BEHANDLING AV PERSONUPPGIFTER I AF GRUPPEN
BEHANDLING AV PERSONUPPGIFTER I AF GRUPPEN
Inklusive rutiner för informationssäkerhet och internkontroll
Dessa rutiner för behandling av personuppgifter (”Rutinerna”) gäller för AF Gruppen ASA med
dotterbolag (”AF Gruppen”) och gäller all behandling av personuppgifter i AF Gruppen, inklusive för anställda och andra som utför arbete eller tjänster för AF Gruppen. Anställda och andra som är involverade i AF Gruppens behandling av personuppgifter förpliktigar sig att sätta sig in i följa rutinerna. Om det finns bestämmelser eller processer i rutinerna som inte kan följas, eller som inte överensstämmer med hur personuppgifter behandlas i AF Gruppen, ska detta meddelas till närmaste chef eller dataskyddsombud.
Innehåll
1. Principer för behandling av personuppgifter i AF Gruppen 2
3. Personuppgiftsdokumentation 3
6. Behandling av personuppgifter i AF Gruppen 6
7. Användning av personuppgiftsbiträde och behandling av andra 13
8. AF Gruppen som personuppgiftsbiträde 13
10. Förhållande till de registrerade 14
11. Arbetsgivarens insyn i e-postmeddelanden och elektroniska filer 18
12. Anskaffning av IT-system och -lösningar 19
14. Avvikelsehantering/egenkontroll 22
15. IT-instruktion för anställda 26
16. Riktlinjer för sociala medier 31
17. Riktlinjer för tillsyn från Datainspektionen eller andra tillsynsmyndigheter 34
1. PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I AF GRUPPEN
Följande principer ska gälla för behandling av personuppgifter i AF Gruppen.
1) Laglig behandling. All behandling av personuppgifter i AF Gruppen ska ske på ett lagligt, rättvist och transparent sätt. Transparens ska dock ge vika om denna princip strider mot principerna om konfidentialitet eller kan utgöra en risk för den enskildes integritet.
2) Syftesbegränsning. Endast sådana personuppgifter som har ett tydligt syfte ska behandlas och behandlingen måste ske inom ramarna för syftet. Inga personuppgifter ska vidarebehandlas utanför syftet.
3) Registrerades rättigheter. Det ska säkerställas att de registrerade, inklusive de anställda, kan genomdriva och utöva sina rättigheter enligt lagen.
4) Dataminimering. De personuppgifter som behandlas ska vara adekvata, relevanta och begränsade till det som är nödvändigt för de syften för vilka personuppgifterna behandlas.
5) Krav på IT-system. De IT-system och -lösningar som AF Gruppen använder sig av ska stödja skyldigheterna enligt lagen, och får inte förhindra efterlevnad av lagen eller de registrerades rättigheter.
6) Riktighet. Riktigheten hos uppgifterna ska säkras och uppgifterna ska rättas på uppmaning eller när man upptäcker att uppgifterna inte är korrekta eller uppdaterade.
7) Begränsning av behandlingstid. Personuppgifter ska raderas när syftet med behandlingen har upphört, eller när de registrerade begär att de raderas.
8) Integritet och förtroende. Det ska vidtas tillräckliga åtgärder för att skydda personuppgifterna mot otillåten eller olaglig behandling samt mot oavsiktlig förlust, förstörelse eller skada vid genom användning av lämpliga tekniska eller organisatoriska åtgärder.
9) Ansvar. AF Gruppen ska agera ansvarsfullt för behandling av personuppgifter när AF Gruppen är personuppgiftsansvarig, och ska se till att personuppgiftsbiträden som AF Gruppen använder sig av ger tillräckliga garantier och säkerställer laglig och säker behandling.
2. STYRANDE REGELVERK
Personuppgiftslagen ställer krav på att det ska genomföras lämpliga tekniska och organisatoriska åtgärder för att säkerställa och påvisa att behandlingen av personuppgifterna sker i enlighet med personuppgiftslagen och den allmänna dataskyddsförordningen. Med hänsyn till behandlingens art, omfattning, syfte och sammanhanget som behandlingen utförs i, samt riskerna av varierande sannolikhets- och allvarlighetsgrad för de registrerades rättigheter och friheter, ska rutinerna säkerställa genomförande av nämnda åtgärder, inklusive för:
• Uppfyllande av AF Gruppens skyldigheter och de registrerades rättigheter, och
• organisatoriska och tekniska åtgärder för att säkerställa informationssäkerhet
Åtgärderna, och därmed rutinerna, ska gås igenom på nytt regelbundet och uppdateras vid behov.
Med ”personuppgiftslagen” avses även den allmänna dataskyddsförordningen (Europaparlaments och rådets förordning 2016/679 – GDPR) som är implementerad i svensk rätt genom personuppgiftslagen. Om personuppgiftslagen ändras eller ersätts av annan lagstiftning, ska denna lagstiftning styra behandlingen av personuppgifter i AF Gruppen. Motsvarande gäller om det tillkommer ytterligare lagstiftning och regelverk av betydelse för behandlingen av personuppgifter för AF Gruppen.
3. PERSONUPPGIFTSDOKUMENTATION
All dokumentation kopplad till personuppgifter och som enligt rutinerna ska finnas tillgänglig på intranätet eller på ett internt nätverk som är tillgängligt för alla anställda, med undantag av information som av säkerhetsmässiga eller andra skäl inte bör vara tillgänglig för flera, som lagras på område med begränsad åtkomst. Dokumentationen finns tillgänglig på AF Gruppens intranät: Tellus.
Om det finns dokumentation som inte är tillgänglig på ovannämnda plats, ska detta framgå av de enskilda punkterna i rutinerna var dokumentationen finns tillgänglig.
Dokumentationen ska vara tillgänglig för alla anställda med undantag av de delar av dokumentationen som det kan medföra risk om den blir känd, där åtkomsten ska begränsas.
4. ORGANISATION OCH ANSVAR
Styrelsen för AF Gruppen har det högsta ansvaret för att AF Gruppen behandlar personuppgifter i enlighet med det vid varje given tidpunkt gällande regelverket.
Koncernchefen för AF Gruppen ansvarar för att det vidtas lämpliga tekniska och organisatoriska åtgärder för att säkerställa och bevisa att behandlingen sker i enlighet med det vid varje given tidpunkt gällande regelverket.
AF Gruppen har utsett ett dataskyddsombud, se punkt 0, som har konkreta arbetsuppgifter enligt rutinerna för att se till att åtgärder vidtas.
Den som har angetts som ansvarig för behandling i behandlingsöversikten, se punkt 6.1, har ett särskilt ansvar för den behandling som denne ansvarar för. Detta ansvar beskrivs med koppling till konkreta arbetsuppgifter i rutinerna.
Alla som är anställda eller som hanterar personuppgifter hos AF Gruppen har ett eget ansvar och egna skyldigheter att säkerställa att personuppgifter behandlas i enlighet med dessa rutiner och i enlighet med det vid varje given tidpunkt gällande regelverket för behandling av personuppgifter. Om det finns osäkerhet om hur personuppgifter ska behandlas, ska man antingen vänta med behandlingen till dess att det har bringats klarhet i den aktuella frågan, alternativt bör man rådfråga en expert på sekretess- och dataskyddsfrågor. Under alla omständigheter ska den behandlingsmetod väljas som medför minst risk för den registrerade om det finns flera alternativa behandlingsmetoder.
5. LEDNINGENS GENOMGÅNG
Koncernledningen för AF Gruppen ska, genom koncernchefen, genomföra regelbundna genomgångar för att säkerställa:
• Att de mål som har satts för behandling av personuppgifter uppnås
• Att det vidtas korrigerande åtgärder för att säkerställa att behandlingen av personuppgifter följer lagar och regelverk, inklusive rutinerna, samt överväga uppföljning av korrigerande åtgärder.
• Se till att internkontroll- och ledningssystem för informationssäkerhet är ändamålsenligt, tillräckligt och effektiva och att det uppfyller relevanta krav i lagar och förordningar
Uppföljning av förbättringsåtgärder och korrigerande åtgärder görs genom att resultaten från egenkontroll och avvikelsebehandling gås igenom och jämförs med de korrigerande åtgärderna.
Ledningens genomgång fastställs i den befintliga strukturen med kontinuerliga kvartalsvisa genomgångar för alla affärsenheter och företag i koncernen. Se även punkt Feil! Fant ikke r
eferansekilden..
5.1 Revision
Revision av de element som är styrande för internkontroll och informationssäkerhet genomförs regelbundet och minst en gång per år.
Revision av affärsenheterna ingår i den årliga revisionsplanen som genomförs av Koncern Kvalitet, så att en treårsplan täcker alla områden i sekretessbestämmelserna.
En sådan genomgång omfattar:
• Internkontroll: Utvärdera förändringar av omfånget av dagens internkontroll.
• Säkerhetsmål och -strategi: Överväga eventuella förslag till ändringar av säkerhetsmål och säkerhetsstrategi om ändringarna i väsentlig grad har ekonomiska eller andra konsekvenser för verksamheten.
• Risk- och sårbarhetsanalys: Bedömning av risk och sårbarhet vid önskemål om nya funktioner eller nya system/lösningar som medför betydande investeringar eller ändringar av den befintliga säkerhetsnivån.
• Verksamhetskritisk information och/eller system: Bedömning av ändringar av vilken information eller vilka system som är affärskritiska för AF Gruppen.
Koncernchefen ansvarar för att en revision genomförs, vilket ska ske minst en gång per år.
5.2 Säkerhetsmål
AF Gruppen har definierat ett antal principer för behandling av personuppgifter i AF Gruppen, se punkt 1. Utöver dessa har även säkerhetsmålen nedan definierats för AF Gruppen. Säkerhetsmålen ska stödja och säkra AF Gruppens verksamhet, allmänhetens förtroende och anseende i det offentliga rummet genom att förhindra och begränsa konsekvenserna av oönskade händelser.
Säkerhetsmålen beskriver AF Gruppens övergripande mål för att skydda AF Gruppens informationshantering mot interna och externa hot av avsiktlig och oavsiktlig natur.
Informationen i AF Gruppen ska skyddas med avseende på:
• Konfidentialitet – obehöriga får inte tillgång till informationen,
• Integritet – informationen ändras inte av obehörig eller oavsiktligt, och
• Tillgänglighet – informationen är tillgänglig när den behövs. Säkerhetsmålen för AF Gruppen är följande:
1) AF Gruppen ska säkerställa att information endast behandlas i enlighet med relevanta lagar och författningar samt enligt uppföranderegler och certifieringar som gäller för AF Gruppen.
2) Säkerheten på AF Gruppen ska vara förankrad hos ledningen för AF Gruppen och ska skyddas som en integrerad del av hela AF Gruppens organisation.
3) Den fysiska säkerheten på AF Gruppen ska förhindra att obehöriga får tillgång till lokaler där personuppgifter och annan information kan lagras och behandlas.
4) Åtkomst till system och information ges endast till medarbetare efter behov (”Need to Know”)
och åtkomst till system och information för obehöriga ska förhindras.
5) AF Gruppen ska säkerställa att informationsbehandlingen är korrekt och att informationen inte ändras utan laglig åtkomst.
6) AF Gruppen ska säkerställa tillgång till system, tjänster och information vid rätt tidpunkt för de
personer som är behöriga.
7) Rutiner ska ha införts för att hantera oönskade, inklusive verksamhetskritiska, händelser och det ska vara möjligt att spåra sådana oönskade händelser.
8) Systematiska lärandeprocesser vid oönskade händelser ska finnas på plats så att sannolikheten för liknande eller upprepade händelser reduceras.
9) Det ska förhindras att personer eller system hos AF Gruppen, medvetet eller omedvetet, orsakar oönskade säkerhetsincidenter mot den egna eller andra företag eller fysiska personer.
10) AF Gruppen ska säkerställa att medarbetare som använder AF Gruppens informationssystem och som behandlar personuppgifter har tillräcklig kompetens för att garantera AF Gruppens säkerhetsbehov/krav.
Säkerhetsmål ska regelbundet gås igenom och ändras efter AF Gruppens verksamhet, ramvillkor och hotbild. Bakgrundsmaterial för genomgången utgörs av:
• Resultat och de viktigaste slutsatserna från riskanalyser och egenkontroll
• Ändringar av de offentliga säkerhetskraven som kan medföra betydande förändringar för AF Gruppen
• Bedömningar av om det finns tillräckliga resurser för att garantera internkontrollen och informationssäkerheten.
