Dataskyddspolicy
Från och med 25 maj 2018 regleras behandlingen av personuppgifter enligt den nya dataskyddsförordningen, på engelska General Data Protection Regulation –GDPR. Vi bryr oss om din integritet, och i denna dataskyddspolicy kan du läsa om hur Höga Kusten Skog & Fastighet AB hanterar dina personuppgifter. Om du har frågor kring integritets- och dataskydd kan du alltid kontakta oss via vår Dataskyddsansvarig Pernilla Wiklund på pernilla.wiklund@hksf.se
I denna dataskyddspolicy benämns Höga Kusten Skog & Fastighet med förkortningen HKSF. Denna policy är antagen av HKSF’s styrelse 2018-05-23
Tillämpning & syfte
Policyn gäller för HKSF och dess ledning, alla anställda och konsulter som arbetar under HKSFs ledning och som har tillgång till system, IT-utrustning eller processer där personuppgifter ingår. Alla medarbetare är skyldiga att följa denna Policy och hålla sig uppdaterade om ändringar i Policyn samt närmare instruktioner för behandling av personuppgifter som gäller för deras arbete.
Syftet med denna policy är att på en övergripande nivå ange roller och ansvarsområden för dataskydd inom Företagets organisation samt att fastställa de normer och principer som ska säkerställa att insamling och övrig behandling av personuppgifter hos HKSF sker i enlighet med Dataskyddslagstiftningen. Allt för att dina personuppgifter ska vara trygga hos oss.
För att vi ska kunna fullgöra våra förpliktelser som näringsidkare och arbetsgivare har vi behov av att samla in och behandla personuppgifter. För dig som är anställd hos oss måste vi till exempel ha uppgifter om ditt namn, din adress och ditt kontonummer för att vi ska kunna betala ut lön och i övrigt fullgöra våra förpliktelser som arbetsgivare. Insamling och behandling av personuppgifter om andra än anställda förekommer också hos HKSF, exempelvis uppgifter om kontaktpersoner till leverantörer och kunder.
Denna Policy utgör stöd för HKSF för att kunna göra de nödvändiga överväganden som krävs för att uppfylla kraven i Dataskyddslagstiftningen.
Definitioner
I denna Policy används följande definitioner med angiven innebörd.
Grundläggande principer
Företaget ska vid all behandling av personuppgifter följa vid var tid gällande Dataskyddslagstiftning. Nedanstående principer ska alltid iakttas när personuppgifter behandlas.
Laglig grund för behandling av personuppgifter
Allmänt om laglig grund
Behandling av personuppgifter är endast tillåten om minst en av följande lagliga grunder är uppfylld:
Rättslig grund för HKSFs behandlingar ska dokumenteras av företaget, exempelvis i ett register över personuppgiftsbehandlingar. Vid osäkerhet bör samråd ske med Dataskyddsansvarig.
Laglig grund för behandling av anställdas personuppgifter
Vid behandling av personuppgifter om anställda bör som huvudregel någon annan laglig grund än samtycke användas. Anställda kan nämligen typiskt sett inte lämna ett frivilligt samtycke, eftersom anställda befinner sig i en beroendeställning i förhållande till sin arbetsgivare.
Vid behandling av personuppgifter om anställda kan HKSF normalt tillämpa annan laglig grund än samtycke. Sådan behandling är normalt sett nödvändig för att HKSF ska kunna administrera anställningsförhållandet, uppfylla åtaganden i anställningsavtalet, uppfylla rättsliga förpliktelser (t.ex. rapportering till myndigheter) och/eller fullgöra sina skyldigheter och utöva sina rättigheter inom arbetsrätten.
Behandling av känsliga personuppgifter rörande anställda eller andra är som huvudregel förbjuden. För att sådan behandling ska vara tillåten krävs ett giltigt undantag från förbudet. Som exempel på sådant undantag kan nämnas att den registrerade själv har offentliggjort uppgifterna, för att utöva rättigheter eller fullgöra skyldigheter inom arbetsrätten, för att kunna fastställa, göra gällande eller försvara rättsliga anspråk eller för hälso- och sjukvårdsändamål. Vid osäkerhet bör samråd ske med Dataskyddsansvarig.
Överföring av personuppgifter till tredje land
För överföring av personuppgifter till länder utanför EU och EES (så kallad tredjelandsöverföring) gäller särskilda regler. Om HKSFs behandling av personuppgifter innebär att personuppgifter överförs till, lagras eller på annat sätt behandlas utanför EU/EES-området krävs ytterligare åtgärder för att behandlingen ska vara laglig. Det är tillräckligt att personuppgifterna går att nå från plats utanför EU/EES, eller att viss infrastruktur, t.ex. en server som personuppgifterna skickas till befinner sig utanför EU/EES, för att ytterligare åtgärder är nödvändiga.
De åtgärder som HKSF vidtar för att säkerställa att tredjelandsöverföringen är laglig ska dokumenteras och godkännas av Företagets styrelse.
Behandlingsregister
All behandling av personuppgifter som utförs av HKSF eller för HKSFs räkning och som inte endast är tillfällig ska dokumenteras i ett s.k. behandlingsregister. Fortlöpande utbetalning av lön till anställda är exempel på behandling som behöver anges i behandlingsregistret eftersom behandlingen inte är endast tillfällig.
Om HKSF behandlar särskilda kategorier av personuppgifter (känsliga personuppgifter), eller om HKSF utför behandlingar av personuppgifter som sannolikt kommer att medföra en risk för registrerades rättigheter och friheter, måste dessa behandlingar anges i behandlingsregistret, även om de är endast tillfälliga (se artikel 30 GDPR).
