Sekretess- och personuppgiftspolicy


Följande policy har upprättats för Koneo AB nedan kallat "Koneo" den 23 maj 2018.

Introduktion
På Koneo arbetar vi strukturerat för att behandla personuppgifter på ett korrekt och lagligt sätt. I den här policyn beskrivs våra övergripande rutiner för hanteringen av personuppgifter.

Roller och ansvar
Magnus Ralsberg har ett övergripande ansvar att driva och övervaka de frågor som behandlas i denna policy. Samtliga chefer är ansvariga för den egna organisationens efterlevnad.

Om Koneo
Sundbybergsvägen 1C
171 73 Solna
Telefon: 08-514 843 30
Organisationsnummer: 556627-4261

Principer för vår personuppgiftsbehandling
Koneo ska vara ansvarsfulla i vår hantering av personuppgifter, oavsett om det gäller anställda, kunder, leverantörer eller andra samarbetspartners. Frågor som på olika sätt berör behandling av personuppgifter finns i alla delar av vår verksamhet och vi uppmuntrar därför
till att samtliga mötesagendor innehåller personuppgiftsbehandling som en avstämningspunkt.

Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Vi ska vara transparenta om vilka uppgifter vi hanterar och se till att de personer som på olika sätt finns registrerade hos oss kan göra sina rättigheter gällande på
ett effektivt sätt.

Insamling av personuppgifter får endast ske för särskilda, uttryckligt angivna, och berättigade ändamål och vi ska bara samla in uppgifter som behövs för detta ändamål. Vi arbetar aktivt med att begränsa lagringen genom att gallra i enlighet med vår gallringspolicy och när det är lämpligt genom automatisk gallring. Vi ska med rimliga åtgärder se till att uppgifterna är korrekta.

För att kunna säkerställa och visa att vi lever upp till lagstiftningens krav ska vi samla all dokumentation avseende vårt dataskyddsarbete på samma ställe. 

Vilka personuppgifter samlar vi in?
· Namn
· E-postadress
· Mobiltelefonnummer
· Övrig information som du registrerat via denna kanal

Varför och hur använder vi informationen?
Informationen kommer att användas för att:
· tipsa dig om innehåll relaterat till dina önskemål samt för att förse dig med personliga erbjudanden, information eller inbjudningar som vi anser är intressanta för dig via e-post, digitala och sociala medier
· löpande kommunikation
· andra statistiska syften, t.ex. att underhålla och utveckla kvaliteten i vår kommunikation

Med vem delar vi informationen?
Vi kan komma att dela dina personuppgifter med serviceleverantörer som vi anlitar för att utföra tjänster för vår räkning (som tekniska, administrativa, marknadsrelaterade eller andra tjänster) när så krävs för de syften som nämns ovan. Dessa serviceleverantörer får inte använda dina personuppgifter för sina egna syften. Dina personuppgifter kan även komma att lämnas ut när så krävs, eller till Datainspektionen.

Hur länge tänker vi behålla informationen?
Så länge som vi det är tillämpligt för ändamålet.

Vilka rättigheter har du?
Du har rätt att när som helst avsluta ditt medlemskap genom att begära att vi raderar personuppgifter som vi har samlat in om dig, inkluderat din profil. I och med att vi raderar din profil försvinner all information i våra system.

Upphandling av IT-tjänster
När vi upphandlar IT-tjänster, såsom programvara eller drift och support, ska vi först genomföra en risk- och sårbarhetsanalys och därefter välja lösning eller leverantör utifrån utfallet.


Vid anlitande av personuppgiftsbiträden ska vi endast anlita den som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i lagen och säkerställer att den registrerades rättigheter skyddas. De överväganden som görs, inklusive dokumentation av säkerhetsnivå etc., ska dokumenteras. Vidare ska det tecknas ett personuppgiftsbiträdesavtal.

Vi undviker om möjligt överföring av personuppgifter till tredje land men när det bedöms lämpligt eller nödvändigt får detta endast ske efter att tillräckliga säkerhetsåtgärder har vidtagits och dokumenterats.

IT-säkerhet

Riskbedömning
Vi ska fortlöpande göra en riskbedömning av den behandling av personuppgifter som vi genomför. Vi ska vidta tekniska och organisatoriska åtgärder för att uppnå en säkerhetsnivå som är lämplig i förhållande till risken. Riskanalys och beslut om åtgärder ska dokumenteras.

Behörigheter
Det ska finnas skriftliga behörighetsinstruktioner för samtliga IT-system som innehåller personuppgifter. Grundprincipen är att behörigheter ska tilldelas så att endast de personer som behöver tillgång till personuppgifterna har åtkomst. Beroende på uppgifternas känslighet kan behörigheterna vara snävare eller vidare.

Incidenthantering
Alla säkerhetsincidenter ska dokumenteras i en incidenthanteringslogg med uppgift om omständigheterna kring personuppgiftsincidenten, dess effekter och de korrigerande åtgärder som vidtagits. Med säkerhetsincident avses en händelse som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.
När lagen så föreskriver ska incidenter även rapporteras till Datainspektionen respektive den registrerade.

IT-policy och IT-säkerhetspolicy
Vi har antagit en IT-policy och en IT-säkerhetspolicy där våra anställdas förhållningssätt till IT-miljön regleras mer i detalj.

Register över behandling
Vi ska föra ett register över behandlingar av personuppgifter. Respektive systemägare är ansvarig för att hålla registret uppdaterat vid förändringar.

Konsekvensbedömning
Om en behandling av personuppgifter, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska vi enligt Dataskyddsförordningen före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter: Konsekvensbedömning eller DPIA (Data Protection Impact Assessment).

Även när vi inte når upp till kravet för Konsekvensbedömning ska vi, när det är lämpligt, genomföra en förenklad riskanalys. Analysen blir ett underlag för valet av tekniska och organisatoriska säkerhetsåtgärder.

Inbyggt dataskydd och dataskydd som standard
Vi ska proaktivt utvärdera möjligheterna att genomföra tekniska åtgärder, såsom pseudonymisering och uppgiftsminimering för att effektivt leva upp till kraven i GDPR och skydda den registrerades rättigheter.
Vi ska även genomföra lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas.

Utbildning
Våra anställda ska få relevant information och utbildning om behandling av personuppgifter i enlighet med separat årsplan för utbildning. Vid behov ges fördjupad eller riktad utbildning till dem som hanterar känsliga uppgifter. Deltagandet i utbildningar ska dokumenteras.
Uppföljning och intern revision.

Efterlevnaden av denna policy ska kontrolleras med stickprov och intern revision. Vi ska löpande utvärdera om vårt dataskyddsarbete
lever upp till lagstiftningens krav och genomföra förändringar när det är påkallat.

Läs de senaste artiklarna på bloggen!