5.3 Genomgång av avvikelser och händelser
Det ska genomföras en detaljerad genomgång av de allvarligaste händelser och avvikelserna under året, och endast en sammanfattande genomgång av de mindre allvarliga. Orsaken till händelser och avvikelser i vid bemärkelse och hur händelser och avvikelser har hanterats ska gås igenom och diskuteras.
En sådan genomgång ska genomföras årligen innan den 15 februari efterföljande år. Dataskyddsombudet ska kalla till och organisera genomgången och denna ska dokumenteras i personuppgiftsdokumentationen. I dokumentationen ska det tydligt framgå vilka beslut och åtgärder som har fattats och med vilken motivering. Detta görs som en del av koncernens kvartalsgenomgång.
5.4 Förbättringsåtgärder
Förbättringsåtgärder, genomförande av åtgärder för att fastställa tidpunkter ska utarbetas på grundval av de uppställda målen inom områdena:
• Organisation av säkerheten
• Partners och leverantörer
• Personal och säkerhet
• Fysisk säkerhet
• Systemteknisk säkerhet
• Dokumentsäkerhet
• Beredskap
5.5 Uppföljning
Uppföljning av säkerhetsmål för att se om de uppnås och om förbättringsåtgärder och korrigerande åtgärder fungerar, bland annat genom egenkontroll.
Uppföljning av att förbättringsåtgärderna fungerar, vilket görs i samband med revisionen enligt punkt 5.1, som normalt genomförs en gång per år.
6. BEHANDLING AV PERSONUPPGIFTER I AF GRUPPEN
AF Gruppen behandlar personuppgifter för att administrera relationen till sina anställda och relationen till sina kunder och leverantörer, samt annan behandling om detta framkommer nedan.
6.1 Översikt över behandling av personuppgifter
En översikt över behandlingen av personuppgifter ska upprättas och uppdateras löpande i AF Gruppen (”Behandlingsöversikt”, benämnd ”protokoll” i GDPR), vilket som ett minimum ska innehålla:
• De behandlingar som utförs i AF Gruppen med en beskrivning av vad som görs
• Om AF Gruppen är personuppgiftsansvarig eller personuppgiftsbiträde (eller om det föreligger ett gemensamt ansvar för behandlingen)
• Syftet med behandlingen
• Grunden för behandlingen, och vid intresseavvägning ska de hänsyn dokumenteras som motiverar att det finns tillräckligt intresse för att AF Gruppen ska kunna utföra behandlingen
• Geografisk plats för behandlingen
• Vilka personuppgifter som behandlas
• Var informationen har samlats in (om det är den registrerade eller andra)
• Vilka rutiner som finns på plats för radering av informationen, om detta avviker från de generella rutinerna för radering som gäller för AF Gruppen enligt Rutinerna.
• Tekniska eller organisatoriska åtgärder för att säkra behandlingen utöver det som gäller som generella säkerhetsåtgärder enligt rutinerna som har införts här
• Vid behandling av särskilda kategorier personuppgifter, vilka särskilda kategorier av uppgifter som behandlas och grunden för denna behandling
• Om AF Gruppen är personuppgiftsansvarig, om det tillämpas personuppgiftsbiträden och om det har ingåtts personuppgiftsbiträdesavtal
• Vem som har tillgång till personuppgifterna utanför AF Gruppen (personuppgiftsbiträdet undantaget) och om personuppgifterna har överförts till andra
• Om personuppgifterna överförs till tredjeland utanför EU/EES, vem uppgifterna överförs till och till vilket land, samt grunden för en sådan överföring
All ny behandling ska föras in i översikten innan den träder i kraft, och översikten ska gås igenom minst en gång per år för att avgöra om översikten är fullständig. En årlig genomgång av behandlingsöversikten ska göras senast den 15 februari varje år. Var och en som är ansvarig för behandlingsöversikten ska meddela dataskyddsombudet om att de har gjort en bedömning av de behandlingar som de ansvarar för. Alla områden i AF Gruppen ska omfattas av Behandlingsöversikten.
Behandlingsöversikten ska omfatta all elektronisk behandling av personuppgifter, samt behandling av personuppgifter på annat sätt än elektronisk (inklusive på papper) om denna behandling omfattas av personuppgiftsbestämmelserna.
Behandlingsöversikten ska finnas tillgänglig under Personuppgiftsdokumentationen, se punkt 3. Ambitionen ska vara att alla personuppgifter behandlas i strukturerad form, och behandling i
ostrukturerad form ska undvikas i största möjliga mån. Om åtgärder har vidtagits för att underlätta behandling av personuppgifter i system, t.ex. för behandling av personuppgifter om anställda i HR- system, inklusive i rekryteringssammanhang, ska det användas system och information/dokumentation ska inte tas ut från systemen och vidarebefordras via e-post eller lagras i filområden. Vid behandling i ostrukturerad form ska man i sträva efter att använda metadata för att ha kontroll på personuppgifterna. På samma sätt ska man försöka undvika fritextfält i databaser och annan fältbaserad information.
6.2 Grund för behandling
Det ska finnas en rättslig grund för all behandling i AF Gruppen.
Om fullgörande av avtal (GDPR artikel 6 nr 1 punkt a) används som grund bör det kontrolleras om avtalet ger en tillräcklig grund för den behandling som ska utföras.
Om intresseavvägning används som grund (GDPR artikel 6 nr 1 punkt f) ska intresseavvägningen dokumenteras genom att det som ett minimum redogörs för:
• Om behandlingen är nödvändig för syften kopplade till AF Gruppens (eller tredje parts) berättigade intressen och
• varför den registrerades intressen eller grundläggande fri- och rättigheter inte har företräde framför detta syfte och kräver skydd av personuppgifter.
Dokumentation av intresseavvägningen ska lagras i Personuppgiftsdokumentationen (samlad dokumentation kopplad till Sekretess på Tellus), se punkt 3 om detta inte ingår i Behandlingsöversikten.
Om samtycke används som grund, ska det kontrolleras om samtycket är tillräckligt för behandlingen som ska utföras. En sådan kontroll ska omfatta om samtycket:
• Har lämnats frivilligt av de registrerade. Det ska inte finnas några fördelar eller nackdelar kopplade till samtycke som ges för behandling av personuppgifter.
• Har lämnats uttryckligen av de registrerade. Det ska inte finnas något tvekan om huruvida samtycke har lämnats, och det ska säkerställas att samtycke som lämnas kan dokumenteras för eftervärlden, inklusive att det kan dokumentera vem som har lämnat samtycket, innehållet i samtycket som lämnades och när det lämnades. Det ska också dokumenteras om samtycket senare har återkallats.
• Informerad genom att de som lämnar sitt samtycke har fått all information om vilken behandling som kommer att utföras till följd av samtycket.
Samtycket ska vara specifikt för de olika syften för vilka behandlingen ska göras. Om det finns flera syften med behandlingen, ska samtycke inhämtas för respektive syfte.
Alla samtycken som används som grund för behandling ska dokumenteras, dvs. det ska vara möjligt att hitta tillbaka till innehållet i det samtycke som den enskilde registrerade har lämnat, tidpunkten då samtycket lämnades och dokumentation av att den registrerade har lämnat sitt samtycke. Det ska vara möjligt för de registrerade att återkalla samtycket lika enkelt som det var att lämna sitt samtycke, och efter att samtycket har återkallats ska behandlingen av personuppgifter om den registrerade som har återkallat sitt samtycke omedelbart upphöra, förutsatt att det inte finns någon grund för att fortsätta behandlingen på någon annan grund.
Alla samtycken som lämnas ska kunna återkallas minst lika enkelt som det var att lämna dem. Man bör sträva efter att skapa enkla system för de registrerades hantering av samtycken. Om samtycket är en del av en längre text, exempelvis villkor, ska samtycket markeras, helst i början av texten. AF Gruppen ska sträva efter att texten i samtycken är formulerad på ett tydligt och enkelt språk.
Om det finns tveksamhet huruvida grunden är tillräcklig för den behandling som ska utföras, ska grunden, inklusive innehållet i avtal, samtycke eller intresseavvägning, gås igenom av dataskyddsombudet och/eller extern expertis inom skydd av personuppgifter.
AF Gruppen ska endast behandla nödvändiga personuppgifter om anställda, kunder, leverantörer/underentreprenörer och andra samarbetspartners. De som registreras hos AF Gruppen ska om möjligt informeras och ha kännedom om behandlingen, läs mer om informationsskyldigheten under punkt 10.4.
6.3 Ny behandling
Vid ny behandling av personuppgifter ska följande göras:
• Den nya behandlingen ska föras in i Behandlingsöversikten (se punkt 6.1).
• En bedömning ska göras av huruvida det föreligger en giltig grund för behandlingen, och behandlingen får inte påbörjas utan en försäkran om att det finns en giltig grund för behandlingen.
• Om grunden för behandlingen är samtycke, ska samtycket kontrolleras för att avgöra om det är tillräckligt för behandlingen.
• Om behandlingen är intresseavvägning enligt GDPR artikel 6 nr 1 punkt f, ska motiveringen för behandlingen redovisas i Behandlingsöversikten eller i separat dokumentation som ska lagras under Personuppgiftsdokumentationen (se punkt 3). Intresseavvägningen ska klargöra huruvida behandlingen är nödvändig för ändamål kopplade till AF Gruppens (eller tredje parts) berättigade intressen och varför den registrerades intressen eller grundläggande fri- och rättigheter inte har företräde framför detta ändamål och kräver skydd av personuppgifter.
• Det ska säkerställas att all behandling sker inom det ändamål för vilket informationen samlades in. Det är den som ansvarar för behandlingen av informationen enligt Behandlingsöversikten som ansvarar för att kontrollera att alla former av behandling som sker med personuppgifterna omfattas av det ursprungliga ändamålet för insamling av personuppgifterna. Om den ansvarige är osäker på om behandlingen omfattas av det ursprungliga ändamålet, ska den personuppgiftsansvarige konsulteras, och eventuellt ska beslutet eskaleras till vd.
• Det ska göras en riskbedömning, se punkt 14.4, innan behandling påbörjas om behandlingen kan komma att påverka informationssäkerheten, eller om behandling ska utföras som kan medföra en risk för behandlingen av personuppgifter.
Det är den som ansvarar för behandlingen enligt Behandlingsöversikten som ansvarar för att ovannämnda utförs. Om ingen ansvarig anges i Behandlingsöversikten, är det alltid den högsta chefen som har ansvarar för de åtgärder som omfattas av behandlingen som är ansvarig.
6.4 Ändring av behandling
Vid ändrad behandling ska följande göras:
• Ändring i behandlingen ska föras in i Behandlingsöversikten (se punkt 6.1).
• Det ska kontrolleras att behandlingen sker i enlighet med det ändamål som personuppgifterna ursprungligen samlades in för. Om behandlingen inom det ursprungliga ändamålet inte har ändrats, ska det undersökas om behandlingen kan utföras trots att denna inte omfattas av det ursprungliga ändamålet. Bedömningen av om behandlingen ska kunna ändras ska dokumenteras.
radering av personuppgifter.
• Det ska göras en riskbedömning, se punkt 14.4, innan ändrad behandling påbörjas om behandlingen kan komma att påverka informationssäkerheten, eller om behandling ska utföras som kan medföra en risk för behandlingen av personuppgifter.
Det är den som ansvarar för behandlingen enligt Behandlingsöversikten som ansvarar för att ovannämnda utförs. Om ingen ansvarig anges i Behandlingsöversikten, är det alltid den högsta chefen som har ansvarar för de åtgärder som omfattas av behandlingen som är ansvarig.
6.5 Avslutande av behandling
Vid avslutande av behandling ska följande göras:
• Behandlingen ska märkas som avslutad i Behandlingsöversikten (se punkt 6.1).
• En bedömning ska göras om de registrerade ska informeras om att behandlingen har avslutats, och de registrerade ska informeras om detta är nödvändigt.
• Det ska säkerställas att personuppgifterna raderas på lämpligt sätt, se närmare under punkt 6.9 om radering av personuppgifter.
Det är den som ansvarar för behandlingen enligt Behandlingsöversikten som ansvarar för att ovannämnda utförs. Om ingen ansvarig anges i Behandlingsöversikten, är det alltid den högsta chefen som har ansvarar för de åtgärder som omfattas av behandlingen som är ansvarig.
