Datasäkerhet

Dataskyddspolicy

Från och med 25 maj 2018 regleras behandlingen av personuppgifter enligt den nya dataskyddsförordningen, på engelska General Data Protection Regulation –GDPR. Vi bryr oss om din integritet, och i denna dataskyddspolicy kan du läsa om hur Höga Kusten Skog & Fastighet AB hanterar dina personuppgifter. Om du har frågor kring integritets- och dataskydd kan du alltid kontakta oss via vår Dataskyddsansvarig Pernilla Wiklund på pernilla.wiklund@hksf.se

I denna dataskyddspolicy benämns Höga Kusten Skog & Fastighet med förkortningen HKSF. Denna policy är antagen av HKSF’s styrelse 2018-05-23

Tillämpning & syfte

Policyn gäller för HKSF och dess ledning, alla anställda och konsulter som arbetar under HKSFs ledning och som har tillgång till system, IT-utrustning eller processer där personuppgifter ingår. Alla medarbetare är skyldiga att följa denna Policy och hålla sig uppdaterade om ändringar i Policyn samt närmare instruktioner för behandling av personuppgifter som gäller för deras arbete.

Syftet med denna policy är att på en övergripande nivå ange roller och ansvarsområden för dataskydd inom Företagets organisation samt att fastställa de normer och principer som ska säkerställa att insamling och övrig behandling av personuppgifter hos HKSF sker i enlighet med Dataskyddslagstiftningen. Allt för att dina personuppgifter ska vara trygga hos oss.

För att vi ska kunna fullgöra våra förpliktelser som näringsidkare och arbetsgivare har vi behov av att samla in och behandla personuppgifter. För dig som är anställd hos oss måste vi till exempel ha uppgifter om ditt namn, din adress och ditt kontonummer för att vi ska kunna betala ut lön och i övrigt fullgöra våra förpliktelser som arbetsgivare. Insamling och behandling av personuppgifter om andra än anställda förekommer också hos HKSF, exempelvis uppgifter om  kontaktpersoner till leverantörer och kunder.

Denna Policy utgör stöd för HKSF för att kunna göra de nödvändiga överväganden som krävs för att uppfylla kraven i Dataskyddslagstiftningen.

Definitioner

I denna Policy används följande definitioner med angiven innebörd.

  • Behandling (av personuppgift) avser varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig de sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning, ändring, begränsning, justering, radering eller förstöring, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning.
  • Dataskyddslagstiftning avser Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (GDPR) samt andra svenska eller europeiska lagar, förordningar, föreskrifter eller direktiv som från tid till annan gäller för Företagets behandling av personuppgifter.
  • Personuppgift avser varje direkt eller indirekt upplysning om en fysisk person som kan leda till identifiering av den fysiska personen i fråga. Detta kan till exempel vara person– och kontaktinformation så som namn, födelsedatum, personnummer, adress, e-postadress och mobiltelefonnummer. Det kan även vara betalningsinformation, så som kredit– och betalkortsuppgifter, fakturauppgifter eller bankkontonummer. Alla uppgifter som direkt eller indirekt kan användas för att identifiera dig.
  • Personuppgiftsansvarig avser den juridiska person som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter, dvs. den som ensamt eller tillsammans med annan bestämmer varför och hur personuppgifter behandlas.
  • Personuppgiftsincident avser ett dataintrång eller annan säkerhetsincident som innebär oavsiktlig eller olaglig förstöring, förlust eller ändring av personuppgifter eller obehörigt röjande eller obehörig åtkomst till personuppgifter.
  • Särskilda kategorier av personuppgifter (känsliga personuppgifter) avser behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.

 

Grundläggande principer

Företaget ska vid all behandling av personuppgifter följa vid var tid gällande Dataskyddslagstiftning. Nedanstående principer ska alltid iakttas när personuppgifter behandlas.