HKSF ansvarar för att endast relevant personal har tillgång till eventuella behandlingsregister och känner till rutiner för att föra sådant register.
HKSF ansvarar för att registret uppdateras då en ny behandling av personuppgifter som inte är endast tillfällig inleds. HKSF ska även uppdatera registret i samband med ändring av en sådan behandling eller då en sådan behandling upphör.
Dataskyddsansvarig ansvarar för det praktiska arbetet med att föra behandlingsregistret.
Den registrerades rättigheter
En viktig del av skyddet för de registrerades personuppgifter enligt Dataskyddslagstiftningen är att lagen ger de registrerade ett antal rättigheter vad gäller behandling av personuppgifter. Den registrerade har bland annat rätt att:
Allt information och kommunikation med de registrerade vid dennes utövande av sina rättigheter ska tillhandahållas i en lättillgänglig form med ett klart och tydligt språk. Informationen ska som huvudregel lämnas skriftligen.
Gallring av personuppgifter
Enligt Dataskyddslagstiftningen får personuppgifter inte bevaras under längre tid än vad som är tillåtet enligt lag eller annars är nödvändigt med hänsyn till ändamålet med behandlingen. Uppgifter som inte längre får bevaras ska permanent raderas och förstöras, dvs. gallras. Det enda alternativet till att permanent radera och förstöra personuppgifter är att avidentifiera personuppgifterna på ett sådant sätt att all information som gör det möjligt att, på något sätt alls, spåra uppgifterna till en registrerad tas bort på ett sätt att de inte kan återskapas. Personuppgifter är inte avidentifierade om någon annan än HKSF kan återskapa dem.
Krav på lagring i annan lagstiftning, såsom t.ex. i skatte- eller bokföringslagstiftning, gäller före bestämmelser i Dataskyddslagstiftningen. Enligt bokföringslagen ska exempelvis räkenskapsinformation sparas i sju år från det år då ett räkenskapsår avslutats.
Huvudregeln är att personuppgifter ska gallras när HKSF inte längre behöver uppgifterna för att uppfylla det i förväg uppställda ändamålet med behandlingen, såvida inte personuppgifterna behövs för att uppfylla annan lagstiftning.
Vid osäkerhet om hur länge viss typ av personuppgift får sparas kan samråd ske med Dataskyddsansvarig.
Säkerhetsåtgärder vid behandling av personuppgifter
Allmänt
HKSF måste vidta lämpliga tekniska och organisatoriska åtgärder för att förhindra att personuppgifter förstörs eller ändras. En bedömning behöver göras från fall till fall, då olika behandlingar/system/processer kräver olika nivåer av säkerhetsåtgärder, bl.a. beroende på hur känslig informationen är, risken för intrång, informationens sårbarhet m.m.
Relevanta säkerhetsåtgärder kan t.ex. innebära:
Riskanalys
Innan en ny eller ändrad behandling av personuppgifter inleds bör HKSF utföra en inledande så kallad riskanalys. Syftet med riskanalysen är att identifiera och ta ställning till:
Överföring av personuppgifter till extern part
Utlämnande av personuppgiftsansvar
Om HKSF lämnar ut personuppgifter till en extern part för dennes vidare behandling såsom personuppgiftsansvarig ska HKSF säkerställa att laglig grund för sådant utlämnande finns och att utlämnandet även i övrigt uppfyller kraven i Dataskyddslagstiftningen, vilket bl.a. innefattar att mottagaren ska ha ett berättigat ändamål och laglig grund för att få behandla personuppgifterna. Exempel på laglig grund kan vara att HKSF enligt lag är skyldig att lämna ut uppgifterna.
Myndighets begäran om uppgifter
HKSF kan vara skyldig att på Datainspektionens begäran i samband med tillsyn lämna ut upplysningar om behandlingen av personuppgifter. Därutöver kan även andra myndigheter ha rätt att ta del av information som innehåller personuppgifter, exempelvis Kronofogdemyndigheten och Skatteverket.
Med undantag för regelbundna och obligatoriska överföringar av personuppgifter till myndighet som HKSF är skyldig att rapportera till (t.ex. löneuppgifter till Skatteverket och uppgift om sjukskrivning till Försäkringskassan), ska personuppgifter endast lämnas ut till myndighet efter skriftlig begäran och då myndigheten har visat att de har stöd för att begära in uppgifterna.
HKSF kan vidare vara skyldigt att lämna ut information till polis eller åklagare i samband med förundersökning om brott. Sådan information ska endast lämnas ut efter skriftlig begäran av förundersöknings-ledare eller åklagare.
Personuppgiftsincidenter
HKSF är enligt Dataskyddslagstiftningen normalt skyldig att anmäla en personuppgiftsincident till Datainspektionen utan dröjsmål och inte senare än 72 timmar efter att HKSF har fått vetskap om incidenten. Därutöver kan HKSF behöva informera de registrerade om incidenten.
HKSF ska dokumentera alla inträffade personuppgiftsincidenter. Det gäller oavsett eventuell anmälningsskyldighet till Datainspektionen eller informationsskyldighet till registrerade.
Ändring och uppdatering av policy
HKSFs styrelse ska anta denna Policy och se till att HKSF har nödvändiga rutiner och processer för att denna Policy ska kunna efterlevas. Detta inkluderar även ett ansvar för att se till att anställda får lämplig utbildning, och att Policyn vid behov ändras och uppdateras.
Dataskyddsansvarig ansvarar för att följa rättsutvecklingen med koppling till Dataskyddslagstiftningen och ta fram förslag till ändrad eller uppdaterad Policy.