6.6 Behandling av personuppgifter
Det ska säkerställas att all behandling av personuppgifter sker enligt det ändamål för vilket informationen samlades in. En bedömning av om behandlingen av personuppgifterna sker i enlighet med det ursprungliga ändamålet ska göras minst en gång per år i samband med revideringen av Behandlingsöversikten. Det är den som ansvarar för behandlingen av informationen enligt Behandlingsöversikten som ansvarar för att kontrollera att alla former av behandling som sker med personuppgifterna omfattas av det ursprungliga ändamålet för insamling av personuppgifterna. Om den ansvarige är osäker på om behandlingen omfattas av det ursprungliga ändamålet, ska den personuppgiftsansvarige konsulteras, och eventuellt ska beslutet eskaleras till vd.
Det ska säkerställas att inte mer personuppgifter samlas in och behandlas än vad som är nödvändigt (dataminimering) genom att alla som kommer i kontakt med personuppgifter ska göra en bedömning av om det är nödvändigt att behandla personuppgifterna. Alla som ansvarar för de olika behandlingarna av personuppgifterna ska minst en gång om året göra en bedömning av om de personuppgifter som behandlas är nödvändiga eller om behandlingen av personuppgifterna ska begränsas.
Alla i AF Gruppen ska få information om och utbildning i hur personuppgifter ska hanteras, och vid behov kan de anställda söka be sin närmaste chef om hjälp. Anställda som i hög utsträckning hanterar personuppgifter ska utbildas i behandling av personuppgifter. AF Gruppen ska alltid kunna svara på frågor, både från allmänheten och de som är registrerade, om behandlingen av personuppgifter. Förfrågningar från anställda om behandling av personuppgifter ska hanteras av HR- ansvarig. Förfrågningar som mottas från kunder, leverantörer/underleverantörer och andra externa ska vidarebefordras till dataskyddsombudet.
Behandling av personuppgifter ska ske enligt de beteendenormer och certifieringar som AF Gruppen omfattas av, i förekommande fall.
Ytterligare åtgärder, utöver åtgärd med utgångspunkt i säkerhetsstrategierna ovan, ska genomföras för särskilt skyddsvärd information såsom:
• sjukanmälningar
• information om anpassning av arbetsplatsen
• medarbetaromdömen
• anmärkningar och varningar
• löneavdrag
Det ska göras en bedömning av huruvida personuppgifter ska pseudonymiseras eller anonymiseras i den mån detta låter sig göras utan att det påverkar kvaliteten på behandlingen av personuppgifterna. Om tillfredsställande anonymisering inte är möjlig och det saknas grund för fortsatt behandling, inklusive genom att ändamålet för behandlingen inte längre föreligger, ska informationen raderas.
6.7 Behandling av särskilda kategorier (känsliga) personuppgifter och uppgifter om brott osv.
Med särskilda kategorier av personuppgifter räknas följande enligt dataskyddsförordningen:
• Uppgifter om ras/etniskt ursprung
• Politisk uppfattning
• Religion och övertygelse
• Medlemskap i fackförening
• Hälsoinformation
• Sexuella förhållanden eller sexuell läggning
• Genetisk och biometrisk information för identifikationsändamål
Ambitionen ska vara att särskilda kategorier av personuppgifter ska behandlas i minsta möjliga utsträckning i AF Gruppen. Behandling av särskilda kategorier (känsliga) personuppgifter får inte förekomma utan att det finns en grund för sådan behandling. Beslut om behandling av särskilda kategorier (känsliga) personuppgifter ska fattas av AF Gruppens vd.
Vid behandling av särskilda kategorier (känsliga) personuppgifter ska det vidtas särskilda säkerhetsåtgärder för behandlingen, där åtgärder begränsad åtkomst och kryptering vid överföring ska vidtas som ett minimum. Det får inte vid något tillfälle skickas särskilda kategorier (känsliga) personuppgifter via e-post eller överföras på annat sätt okrypterat. Om särskilda kategorier (känsliga) personuppgifter lagras på ett portabelt lagringsmedium, inklusive telefon eller surfplatta, ska informationen krypteras.
Under inga omständigheter ska personuppgifter om lagöverträdelser, inklusive brott.
6.8 Behandling av personuppgifter om minderåriga
Behandling av personuppgifter om minderåriga ska undvikas i möjligaste mån, och om personuppgifter om personer under 18 år behandlas ska informationen begränsas i största möjliga utsträckning och raderas så fort som möjligt och de ska säkras på bästa möjliga sätt.
Om personuppgifter om personer under 15 år behandlas ska samtycke till behandlingen inhämtas från vårdnadshavaren.
Vi kommer att försöka behandla personuppgifter om barn enligt intresseavvägning (GDPR artikel 6 nr 1 f) i minsta möjliga utsträckning. Om personuppgifter om barn behandlas efter intresseavvägning, ska det redovisas varför behandlingen är nödvändig för ändamål kopplade till AF Gruppens eller tredje parts berättigade intressen som har företräde framför barnets intressen eller grundläggande fri- och rättigheter i intresseavvägningen.
6.9 Överföring av personuppgifter till andra, såsom personuppgiftsansvarig och tredjeparter
Om personuppgifter ska överföras till andra, inklusive andra personuppgiftsansvariga och tredje parter, ska det undersökas om mottagaren av informationen har laglig grund för behandling av personuppgifterna. Personuppgifter ska inte överföras om mottagaren saknas grund för behandlingen eller om det är oklart om det finns grund för behandlingen, eller om det finns tveksamheter huruvida mottagaren kan behandla personuppgifterna på ett lagligt och säkert sätt.
Överföring av personuppgifterna ska ske på ett säkert sätt, som skyddar personuppgifternas konfidentialitet och integritet.
6.10 Radering av personuppgifter
Personuppgifter får inte behållas och ska raderas på ett säkert sätt när det inte längre finns behov av att behålla dem i AF Gruppen, t.ex. att det inte finns en grund för fortsatt behandling eller om den registrerade ber om radering (om det finns en grund för radering). Den som har angetts som ansvarig för behandlingen i Behandlingsöversikten ansvarar för detta om det finns ändringar i AF Gruppen som stödjer att informationen ska raderas.
Vid arbetsförhållandets upphörande ska alla personuppgifter ses över. För vidare lagring måste det anföras en särskild grund. Detta gäller inte följande uppgifter, som kan lagras:
• Den anställdes namn och personnummer
• Adress
• Befattning och avdelning
• Datum för anställning och avgång, samt orsak till avgången.
6.11 Tillgång till personuppgifter och säkerställande av konfidentialitet
Personuppgifterna ska:
• Inte vara tillgängliga för personer som inte behöver dem i sitt arbete (”need to know”).
• Vara tillgängliga och uppdaterade i förhållande till behov.
Personuppgifter om kunder får inte komma på avvägar av hänsyn till kunderna de avser, och av hänsyn till den egna verksamheten.
Personuppgifter om anställda ska endast vara tillgängliga internt i AF Gruppen för medarbetare som behöver dessa i tjänsten, till exempel avdelningschef och personalansvarig.
Alla anställda ska ha bestämmelser om tystnadsplikt inskrivna i sina anställningsavtal eller ha ingått ett separat avtal om konfidentialitet/tystnadsplikt, ref. riktlinjer i uppförandekoden. Alla som utför tjänster eller uppdrag för AF Gruppens räkning som innebär hantering av personuppgifter ska antingen omfattas av personuppgiftsbiträdesavtal eller ha ingått ett separat avtal om konfidentialitet/tystnadsplikt.
6.12 Utlämnande och överföring av personuppgifter till andra
Med utlämnande menas att personuppgifter överlåts till en annan personuppgiftsansvarig (utlämning till personuppgiftsbiträde behandlas i punkt 7). Detta är en ny behandling och det krävs en separat grund för behandlingen. Om det inte finns någon annan grund för behandlingen, måste samtycke inhämtas från den registrerade.
Information om egna anställda kan lämnas till offentliga myndigheter i enlighet med lagstadgade krav. Om det råder tvivel om detta, ombeds myndigheten att beskriva sin begäran för att kräva in informationen.
Utlämnande av personuppgifter till tredje part ska i övrigt godkännas av personuppgiftsansvarig.
6.13 Överföring av personuppgifter till tredjeland
Om personuppgifter ska överföras till tredjeland, dvs. land utanför EU/EES, ska det finnas en rättslig grund för överföringen enligt dataskyddsregelverket. Överföringen ska även ha godkänts av AF Gruppens högsta ledning.
AF Gruppen ska sträva efter att begränsa överföring av personuppgifter till tredjeland, och ska inte använda sig av personuppgiftsbiträde eller tjänster i tredjeland om det finns lika bra alternativ inom EU/EES eller om behandlingen kan utföras på ett sätt som gör att en överföring till tredjeland inte är nödvändig.
6.14 Säkerställande av personuppgifternas kvalitet Rättelse och korrigering
Den som ansvarar för behandlingen enligt Behandlingsöversikten har det övergripande ansvaret för att personuppgifterna är så korrekta och uppdaterade som möjligt i förhållande till ändamålet med behandlingen.
För personuppgifter som lagras i databaser eller strukturerade former, ska man försöka använda sig tidsangivelse för när informationen har lagrats och uppdaterats, och man ska säkerställa att informationen antingen gås igenom eller raderas när den inte längre behövs.
Rutiner för hur personuppgifter hålls uppdaterade, inklusive hur man rättar felaktiga, bristfälliga eller saknade personuppgifter och hur man säkerställer att rimliga ansträngningar görs för att säkerställa att informationen inte innehåller felaktigheter.
Åtgärder som ska beaktas för att säkerställa att informationen är aktuell är:
• Portal för att ge de registrerade tillgång till sina personuppgifter för att bedöma och eventuellt rätta uppgifterna.
• Regelbunden genomgång av informationen av de som ansvarar för informationen
• Tvätt av information från externa databaser, såsom folkbokföringsregistret, dödboken, företagsregister osv.
6.15 Bedömning av konsekvenser för dataskydd
Är det troligt att en typ av behandling, i synnerhet vid användning av ny teknik och av hänsyn till behandlingens natur, omfattning, syfte och sammanhanget som den utförs i, kommer att medföra en hög risk för de registrerades fri- och rättigheter, ska det – innan behandlingen påbörjas – göras en bedömning av vilka konsekvenser den planerade behandlingen kommer att få för integritetsskyddet (”Konsekvensbedömning av behandling med avseende på dataskydd”). Bedömningen kan omfatta flera liknande behandlingsaktiviteter som innebär liknande höga risker.
Konsekvensbedömningen av behandling med avseende på dataskydd ska minst innehålla:
• en systematisk beskrivning av de planerade behandlingsaktiviteterna och ändamålen med behandlingen, inklusive, där det är relevant, AF Gruppens berättigade intressen
• en bedömning av om behandlingsaktiviteterna är nödvändiga och står i rimlig proportion till ändamålen
• en bedömning av riskerna för de registrerades fri- och rättigheter som nämnt inledningsvis ovan
• de planerade åtgärderna för att hantera riskerna, inklusive garantier, säkerhetsåtgärder och mekanismer för att säkra skyddet av personuppgifter och för att visa att denna förordning efterlevs, genom att hänsyn tas till de registrerades och andra berörda personers rättigheter och berättigade intressen.
Om det är relevant ska det inhämtas synpunkter på den planerade behandlingen från de registrerade eller deras företrädare utan att det berör skyddet av kommersiella eller allmänna intressen eller säkerheten för behandlingsaktiviteterna.
Vid behov ska det göras en genomgång för att bedöma om behandlingen utförs i enlighet med bedömningen av konsekvenserna för dataskyddet, åtminstone om risken som behandlingen medför ändras.
Datainspektionen ska konsulteras innan behandlingen påbörjas om konsekvensbedömningen av behandling med avseende på dataskydd kommer att medföra en hög risk om AF Gruppen inte skulle vidta åtgärder för att minska risken, och i detta sammanhang ska följande läggas fram för Datainspektionen:
• ansvarsfördelningen mellan AF Gruppen, eventuella gemensamma personuppgiftsansvariga och personuppgiftsbiträden som är involverade i behandlingen, i synnerhet vid behandling i en koncern, om detta är relevant;
• syftena med och medlen för den planerade behandlingen,
• åtgärderna och garantierna som har fastställts för att skydda de registrerades fri- och rättigheter enligt denna förordning,
• bedömningen av konsekvenserna för dataskyddet (se ovan) och
• all annan information som tillsynsmyndigheten begär.