  • Dokumenterat personuppgiftsansvar: För varje behandling av personuppgifter ska det finnas ett eller flera bolag eller andra organisationer som har bedömts vara personuppgiftsansvarig(a).
  • Laglig grund: För varje behandling av personuppgifter ska det finnas åtminstone en dokumenterad laglig grund, såsom fullgörande av avtal, intresseavvägning eller samtycke.
  • Laglighet, korrekthet och öppenhet: Personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till de registrerade.
  • Ändamålsbegränsning: Personuppgifter ska samlas in och på annat sätt behandlas för särskilt, uttryckligen angivna och berättigade ändamål och får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.
  • Uppgiftsminimering: Personuppgifter som behandlas ska vara adekvata, relevanta och inte alltför omfattande i förhållande till ändamålen. Personuppgifter som samlas in ska därför verkligen behövas och HKSF ska inte fråga efter information bara för att den kan vara bra att ha.
  • Riktighet: Personuppgifter som behandlas ska vara korrekta och om nödvändigt uppdaterade. Det ska vara möjligt att spåra ändringar i personuppgifterna. Varje rimlig åtgärd ska vidtas för att säkerställa att uppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål.
  • Lagringsminimering: Personuppgifter får inte lagras under en längre tid än vad som är nödvändigt i förhållande till ändamålen. När uppgifterna inte längre behövs ska dessa gallras (vilket betyder raderas eller avidentifieras).
  • Integritet och konfidentialitet: Personuppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet för uppgifterna. Personuppgifterna ska skyddas mot obehörig eller otillåten behandling samt mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska och organisatoriska säkerhetsåtgärder.

 

Laglig grund för behandling av personuppgifter

Allmänt om laglig grund

Behandling av personuppgifter är endast tillåten om minst en av följande lagliga grunder är uppfylld:

  • Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål. Särskilda krav finns som måste vara uppfyllda för att samtycket ska vara giltigt.
  • Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.
  • Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse för HKSF.
  • Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.
  • Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller för det fall behandlingen skulle vara nödvändig som ett led i HKSFs myndighetsutövning.
  • Behandlingen är nödvändig för ändamål som rör HKSF eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter.

Rättslig grund för HKSFs behandlingar ska dokumenteras av företaget, exempelvis i ett register över personuppgiftsbehandlingar. Vid osäkerhet bör samråd ske med Dataskyddsansvarig.

Laglig grund för behandling av anställdas personuppgifter

Vid behandling av personuppgifter om anställda bör som huvudregel någon annan laglig grund än samtycke användas. Anställda kan nämligen typiskt sett inte lämna ett frivilligt samtycke, eftersom anställda befinner sig i en beroendeställning i förhållande till sin arbetsgivare.

Vid behandling av personuppgifter om anställda kan HKSF normalt tillämpa annan laglig grund än samtycke. Sådan behandling är normalt sett nödvändig för att HKSF ska kunna administrera anställningsförhållandet, uppfylla åtaganden i anställningsavtalet, uppfylla rättsliga förpliktelser (t.ex. rapportering till myndigheter) och/eller fullgöra sina skyldigheter och utöva sina rättigheter inom arbetsrätten.

Behandling av känsliga personuppgifter rörande anställda eller andra är som huvudregel förbjuden. För att sådan behandling ska vara tillåten krävs ett giltigt undantag från förbudet. Som exempel på sådant undantag kan nämnas att den registrerade själv har offentliggjort uppgifterna, för att utöva rättigheter eller fullgöra skyldigheter inom arbetsrätten, för att kunna fastställa, göra gällande eller försvara rättsliga anspråk eller för hälso- och sjukvårdsändamål. Vid osäkerhet bör samråd ske med Dataskyddsansvarig.

Överföring av personuppgifter till tredje land

För överföring av personuppgifter till länder utanför EU och EES (så kallad tredjelandsöverföring) gäller särskilda regler. Om HKSFs behandling av personuppgifter innebär att personuppgifter överförs till, lagras eller på annat sätt behandlas utanför EU/EES-området krävs ytterligare åtgärder för att behandlingen ska vara laglig. Det är tillräckligt att personuppgifterna går att nå från plats utanför EU/EES, eller att viss infrastruktur, t.ex. en server som personuppgifterna skickas till befinner sig utanför EU/EES, för att ytterligare åtgärder är nödvändiga.

De åtgärder som HKSF vidtar för att säkerställa att tredjelandsöverföringen är laglig ska dokumenteras och godkännas av Företagets styrelse.

Behandlingsregister

All behandling av personuppgifter som utförs av HKSF eller för HKSFs räkning och som inte endast är tillfällig ska dokumenteras i ett s.k. behandlingsregister. Fortlöpande utbetalning av lön till anställda är exempel på behandling som behöver anges i behandlingsregistret eftersom behandlingen inte är endast tillfällig.

Om HKSF behandlar särskilda kategorier av personuppgifter (känsliga personuppgifter), eller om HKSF utför behandlingar av personuppgifter som sannolikt kommer att medföra en risk för registrerades rättigheter och friheter, måste dessa behandlingar anges i behandlingsregistret, även om de är endast tillfälliga (se artikel 30 GDPR).

