Dataskyddspolicy - interna riktlinjer för hantering av personuppgifter

Syftet med denna policy
Alla individer vars personuppgifter behandlas inom ramen för Tofra Färgs verksamhet ska vara trygga med hur vi hanterar deras uppgifter.

Denna policy ska säkerställa att Tofra Färg:

  • följer gällande dataskyddslagstiftning
  •  lagrar och hanterar personuppgifter på ett korrekt och enhetligt sätt
  • kommunicerar tydligt och öppet gällande hur personuppgifter hanteras i verksamheten
  • kan tillmötesgå anställdas, kunders och andra intressenters rättigheter
  • skyddar den egna verksamheten mot hot och därmed minimerar integritetsrisker

Omfattning
Policyn har tagits fram av Marie Wendel och omfattar all behandling av personuppgifter som utförs inom organisationen.

Denna policy gäller samtliga, oavsett vems personuppgifter som Tofra Färg behandlar och oavsett sammanhang. Policyn ska kompletteras med riktlinjer och rutiner för informationssäkerhet samt andra specifika verksamhetsområden.

Riktlinjerna ska efterlevas av ledning, anställda och likaså av andra personer som arbetar på uppdrag av eller under översyn av Tofra Färg.

Gällande dataskyddslagstiftning
Inom ramen för Tofra Färgs verksamhet är huvudsakligen följande lagar och bestämmelser tillämpliga:

  • EU:s allmänna dataskyddsförordning
  • Den kompletterande svenska dataskyddslagen



Viktiga begrepp och definitioner
Denna policy rör hantering av personuppgifter. Personuppgifter är all information som kan användas för att identifiera en enskild person, direkt eller indirekt. Begreppet personuppgifter inkluderar (men är inte begränsat till):

  • Namn
  • Personnummer
  • E-postadress
  • Telefonnummer
  • Kundnummer

I uttrycket behandling av personuppgifter inkluderas allting som görs där personuppgifter förekommer, exempelvis administration av, kommunikation med och lagring av sådana uppgifter för olika ändamål och i olika sammanhang.

Tofra Färg är personuppgiftsansvarig för de personuppgiftsbehandlingar som förekommer i verksamheten. Med detta menas att organisationen är den juridiska person som är ytterst ansvarig för personuppgifterna, och som bestämmer över ändamål och medel.

Ändamål med behandling av personuppgifter

  • Återkoppling till kunden vid beställning av varor.
  • Registrering av kundavtal i affärssystemet.
  • Marknadsföring, utskick via mail eller brev.
  • Till tredje part i samband med förmedling av hantverkstjänster.


Generella riktlinjer
Utbildning

Alla anställda ska få grundläggande dataskyddsutbildning, för att säkerställa förståelse för vikten av att hantera personuppgifter korrekt. Ansvarig för att utbildningen genomförs är Pär Roslund.
Varje avdelning ansvarar för att berörda medarbetare får ta del av sådana instruktioner och rutiner som är relevanta för dem, och sådan information som behövs för att var och en ska kunna utföra sitt arbete i linje med dataskyddslagstiftningen. Detta inkluderar, men är inte begränsat till, utbildning av nyanställda.

Registerförteckning
Detaljerad information om varje slags behandling av personuppgifter som förekommer i processer, IT-system och på olika avdelningar inom ramen för Tofra Färgs verksamhet ska finnas dokumenterad i organisationens registerförteckning. Förteckningen ska löpande hållas uppdaterad och fungera som ett heltäckande register över alla personuppgiftsbehandlingar, i enlighet med kraven i artikel 30 GDPR.

Registerförteckningen administreras av Marie Wendel. System- och informationsägare samt avdelningsansvariga kan komma att tilldelas ansvar för specifika delar av registerförteckningen i samarbete med Marie Wendel. Förteckningen kan visas upp för tillsynsmyndigheten på begäran.