6.16 Rutiner vid gemensamt behandlingsansvar
Om det finns ett gemensamt behandlingsansvar, ska detta regleras i ett avtal med den andra personuppgiftsansvarige, i synnerhet vad gäller utövandet av den registrerades rättigheter och informationsplikten gentemot de reglerade. Det ska utses en kontaktperson för registrerade i avtalet.
7. ANVÄNDNING AV PERSONUPPGIFTSBITRÄDE OCH BEHANDLING AV ANDRA
Parter som behandlar personuppgifter för AF Gruppens räkning, är AF Gruppens personuppgiftsbiträden. Det ska alltid ingås avtal med personuppgiftsbiträden, där AF Gruppens standardavtal för personuppgiftsbiträden ska användas. Om inte AF Gruppens standardavtal för personuppgiftsbiträden används, ska avtalet gås igenom av en expert på dataskydd för att avgöra om personuppgiftsbiträdesavtalet är tillfredsställande enligt lagkraven. Avtalet ska reglera hur personuppgiftsbiträdet ska hantera och skydda personuppgifterna.
En översikt över alla personuppgiftsbiträden ska föras in i Behandlingsöversikten (se punkt 6.1).
Parter som har tillgång till AF Gruppens personuppgifter, inklusive till system där som används för behandling av personuppgifter, ska underteckna ett sekretessavtal.
Det ska säkerställas att personuppgiftsbiträden och alla personer som agerar för AF Gruppens räkning eller AF Gruppens personuppgiftsbiträden, och som har tillgång till personuppgifter, ska behandla uppgifter endast på instruktioner från AF Gruppen.
8. AF GRUPPEN SOM PERSONUPPGIFTSBITRÄDE
Om AF Gruppen är personuppgiftsbiträde för personuppgiftsansvariga, ska det säkerställas att alla som behandlar personuppgifter för den personuppgiftsansvariges räkning endast hanterar informationen enligt den personuppgiftsansvariges instruktioner.
Det ska föras en Behandlingsöversikt (protokoll), se punkt 6.1, för all behandling som AF Gruppen utför i egenskap av personuppgiftsbiträde.
9. DATASKYDDSOMBUD
AF Gruppen har gjort bedömningen att det inte är nödvändigt att ha ett dataskyddsombud enligt GDPR artikel 37, och det är inte nödvändigt för AF Gruppen att ha ett dataskyddsombud heller av andra grunder, eftersom AF Gruppen inte hanterar personuppgifter i någon större utsträckning.
Bedömningen har gjorts mot bakgrund av att AF Gruppens huvudsakliga verksamhet inte består av behandlingsaktiviteter som på grund av sin natur, sin omfattning och/eller syfte kräver regelbunden och systematisk övervakning i stor skala av registrerade och AF Gruppen behandlar inte särskilda kategorier (känsliga) personuppgifter i stor skala. AF gruppen är heller inte ett offentligt företag som är skyldigt att ha ett dataskyddsombud.
10. FÖRHÅLLANDE TILL DE REGISTRERADE
10.1 Insyn från de registrerade i behandlingen av personuppgifter
Alla registrerade har rätt att få veta vilken typ av behandling av personuppgifter som utförs i AF Gruppen och få de personuppgifter som behandlas utlämnade om vederbörande begär detta. För mer information, se GDPR artikel 15 om rätten till insyn och hur denna ska säkerställas.
Förfrågningar om insyn ska hanteras på följande sätt:
1. Förfrågan från den registrerade om AF Gruppen behandlar personuppgifter om den registrerade ska förmedlas till och besvaras av personuppgiftsansvarig, som ansvarar för att förfrågningar besvaras fortlöpande, och senast inom fyra veckor.
2. Om personuppgifter om den registrerade behandlas, ska den registrerade få följande information:
a. Syftet med behandlingen,
b. de berörda kategorierna av personuppgifter,
c. mottagarna eller kategorin av mottagare som personuppgifterna har eller kommer att lämnas ut till, särskilt mottagare i tredjeländer (dvs. utanför EU/EES), samt om de nödvändiga garantierna som krävs enligt GDPR artikel 46 i samband med överföringen.
d. om möjligt, hur länge personuppgifterna väntas lagras, eller, om detta inte är möjligt, kriterierna som används för att fastställa denna period,
e. rätten att be AF Gruppen att korrigera eller radera personuppgifter eller begränsa behandlingen av personuppgifter om den registrerade, eller att invända mot nämnda behandling,
f. rätten att klaga till Datainspektionen,
g. om personuppgifterna inte har samlats in från den registrerade, all tillgänglig information om varifrån personuppgifterna kommer,
h. förekomsten av automatiserade beslut, inklusive profilering, som nämnt i GDPR artikel 22 nr 1 och 4, och som ett minimum i nämnda fall, relevant information om den underliggande logiken samt om betydelsen och de förväntade konsekvenserna av en sådan behandling för den registrerade.
3. Om den registrerade ber om det, ska en kopia av de personuppgifter som behandlas om den registrerade göras tillgänglig. I sådana fall ska det säkerställas att insyn i och utlämnande av personuppgifter inte gör att den som ber om insyn får insyn i andra fysiska personers
personuppgifter. Det ska göras en verifiering av den registrerades identitet innan personuppgifterna lämnas ut. Det ska säkerställas att personuppgifter inte lämnas ut om andra fysiska personer eller att andra fysiska personers integritet kränks på något sätt genom utlämnandet eller insynen i personuppgifterna.
Det får inte lämnas ut information som kan kränka andras fri- och rättigheter, inklusive affärshemligheter eller immaterialrätt och upphovsrätt. Dessa hänsyn bör emellertid inte leda till att den registrerade nekas insyn i all information. Vid behandling av stora mängder information om den registrerade, bör den registrerade ombes att precisera vilken information eller vilka behandlingsaktiviteter begäran gäller.
Inga avgifter eller annan betalning får krävas för att tillmötesgå den registrerades begäran om insyn.
10.2 Begäran om ändring eller borttagning från registrerade
När personuppgifter ska raderas måste det säkerställas att raderingen görs på ett säkert sätt. Raderingen ska helst göras från en säkerhetskopia om detta låter sig göras på ett enkelt sätt, om inte ska säkerhetskopior skrivas över enligt den normala cykeln för säkerhetskopiering. Om en återställning görs från en säkerhetskopia, ska det vidtas ytterligare åtgärder för att säkerställa att raderad information i produktionsdata inte återställs via en återställningskopia.
För bokföringsmaterial och material som bör arkiveras ska det göras en bedömning av om informationen kan raderas enligt särskild lagstiftning.
För mer information om radering av personuppgifter i allmänhet, se punkt 6.10.
10.3 Radering och komplettering
Personuppgifter om anställda, kunder, leverantörer/underleverantörer och andra ska vara tillräckliga och relevanta för ändamålet med behandlingen. Kravet på relevans drar upp en yttre gräns för vilka personuppgifter som kan ingå i behandlingen, och dessa krav kan inte frångås genom samtycke från den registrerade. Kravet på tillräcklighet innebär att man måste ha tillräckligt med information för att kunna säkerställa ändamålet med behandlingen.
Följande rutin ska gälla för behandling av begäran om rättelse och komplettering:
• Mottagande av begäran om rättelse eller komplettering
• Vidarebefordran av förfrågan till HR-ansvarig, dataskyddsansvarig eller den som kan utföra rättelsen/kompletteringen.
• Mottagaren av förfrågan ska verifiera att de begärda ändringarna av uppgifter har utförts korrekt.
• Om ändringarna har verifierats, utfärdande av arbetsordern för uppdatering av systemet/systemen.
• Bekräfta skriftligen till den som begär ändringar.
10.4 Uppfyllelse av informationsskyldighet
Det ska säkerställas att de registrerade informeras när det samlas in information från de registrerade (GDPR artikel 13) och när det samlas in information från andra än de registrerade (GDPR artikel 14).
Man ska eftersträva i största möjliga utsträckning att informera den registrerade direkt om behandling av personuppgifter i AF Gruppen. Detta kan göras via e-post eller skriftlig information på annat sätt. Under alla omständigheter ska AF Gruppen ha fullständig information om behandling av personuppgifter i AF Gruppen tillgänglig på sina externa webbplatser för kunder och andra vars personuppgifter behandlas, samt information på intranätet om behandling av personuppgifter om
anställda.
Informationsskyldigheten ska konkret uppfyllas på följande sätt i följande fall:
• Xxxxxx, leverantörer/underleverantörer och andra informeras om lagring av personuppgifter i villkor för tjänster och har möjlighet att välja bort sådan lagring efter att uppgörelsen är klar. Villkoren beskriver även de registrerades krav på insyn i information som lagras och på rättelse och komplettering av information.
• Anställda kan informeras via intranätet (Tellus) eller via e-post genom att använda dessa rutiner för behandling av personuppgifter i AF Gruppen.
• Arbetssökande och andra aktuella kandidater för anställning informeras under intervju om AF Gruppens policy och vilken information som kan lagras om den anställde under anställningstiden, om insynsrätt och rätten att begära rättelse och komplettering av uppgifterna.
• Presumtiva kunder i samband med direkt marknadsföring ska informeras om rätten för de registrerade att invända mot behandlingen, se punkt 10.8. Informationen ska ges senast i samband med den första kommunikationen med den registrerade, där den registrerade uttryckligen ska uppmärksammas på sina rättigheter och information om nämnda rättigheter ska läggas fram på ett tydligt sätt och åtskilt från annan information.
10.5 Uppfyllelse av registrerades insynsrätt
Anställda ges insyn i, och på begäran utskrift av, information som finns lagrad om dem genom att kontakta HR-ansvarig.
Xxxxxx, leverantörer/underleverantörer och andra får när de kontaktar den dataskyddsansvarige med sin begäran en utskrift av all information som finns sparad om dem. Sådan insyn och/eller utskrift ska ge/tillhandahållas utan onödigt dröjsmål och senast inom 30 dagar från det att begäran har mottagits.
Begäran kan vara muntlig, men de som ansvarar för att följa begäran om insyn kan be om en skriftlig begäran om de så önskar, för att bl.a. kunna dokumentera svarstiden. Det ska föras en logg om begäran om insyn.
Det ska säkerställas att information endast lämnas ut till den som informationen gäller. Om det finns tveksamheter kring om det är den registrerade som begär insyn, ska informationen inte lämnas ut. Det ska även säkras att utlämnande av personuppgifter inte görs på ett sätt som kan innebära risk för informationens sekretess och integritet. Information som anses vara känslig eller känslig för den registrerade samt alla speciella kategorier av personuppgifter, får inte skickas via e-post eller på ett sätt som inte ger ett tillräckligt skydd av informationen. Det ska vidare säkerställas att personuppgifter inte lämnas ut om andra vid utlämnande av personuppgifter till den registrerade.
Till exempel får personuppgifter inte lämnas ut till anställda som kan innehålla omdömen från chefer eller andra anställda.
Se även dataportabilitet under punkt 10.6.
10.6 Dataportabilitet
Vid behandling av personuppgifter på grundval av samtycke eller avtal, där behandlingen endast är automatiserad (involverar inte behandling av människor) och det endast är personuppgifter som de registrerade själva har gett, ska dataportabilitet underlättas genom att det ska vara möjligt att exportera personuppgifterna i ett maskinläsbart format som kan lämnas ut till den registrerade och/eller överföras till annan personuppgiftsansvarig.
10.7 Inbyggd sekretess och dataskydd som standardinställning
AF Gruppen ska vidta lämpliga tekniska och organisatoriska åtgärder, t.ex. pseudonymisering, utformade i syfte att effektivt genomföra principerna för skydd av personuppgifter, t.ex. dataminimering, och för att säkerställa att behandlingen uppfyller kraven i lagar och skyddar de registrerades rättigheter.
Åtgärderna som genomförs ska ta hänsyn till:
• den tekniska utvecklingen
• kostnaderna för genomförandet
• behandlingens art, omfattning, syfte och sammanhanget som den utförs i
• riskerna av varierande sannolikhets- och allvarlighetsgrad för de registrerades fri- och rättigheter som behandlingen medför.
Detta ska göras både vid tidpunkten för fastställandet av medlen som ska använda i samband med behandlingen, och vid tidpunkten för själva behandlingen.