HKSF ansvarar för att endast relevant personal har tillgång till eventuella behandlingsregister och känner till rutiner för att föra sådant register.

HKSF ansvarar för att registret uppdateras då en ny behandling av personuppgifter som inte är endast tillfällig inleds.  HKSF ska även uppdatera registret i samband med ändring av en sådan behandling eller då en sådan behandling upphör.

Dataskyddsansvarig ansvarar för det praktiska arbetet med att föra behandlingsregistret.

Den registrerades rättigheter

En viktig del av skyddet för de registrerades personuppgifter enligt Dataskyddslagstiftningen är att lagen ger de registrerade ett antal rättigheter vad gäller behandling av personuppgifter. Den registrerade har bland annat rätt att:

  • information om behandlingen i samband med att personuppgifterna samlas in. Informationen ska som huvudregel lämnas skriftligen.
  • På begäran, kostnadsfritt få bekräftelse på huruvida personuppgifter som tillhör denne behandlas, och i sådana fall få tillgång till personuppgifterna (registerutdrag).
  • Få felaktiga eller ofullständiga personuppgifter korrigerade.
  • När som helst återkalla ett lämnat samtycke.
  • Få sina personuppgifter raderade (den s.k. rätten att bli bortglömd), bl.a. om laglig grund saknas för behandlingen av personuppgifterna eller om uppgifterna inte längre är nödvändiga för det ändamål för vilket uppgifterna samlades in.
  • Invända mot behandling som sker med stöd av allmänt intresse eller en intresseavvägning. Vid en invändning ska HKSF upphöra med behandlingen om inte HKSF kan visa att uppgifterna måste behandlas eller att det föreligger tvingande berättigade skäl att behandla uppgifterna och att dessa som väger tyngre än den registrerades rättigheter.
  • Begära att behandlingen av dennes personuppgifter begränsas, dvs. att behandlingen begränsas till vissa avgränsade syften. Rätten till begränsning gäller bl.a. när den registrerade anser att uppgifterna är felaktiga och har begärt att personuppgifter rättas. Den registrerade kan då begära att behandlingen av personuppgifterna begränsas under den tid som uppgifternas korrekthet utreds. Begränsning kan ske genom att uppgifterna i fråga blockeras och/ eller raderas i berörda system. När begränsningen upphör ska den registrerade informeras om detta.
  • Begära att få ut de uppgifter som den registrerade tillhandahållit till HKSF i ett strukturerat, allmänt använt och maskinläsbart format, i syfte att överföra sådana uppgifter till en annan personuppgiftsansvarig (dataportabilitet).
  • I vissa fall få information om att en personuppgiftsincident har inträffat.
  • När som helst invända mot behandling av personuppgifter som sker för direktmarknadsföring.
  • När som helst invända mot att personuppgifter används för automatiserat beslutsfattande och profilering.
  • Rätt att inge klagomål till en tillsynsmyndighet.

Allt information och kommunikation med de registrerade vid dennes utövande av sina rättigheter ska tillhandahållas i en lättillgänglig form med ett klart och tydligt språk. Informationen ska som huvudregel lämnas skriftligen.

Gallring av personuppgifter

Enligt Dataskyddslagstiftningen får personuppgifter inte bevaras under längre tid än vad som är tillåtet enligt lag eller annars är nödvändigt med hänsyn till ändamålet med behandlingen. Uppgifter som inte längre får bevaras ska permanent raderas och förstöras, dvs. gallras. Det enda alternativet till att permanent radera och förstöra personuppgifter är att avidentifiera personuppgifterna på ett sådant sätt att all information som gör det möjligt att, på något sätt alls, spåra uppgifterna till en registrerad tas bort på ett sätt att de inte kan återskapas. Personuppgifter är inte avidentifierade om någon annan än HKSF kan återskapa dem.

Krav på lagring i annan lagstiftning, såsom t.ex. i skatte- eller bokföringslagstiftning, gäller före bestämmelser i Dataskyddslagstiftningen. Enligt bokföringslagen ska exempelvis räkenskapsinformation sparas i sju år från det år då ett räkenskapsår avslutats.

Huvudregeln är att personuppgifter ska gallras när HKSF inte längre behöver uppgifterna för att uppfylla det i förväg uppställda ändamålet med behandlingen, såvida inte personuppgifterna behövs för att uppfylla annan lagstiftning.

