Bakgrund och syfte

Proceed ansvarar självt för hanteringen av personuppgifter enligt denna policy.

Proceed behandlar personuppgifter. Denna policy har tagits fram för att ge stöd till för att på ett korrekt och effektivt sätt tillämpa dataskyddsförordningen (GDPR) och tillförsäkra att den personliga integriteten för kunder, anställda och andra intressenter skyddas inom bolagens verksamhet.

För att vårda och skydda Proceeds varumärke och värna Proceeds värderingar är det av stor betydelse att Proceeds behandling av personuppgifter har en god regelefterlevnad för att förhindra att kunder, anställda och andra intressenters personliga integritet kränks.

Dataskyddsförordningens syfte är att skydda levande människors personliga integritet mot de kränkningar som kan komma ifråga vid behandling av personuppgifter som ingår i eller är avsedda att ingå i en struktur av information. Det sammanhang som personuppgifter registreras i och på vilket sätt uppgifterna används, påverkar risken för integritetskränkning.

Proceed ska hantera personuppgifter med tillfredställande säkerhet och uppgifter ska behandlas inom det ändamål för vilket de har samlas in.

 

Organisation och fördelning av ansvar

Personuppgiftsansvarig

Proceed är personuppgiftsansvarig för de personuppgifter som insamlas och hanteras i och för bolagets räkning.

Detta innebär exempelvis att en före detta anställd ska kontakta det bolaget han eller hon var anställd i för att få sina rättigheter tillgodosedda.

Jambiz som koncernmoder har inget personuppgiftsansvar eller annat ansvar för respektive koncernbolags hantering av personuppgifter.

Dataskyddskontakt

Proceed har utsett Michael Rosenlind till personuppgiftskontakt. Rollen ska ej förväxlas med den mer formella dataskyddsombud som nämns i lagtexten.

 

Kontaktuppgifter dataskyddskontakt

Michael Rosenlind

0733-99 22 97

michael.rosenlind@proceed.se

 

Definitioner

Personuppgifter

All slags information som gör en levande person identifierad eller identifierbar, t.ex. namn, IP-adress, fotografi, ljudfil och lägenhetsnummer.

 

Personuppgiftsansvarig
En personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter.

 

Personuppgiftsbiträde
Personuppgiftsbiträde är den som behandlar personuppgifter för en personuppgiftsansvarigs räkning. Ett personuppgiftsbiträde finns alltid utanför den egna organisationen.

 

Dataskyddsombud
Dataskyddsombudet ska se till att personuppgifter behandlas korrekt och lagligt inom en verksamhet. Dataskyddsombudet ska föra en förteckning över register och annan behandling av personuppgifter inom Föreningen och hjälper registrerade att få felaktiga uppgifter rättade.

 

 

Behandling av personuppgifter

Med behandling av personuppgifter avses information som direkt eller indirekt kan knytas till en levande person, till exempel namn, adress, telefonnummer och fotografier. Krypterade uppgifter och olika elektroniska identiteter (till exempel ett användarid eller behörighetstag) omfattas också, ifall de kan kopplas till en viss person.

I fall där det är förenat med stor kostnad eller mycket tidskrävande för att identifiera en person med de uppgifter som finns tillgängliga anses uppgifterna inte vara personuppgifter.

Dataskyddsförordningen i förhållande till annan lag

Om det i en annan lag eller i en förordning finns bestämmelser som avviker från dataskyddsförordningen, ska de bestämmelserna gälla tillsammans med dataskyddsförordningen. Till exempel finns i andra lagar, både bokföringslagen och skattelagen ska dessa lagar följas och får ej överträdas på grund av Dataskyddsförordningen. Detta kan exempelvis innebära att betalningsunderlag sparas i 7 år enligt bokföringslagen, och därefter kräver DSF att informationen raderas.

Tillsynsmyndighet

Datainspektionen är tillsynsmyndighet avseende dataskyddsförordningen.

 

Instruktion för behandling av personuppgifter

Till denna policy finns instruktioner som ska tillämpas av respektive bolagss anställda och andra uppdragstagare i den löpande verksamheten. Instruktionerna anger vilka praktiska åtgärder som ska vidtas för att leva upp till kraven i policyn och i externa regler.