Följaktligen ska det genomföras tekniska och organisatoriska åtgärder för att säkerställa att det som standard endast är personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen som behandlas. Dessa åtgärder ska ha betydelse för:
• hur mycket personuppgifter som samlas in, där man ska sträva efter att begränsa omfattningen av personuppgifterna
• omfattningen av behandlingen av informationen, där man ska sträva efter att begränsa omfattningen av behandlingen,
• hur länge informationen lagras, där man ska sträva efter att informationen lagras kortast möjliga tid,
• tillgängligheten för informationen, där man ska sträva efter att begränsa tillgängligheten till informationen utan att det går ut över den nödvändiga tillgången för behandlingen. Det ska i synnerhet säkras att personuppgifter som standard inte görs tillgängliga för ett obegränsat antal personer utan den registrerades medverkan.
10.8 Registrerades invändning mot behandling
Om registrerade protesterar av skäl kopplade till vederbörandes särskilda situation mot behandling enligt GDPR artikel 21 om vederbörande när behandling utförs på grundval av GDPR artikel 6 nr 1 e) (behandlingen är nödvändig för att utföra en uppgift i allmänhetens intresse eller för offentlig myndighetsutövning) eller f) (intresseavvägning), inklusive profilering grundad på nämnda bestämmelser, ska behandlingen upphöra såvida inte det kan påvisas att det föreligger tvingande berättigade grunder för behandlingen som har företräde framför den registrerades intressen, fri- och rättigheter, eller för att fastställa, åberopa eller försvara rättsliga krav.
Behandlas personuppgifterna för direktmarknadsföring ska behandlingen upphöra om den registrerade invänder mot behandling om den registrerade för sådan marknadsföring, inklusive profilering, i den utsträckning som detta är kopplat till direktmarknadsföring.
Invänder den registrerade mot beslut som uteslutande är baserat på automatiserad behandling, inklusive profilering, som har rättsverkan för eller på ett liknande sätt i betydande grad påverkar vederbörande, ska behandlingen upphöra om inte beslutet:
• är nödvändigt för att ingå eller fullgöra ett avtal mellan den registrerade och en personuppgiftsansvarig,
• är tillåtet enligt rättsliga krav som AF Gruppen omfattas av, och där det också har fastställts lämpliga åtgärder för att skydda den registrerades fri- och rättigheter och berättigade intressen, eller
• är baserat på den registrerades uttryckliga samtycke.
AF Gruppen ska vidta lämpliga åtgärder för att skydda den registrerades fri- och rättigheter och berättigade intressen, åtminstone rätten till mänskligt ingripande från den personuppgiftsansvarige, för att uttrycka sina synpunkter och för att ifrågasätta beslutet vad gäller den första och sista punkten ovan.
Inga beslut bör fattas på grundval av särskilda kategorier (känsliga) med personuppgifter om inte beslutet fattas på grundval av att behandlingen baseras på GDPR artikel 9 nr 2 a) (samtycke) eller g)
/behandlingen är nödvändig av hänsyn till viktiga samhällsintressen eller lagkrav) och lämpliga åtgärder har vidtagits för att skydda den registrerades fri- och rättigheter och berättigade intressen.
11. ARBETSGIVARENS INSYN I E-POSTMEDDELANDEN OCH ELEKTRONISKA FILER
AF Gruppen ställer e-post, lagringsalternativ på det personliga planet samt utrustning för kommunikation och lagring, inklusive telefon, till förfogande för arbetstagarna för användning i tjänsten för AF Gruppen. Arbetstagarnas användning av ovannämnda ska AF Gruppen inte ha någon insyn i, utom i mycket speciella fall. Detta omfattar insyn i:
a) E-postinkorg som arbetsgivaren har ställt till arbetstagarens förfogande för att användas i tjänsten.
b) arbetstagarens personliga områden i AF Gruppens datanätverk eller annan elektronisk utrustning som arbetsgivaren har ställt till arbetstagarens förfogande för användning i arbetet och
c) aktivitetsloggar i AF Gruppens datanätverk
AF Gruppen ska endast ha insyn i ovanstående information i följande fall:
a) När det är nödvändigt för att säkerställa den dagliga driften eller andra av AF Gruppens berättigade intressen eller
b) vid skälig misstanke om att arbetstagarens användning av e-postkontot eller annan elektronisk utrustning medför en grov överträdelse av de skyldigheter som följer av anställningsavtalet eller som kan utgöra grund för uppsägning eller avsked.
Om något av ovanstående förhållanden föreligger, ska insyn presenteras och beslutas av vd. Följande procedur ska följas vid insyn:
a) Insyn ska endast genomföras av en representant från HR, ev. tillsammans med dataskyddsansvarig med assistans av IT-expertis.
b) Arbetstagaren ska i möjligaste mån informeras och ges möjlighet att uttala sig innan granskningen görs. I meddelandet ska det motiveras varför villkoren för insyn anses vara uppfyllda och arbetstagaren ska informeras om sina rättigheter.
c) Arbetstagaren ska i möjligaste mån ges möjlighet att vara på plats under genomförandet av insynsförfarandet och har rätt att bistås av en företrädare eller annan representant.
d) Om ett insynsförfarande har utförts utan föregående meddelande eller utan att arbetstagaren har varit närvarande, ges skriftlig information om detta så snart insynen har genomförts. Underlaget ska innehålla information om vilken metod för insyn som användes, vilka e-postmeddelanden eller andra dokument som öppnades samt resultatet av insynen, samt en motivering av varför villkoren för insyn anses vara uppfyllda och information till
arbetstagaren om dennes rättigheter.
e) Insyn ska genomföras på ett sådant sätt att informationen i möjligaste mån inte ändras och att de uppgifter som har lyfts fram kan prövas i efterhand.
f) Öppnade e-postmeddelanden, dokument eller liknande som visar sig inte vara nödvändiga eller relevanta för ändamålet med insynen, ska omedelbart stängas. Eventuella kopior ska raderas.
Procedurerna får inte följas för insyn i aktivitetsloggar när ändamålet med insynen är att administrera AF Gruppens datanätverk eller att utreda och klargöra säkerhetsincidenter i nätverket, och insynen inte är konkret riktad mot en eller flera anställda.
Förfarandena ovan ska användas för såväl befintliga som tidigare anställda, samt andra som utför eller har utfört arbete för AF Gruppen.
Dessa förfaranden gäller följaktligen när behandlingen utförs med hjälp av personuppgiftsbiträden, och ska även tillämpas vid insyn i information som finns på säkerhetskopior eller motsvarande eller som tas bort av den anställde.
12. ANSKAFFNING AV IT-SYSTEM OCH -LÖSNINGAR
Vid anskaffning av IT-system ska kraven som gäller för inbyggd sekretess och dataskydd som standardinställning i punkt 10.7 följas. Se även koncernpolicy.
Vid användning av ny teknik, utkontrakterad drift (outsourcing) eller annan användning av leverantörer för behandling av personuppgifter som kan vara av betydelse för informationssäkerheten, ska det göras en riskbedömning.
13. INFORMATIONSSÄKERHET
Säkerhetsmål, som beskrivet i punkt 5.2, styr på en övergripande nivå informationssäkerheten i AF Gruppen.
Ledningen för AF Gruppen har det övergripande ansvaret för all informationssäkerhet hos AF Gruppen. Dataskyddsansvarig och säkerhetsansvarig har ansvaret för utarbetandet av mål och strategi för informationssäkerhet, utarbetandet av rutiner samt kontroll av att rutinerna följs.
Säkerhetsmålen beskriver vad man vill uppnå när det gäller säkerhetsfrågor, medan säkerhetsstrategin beskriver vilka åtgärder som ska vidtas för att säkerhetsmålen ska kunna uppnås.
Exempel på händelser man vill skydda sig mot:
• Brott mot sekretesskyddet (personuppgifter kommer på avvägar) t.ex. förlust av bärbar utrustning eller lagringsmedia, utskrifter som glöms kvar på skrivaren, oavsiktligt utlämnande av information om anställda via e-post eller annan spridning osv.
• Brott mot integriteten (personuppgifter som ändras), inklusive inbrott i AF Gruppens lokaler eller intrång i nätverk, obehörig användning av utrustning där personuppgifter och andra verksamhetskritiska data finns lagrade, angrepp av virus eller annan skadlig kod/programvara osv.
• Brott mot tillgängligheten (personuppgifterna är inte tillgängliga), inklusive nätverk eller system som är ur drift, brand, vattenskador och strömavbrott, vandalism och angrepp på IT-systemen osv.
13.1 Personal och säkerhet
13.1.1 Allmänt sekretessavtal
Alla som får tillgång till skyddsvärd information om AF Gruppen ska underteckna ett sekretessavtal. Detta gäller AF Gruppens anställda, leverantörers anställda eller andra som kan komma i kontakt med sådan information.
13.1.2 Kompetens
Anställda hos AF Gruppen ska genom utbildning och rutiner få tillräcklig kunskap för att kunna hantera information och system på ett säkert sätt. Detta innebär att man ska ha läst och förstått Rutinerna.
13.1.3 Konsekvenser vid säkerhetsincidenter
Xxxxx mot säkerhetsreglerna som beskrivs i säkerhetsinstruktionerna, tystnadsplikt och eventuellt konfidentialitetsavtal, kommer att bedömas enligt gällande lagar och kan få konsekvenser för anställningsförhållandet.
13.1.4 Utbildning
Alla anställda som arbetar med IT-säkerhet och behandling av personuppgifter ska utbildas i sekretess och IT-säkerhet. Omfattningen av utbildningen beror på hur mycket den enskilde arbetar med dessa områden, och utbildning ska avgöras av chefen för de anställda som är involverade i sådant arbete. Dokumentation av avslutad utbildning ska lagras i personuppgiftsdokumentationen.
13.2 Organisation
HR-chef Strategi och utveckling i AF Gruppen på koncernnivå innehar rollen som dataskyddsansvarig i en övergångsfas vid genomförandet av GDPR.
Dataskyddsansvarig har följande ansvarsområden:
▪ Implementering av riktlinjer och rutiner för behandling av personuppgifter i alla affärsenheter
▪ Se till att gällande riktlinjer och rutiner följs i varje enhet genom skapandet av interkontroll. Användning av befintlig KS-process med regelbundna revideringar i AF Gruppens enheter.
▪ Samordna och följa upp rapportering i förhållande till ledningens genomgång av internkontroll och informationssäkerhet för kvartalsvisa genomgångar före den 15 februari varje år.
För att följa upp efterlevnaden av rutiner rekommenderas att man har huvudkontaktpersoner i AF Gruppens enheter inom de ämnesområden som har rutinbeskrivningar för sekretessbelagd information, t.ex. HR och HMSK.
13.2.1 Avtal
Alla formaliteter mellan AF Gruppen och leverantörerna ska formuleras i formella avtal och ska innehålla relevanta säkerhetskrav. Man bör sträva efter att få rätt till insyn och mätning av huruvida säkerhetskraven efterlevs av en leverantör.
13.2.2 Egenkontroll
Egenkontroll/mätning av säkerhetsnivån vid AF Gruppen ska utföras regelbundet enligt systematiserade rutiner.
13.3 Teknisk säkerhet
13.3.1 Åtkomst till IT-system
Informationsägaren ansvarar för att godkänna åtkomsten till egenadministrerad information. När personer slutar har informationsägaren ansvaret för att åtkomsträttigheterna tas bort.
IT-avdelningen eller den som IT-avdelningen ger befogenheterna ansvarar för att underhålla åtkomsträttigheterna samt att hålla koll på de åtkomsträttigheter som har delats ut.
13.3.2 Konfigurationskontroll
Översikt över giltig säkerhetsdokumentation, utrustning, programvara och systemkonfiguration ska utarbetas och underhållas.
IT har ansvaret för att utarbeta och underhålla översikten över utrustning, programvara och systemkonfiguration.
Dataskyddsansvarig har ansvaret för att utarbeta och underhålla översikten över säkerhetsdokumentationen.
Alla ändringar av konfigurationen ska dokumenteras, och konfiguration av IT-systemen får inte ändras utan att detta har godkänts av IT-chefen i AF Gruppen.
13.3.3 Ändringskontroll
Vid ändringar i AF Gruppens informationssystem ska alltid skyddsbehoven utvärderas, och om ändringen kan få konsekvenser för säkerheten.