Vid osäkerhet om hur länge viss typ av personuppgift får sparas kan samråd ske med Dataskyddsansvarig.

Säkerhetsåtgärder vid behandling av personuppgifter

Allmänt

HKSF måste vidta lämpliga tekniska och organisatoriska åtgärder för att förhindra att personuppgifter förstörs eller ändras. En bedömning behöver göras från fall till fall, då olika behandlingar/system/processer kräver olika nivåer av säkerhetsåtgärder, bl.a. beroende på hur känslig informationen är, risken för intrång, informationens sårbarhet m.m.

Relevanta säkerhetsåtgärder kan t.ex. innebära:

  • Behörighetskontroll, dvs att bara relevant personal har tillgång till personuppgifterna,
  • Lösenordsskydd och loggning av åtkomst till personuppgifter,
  • Att datorer och lagringsmedia som innehåller personuppgifter förvaras så att obehörig åtkomst försvåras,
  • Tillräckliga back-up rutiner,
  • Tillräckliga brandväggar, uppdaterat virusskydd osv.

Riskanalys

Innan en ny eller ändrad behandling av personuppgifter inleds bör HKSF utföra en inledande så kallad riskanalys. Syftet med riskanalysen är att identifiera och ta ställning till:

  • Vilka tekniska och organisatoriska säkerhetsåtgärder som är lämpliga för den aktuella behandlingen, utifrån en bedömning av hur känslig informationen är samt risker och sårbarhet.
  • Om behandlingen sannolikt kan komma att medföra en hög risk för de registrerades rättigheter och friheter. Sådana risker kan exempelvis förekomma i samband med en viss typ av behandling av uppgifter, särskilt känsliga personuppgifter eller personuppgifter som rör fällande domar i brottmål eller lagöverträdelser, behandling i särskilt stor omfattning, användning av ny teknik eller liknande.

 

Överföring av personuppgifter till extern part

Utlämnande av personuppgiftsansvar

Om HKSF lämnar ut personuppgifter till en extern part för dennes vidare behandling såsom personuppgiftsansvarig ska HKSF säkerställa att laglig grund för sådant utlämnande finns och att utlämnandet även i övrigt uppfyller kraven i Dataskyddslagstiftningen, vilket bl.a. innefattar att mottagaren ska ha ett berättigat ändamål och laglig grund för att få behandla personuppgifterna. Exempel på laglig grund kan vara att HKSF enligt lag är skyldig att lämna ut uppgifterna.

Myndighets begäran om uppgifter

HKSF kan vara skyldig att på Datainspektionens begäran i samband med tillsyn lämna ut upplysningar om behandlingen av personuppgifter. Därutöver kan även andra myndigheter ha rätt att ta del av information som innehåller personuppgifter, exempelvis Kronofogdemyndigheten och Skatteverket.

Med undantag för regelbundna och obligatoriska överföringar av personuppgifter till myndighet som HKSF är skyldig att rapportera till (t.ex. löneuppgifter till Skatteverket och uppgift om sjukskrivning till Försäkringskassan), ska personuppgifter endast lämnas ut till myndighet efter skriftlig begäran och då myndigheten har visat att de har stöd för att begära in uppgifterna.

HKSF kan vidare vara skyldigt att lämna ut information till polis eller åklagare i samband med förundersökning om brott. Sådan information ska endast lämnas ut efter skriftlig begäran av förundersöknings-ledare eller åklagare.

Personuppgiftsincidenter

HKSF är enligt Dataskyddslagstiftningen normalt skyldig att anmäla en personuppgiftsincident till Datainspektionen utan dröjsmål och inte senare än 72 timmar efter att HKSF har fått vetskap om incidenten. Därutöver kan HKSF behöva informera de registrerade om incidenten.

HKSF ska dokumentera alla inträffade personuppgiftsincidenter. Det gäller oavsett eventuell anmälningsskyldighet till Datainspektionen eller informationsskyldighet till registrerade.

Ändring och uppdatering av policy

HKSFs styrelse ska anta denna Policy och se till att HKSF har nödvändiga rutiner och processer för att denna Policy ska kunna efterlevas. Detta inkluderar även ett ansvar för att se till att anställda får lämplig utbildning, och att Policyn vid behov ändras och uppdateras.

Dataskyddsansvarig ansvarar för att följa rättsutvecklingen med koppling till Dataskyddslagstiftningen och ta fram förslag till ändrad eller uppdaterad Policy.