Rättslig grund
Varje behandling av personuppgifter ska ha en specificerad så kallad rättslig grund för att det ska vara lagligt att hantera personuppgifterna. Inga personuppgifter får behandlas hos Tofra Färg utan att det finns en identifierad och lämplig rättslig grund. En godtagbar rättslig grund kan exempelvis vara ett avtal som ska uppfyllas, ett berättigat intresse, en laglig skyldighet (till exempel enligt bokföringslagen eller arkivlagen) eller ett faktiskt samtycke från de registrerade. Det är inte tillåtet
att behandla känsliga personuppgifter förutom i specifika undantagsfall, som i så fall ska finnas beskrivna i registerförteckningen samt i kompletterande policydokument/rutinbeskrivningar.

Ändamålsbegränsning och uppgiftsminimering
Personuppgifter får endast behandlas för specifika syften, i den utsträckning de behövs och i enlighet med dataskyddslagstiftningen.

Endast sådana personuppgifter som faktiskt behövs får samlas in och sparas. Inga uppgifter får sparas med lösa motiveringar såsom att de ”kanske kan vara bra att ha”.

Behandling av personuppgifter i nya sammanhang (för nya ändamål) måste alltid på förhand utvärderas och kontrolleras med dataskyddsansvariga, för att säkerställa att den nya hanteringen inte riskerar att kränka de registrerade personernas integritet eller på annat sätt bryta mot dataskyddslagstiftningen.

Behörighetsbegränsning
De personuppgifter som förekommer i verksamheten ska endast vara tillgängliga för personer som specifikt behöver dem i sitt arbete

Lagringsminimering
Personuppgifter som inte längre behövs (och som man inte heller är skyldig att spara) ska gallras löpande. Observera att det kan finnas lagkrav på att arkivera och spara uppgifter, men det ska finnas gallringsrutiner för varje process och varje system där personuppgifter förekommer. Var och en som arbetar där är skyldig att följa dessa rutiner.

Personuppgifter får inte användas på annat sätt eller överföras till och/eller behandlas på annan plats (system/lagringsställe/enhet) än vad som följer av gällande rutiner och instruktioner.

Information till registrerade
Alla vars personuppgifter hanteras av Tofra Färg har rätt till information om hur deras personuppgifter hanteras. Detta gäller såväl anställda som kunder och andra grupper. Informationen ska vara lättillgänglig samt tillräckligt utförlig för att motsvara kraven i dataskyddslagstiftningen. Informationen ska lämnas på ett klart och tydligt sätt.

De registrerades rättigheter
Tofra Färg ska ha rutiner och instruktioner på plats för hur organisationen ska fullgöra sina skyldigheter gentemot de registrerade, och dessa rättigheter ska Tofra Färg vara beredda att tillmötesgå i alla situationer där det krävs.

Lagring och informationssäkerhet
Alla personuppgifter som finns hos Tofra Färg ska skyddas genom säkra servrar och andra lämpliga tekniska och organisatoriska säkerhetsåtgärder i enlighet med artikel 32 GDPR. Känsliga personuppgifter kräver generellt högre säkerhet än mer harmlösa uppgifter.

Utlämnande av personuppgifter till tredje part
Det händer att Tofra Färg lämnar ut personuppgifter till tredje part. Det kan ske i följande sammanhang:

  • I samband med förmedling av hantverkstjänster

Att lämna ut uppgifter på det sättet är i sig en behandling av personuppgifter. Det ska alltid finnas en laglig grund för ett sådant utlämnande och de registrerade ska ha fått information om att deras uppgifter lämnas ut utanför Tofra Färg.

Roller och ansvar
Följande personer har särskilt ansvar för delar av dataskyddsarbetet:

  • Pär Roslund – VD
  • Marie Wendel - Ansvarar för: Ekonomi / Administration

Var och en som arbetar inom ramen för Tofra Färgs verksamhet är skyldig att följa denna policy samt att samarbeta med ansvariga personer när det är relevant.

Tillsynsmyndighet
Tofra Färg har gjort bedömningen att ansvarig tillsynsmyndighet för verksamheten är Datainspektionen.

Enskilda personer som har klagomål gällande Tofra Färgs hantering av personuppgifter har rätt att kontakta Datainspektionen.

Denna policy har tagits fram av Ekonomiavdelningen den 2018-05-30
Frågor som rör dataskyddspolicyn besvaras av Pär eller Marie.
Policyn uppdaterades senast den. 2018-07-16