 

Ansvar för register

Proceed bestämmer syfte med behandling

Proceed är personupp­giftsansvarig för alla personregister som används i verksamheten. Proceed har rätt att före register över anställda, arbetssökande, kunder och externa partners där bolagen var för sig bestämmer ändamål och medel över.

Användningen av personuppgiftsbiträden

Proceed har självständigt rätt att använda personuppgiftsbiträden för behandlingar som kan anses uppfylla GDPRs krav på behandling. Varje bolag har då ett ansvar att dokumentera behandlingen i behandlingsregistret och upprätta ett biträdesavtal med biträdet.

Samtliga bolag inom Jambizgruppen anlitar de andra bolagen i gruppen som personuppgiftsbiträden i syfte att underlätta sälj och agera underkonsulter till varandra.

Proceed använder Xbus som biträde för hanteringen av HR relaterade frågor.

Grundläggande krav på personuppgiftsbehandling

  1. Proceed ska inte behandla personuppgifter för otillbörliga syften, som förtal, förolämpning eller skandalisering.
  2. Proceed ska inte utan godtagbara skäl samla en stor mängd uppgifter om en person.
  3. Proceed ska undvika att registrera information i register, som inte särskilt anges i lag.
  4. Proceed ska ha ett godtagbart ändamål för att samla uppgifter om personer.
  5. Proceed ska efterleva eventuella åtaganden om sekretess eller tystnadsplikt.

 

Personuppgifter

Behandling av personuppgifter i register är som huvudregel förbjuden enligt lag, om det inte finns ett undantag som gör behandlingen laglig. För Proceed är följande undantag mest väsentliga och en laglighetsbedömning ska således göras i varje fall av personuppgiftsbehandling om någon av dessa förutsättningar är uppfyllda som medför att en behandling är laglig:

  1. Rättsligt fullgörande
  2. Ett avtals fullgörande
  3. Samtycke
  4. Skyddande av vitala intressen
  5. Intresseavvägning

Vissa typer av uppgifter

För att behandling av vissa typer av personuppgifter ska få ske ställs hårdare krav:

  1. Känsliga uppgifter
  2. Brott och brottsuppgifter
  3. Personnummer
  4. Kreditupplysningar

Ändamål med behandlingen

Ändamål med behandling av personuppgifter ska fastställas redan vid insamlingstillfället.

Proceed får inte behandla uppgifter för ändamål som inte är förenligt med det ursprungliga ändamålet med behandlingen.

 

Utlämnande

Proceed ska i egenskap av personuppgiftsansvarig säkerställa att det finns stöd i lag inför ett eventuellt utlämnande av eller tillgång till uppgifter i Proceeds registersystem.

Information till den enskilde

Bolagen ska säkerställa att de registrerade har rätt till att få veta om, hur och var de är registrerade hos Bolagen.

Om uppgifter inhämtas direkt från den enskilde ska Proceed självmant redan i samband med insamlingen informera individen om personuppgiftsbehandlingen.

Om uppgifter inhämtas från någon annan än den registrerade, ska information självmant lämnas vid tillfället för registreringen.

Informationen om behandling av personuppgifter enligt ovan ska innehålla följande. Om den registrerade redan känner till informationen behöver den inte lämnas.

  1. Identitet och kontaktuppgifter för Proceeds VD samt namn och kontaktuppgifter för dataskyddskontakten.
  2. Syftena med den behandling för vilken personuppgifterna är avsedda och den legala grunden för behandlingen.
  3. Hur länge personuppgifterna kommer att lagras, eller om det inte går att veta från början, kriterier för när uppgifterna ska raderas, till exempel viss tid från det en medlem upphörde att vara medlem.
  4. Om behandlingen är baserad på en intresseavvägning, Proceeds eller någon annans berättigade intressen.
  5. Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna. I tillämpliga fall, att Proceed avser att överföra personuppgifterna till en mottagare i ett tredjeland, alltså land utanför EU/EES.
  6. Förekomsten av rättigheten att av Proceed begära tillgång till och rättelse eller radering av de personuppgifter eller begränsning av behandling som rör den registrerade och att invända mot behandlingen av sådana personuppgifter.
  7. Om behandlingen grundar sig på samtycke, rätten att dra tillbaka sitt samtycke när som helst, utan att detta påverkar lagligheten i behandlingen som skett med stöd av samtycket innan detta drogs tillbaka.
  8. Rätten att inge klagomål mot Proceeds personuppgiftsbehandling till Datainspektionen.
  9. Om tillhandahållandet av personuppgifter är ett lagstadgat eller avtalsenligt krav, eller ett krav som är nödvändigt för att ingå ett avtal, samt om den registrerade är skyldig att tillhandahålla uppgifterna och de möjliga följderna av om sådana uppgifter inte lämnas.
  10. Förekomst av automatiskt beslutsfattande, inbegripen profilering, t.ex. att Proceed kartlägger anställdas beteenden i olika avseenden, och information rörande skälen, samt betydelsen och de förutsedda följderna av sådan profilering för den registrerade.
  11. Om Proceed avser att behandla uppgifterna för ett annat syfte än det för vilket de insamlades för ska Proceed före denna ytterligare behandling av personuppgifterna ge den registrerade informationen om detta andra syfte.

