Integritetspolicy
Integritetspolicy
Denna integritetspolicy (”Integritetspolicyn”) gäller för samtliga bolag i Xxx Xxxxxxxx-koncernen, vilken utgörs av Xxx Xxxxxxxx Holding AB och samtliga bolag i vilka Xxx Xxxxxxxx Holding AB från tid till annan direkt eller indirekt äger mer än 50 procent av aktierna och/eller innehar mer än 50 procent av rösterna, eller på annat vis har ett kontrollerande inflytande över (gemensamt ”Xxx Xxxxxxxx”).
Syfte och mål
Syftet med Integritetspolicyn är att säkerställa att all behandling av personuppgifter som sker inom Xxx Xxxxxxxxx verksamhet är förenlig med tillämplig integritetsskyddslagstiftning.
Xxx Xxxxxxxx värnar om den personliga integriteten och lägger stor vikt vid att enskildas personuppgifter endast behandlas på ett lagligt, korrekt och lämpligt sätt. För detta ändamål tillser Xxx Xxxxxxxx att anställda och konsulter som är delaktiga i behandlingen av personuppgifter tillhandahålls adekvat utbildning och information om vilka regler och rutiner som ska iakttas vid behandling av personuppgifter.
Integritetspolicyn används av medarbetarna för att medarbetarna ska få kunskap om vilka regler och riktlinjer som gäller för informationssäkerhet och hantering av personuppgifter.
Det är viktigt att medarbetarna förstår vikten av att Integritetspolicyn följs och vilka disciplinära konsekvenser det kan innebära att bryta mot Integritetspolicyn och tillhörande rutiner samt att medarbetarna aktivt verkar för att samtliga medarbetare inom Xxx Xxxxxxxx följer den.
Missförhållanden i regler, riktlinjer eller rutiner och felaktigt beteende av en medarbetare bör rapporteras till närmaste chef, så att felaktigheter kan ändras och att medarbetaren kan få stöd och information för att kunna vidta rätt åtgärder. En medarbetare som inte följer riktlinjerna för hantering av information, inklusive men ej begränsat till Integritetspolicyn, kan bli föremål för disciplinära åtgärder.
Hantering av personuppgifter
Xxx Xxxxxxxx är personuppgiftsansvarig för behandlingen av de personuppgifter som Xxx Xxxxxxxx hanterar. I de fall som Xxx Xxxxxxxx behandlar personuppgifter för någon annans räkning är Xxx Xxxxxxxx personuppgiftsbiträde. Oaktat vilken roll Xxx Xxxxxxxx innehar följer Xxx Xxxxxxxx alltid gällande personuppgiftslagstiftning avseende behandlingen av personuppgifterna.
Samtliga anställda och inhyrd personal som arbetar på Xxx Xxxxxxxx är skyldiga att följa all vid var tid gällande lagstiftning och Xxx Xxxxxxxxx interna regelverk avseende behandlingen av personuppgifter.
De kategorier av personuppgifter som Xxx Xxxxxxxx behandlar är namn, personnummer, telefonnummer, hemadress, e-postadress, information om den registrerades önskemål, val och avtal avseende projekt och enskilda bostäder samt i förekommande fall bild och videoupptagningar, uppgifter om hälsotillstånd och ekonomi samt information om den registrerades studier, anställning och arbetserfarenhet.
Xxx Xxxxxxxx behandlar endast personuppgifter om någon av följande lagliga grunder finns för behandlingen:
• Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.
• Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.
• Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.
• Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.
Personuppgifter som inte längre behöver behandlas gallras. För detta finns en särskild gallringsrutin. Xxx Xxxxxxxx överför inte personuppgifter till länder utanför EU/EES.
För det fall Xxx Xxxxxxxx anlitar ett personuppgiftsbiträde för att behandla personuppgifter för Xxx Xxxxxxxxx räkning tecknas ett skriftligt personuppgiftsbiträdesavtal mellan Xxx Xxxxxxxx och personuppgiftsbiträdet. Personuppgiftsbiträdesavtalet reglerar vilka rättigheter och skyldigheter som Xxx Xxxxxxxx och personuppgiftsbiträdet har när personuppgiftsbiträdet behandlar personuppgifter för Xxx Xxxxxxxxx räkning. På så sätt garanteras att säkerhet och sekretess för personuppgifter inte påverkas negativt till följd av att Xxx Xxxxxxxx väljer att anlita personuppgiftsbiträdet istället för att själv utföra behandlingen.
Användningsområden
Xxx Xxxxxxxx samlar in personuppgifter för att administrera bolagets verksamhet, kontakter med leverantörer och kunder, underlag för statistik och projektutveckling samt för att tillhandahålla information och administrera de registrerades intresse olika projekt. Xxx Xxxxxxxx säljer inte personuppgifterna vidare till något företag och lämnar inte ut dem till någon obehörig. Xxx Xxxxxxxx lämnar ut personuppgifter till bolag i Xxx Xxxxxxxx-koncernen samt till leverantörer, samarbetspartners och bostadsrättsföreningar, med vilka Xxx Xxxxxxxx har tecknat personuppgiftsbiträdesavtal. I förekommande fall får Xxx Xxxxxxxx lämna personuppgifter till myndigheter.
Den registrerades rättigheter
Xxx Xxxxxxxx hjälper alltid den registrerade att tillvarata sina rättigheter avseende rätt till information, rätt till tillgång, rätt till rättelse, rätt till radering, rätt till begränsning av behandling, rätt till dataportabilitet och rätt att göra invändningar.
