Behandling av personuppgifter (GDPR)
Behandling av personuppgifter (GDPR)
Senast uppdaterad den 26 oktober 2018
1 Allmänt om behandling av personuppgifter i LEDEB:s verksamhet
Denna text syftar till att beskriva LEDEB:s behandling av personuppgifter på ett öppet och transparent sätt så att personer vars personuppgifter företaget behandlar ska förstå hur och varför deras personuppgifter hanteras i LEDEB:s verksamhet och vilka rättigheter de har i förhållande till företaget.
För ett städföretag som LEDEB AB är det avgörande att kundrelaterad information, inkluderande personuppgifter, såväl som information om företagets anställda, behandlas säkert och konfidentiellt samt att tillämpliga regelverk efterföljs.
2 LEDEB AB:s styrning av behandling av personuppgifter
Styrelsen för LEDEB AB har fastställt en policy för behandling av personuppgifter som gäller hela företagets verksamhet. Av policyn framgår de grundläggande principer som gäller för all behandling av personuppgifter i verksamheten och att företagsledningen ska fastställa de regler och rutiner som krävs för att företagets verksamhet ska kunna bedrivas i enlighet med Dataskyddsförordningen (GDPR). Det framgår också av policyn att företagets medarbetare återkommande ska genomgå adekvat utbildning och att de ska ha tillgång till stöd och vägledning vid tillämpningen av regelverket.
Företagsledningen har fastställt en anvisning för företagets behandling av personuppgifter. Anvisningen anger närmare krav på utbildning av medarbetare och hur företaget tillhandahåller information och stöd till medarbetare vid behandling av personuppgifter. Det framgår också av anvisningen att det ska finnas skriftliga vägledningar och rutiner till stöd för medarbetarnas tillämpning av regelverket om behandling av personuppgifter i den dagliga verksamheten.
Här anges också krav på kontrollaktiviteter och att det ska utses ett dataskyddsombud.
Med utgångspunkt i policyn och anvisningen för behandling av personuppgifter har företaget tagit fram vägledningar och rutiner för företagets behandling av personuppgifter och kommunicerat dessa till företagets medarbetare. Det finns vägledningar avseende bland annat hantering av personuppgifter i uppdragsverksamheten, hantering av personuppgifter vid marknadsaktiviteter
och hantering av personuppgifter vid rekrytering. Företagets rutiner omfattar bland annat rutiner avseende rätt att få del av behandlade personuppgifter och rättelse av personuppgifter.
Dataskyddsombud
LEDEB AB har utsett ett dataskyddsombud Xxxxx xx Xxxx (kontaktperson för personalfrågor och personal hantering) är dataskyddsombud och nås genom e-postadressen: xxxx@xxxxx.xx
3 Närmare om behandling av personuppgifter i LEDEB:s verksamhet
Avsnitten 1 och 2 ovan innefattar allmänna beskrivningar av verksamheten i LEDEB och hur LEDEB styr företagets behandling av personuppgifter. I det följande lämnas en beskrivning av hur LeDeB hanterar personuppgifter i centrala delar av verksamheten.
Företaget utför inom ramen för verksamheten uppdrag både som personuppgifts-ansvarig och/eller uppdrag som personuppgiftsbiträde.
3.1 Behandling av personuppgifter i uppdragsverksamheten
Allmänt
Inom ramen för uppdragsverksamheten behandlar LeDeB personuppgifter för ändamålet att fullgöra de åtaganden som följer av avtalen med våra uppdragsgivare.
Personuppgifter som LEDEB AB behöver få del av för att utföra uppdrag samlas som utgångspunkt in från uppdragsgivaren, men det förekommer också att personuppgifter samlas in från andra parter eller myndigheter, till exempel från Skatteverket. Personuppgifter kan vid behov komma att lämnas ut i enlighet med instruktioner från uppdragsgivaren, till exempel när en uppdragsgivare ger LEDEB i uppdrag att förse myndigheter med vissa personuppgifter (till exempel att lämna uppgift om en anställds lön till Försäkringskassan i samband med Försäkringskassans hantering av ett ersättningsärende) eller Kronofogden (gällande utmätning på lönen).