 

Rätt till Registerutdrag

Om den registrerade begär det, ska Proceed kostnadsfritt, skriftligen lämna registerutdrag angående vilken behandling av registrerades personupp­gifter som har vidtagits. Den registrerade kan begära ut registerutdrag i digitalt (USB) eller pappersformat. I båda fallen kan den registrerade välja att hämta uppgifterna på något av Proceeds kontor eller få dem skickade med reguljärpost till deras folkbokföringsadress. Både i samband med begäran och utlämnande krävs att den registrerade identifierar sig.

Registerutdrag skickas aldrig ut via mail.

 

Korrekt och aktuell information

De personuppgifter som behandlas ska vara riktiga och, om nödvändigt, aktuella.

 

Säkerhet för personuppgifter

Proceed ska vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda mot personuppgifter obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse.

 

Anmäla Personuppgiftsincident

Om en allvarlig personuppgiftsincident inträffar ska Proceed eller dess personuppgiftskontakt anmäla denna till Datainspektionen inom 72 timmar från att den upptäckts.

En personuppgiftsincident har inträffat om personuppgifter oavsiktligt eller olagligt har förstörts, gått förlorade eller ändrats, eller röjts till någon obehörig.

Samtliga personuppgiftsincidenter loggas i ett för Jambizbolagen gemensamt incidentregister.

Avtal vid Personuppgiftsbiträde

När Proceed använder personuppgiftsbiträde, det vill säga uppdrar åt annan att behandla Proceeds personuppgifter inom det ändamål de är inhämtade för, ska Proceed upprätta ett skriftligt avtal med personuppgiftsbiträdet. Avtalet ska säkra att behandlingen sker i enlighet med dataskyddsförordningen och annan lagstiftning samt i enlighet med av Proceeds antagna riktlinjer för behandling av personuppgifter.

 

När Proceed är personuppgiftsbiträde, genom att behandla varandras och andras personuppgifter, ska ett skriftligt personuppgiftsbiträdesavtal upprättas mellan bolagen alternativt kunden. Avtalet ska säkra att behandlingen sker i enlighet med dataskyddsförordningen.

 

Export av uppgifter till tredje land

Personuppgifter som får behandlas enligt dataskyddsförordningen får fritt överföras till länder inom EU och EES (Norge, Island och Liechtenstein) och Schweiz. Uppgifter får inte överföras till andra länder om inte särskilda åtgärder vidtas på förhand.

 

Gallring

Proceed ska inte bevara personuppgifter längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

 

Revidering av policy och instruktion

Denna policy bygger på externa regler och ingår i Jambizbolagens Ansvar som är en för Jambiz gemensam policysamling. Den uppdateras årligen mot externa regelverk.

Jambiz ledningsgrupp, bestående av alla bolagens VDar ska årligen fastställa denna policy. Det innebär att policyn årligen ska revideras och vid behov uppdateras. Policyn antas årligen på ledningsgruppens sammanträde.

Instruktioner till denna policy ska fastställas av Proceeds VD.  Instruktionerna ska i förekommande fall uppdateras av Proceeds dataskyddskontakt.

När policy och instruktion är uppdaterade och antagna ska de interna reglerna, rutinerna, checklistor och mallar ses över och vid behov uppdateras.