Ändringar som kan ha konsekvenser för informationssäkerheten ska godkännas av den dataskyddsansvarige.
För ändringar som kan få konsekvenser för säkerheten ska det göras en riskbedömning som innehåller förslag på åtgärder som skickas till den dataskyddsansvarige som en del av ändringsbegäran.
Säkerhet ska vara en bedömningspunkt i alla faser av en ändring. Krav på säkerhet och en övergripande riskbedömning ska ingå i eventuella förprojekt. Vid ett eventuellt avtal med tredje part ska krav på säkerhet ingå i avtalet.
Produktionsdata som innehåller särskilda kategorier av personuppgifter ska om möjligt anonymiseras innan de används i tester kopplade till ändringar för att testerna ska kunna genomföras.
13.4 Fysisk säkerhet
13.4.1 Åtkomstkontroll
Åtkomstkontroll innebär nödvändig kontroll av att obehöriga inte kontrolleras och kan ta sig in till –
eller uppehåller sig utan nödvändig tillsyn i – AF Gruppens lokaler.
Det ska upprättas åtkomstkontrollsystem i lokalerna baserat på indelningen av ytorna i zoner med
krav på passerkort. Tilldelning av passerkort till anställda och andra är baserat på organisatorisk och fysisk tillhörighet.
Information om passager i dörrar osv. i datorsystemet raderas rutinmässigt efter 10 dagar. För övrigt gäller följande regler för åtkomstkontroll i AF Gruppens lokaler:
• Ej anställd personal ska generellt inte vistas utan uppsikt i lokaler som inte är öppna för andra än anställda; detta gäller även mötesdeltagare osv. och tillämpas generellt i lokalerna.
• I kontorszoner där obehöriga och icke-auktoriserad personal kommer att kunna vistas i perioder, ska kontorsdörrar och entréer till andra lokaler som kan innehålla känslig information osv. vara stängda när kontoren inte är bemannade.
• Tekniker, hantverkare osv. ska vanligtvis alltid följas av auktoriserad personal från AF Gruppen. Detsamma gäller om det finns behov av att tekniker, hantverkare osv. finns på plats i AF Gruppens lokaler efter ordinarie arbetstid.
13.4.2 Brandskydd
Brandskydd i företagets lokaler innebär åtgärder som ska förebygga brand och brandspridning.
Säkerhetskopiering ska göras på ett säkert sätt och säkerhetskopior ska förvaras på säker plats utanför huset.
13.4.3 Datarum och IT-system
Lokaler med IT-utrustning ska ha ett bra fysiskt skydd mot obehörig åtkomst, liksom brand, vattenskador, stöld och liknande händelser.
Datarummet och rum som innehåller datorsystem för gemensam användning ska vara låsta dygnet runt. Åtkomst till datarummet regleras via åtkomstkontroll med egen nyckel. Datarummet ska inte ha någon särskild märkning som visar att det är ett datarum. Det är bara IT-ansvarig, koncernchefen och de som har tillstånd att vistas i dessa rum som ska ha tillgång till dem. Externa leverantörer som av olika anledningar måste gå in i datarummet ska underteckna ett sekretessavtal. Externa leverantörer har inte möjlighet att vara i datarummet själva, utan ska alltid ledsagas av en anställd från IT-avdelningen eller någon annan behörig person.
13.4.4 Dokumentsäkerhet
Alla dokument och lagringsmedia som innehåller skyddsvärd information ska förvaras, skickas och destrueras på ett sådant sätt at de inte hamnar i händerna på obehöriga.
14. AVVIKELSEHANTERING/EGENKONTROLL
14.1 Avvikelsehantering
En avvikelse är varje händelse eller tillstånd som bryter med AF Gruppens rutin för behandling av personuppgifter.
14.1.1 Syfte
Xxxxxxx för rapportering av händelser och hantering av avvikelser ska säkerställa att man har möjlighet att göra förbättringar i internkontrollen och att eventuella säkerhetsöverträdelser rapporteras till ansvarig person. På så sätt kan organisationen lära sig av avvikelser och vidta åtgärder för att förbättra situationen i AF Gruppen.
14.1.2 Behandling av händelser
Händelser kan definieras i följande kategorier:
• Avvikelser från gällande rutiner
• Händelser som kan få säkerhetsmässig konsekvens
• Utfört av anställda, som brott mot säkerhetsbestämmelserna
• Utfört av externa, såsom inbrott, elektroniska attacker
• Beredskapshändelser
Anställda som upptäcker oönskade händelser eller avvikelser från rutiner, ska rapportera detta på samma sätt som HMS och kvalitetsavvikelser rapporteras (Kvalitetsavvikelser och Synergi, visselblåsnings- och beredskapsrutiner).
Hanteringen av avvikelser och oönskade händelser ska gås igenom vid behov mellan HR-ansvarig, ansvarig för försäljning/kund, IT-ansvarig och dataskyddsansvarig. Vid mötet ska det beslutas om eventuella rutinmässiga eller tekniska åtgärder för att förhindra att oönskade händelser upprepas.
Allvarliga händelser av betydelse för säkerheten finns beskrivna i våra beredskapsrutiner. Vid allvarliga händelser ska koncernchefen involveras i uppföljningen, liksom i beslut rörande korrigerande åtgärder kopplade till händelsen.
IT-ansvarig har ansvaret för uppföljning och beslut om korrigerande åtgärder som gäller händelser relaterade till tillgängligheten för system och tjänster.
Anmälan till Datainspektionen
Vid en personuppgiftsincident ska AF Gruppen utan onödigt dröjsmål och när det är möjligt, senast 72 timmar efter att man har fått kännedom om det, anmäla incidenten till Datainspektionen, såvida inte sannolikheten för att överträdelsen kommer att medföra en risk för fysiska personers fri- och rättigheter är låg. Om incidenten inte rapporteras till Datainspektionen inom 72 timmar, ska orsakerna till förseningen anges.
Dataskyddsansvarig ansvarar för att personuppgiftsincidenten anmäls till Datainspektionen. Koncernchefen ska involveras i beslutet om huruvida personuppgiftsincidenten ska anmälas eller inte.
Anmälan till Datainspektionen ska som ett minimum innehålla:
• En beskrivning av personuppgiftsincidentens natur, inklusive om det är möjligt, kategorierna av och ungefärligt antal registrerade som berörs, samt kategorierna av och ungefärligt antal personuppgiftsposter som berörs,
• namnet på och kontaktuppgifter till dataskyddsombudet eller annan kontaktpunkt varifrån mer information kan inhämtas,
• beskrivning av de troliga konsekvenserna av personuppgiftsincidenten,
• beskrivning av de åtgärder som har vidtagits eller som föreslås vidtas för att hantera personuppgiftsincidenten, inklusive där det är relevant, åtgärder för att reducera eventuella skadeverkningar till följd av incidenten.
Om det inte är möjligt att ge all information vid samma tillfälle, kan den ges till Datainspektionen stegvis utan onödigt dröjsmål.
Om det är troligt att personuppgiftsincidenten kommer att innebära en hög risk för de registrerades fri- och rättigheter, ska de registrerade informeras om incidenten utan onödigt dröjsmål.
Anmälan till de registrerade ska innehålla en klar och tydlig beskrivning av
personuppgiftsincidentens natur och ska som ett minimum innehålla följande:
• Namnet på och kontaktuppgifter till dataskyddsombudet eller annan kontaktpunkt varifrån mer information kan inhämtas.
• Beskrivning av de troliga konsekvenserna av personuppgiftsincidenten.
• Beskrivning av de åtgärder som den personuppgiftsansvarige har vidtagit eller som föreslås vidtas för att hantera personuppgiftsincidenten, inklusive där det är relevant, åtgärder för att reducera eventuella skadeverkningar till följd av incidenten.
Anmälan till de registrerade är inte nödvändigt om något av följande villkor är uppfyllt:
• Det har vidtagits lämpliga tekniska och organisatoriska säkerhetsåtgärder, och dessa åtgärder har tillämpats på personuppgifterna som berörs av personuppgiftsincidenten, särskilda åtgärder som gör personuppgifterna oläsliga för personer som inte har auktoriserad tillgång till dem, t.ex. kryptering.
• AF Gruppen har vidtagit följande åtgärder som säkerställer att det är låg sannolikhet för att denna höga risk för de registrerades fri- och rättigheter kommer att uppstå.
• Det kommer att innebära en oproportionerligt stor insats att anmäla till de registrerade. Om så är fallet, ska allmänheten istället underrättas, eller så ska liknande åtgärder vidtas för att säkerställa att de registrerade underrättas på ett lika effektivt sätt.
Alla personuppgiftsincidenter ska dokumenteras, inklusive de faktiska omständigheterna kring nämnda incident, effekterna av denna och vilka åtgärder som har vidtagits för att avhjälpa den. Denna dokumentation ska samlas i Personuppgiftsdokumentationen (se punkt 3) och ska på begäran göras tillgänglig för Datainspektionen för att möjliggöra kontroll av att de lagstadgade kraven har uppfyllts.
Det ska säkras i personuppgiftsbiträdesavtalen att AF Gruppens personuppgiftsbiträde ska rapportera personuppgiftsincidenter till AF Gruppen utan onödigt dröjsmål efter att man har fått kännedom om en personuppgiftsincident.
14.1.3 Säkerhetshändelser
Om det finns tecken på medvetna säkerhetsöverträdelser från anställda såsom missbruk av AF Gruppens IT-system, stöld av AF Gruppens egendom, avsiktlig spridning av skadlig programvara eller försök att skicka särskilda kategorier (känsliga) av personuppgifter i okrypterade e- postmeddelanden, ska den dataskyddsansvarige den personalansvarige och de ska tillsammans besluta om åtgärder.
Vid överträdelse av den allmänna tystnadsplikten från anställda eller tidigare anställda ska detta rapporteras till dataskyddsansvarig, som avgör vilka åtgärder som ska vidtas.
Vid inbrott eller inbrottsförsök ska detta polisanmälas.
Alla elektroniska angrepp som får ekonomiska konsekvenser för verksamheten anses ha polisanmälts.
14.1.4 Avvikelselista och rapportering
Dataskyddsansvarig ansvarar för att det tas fram en årlig rapport från avvikelsehantering till ledningens genomgång.
14.2 Egenkontroll
14.2.1 Plan
Dataskyddsansvarig ansvarar för att en plan över egenkontrollaktiviteter upprättas och underhålls.
Planen ska täcka ett tidsspann på minst ett år, men kan sträcka sig över flera år. Det bör övervägas att man gör en grundlig kontroll av vissa områden eller avdelningar i AF Gruppen mindre ofta än en gång per år, men det ska framgå av planen att alla aktuella områden eller avdelningar täcks inom loppet av 2 till 5 år.
14.2.2 Rutin
Egenkontroll görs enligt den dokumenterade planen för enheten som ”äger” aktiviteten.
Dataskyddsansvarig har ansvaret för att följa upp att planerade aktiviteter genomförs.
14.2.3 Rapportering
Resultat från egenkontrollaktiviteter ska dokumenteras och rapporteras till dataskyddsansvarig. Avvikelser som upptäcks i samband med egenkontroll anmäls/rapporteras.
Dataskyddsansvarig ansvarar för att det tas fram en årlig rapport från egenkontroll till ledningens genomgång.
Egenkontrollrapporteringen ska innehålla:
• Sammanfattning av föregående år, som kan vara en sammanfattning av de viktigaste avvikelserna och resultaten av egenkontrollen under året som har gått sedan ledningens senaste genomgång. Sammanfattning av förslag på åtgärder för att förbättra internkontrollen, förväntade resultat av åtgärder, tidsplan och kostnader för genomförandet.
• Viktigaste avvikelser. Lista över de viktigaste avvikelserna föregående år.
• Viktigaste resultaten av egenkontrollen.
• Förslag på åtgärder. Prioriteringslista över förslag på förbättringsåtgärder av egenkontrollen som kan innehålla:
- Förslag på åtgärder
- Förväntade resultat
- Tidsplan
- Kostnader för genomförande
• Bilaga till rapporten som kan vara:
- Fullständig lista över avvikelser
- Fullständig lista över resultat av egenkontrollen
14.3 Genomgång av rutiner
Rutiner för hantering av personuppgifter och för informationssäkerhet bör gås igenom med jämna mellanrum för att säkerställa att rutinerna är
• uppdaterade enligt interna och externa förhållanden,
• ändamålsenliga och
• tillräckliga.
