtet att samla in personuppgifter för obestämda framtida behov. Insamlade personuppgifter får inte heller behandlas om de till exempel är så gamla att de inte längre är relevanta för de ursprungliga ändamålen.
-
Korrekthet
-
Personuppgifterna ska vara korrekta och uppdaterade. Den som behandlar personuppgifter måste vidta alla rimliga åtgärder för att säkerställa att felaktiga personuppgifter raderas eller rättas utan dröjsmål. Om det krävs för ändamålen ska personuppgifterna dessutom vara uppdaterade.
-
Lagringsminimering
-
Personuppgifter får inte sparas, det vill säga. förvaras i en form som möjliggör identifiering av den registrerade, under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas.
-
När personuppgifterna inte längre behövs för de ändamålen ska de raderas eller avidentifieras. För att säkerställa att personuppgifter inte sparas längre än nödvändigt bör den som behandlar personuppgifter införa tidsfrister och rutiner för radering eller avidentifiering.
-
De insamlade personuppgifterna får lagras under längre tid för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål om det finns lämpliga skyddsåtgärder för de registrerades rättigheter. Vidare kan legala regler såsom lagringstid av bokföringsmaterial leda till att personuppgifter lagras en längre tid.
-
Integritet och konfidentialitet
-
Personuppgifterna ska skyddas bland annat mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse. Den som behandlar personuppgifter ska därför vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna.
-
Ansvarsskyldighet
-
Den som behandlar personuppgifter ansvarar för att principerna om personuppgiftsbehandling följs och måste kunna visa på vilket sätt man följer dem.
-
E-posthanteringen rörande företagsärenden ska följa ovan nämnda principer. Således ska kommunikation av personuppgifter via e-post minimeras. Enbart de som behöver personuppgifter för att utföra ett uppdrag för företaget får ta del av personuppgifterna. E-postkommunikationen ska, efter slutfört uppdrag omedelbart raderas.
-
I det fall företaget anlitar leverantörer eller andra externa aktörer som kommer att få tillgång till personuppgifter ur företagets register skall de informeras om företagets personuppgiftspolicy samt skriva under företagets Personuppgiftsbiträdesavtal.
-
Företagets personuppgiftsbehandlingar dokumenteras löpande i Behandlingsregistret
-
Uppföljning och utvärdering av företagets hantering av personuppgifter ska ske minst årligen
-
Eventuella incidenter rörande personuppgifter som företaget behandlar ska utan dröjsmål rapporteras till ordföranden. Denne ska utan onödigt dröjsmål och senast inom 72 timmar anmäla incidenten till Integritetsskyddsmyndigheten samt i övrigt vidta nödvändiga åtgärder med anledning av incidenten.