Personlig information underlag som LEDEB tillhandahåller innefattar personuppgifter avseende bland annat underlag för löneutbetalningar, andra ersättningar och förmåner för anställda och underlag för uppdragsgivarens fakturering och betalningar till leverantörer. Personuppgifterna behandlas i de system och med de verktyg som är erforderliga för att bistå uppdragsgivaren med tjänster avseende städning med hög kvalité eller kvalité enligt avtal.
LeDeB AB bevarar uppdragsdokumentation i enlighet med de regler och rutiner som gäller för uppdragsdokumentation. Dessa regler och rutiner innebär bland annat att uppdragsdokumentationen omfattas av tystnadsplikt och rutiner för informationssäkerhet.
Uppdragsdokumentationen bevaras normalt under 10 år för att därefter destrueras.
Kontaktuppgifter till affärsinköp såsom befintliga eller potentiella kunder bevaras normalt så länge företaget bedömer att personens befattning eller yrkesroll kan antas medföra ett intresse för företagets tjänster.
3.2 Behandling av personuppgifter vid rekrytering och avseende medarbetare
En förutsättning för att LeDeB AB ska kunna bedriva verksamhet är att företaget kan rekrytera nya medarbetare och ge stöd till anställda samt administrera förhållanden som rör dessa. Denna verksamhet innefattar behandling av personuppgifter, bland annat personuppgifter avseende personer som är eller har varit föremål för rekryteringsaktiviteter och behandling av personuppgifter avseende nuvarande och tidigare medarbetare. Den rättsliga grunden för denna behandling är en intresseavvägning (rekrytering och medarbetare), Intresseavvägningarna baseras på en avvägning mellan företagets intresse av att kunna anställa, bibehålla och utveckla kompetenta och lämpliga medarbetare i företagets verksamhet och dessa personers intressen avseende skydd för sina personuppgifter. Kategorier av personuppgifter som behandlas avser bland annat kontaktuppgifter, CV-uppgifter såsom kompetens, tidigare arbetsuppgifter och arbetsgivare samt ansvarsområden. Personuppgifter avseende arbetssökande inhämtas huvudsakligen från den arbetssökande men kan även inhämtas från andra personer eller företag. Vid användning av rekryteringsföretag kan sådant företag samla in uppgifter om arbetssökande och sortera ut kandidater som ska presenteras för företaget.
Personuppgifterna behandlas i de system företaget använder för rekryteringsaktiviteter och administration och stöd för befintliga och tidigare medarbetare.
Personuppgifter inhämtade i samband med rekrytering bevaras normalt under högst två år efter rekryteringsaktivitetens avslutande om personen inte har anställts. Vissa personuppgifter avseende anställda medarbetare raderas efter anställningens upphörande, medan andra personuppgifter bevaras under längre tid (t ex för att kunna tillhandahålla viss information till Försäkringskassan efter att anställningen upphört).
4 De registrerades rättigheter
4.1 Rätten till information
Den registrerade har enligt regelverket om behandling av personuppgifter rätt att få information när hans eller hennes personuppgifter behandlas. Information om behandlingen ska lämnas både när uppgifter samlas in, eller kort tid därefter när uppgifterna inte samlas in från den registrerade, och när den registrerade begär det. Härtill finns vissa tillfällen när särskild information ska ges till den registrerade, exempelvis om det inträffar ett dataintrång eller liknande.
Information ska bland annat lämnas om kontaktuppgift till den personansvarige, den rättsliga grunden för och ändamålet med behandlingen.
Detta dokument innefattar bland annat sådan information som LeDeB AB har att lämna till de personer vars personuppgifter behandlas i verksamheten.
En begäran om tillgång till information anmäls till kontaktpersonen (kontaktperson för personalfrågor och personal hantering) som kommer att hanteras med utgångspunkt i regelverket om behandling av personuppgifter och i enlighet med företagets rutin för att hantera sådan begäran.
4.2 Rätt till rättelse
Regelverket om behandling av personuppgifter innebär att den registrerade har rätt att vända sig till företag som behandlar personuppgifter och be om rättelse av felaktiga personuppgifter samt att komplettera med sådana personuppgifter som saknas och som är relevanta för ändamålet med behandlingen.
En begäran om rättelse anmäls till kontaktpersonen (kontaktperson för personalfrågor och personal hantering) för eventuellt uppdrag som kommer att hanteras med utgångspunkt i regelverket om behandling av personuppgifter och i enlighet med företagets rutin för att hantera sådan begäran.