Periodisk genomgång bör ingå i egenkontrollplanen.
14.4 Riskbedömning
Det ska göras en riskbedömning av behandlingen av personuppgifter som följer nedan. Riskbedömningen ska uppdateras med eventuell ny information varje år i syfte att utvärdera och upptäcka avvikelser i AF Gruppens informationssäkerhet. Riskbedömningen ska följas upp med stängning av avvikelserna.
14.5 Säkerhetskopiering
Personuppgifter ska säkerhetskopieras för att säkerställa integriteten och tillgängligheten. IT ansvarar för att det tas säkerhetskopior.
Användarna ansvarar för att personuppgifter som de ändrar eller på annat sätt har ansvar för skrivs eller kopieras till ett diskområde där de säkerhetskopieras.
14.6 Dokumentation
Om driften av informationssystemet har utkontrakterats, ska underleverantören tillhandahålla denna dokumentation.
Tillgång till säkerhetsdokumentation ska begränsas till de som behöver den. Säkerhetsdokumentation läggs därför in i bilagor som inte delas ut till alla anställda.
15. IT-INSTRUKTION FÖR ANSTÄLLDA
Den här instruktionen beskriver riktlinjer för användning av informationssystem vid AF Gruppen. Instruktionerna gäller för alla anställda och ska läsas.
Den anställde ges tillgång till arbetsgivarens datorutrustning, -system och nätverk för att stödja de uppgifter som han/hon ansvarar för. Detta innebär att man primärt ska använda detta i samband med jobbet. I detta avseende ska man självklart inte genom arbetsgivarens nätverk tillskansa sig eller försöka att tillskansa sig information som den anställde inte är avsedd att få tillgång till.
15.1 Anställning
Checklista för tillgångar för fast anställda, visstidsanställda och konsulter:
1. Sekretesspolicyn ska läsas igenom och signeras av den anställde, ref. riktlinjer i uppförandekoden.
2. Rutinerna med säkerhetsanvisningar gås igenom av den anställde.
3. Utlämning av eventuella nycklar, nyckelkort, koder osv.
4. Punkterna ovan ska genomföras innan användaråtkomst ges. Chefen ska därefter informera IT- avdelningen om behovet av användaråtkomst. Var extra uppmärksam på hur länge det finns behov för åtkomsträttigheterna samt behörighetsnivån.
Chefen ansvarar för att behålla en kopia av den signerade policyn och instruktionerna samt tillståndsblankett för alla som ingår i personalansvaret.
15.2 Ändring av anställningsförhållande/ansvar
Vid ändringar av ansvar eller organisatorisk tillhörighet internt i AF Gruppen ska användarens tillgång till informationssystemet utvärderas. IT-avdelningen ska informeras om eventuella relevanta
ändringar i behovet av tillgång till informationssystemen.
15.3 Xxxxxxxxx med betydelse för säkerheten
Säkerhetsrelaterade händelser av allvarlig karaktär ska rapporteras till IT.
15.4 Ledigheter eller andra typer av tillfälliga avbrott i arbetet
Chefen ska överväga att begära att få tillbaka nycklar/passerkort/lånad utrustning, samt se till att känslig information är spärrad. Dataskyddsansvarig ska alltid informeras i god tid före ledigheter och liknande. Låsning eller ändring av tillgångar i samband med ledigheter ska meddelas.
15.5 Användning av AF Gruppens IT-system
AF Gruppens informationssystem är avsedda för arbetsrelaterade ändamål. Privat användning, t.ex. e-post och privata filer är tillåtet så länge det inte påverkar arbetsrelaterade uppgifter.
AF Gruppen har i princip ingen anledning till insyn i privat e-post eller filer. Undantaget är om du oplanerat är otillgänglig under en längre tid, och AF Gruppen behöver få tillgång till verksamhetsrelaterad information. Detsamma gäller vid skälig brottsmisstanke eller vid säkerhetsbehov. Det har tagits fram en separat rutin för sådan insyn, se punkt 11.
Personuppgifter och företagsinformation ska endast lagras och behandlas på system eller lösningar som AF Gruppen gör tillgängliga eller bestämmer ska vara tillgängliga för de anställda. Det får inte användas andra lösningar eller system för lagring eller behandling av personuppgifter än de som finns i de system som AF Gruppen har gjort tillgängliga och godkänt för användning av de anställda.
All projektrelaterad information ska lagras på tilldelade projektområden. Hemkatalogen ska i första hand användas för information som den enskilde önskar spara och som kan användas i andra projekt eller funktioner som vederbörande utför.
Utskrifter ska tas bort från skrivaren så snart utskriftsjobben är färdiga.
15.6 Utbildning
Innan du får tillgång till de aktuella IT-systemen ska du ha gått igenom Rutinerna och den här säkerhetsinstruktionen.
Du ansvarar själv för att följa de regler som gäller för användning av de olika IT-systemen samt för behandling av skyddsvärd information, inklusive personuppgifter, enligt AF Gruppens rutiner.
Dessutom måste den anställde tillsammans med arbetsgivaren se till att han/hon har den kompetens som krävs för att på ett effektivt sätt kunna hantera och använda de system som används för den anställdes arbetsuppgifter.
15.7 Användarnamn och lösenord
Användare tilldelas användarnamn och ett engångslösenord av den IT-ansvarige. Lösenord är strikt personliga och får inte lämnas ut eller lånas ut till andra. Detta är ett personligt ansvar.
Det valda lösenordet ska vara lätt att komma ihåg, men får inte innehålla namn på familjemedlemmar, födelsenummer eller andra uppgifter som lätt kan kopplas till användaren.
Lösenordet ska bestå av en kombination av stora och små bokstäver och siffror/tecken och innehålla minst 8 tecken. De senaste 5 lösenorden får inte återanvändas.
Om du misstänker att lösenordet har avslöjats av andra, ska lösenordet bytas ut och händelsen rapporteras till dataskyddsansvarig snarast möjligt som en avvikelse.
15.8 Lagring och tillgång till data
Arbetsgivaren kan neka anställda åtkomst till IT-systemet om det finns misstanke om missbruk av IT- systemet till dess att frågan har utretts närmare.
15.9 Internet
Det är inte tillåtet att ladda ner obscent material, upphovsrättsskyddat material (t.ex. musik, filmer och programvara) eller annat som strider mot lagen på utrustning som arbetstagaren har fått tillgång till av arbetsgivaren eller via AF Gruppens nätverk.
AF Gruppen har möjlighet att logga information om internet och e-posttrafik för att säkerställa den allmänna driften, samt för spårning vid eventuella personuppgiftsincidenter.
Det är inte tillåtet att försöka kringgå säkerhetsmekanismer och denna säkerhetsanvisning, till exempel genom att dölja dessa genom andra tjänster.
När du använder internet agerar du som representant för AF Gruppen. Samma riktlinjer gäller som vid all annan kontakt som sker för AF Gruppens räkning. Information som av medier eller allmänheten uppfattas som pornografisk,rasistisk, kriminell eller av oetisk natur får därför inte sökas på, kopieras eller laddas ner till IT-utrustning som ägs eller driftas av AF Gruppen.
Det är inte tillåtet att använda internet för att vandalisera och sabotera, inklusive att förstöra data, förhindra internet-tjänster eller sprida skadlig programvara såsom virus, trojaner eller maskar.
Upphovsrätten ska respekteras.
15.10 E-post:
All e-post som används i arbetet ska skickas via AF Gruppens e-postlösning.
Arbetsgivarens e-postsystem är upprättat som ett arbetsredskap. Xxxx förnuft och gott omdöme måste råda vid all privat användning. E-postsystemet får inte användas för att sprida material som är diskriminerande, pornografiskt eller som på annat sätt upplevs som stötande eller trakasserande.
Arbetsgivaren kommer i princip inte att gå in på den enskildes e-postsystem, men detta kan göras i vissa fall, se mer under punkt 11 om sådan tillgång.
Om e-post måste användas för överföring av skyddsvärd information, ska informationen skickas som krypterad bilaga till e-postmeddelandet med godkänt krypteringsprogram.
Användarna ansvarar själva för att avgöra vad som är värt att arkivera.
15.11 Aktivitetsloggar
IT-systemet har inbyggda loggar som kan spåra aktivitet tillbaka till den enskilda datorn (exempelvis loggas IP-adressen när internet används). Dessa loggar används för att administrera systemet och för att avslöja/klara upp säkerhetsbrott i IT-systemen. Arbetsgivaren kommer inte att använda personuppgifter som framkommer till följd av denna inloggning för löpande övervakning eller kontroll av den enskilde såvida inte det finns misstanke om brott mot säkerhetsbestämmelserna.
15.12 PC, mobiltelefon och annan portabel utrustning
PC som man får tillgång till i tjänsten, mobiltelefon och annan portable utrustning har som regel konfigurerats av IT-ansvarig. Denna inställning får inte användas av användaren.
Arbetsgivarens datorutrustning (persondatorer, servrar, offentliga nätverk och övrig infrastruktur)
ställs till den anställdes förfogande för användning som arbetsredskap. Xxxx förnuft och gott omdöme måste råda vid all eventuell privat användning.
Skyddsvärd information får inte lagras på bärbara datorer, telefoner eller annan portabel utrustning, såvida inte godkända säkerhetslösningar (vanligtvis med krypterad disk) har installerats.
Låt trots det aldrig din dator, telefon eller annan bärbar utrustning ligga framme väl synlig utan att du har den under uppsikt.
15.13 Säkerhetskopiering
För att säkerställa att det tas säkerhetskopior ska all arbetsrelaterad information lagras på eller kopieras till servrar i AF Gruppens nätverk.
För jobbdatorer som används i samband med resor och hemarbete måste uppdatering mot servrar i AF Gruppens nätverk göras regelbundet, speciellt om andra är beroende av informationen.
Vid behov av återställning av säkerhetskopierad information, kontakta IT-ansvarig.
15.14 Installation av programvara och maskinvara
Programvara som avviker från licensavtal till producenter får inte användas.
All licensierad programvara på maskinen ska godkännas av IT-ansvarig. Detta gäller både för datorer och telefoner.
Om du har behov av ytterligare licensierad programvara, kontakta IT-ansvarig.
Den anställde måste vara försiktig med att installera programvara på datorn som han/hon förfogar över. Varje installation av programvara utöver det som utgör arbetsgivarens IT-plattform ska vara professionellt motiverad. Den enskilde anställde ansvarar själv för konsekvenserna av de installationer som han/hon gör själv och att han/hon använder sig av seriösa leverantörer. Den anställde är skyldig att följa de lagar och regler som gäller för användning av programvara. Den anställde får endast installera programvara som han/hon är licensierad att använda i egenskap av användare. Arbetsgivaren förbehåller sig rätten att utan föregående meddelande ta bort programvara som inte följer svensk lag eller som arbetsgivaren får kännedom om att den nödvändiga licensen inte har köpts. Kopiering av licensierad programvara är förbjudet såvida inte arbetsgivarens avtal med leverantören uttryckligen möjliggör detta
15.15 Privat dator
Information kopplad till AF Gruppen eller AF Gruppens kunder/leverantörer/anställda/samarbetspartners osv. får inte sparas på privat dator.
15.16 Reparation, service och underhåll
Alla fel eller misstankar om fel i IT-systemet (både maskin- och programvara) ska rapporteras till IT- avdelningen snarast möjligt.
Det är endast IT-avdelningen som kan sätta igång arbete som utförs av extern personal på IT-system och -utrustning.
15.17 Hantering av information och medier
Lagringsmedia (som USB-minnen, externa hårddiskar och pappersdokument) som innehåller personuppgifter och/eller konfidentiell information, ska hanteras och förvaras på ett sätt som gör att sådan information inte hamnar på avvägar. Utskrifter som innehåller personuppgifter och/eller konfidentiell information som den anställde inte längre behöver, ska makuleras. Skyldigheter enligt denna punkt kompletterar sekretessavtal för dem som är bundna av sådana. Det står arbetsgivaren
fritt att spärra alla tjänster som kan medföra en säkerhetsrisk.
Lagringsmedier som ska destrueras ska lämnas in till IT-avdelningen för säker destruktion.
15.18 Fysisk tillgång
Om du tappar bort din nyckel/ditt nyckelkort, rapportera omedelbart detta till administrationen eller dataskyddsansvarig.
