GDPR - Personuppgiftspolicy

Följande policy har upprättats för Nivika AB nedan kallat ”företaget”  2021-08-09.

Introduktion

På företaget arbetar vi strukturerat för att behandla personuppgifter på ett korrekt och lagligt sätt. I den här policyn beskrivs våra övergripande rutiner för hanteringen av personuppgifter.

Roller och ansvar

VD har ett övergripande ansvar att driva och övervaka de frågor som behandlas i denna policy. Samtliga chefer är ansvariga för den egna organisationens efterlevnad.

Principer för vår personuppgiftsbehandling

Vi ska vara ansvarsfulla i vår hantering av personuppgifter, oavsett om det gäller anställda, kunder, leverantörer eller andra samarbetspartners. Frågor som på olika sätt berör behandling av personuppgifter finns i alla delar av vår verksamhet och vi uppmuntrar därför till att samtliga mötesagendor innehåller personuppgiftsbehandling som en avstämningspunkt.

Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Vi ska vara transparanta om vilka uppgifter vi hanterar och se till att de personer som på olika sätt finns registrerade hos oss kan göra sina rättigheter gällande på ett effektivt sätt.

Insamling av personuppgifter får endast ske för särskilda, uttryckligt angivna, och berättigade ändamål och vi ska bara samla in uppgifter som behövs för detta ändamål. Vi arbetar aktivt med att begränsa lagringen genom att gallra i enlighet med vår gallringspolicy och när det är lämpligt genom automatisk gallring. Vi ska med rimliga åtgärder se till att uppgifterna är korrekta.

För att kunna säkerställa och visa att vi lever upp till lagstiftningens krav ska vi samla all dokumentation avseende vårt dataskyddsarbete på samma ställe.

Upphandling av IT-tjänster

När vi upphandlar IT-tjänster, såsom programvara eller drift och support, ska vi först genomföra en risk- och sårbarhetsanalys och därefter välja lösning eller leverantör utifrån utfallet.

Vid anlitande av personuppgiftsbiträden ska vi endast anlita den som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i lagen och säkerställer att den registrerades rättigheter skyddas. De överväganden som görs, inklusive dokumentation av säkerhetsnivå etc., ska dokumenteras. Vidare ska det tecknas ett personuppgiftsbiträdesavtal.

Vi undviker om möjligt överföring av personuppgifter till tredje land men när det bedöms lämpligt eller nödvändigt får detta endast ske efter att tillräckliga säkerhetsåtgärder har vidtagits och dokumenterats.

IT-säkerhet

Riskbedömning
Vi ska fortlöpande göra en riskbedömning av den behandling av personuppgifter som vi genomför.  Vi ska vidta tekniska och organisatoriska åtgärder för att uppnå en säkerhetsnivå som är lämplig i förhållande till risken. Riskanalys och beslut om åtgärder ska dokumenteras.

 

Behörigheter
Det ska finnas skriftliga behörighetsinstruktioner för samtliga IT-system som innehåller personuppgifter. Grundprincipen är att behörigheter ska tilldelas så att endast de personer som behöver tillgång till personuppgifterna har åtkomst. Beroende på uppgifternas känslighet kan behörigheterna vara snävare eller vidare. 

 

Incidenthantering 
Alla säkerhetsincidenter ska dokumenteras i en incidenthanteringslogg med uppgift om omständigheterna kring personuppgiftsincidenten, dess effekter och de korrigerande åtgärder som vidtagits. Med säkerhetsincident avses en händelse som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

När lagen så föreskriver ska incidenter även rapporteras till Datainspektionen respektive den registrerade.

 

IT-policy och IT-säkerhetspolicy
Vi har antagit en IT-policy och en IT-säkerhetspolicy där våra anställdas förhållningssätt till IT-miljön regleras mer i detalj.


Register över behandling

Vi ska föra ett register över behandlingar av personuppgifter.. Respektive systemägare är ansvarig för att hålla registret uppdaterat vid förändringar.

Konsekvensbedömning

Om en behandling av personuppgifter, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska vi enligt Dataskyddsförordningen före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter: Konsekvensbedömning eller DPIA (Data Protection Impact Assessment).

Även när vi inte når upp till kravet för Konsekvensbedömning ska vi, när det är lämpligt, genomföra en förenklad riskanalys. Analysen blir ett underlag för valet av tekniska och organisatoriska säkerhetsåtgärder.

Inbyggt dataskydd och dataskydd som standard

Vi ska proaktivt utvärdera möjligheterna att genomföra tekniska åtgärder, såsom pseudonymisering och uppgiftsminimering för att effektivt leva upp till kraven i GDPR och skydda den registrerades rättigheter.

Vi ska även genomföra lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas.

Utbildning

Våra anställda ska få relevant information och utbildning om behandling av personuppgifter i enlighet med separat årsplan för utbildning. Vid behov ges fördjupad eller riktad utbildning till dem som hanterar känsliga uppgifter. Deltagandet i utbildningar ska dokumenteras.

Uppföljning

Vi ska löpande utvärdera om vårt dataskyddsarbete lever upp till lagstiftningens krav och genomföra förändringar när det är påkallat.

 

Denna Policy är antagen av styrelsen den 2021-08-09