4.3 Rätt till radering
En registrerad har enligt regelverket om behandling av personuppgifter rätt att vända sig till företag och be att uppgifterna som avser honom eller henne raderas.
En begäran om radering anmäls till kontaktpersonen (kontaktperson för personalfrågor och personalhantering) för eventuellt uppdrag som kommer att hanteras med utgångspunkt i regelverket om behandling av personuppgifter och i enlighet med företagets rutin för att hantera sådan begäran.
4.4 Rätt till begränsning av behandling
De personer vars personuppgifter behandlas har i vissa fall rätt att kräva att behandling begränsas. Med begränsning avses att personuppgifterna markeras så att dessa i framtiden endast får behandlas för vissa avgränsade syften.
En begäran om begränsning av behandling av personuppgifter anmäls till kontaktpersonen (kontaktperson för personalfrågor och personal hantering) för eventuellt uppdrag som kommer att hanteras med utgångspunkt i regelverket om behandling av personuppgifter och i enlighet med företagets rutin för att hantera sådan begäran.
4.5 Rätt att återkalla samtycke
Personer vars personuppgifter som behandlas med samtycke som laglig grund har rätt att återkalla samtycke.
4.6 Dataportabilitet
Den som har lämnat sina personuppgifter har i vissa fall rätt att få ut och använda sina personuppgifter på annat håll. Den som har tagit emot sådana uppgifter har en skyldighet underlättat sådan överflyttning.
En begäran om att få ut personuppgifter för att använda dem på annat håll anmäls till xxxx@xxxxx.xx
En begäran om dataportabilitet kommer att hanteras med utgångspunkt i regelverket om behandling av personuppgifter och i enlighet med företagets rutin för att hantera sådan begäran.
4.7 Rätt att göra invändningar
En enskild har i vissa fall rätt att invända mot den personuppgiftsansvariges behandling av dennes personuppgifter. Denna rätt gäller bland annat personuppgifter som behandlas efter en intresseavvägning och innefattar rätt att invända mot profilering.
En framställan om invändning mot behandling av personuppgifter skickas
Ett återkallande av samtycke anmäls till xxxx@xxxxx.xx
En framställan om invändning kommer att hanteras med utgångspunkt i regelverket om behandling av personuppgifter och i enlighet med företagets rutin för att hantera sådan begäran.
4.8 Klagomål
Klagomål avseende LEDEB:s behandling av personuppgifter skickas till xxxx@xxxxx.xx
Inkomna klagomål kommer att utredas i enlighet med företagets rutin för hantering av klagomål.
Den vars personuppgifter behandlas har därtill rätt att anmäla klagomål till Datainspektionen. Vi hänvisar till vidare information om detta
på Datainspektionens hemsida.
Bilaga 1
Grundläggande principer för personuppgiftsbehandling hos LEDEB
Laglighet, korrekthet och öppenhet
Personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt så att den registrerade förstår hur hans eller hennes uppgifter behandlas och varför.
Förutsättningar för en laglig och korrekt behandling av personuppgifter är att LeDeB AB:s medarbetare har kunskap om vilka krav som gäller, stöd genom vägledande dokumentation och tillgång till medarbetare med kunskap avseende regleringen av personuppgiftsbehandling för besvarande av frågor.
LeDeB:s vägledningar innefattar rekommendationer till medarbetarna avseende laglighet och korrekthet vid olika slags behandling av personuppgifter, bland annat i uppdragsverksamheten samt vid användning av e-post.
Principen om öppenhet innebär att de registrerade har tillgång till information om hur och varför deras personuppgifter behandlas. LeDeB AB:s medarbetare ska också via företagets intranät ha tillgång till information om hur företaget behandlar personuppgifter.
Ändamålsbegränsning
Principen om ändamålsbegränsning innebär att personuppgifter endast får behandlas för tydligt angivna ändamål och att de inte i ett senare skede får behandlas för något annat oförenligt ändamål.
Utgångspunkten för LeDeB:s efterlevnad av ändamålsbegräsningar är att medarbetarna vid behandling av personuppgifter har kunskap om ändamålen för behandling av personuppgifter och förbudet mot att behandla personuppgifter för oförenliga ändamål samt att dessa ändamål dokumenteras. Härigenom ges medarbetarna möjlighet att efterleva samt verka för att principen om ändamålsbegränsning efterlevs vid behandlingen av personuppgifter.