Anställda som slutar eller går på ledighet ska lämna tillbaka sin nyckel/sitt nyckelkort till administrationen.
15.19 Besökande
Den som tar emot besökare ansvarar för att:
• besökarna registreras i receptionen
• besökare hämtas i receptionen och följs tillbaka av den som tar emot besöket
• inte vistas i AF Gruppens lokaler utan att ledsagas av en anställd
Besök utanför ordinarie arbetstid ska begränsas, och besökarna ska inte tas in i lokaler där det kan finnas information för vilken synligheten och tillgängligheten ska begränsas.
15.20 Kontakt med media
Jfr. Uppförandekoden på sidan 23. Uttalanden till medierna ska endast göras med fullmakt från kommunikationschefen eller koncernledningen. Chefer kan uttala sig om förhållanden och processer inom sitt eget ansvarsområde när de är utsedda att göra detta.
I vissa avtal är det endast byggherren som kan informera media.
15.21 Konsekvenser vid brott mot föreskrifterna
Brott mot AF Gruppens säkerhetsanvisningar är att betrakta som tjänstefel, och konsekvenser för anställda som har orsakat ett brott mot säkerhetsreglerna kommer att bedömas i varje enskilt fall och kan vid allvarliga brott leda till uppsägning/avsked.
15.22 Rapportering och avvikelser
Anmäl direkt till dataskyddsansvarig om du upptäcker en personuppgiftsincident eller händelser som kan ha betydelse för säkerheten.
Om virus eller annan skadlig programvara, en cyberattack eller annan onormal aktivitet upptäcks på datorutrustning eller telefoner, ska IT-ansvarig omedelbart informeras.
Avvikelser från denna instruktion ska hanteras i enlighet med avvikelserutinen och ska omedelbart rapporteras till den dataskyddsansvarige.
Om användarna har projektspecifika behov som avviker från denna instruktion, ska det skickas en begäran till den dataskyddsansvariga via avdelningschefen.
15.23 Uppsägning av anställning
Chefen ska kontrollera att arbetstagaren har lämnat tillbaka AF Gruppens egendom:
• PC
• Mobiltelefon
• Nycklar, passerkort eller andra medel för tillgång till AF Gruppens lokaler
Chefen ska:
• Se till att arbetstagaren gör en bedömning av om digitalt och fysiskt material ska arkiveras i gemensamma områden i god tid före sin sista arbetsdag.
• Kontrollera att arbetstagaren har signerat AF Gruppens tillgångar enligt rutinen.
• Skicka ändringsmeddelande till dataskyddsansvarig beträffande ändring eller blockering av användaråtkomst.
IT-ansvarig ska se till att arbetstagarens e-postkonto och privata områden på AF Gruppens IT-system raderas så snart som möjligt och senast inom sex månader från det att denne har slutat.
Innan den anställde lämnar AF Gruppen efter att anställningen upphört ska han/hon lämna in all utrustning som tillhör arbetsgivaren om inte annat har överenskommits. Om utrustning ingår i avtalet, ska denna lämnas in så att data/information som är kopplad till vederbörandes arbete tas bort.
Det är inte tillåtet att kopiera/ta med sig lagrad information med koppling till vederbörandes arbete.
Checklista vid anställningens upphörande:
Kontrollpunkter: | OK Datum: |
All privat information i e-postmeddelanden och på personliga områden har raderats | |
All verksamhetsrelaterad e-post och filer som kan kopplas till ärenden och projekt har överförts till gemensamma områden | |
Arkivskåp, hyllor och bokhyllor har rensats och tömts. | |
PC, mobiltelefon, lagringsmedia och annat har lämnats in till ansvarig. | |
Passerkort och nycklar har lämnats in till chef | |
Passerkort har spärrats | |
Åtkomst till IT-system har spärrats (inklusive externa system, molnlösningar osv.) |
16. RIKTLINJER FÖR SOCIALA MEDIER
Jfr. Uppförandekoden på sidan 23.
AF Gruppens deltagande i form av egna sidor på sociala medier ska ske i samråd med kommunikationschefen eller koncernledningen.
Vid privat deltagande i sociala medier får ditt deltagande inte bidra till att andra ifrågasätter din roll och kompetens.
Exempel på sociala medier är Facebook, LinkedIn, Snapchat, Instagram, Twitter och YouTube.
16.1 AF Gruppens grundregler
När du som anställd i AF Gruppen deltar i samtal, diskussioner och liknande via sociala medier är det vissa grundregler du måste beakta.
Du ska sträva efter en öppen och ärlig kommunikation där du inte talar nedsättande om andra anställda. Som anställd i AF Gruppen ansvarar du själv för det som du publicerar i sociala medier. Kom ihåg att innehållet kan få stor spridning och finnas kvar på nätet länge. Publicerad information som är till nackdel för AF Gruppen, anställda eller olika samarbetspartners kan innebära ett brott mot lojalitetsplikten i anställningsavtalet/-förhållandet.
Den som skapar en profil i sociala medier ansvarar också för att innehållet behandlas korrekt. Detta innebär bland annat att man inte får publicera kränkande information om en person och/eller organisation. Den ansvarige ska följa besökarnas kommentarer för att upptäcka och ta bort kränkande information. Jfr. Uppförandekoden på sidan 13.
16.1.1 Renommé och gott omdöme
Nämn aldrig någon av AF Gruppens anställda, samarbetspartners, kunder, leverantörer osv. vid namn utan att de har gett tillåtelse till detta. Var alltid korrekt och använd sunt förnuft. Kortfattad, skriftlig information kan uppfattas som mycket hårdare av mottagaren än vad avsändaren avsåg. Även om du uppfattar det som om någon har skrivit ett mycket negativt och felaktigt inlägg om AF Gruppen, undvik att eskalera det hela till en konflikt/diskussion. Använd ett balanserat och korrekt språk, undvik svordomar och jargong som kan uppfattas som stötande. Använd aldrig en nedlåtande ton om andra och prata inte om konkurrenter på ett negativt sätt. Tänk även på att ditt svar, även om det är riktat till en viss person, kommer att läsas av många andra. Tänk dig för en extra gång innan du publicerar ett inlägg.
16.1.2 Tystnads- och lojalitetsplikt
Observera att du, genom ditt anställningsavtal, har tystnadsplikt. Tystnadsplikten gäller i första hand yrkesmässiga förhållanden, men även annan information kan omfattas av tystnadsplikten om utlämnande/offentliggörande kan skada arbetsgivaren och det är inte är försvarbart för arbetstagaren att lämna ut informationen.
Tystnadsplikten innebär till exempel att om du kritisk till AF Gruppen, måste du alltid försöka lösa problemen internt genom att ta upp problemen internt med din närmaste chef. Att kritisera en arbetsgivare eller kollega i sociala medier utan att denne först har fått möjlighet att korrigera eventuella skillnader, kan till exempel utgöra ett allvarligt brott mot tystnadsplikten och/eller lojalitetsplikten. Se sidan 26 i Uppförandekoden.
Alla anställda uppmuntras att meddela om förhållanden som kan kritiseras. Visselblåsningen kan göras öppet eller anonymt. Varningen kan lämnas till närmaste chef, chefer på högre nivå, via e-post till xxxxxxxx@xxxxxxxxx.xx, eller genom att använda anmälningsformuläret på xxxxxxxxx.xx/xxxxxxxx. Den som genom ett korrekt förfarande varnar är skyddad mot repressalier till följd av varningen. Se Uppförandekoden på sidorna 10-11.
16.1.3 Konfidentiell information
Var noggrann med att inte kommentera eller publicera information som bryter mot uppförandekoden, är känslig ur ett börsperspektiv eller som rör affärskritiska förhållanden. Se sidan
26 i Uppförandekoden.
Sekretess gäller inte bara utåt, utan också gentemot kollegor som inte behöver den aktuella informationen i
sitt arbete.
Alla anställda ska förhålla sig till AF Gruppens regler för insiderhandel.
Om du har information som kan ha en inverkan på priset på bolagets aktier ska denna information behandlas som konfidentiell information. Du eller dina nära medarbetare kan inte köpa eller sälja aktier i AF Gruppen eller använda sig av andra finansiella instrument avseende AF Gruppen, innan denna information har blivit allmänt känd. Ingen annan har, genom sin position, rätt att använda (missbruka) information för att ge sig själva eller andra ekonomiska fördelar. Missbruk av information vid köp/försäljning av aktier regleras av strafflagen och kan leda till uppsägning och avsked.
16.1.4 Måna om och skydda AF Gruppens varumärke
AF Gruppen är ett registrerat varumärke. Detta innebär bland annat att AF Gruppens officiella logotyp endast får användas i enlighet med AF Gruppens designmanual. Det är inte tillåtet att använda AF Gruppens logotyp som privat profilbild eller på en blogg som är din privata.
Använd aldrig andras material (bilder, text, video m.m.) utan tillstånd, och se alltid till att ange källor. Följ de upphovsrättslagar som gäller för de olika kanalerna. Använd gärna externa länkar för att peka till dina källor, men var noggrann med att kontrollera vem du länkar till och visa tydligt att det är en extern länk. Tänk på att en länk kan uppfattas som att AF Gruppen rekommenderar webbsidan som den länkar till. Det finns också en risk för att sidan du länkar till ändrar sitt innehåll till något som AF Gruppen inte vill förknippas med. Var därför källkritisk och länka endast till sidor som drivs av seriösa aktörer.
16.1.5 Interna sociala medier
Workplace är en intern kommunikationskanal i AF Gruppen. Innehållet får inte delas externt.
• Du ansvarar själv för innehållet som du lägger ut på Workplace.
• Var noggrann med att inte kommentera eller publicera information som bryter mot uppförandekoden, är känslig ur ett börsperspektiv eller som rör affärskritiska förhållanden
• Det är viktigt att du äger rättigheterna till bilder och annat material som du publicerar på din vägg eller i grupper.
• Xxxxx hänsynsfullt och sakligt gentemot kolleger
• Begrepp som kan verka stigmatiserande eller kränkande får inte användas
• Dela inte känsliga personuppgifter eller information om anställnings- och arbetsvillkor. AF Gruppen förbehåller sig rätten att radera innehåll som bryter mot dessa exekveringsregler.
16.1.6 Samarbete med IT
Sociala medier är snabba och effektiva kanaler för att sprida information. Dessvärre är det även ett snabbt och effektivt sätt att sprida oönskad information, som trojaner, virus och annan skadlig programvara. För att minska denna risk använder vi oss av diverse tekniska lösningar, som brandvägg, virusskydd med mera. I en del kan dessa säkerhetslösningar begränsa åtkomstmöjligheterna till sociala medier. Försök aldrig att kringgå sådana säkerhetslösningar, utan för istället en dialog med IT-avdelningen så att de kan undersöka vilka möjligheter det finns för säker åtkomst till de resurser som du vill använda.
16.2 Skapande av företagsprofiler/-sidor i sociala medier – förhållningsregler:
AF Gruppens deltagande i form av egna sidor på sociala medier ska ske i samråd med kommunikationschefen eller koncernledningen. Jfr. Uppförandekoden på sidan 23.
Xxxxx/profilen måste ha en ansvarig redaktör från koncernstaben Kommunikation i AF gruppen.
AF Gruppen ska ha en plan för vidare drift och underhåll, samt rutiner för uppdatering av innehållet under profilen/på sidan.
17. RIKTLINJER FÖR TILLSYN FRÅN DATAINSPEKTIONEN ELLER ANDRA TILLSYNSMYNDIGHETER
• Vid tillsyn ska AF Gruppens koncernchef omedelbart tillkallas.
• Överväg att kalla in extern expertis, inklusive AF Gruppens advokat.
• En kopia ska tas av legitimationen för de som deltar i tillsynen.
• Det ska kontrolleras att vederbörande har rätt att utföra tillsyn genom att kontakt tas med tillsynsmyndigheten (t.ex. Datainspektionen).
• Inga personuppgifter eller annan konfidentiell information får lämnas ut till personer som säger sig utföra tillsyn utan att det har kontrollerats att personen i fråga har rätt att utföra tillsyn.
• Ingen möjlighet ska ges till spegelkopiering av hårddiskar eller andra lagringsmedier utan att detta har godkänts av AF Gruppens koncernchef.
• Genomgång av material, dokument och information ska endast genomföras i AF Gruppens lokaler och får inte föras ut från lokalerna utan att detta har godkänts av AF Gruppens koncernchef.