Behandling av personuppgifter

Följande policy har upprĂ€ttats för Nivika AB nedan kallat ”företaget”  2021-08-09.

Introduktion

PÄ företaget arbetar vi strukturerat för att behandla personuppgifter pÄ ett korrekt och lagligt sÀtt. I den hÀr policyn beskrivs vÄra övergripande rutiner för hanteringen av personuppgifter.

Roller och ansvar

VD har ett övergripande ansvar att driva och övervaka de frÄgor som behandlas i denna policy. Samtliga chefer Àr ansvariga för den egna organisationens efterlevnad.

Principer för vÄr personuppgiftsbehandling

Vi ska vara ansvarsfulla i vÄr hantering av personuppgifter, oavsett om det gÀller anstÀllda, kunder, leverantörer eller andra samarbetspartners. FrÄgor som pÄ olika sÀtt berör behandling av personuppgifter finns i alla delar av vÄr verksamhet och vi uppmuntrar dÀrför till att samtliga mötesagendor innehÄller personuppgiftsbehandling som en avstÀmningspunkt.

Uppgifterna ska behandlas pÄ ett lagligt, korrekt och öppet sÀtt i förhÄllande till den registrerade. Vi ska vara transparanta om vilka uppgifter vi hanterar och se till att de personer som pÄ olika sÀtt finns registrerade hos oss kan göra sina rÀttigheter gÀllande pÄ ett effektivt sÀtt.

Insamling av personuppgifter fÄr endast ske för sÀrskilda, uttryckligt angivna, och berÀttigade ÀndamÄl och vi ska bara samla in uppgifter som behövs för detta ÀndamÄl. Vi arbetar aktivt med att begrÀnsa lagringen genom att gallra i enlighet med vÄr gallringspolicy och nÀr det Àr lÀmpligt genom automatisk gallring. Vi ska med rimliga ÄtgÀrder se till att uppgifterna Àr korrekta.

För att kunna sÀkerstÀlla och visa att vi lever upp till lagstiftningens krav ska vi samla all dokumentation avseende vÄrt dataskyddsarbete pÄ samma stÀlle.

Upphandling av IT-tjÀnster

NÀr vi upphandlar IT-tjÀnster, sÄsom programvara eller drift och support, ska vi först genomföra en risk- och sÄrbarhetsanalys och dÀrefter vÀlja lösning eller leverantör utifrÄn utfallet.

Vid anlitande av personuppgiftsbitrÀden ska vi endast anlita den som ger tillrÀckliga garantier om att genomföra lÀmpliga tekniska och organisatoriska ÄtgÀrder pÄ ett sÄdant sÀtt att behandlingen uppfyller kraven i lagen och sÀkerstÀller att den registrerades rÀttigheter skyddas. De övervÀganden som görs, inklusive dokumentation av sÀkerhetsnivÄ etc., ska dokumenteras. Vidare ska det tecknas ett personuppgiftsbitrÀdesavtal.

Vi undviker om möjligt överföring av personuppgifter till tredje land men nÀr det bedöms lÀmpligt eller nödvÀndigt fÄr detta endast ske efter att tillrÀckliga sÀkerhetsÄtgÀrder har vidtagits och dokumenterats.

IT-sÀkerhet

Riskbedömning
Vi ska fortlöpande göra en riskbedömning av den behandling av personuppgifter som vi genomför.  Vi ska vidta tekniska och organisatoriska ÄtgÀrder för att uppnÄ en sÀkerhetsnivÄ som Àr lÀmplig i förhÄllande till risken. Riskanalys och beslut om ÄtgÀrder ska dokumenteras.

Behörigheter
Det ska finnas skriftliga behörighetsinstruktioner för samtliga IT-system som innehÄller personuppgifter. Grundprincipen Àr att behörigheter ska tilldelas sÄ att endast de personer som behöver tillgÄng till personuppgifterna har Ätkomst. Beroende pÄ uppgifternas kÀnslighet kan behörigheterna vara snÀvare eller vidare. 

Incidenthantering 
Alla sÀkerhetsincidenter ska dokumenteras i en incidenthanteringslogg med uppgift om omstÀndigheterna kring personuppgiftsincidenten, dess effekter och de korrigerande ÄtgÀrder som vidtagits. Med sÀkerhetsincident avses en hÀndelse som leder till oavsiktlig eller olaglig förstöring, förlust eller Àndring eller till obehörigt röjande av eller obehörig Ätkomst till de personuppgifter som överförts, lagrats eller pÄ annat sÀtt behandlats.

NÀr lagen sÄ föreskriver ska incidenter Àven rapporteras till Datainspektionen respektive den registrerade.

IT-policy och IT-sÀkerhetspolicy
Vi har antagit en IT-policy och en IT-sÀkerhetspolicy dÀr vÄra anstÀlldas förhÄllningssÀtt till IT-miljön regleras mer i detalj.


Register över behandling

Vi ska föra ett register över behandlingar av personuppgifter.. Respektive systemÀgare Àr ansvarig för att hÄlla registret uppdaterat vid förÀndringar.

Konsekvensbedömning

Om en behandling av personuppgifter, sÀrskilt med anvÀndning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ÀndamÄl, sannolikt leder till en hög risk för fysiska personers rÀttigheter och friheter ska vi enligt Dataskyddsförordningen före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter: Konsekvensbedömning eller DPIA (Data Protection Impact Assessment).

Även nĂ€r vi inte nĂ„r upp till kravet för Konsekvensbedömning ska vi, nĂ€r det Ă€r lĂ€mpligt, genomföra en förenklad riskanalys. Analysen blir ett underlag för valet av tekniska och organisatoriska sĂ€kerhetsĂ„tgĂ€rder.

Inbyggt dataskydd och dataskydd som standard

Vi ska proaktivt utvÀrdera möjligheterna att genomföra tekniska ÄtgÀrder, sÄsom pseudonymisering och uppgiftsminimering för att effektivt leva upp till kraven i GDPR och skydda den registrerades rÀttigheter.

Vi ska Àven genomföra lÀmpliga tekniska och organisatoriska ÄtgÀrder för att, i standardfallet, sÀkerstÀlla att endast personuppgifter som Àr nödvÀndiga för varje specifikt ÀndamÄl med behandlingen behandlas.

Utbildning

VÄra anstÀllda ska fÄ relevant information och utbildning om behandling av personuppgifter i enlighet med separat Ärsplan för utbildning. Vid behov ges fördjupad eller riktad utbildning till dem som hanterar kÀnsliga uppgifter. Deltagandet i utbildningar ska dokumenteras.

Uppföljning

Vi ska löpande utvÀrdera om vÄrt dataskyddsarbete lever upp till lagstiftningens krav och genomföra förÀndringar nÀr det Àr pÄkallat.

 

Denna Policy Àr antagen av styrelsen den 2021-08-09