Uppgiftsminimering
Principen om uppgiftsminimering innebär att fler eller känsligare personuppgifter än vad som behövs för att uppfylla ändamålet inte får behandlas.
Utgångspunkten för LeDeB AB:s efterlevnad avseende uppgiftsminimering är att medarbetarna har kunskap om principen om uppgiftsminimering. Härigenom ges medarbetarna möjlighet att begränsa LEDEB:s användning av personuppgifter för att inte avse annat än vad som behövs för att uppfylla ändamålet med behandlingen av personuppgifterna.
Härtill innefattar XxXxX AB:s vägledningar rekommendationer till medarbetarna avseende minimering av personuppgifter, till exempel vid användande av e-post och vid bevarande av uppdragsdokumentation.
Korrekthet
Principen om korrekthet innebär att de personuppgifter som företaget behandlar ska vara korrekta och om nödvändigt uppdaterade.
Utgångspunkten för LEDEBB:s efterlevnad av principen om korrekthet är att medarbetarna har kunskap om principen om kravet på korrekthet och möjlighet att korrigera eventuella felaktigheter eller verka för att eventuella felaktigheter korrigeras genom företagets rutiner.
Det framgår av LeDeB AB:s vägledningar och rutiner att medarbetare som upptäcker felaktigheter i personuppuppgifter ska rätta dessa eller verka för att företaget ges möjlighet att rätta felaktigheterna. LeDeB har en rutin för medarbetare att anmäla eventuella felaktigheter i de personuppgifter som LeDeB behandlar.
Härigenom ges medarbetarna kunskap om att eventuellt felaktiga personuppgifter ska korrigeras och tillgång till en rutin för att verka för LeDeB:s korrigering av eventuellt felaktiga personuppgifter.
Lagringsminimering
Principen om lagringsminimering innebär att personuppgifter inte får sparas i identifierbart skick under en längre tid än vad som är nödvändigt för ändamålet med behandlingen.
LeDeB:s efterlevnad av principen om lagringsminimering sker genom fastställande av interna regler för lagring, vilka bland annat innefattar tidsfrister för radering på olika områden.
Integritet och konfidentialitet
Principen om integritet och konfidentialitet innebär att personuppgifterna ska skyddas med lämpliga tekniska och organisatoriska åtgärder så att de inte blir åtkomliga för obehöriga, förstörs eller oavsiktligt raderas.
LeDeB:s efterlevnad av principen om integritet och konfidentialitet sker genom fastställande av interna regler för informationssäkerhet och reglering av tystnadsplikt med samtliga anställda och underkonsulter.
Ansvarsskyldighet
Principen om ansvarsskyldighet innebär att den personuppgiftsansvarige ska ansvara för och kunna visa att principerna för personuppgiftsbehandling efterlevs.
LeDeB visar att de grundläggande principerna om personuppgiftsbehandling genom att bland annat:
● internt och externt informera om företagets regler och rutiner för hantering av personuppgifter.
● fastställa och uppdatera strategi för dataskydd (riskpolicy).
● dokumentera rutiner för dataskydd.
● genomföra konsekvensbedömningar vid behov.
● utse dataskyddsombud.
Inbyggt dataskydd och dataskydd som standard
Härtill gäller att företagets vägledningar och rutiner baseras på ”inbyggt dataskydd” samt ”dataskydd som standard”.
”Inbyggt dataskydd” innebär att:
● företaget före och vid behandling av personuppgifter vidtar lämpliga åtgärder som främjar uppfyllandet av dataskyddsprinciperna och integrerar nödvändiga säkerhetsåtgärder och
● företaget vid behandling av personuppgifter använder tekniska och organisatoriska åtgärder med beaktande av den senaste tekniska utvecklingen, kostnader, behandlingens art, omfattning, sammanhang och ändamål samt riskerna med personuppgiftsbehandlingen.
”Dataskydd som standard” innebär att:
● företaget verkar för att medarbetarna ska hantera personuppgifter på ett integritetssäkert sätt och
● företaget vidtar lämpliga tekniska och organisatoriska åtgärder för att säkerställa att endast uppgifter som är nödvändiga för ändamålet behandlas med beaktande av mängden uppgifter, behandlingens omfattning, lagringstid och tillgänglighet.