Integritetspolicy

För oss på Upsala Plåtslageri är personlig integritet viktig och vi behandlar all information som våra kunder anförtror oss på ett ansvarsfullt sätt.

 

Denna dag, 2018-04-19, har följande policy upprättats för Upsala Plåtslageri AB.

 

I den här integritetspolicyn förklarar vi hur och varför vi behandlar personuppgifter på vår webbplats enligt (EU) 2016/679, den allmänna dataskyddsförordningen (GDPR).

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter.

 

Syfte

Vi värnar om våra affärspartners och vår personals integritet. De ska kunna känna sig trygga när de anförtror oss sina personuppgifter. Därför har vi upprättat den här policyn. Den utgår från gällande dataskyddslagstiftning och förtydligar hur vi jobbar för att ta tillvara deras rättigheter och integritet.

Syftet med den här policyn är att kartlägga hur vi behandlar personuppgifter, vad vi använder dem till, vilka som får ta del av dem och under vilka förutsättningar samt hur våra affärspartners och anställda kan ta tillvara sina rättigheter. Företaget har inte fler än 250 anställda och behöver varken föra register eller att utse ett dataskyddsombud.

 

Bakgrund

Vi behandlar personuppgifter främst för att fullfölja våra förpliktelser d.v.s. med laglig rätt och för att uppfylla lagar. Vår utgångspunkt är att inte behandla fler personuppgifter än vad som behövs för ändamålet, vi strävar alltid efter att använda de minst integritetskänsliga uppgifterna.

Vi har aldrig använt personuppgifter för direktmarknadsföring men skulle vi göra det i framtiden kommer det framgå att man kan bli avregistrerad.

 

Riktlinjer

Vilka personuppgifter behandlar vi?

Vi behandlar endast personuppgifter när vi har laglig grund. Vi behandlar inte personuppgifter i annat fall än när de behövs för att fullgöra förpliktelser enligt lag och avtal. Här följer exempel på personuppgifterna vi behandlar:

• Personuppgifter i lönehantering
• Personuppgifter om anställda och närstående
• Personuppgifter i samband med anställningsprocesser
• Personuppgifter på kunder

Vi försöker i möjligaste mån att inhämta samtycke innan vi börjar behandla personuppgifter. Personal och kunder samtycker till behandling genom att acceptera våra allmänna villkor. När de samtycker till våra allmänna villkor samtycker de också till att vi behandlar personuppgifterna.

Samarbetspartners och anställda kan när som helst återkalla sitt samtycke. Vi kommer då inte längre att behandla personuppgifterna eller inhämta nya, under förutsättning att det inte behövs för att fullgöra våra skyldigheter enligt avtal eller lag.

Vi lagrar uppgifter främst i vårt affärssystem men uppgifter finns också sparade i mejlsystem och i fysiska pärmar. Datorer och mobiler skall vara lösenordskyddade. Företagets policy är att mejlen får användas även i privata sammanhang och när en anställd slutar så skall mejlkontot raderas så snart det saknas skälig grund till att inte radera uppgifterna, dock senast efter 12 månader. När en anställning är tillsatt så skall övriga sökandes CV raderas om inte tillstånd erhålls från dem att uppgifterna kan sparas. Alla uppgifter om anställda lagras i lönesystemet och i lönepärmen vilket även omfattar utvecklingssamtal, genomförda utbildningar mm. Uppgifter om anställda lagras inte någon annanstans.

 

Personuppgiftsansvarig

Den personuppgiftsansvarige är enligt dataskyddsförordningen som utgångspunkt skyldig att informera de registrerade om att dennes personuppgifter behandlas. Information om personuppgiftsbehandlingen ska lämnas av den personuppgiftsansvarige både när uppgifterna samlas in men även när den registrerade begär det. Vad gäller uppgifter om de anställda informeras om detta i samband med att anställningsavtalet skrivs under.

 

Vi behandlar personuppgifter på ett betryggande sätt

Vi har utarbetat rutiner och arbetssätt för att personuppgifterna ska hanteras på ett säkert sätt. Utgångspunkten är att endast 2 personer, VD och ekonomianställd, har tillgång till personuppgifterna för att utföra sina arbetsuppgifter

I dagsläget har vi inte bedömt att vi hanterar särskilt känsliga personuppgifter och vi har därför i dagsläget inte inrättat särskilda behörighetskontroller, som har ett högre skydd för personuppgifter.

Våra säkerhetssystem är sedan tidigare utvecklade med integritet i fokus och skyddar i mycket hög grad mot intrång, förstöring samt andra förändringar som kan innebära en risk för att den personliga integriteten.

Vi anser att vi har en god IT-säkerhet för att säkerställa att personuppgifterna behandlas säkert.

Vi överför inte personuppgifter i andra fall än de som uttryckligen anges i denna policy.

Vår utgångspunkt är att inte lämna ut personuppgifter till tredje part om klienten inte har samtyckt till det eller om det inte är nödvändigt för att uppfylla våra förpliktelser enligt avtal eller lag.

 

Personuppgiftsincidenter

Det är viktigt att vi vet vad som skall göras i händelse av att en personuppgiftsincident inträffar. En personuppgiftsincident eller ”personal data breach” är en säkerhetsincident som t.ex. leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av de personuppgifter som behandlas, alltså finns i våra register. Även incidenter som leder till obehörigt röjande av eller obehörig åtkomst till de behandlade personuppgifterna räknas som en personuppgiftsincident, t.ex. att någon bara av nyfikenhet läser eller till obehöriga sprider uppgifter om vissa personer som finns i företagets register.

En sådan händelse ska enligt huvudregeln anmälas till Datainspektionen av den personansvariga inte senare än 72 timmar efter det att man har fått vetskap om personuppgiftsincidenten. Anmälan behöver inte göras om det inte finns minsta risk för fysiska personers rättigheter.

Under vissa omständigheter kan den personuppgiftsansvarige även vara skyldig att informera de registrerade som berörs av incidenten. Det anges även både vad sådan information ska innehålla och hur det ska informeras.