Den registrerade har rätt att en gång per år få ett kostnadsfritt registerutdrag för de personuppgifter som Xxx Xxxxxxxx behandlar. Begäran skickas till Xxx Xxxxxxxxx Dataskyddsombud. Kontaktuppgifter finns på Intranätet (”Spiken”) och på xxxxxxxxxxx.xx/xxxxxxxxxx.
Personuppgiftsincident
Om det sker en oavsiktlig eller olaglig förstöring, förlust eller ändring av de personuppgifter som behandlas, eller om dessa obehörigt röjs eller någon obehörig får åtkomst till personuppgifterna har det inträffat en personuppgiftsincident. En sådan personuppgiftsincident anmäls i enlighet med den rutin för personuppgiftsincidenter som finns på Spiken.
Särskilt om anställdas personuppgifter
I syfte att kunna administrera frågor hänförliga till anställningsförhållandet mellan Xxx Xxxxxxxx (i dess egenskap av arbetsgivare till medarbetaren) och den berörda medarbetaren samt för att utöva arbetsledning samt bedriva verksamheten som sådan, kommer Xxx Xxxxxxxx i sin roll som arbetsgivare att behandla medarbetarens personuppgifter. Sådan behandling kommer att vara helt eller delvis automatiserad.
Följande kategorier av personuppgifter får behandlas: personnummer, telefonnummer, hemadress, fotografi, bankuppgifter, arbetstimmar samt utbildningsdata som, förutom för ovanstående och nedanstående angivna syften, kan behöva behandlas till exempel i samband med sjukfrånvaro, utbildningar, rehabilitering, medarbetarinformation på Spiken och lönehantering. Vidare kan uppgifter för nämnda syften eller för statistikinsamling komma att lämnas vidare till exempelvis myndighet, bank- och försäkringsinrättning, trygghetsråd och företagshälsovård eller annan berörd tredje part.
Medarbetare upplyses särskilt om att ovan angivna kategorier av personuppgifter behandlas av Xxx Xxxxxxxx i syfte att:
(a) sköta Xxx Xxxxxxxxx ekonomiska administration, till exempel för att kunna beräkna projekts lönsamhet samt för att möjliggöra analys och utvärdering av den anställdes professionella utveckling i samband med lönerevidering. Xxx Xxxxxxxx, och i förekommande fall övriga bolag inom Xxx Xxxxxxxx-koncernen, har rätt att registrera och behandla personuppgifter avseende arbetade timmar samt utlåtanden avseende den anställdes prestationer. I detta syfte har Xxx Xxxxxxxx och övriga bolag inom Xxx Xxxxxxxx-koncernen även rätt att sammanställa sådana data och jämföra sådana data med data från andra medarbetare.
(b) ge den anställde tillgång och tillträde till kunders och leverantörers IT-system, i den mån detta krävs för att den anställde ska kunna fullgöra sina arbetsuppgifter. De kategorier av
personuppgifter som därvid kan behandlas är exempelvis namn, personuppgifter, arbetsscheman och loggfiler.
(c) säkerställa att vid var tid gällande Integritetspolicy och Xxx Xxxxxxxxx Informationssäkerhetspolicy efterlevs av den anställde. Xxx Xxxxxxxx har därför rätt att kontrollera den anställdes användning av e-post, Internet och andra IT-enheter. De kategorier av personuppgifter som därvid kan behandlas och/eller kontrolleras är exempelvis loggfiler, innehåll på hårddisk och server, innehåll i sända och mottagna e-postmeddelanden samt uppgifter om besökta hemsidor på Internet.
För att göra det möjligt för Xxx Xxxxxxxx att bedriva sin verksamhet och fullgöra sina åtaganden som arbetsgivare bör medarbetaren godkänna all behandling av medarbetarens personuppgifter som Xxx Xxxxxxxx utför i enlighet med de syften och på det sätt som anges ovan. Godkännandet bör lämnas även om vissa personuppgifter kan anses vara av känslig natur och att samtycke ges särskilt för behandling under a), b) och c) ovan.
Ytterligare information avseende behandling av personuppgifter finns på Spiken.
Informationssäkerhet
Det är av stor vikt att Xxx Xxxxxxxx har en hög nivå på sin informationssäkerhet för att kunna hantera information och personuppgifter i enlighet med lagar, förordningar, föreskrifter och avtal samt i enlighet med Xxx Xxxxxxxxx egna regler, riktlinjer och rutiner.
Alla som hanterar information, inklusive men inte enbart personuppgifter, inom Xxx Xxxxxxxx har ansvar för att upprätthålla informationssäkerheten. Om en medarbetare upptäcker att informationssäkerheten på något sätt äventyras ska detta rapporteras så snart som möjligt.
Det finns en informationssäkerhetsansvarig på Xxx Xxxxxxxx som har ett övergripande informationssäkerhetsansvar och som samordnar och bistår i det arbete som behövs för att informationssäkerheten håller den nivå som är nödvändig.
Ytterligare regler avseende informationssäkerheten finns i Xxx Xxxxxxxxx Informationssäkerhetspolicy.
Uppföljning
Uppföljning av hur denna Integritetspolicy efterlevs sker en gång per år i enlighet med Xxxxx för uppföljning av integritetspolicy. Ansvarig för denna uppföljning är Xxx Xxxxxxxxx kvalitetschef.
Denna version av integritetspolicyn gäller från och med den 18 maj 2018.