Policy för personuppgiftshantering och dataskydd enligt GDPR

AB OmsorgsCompagniet i Norden

AB OC Stöd & Boende

AB OmsorgsCompagniet i Storstaden

AB OmsorgsCompagniet i Salem Stöd & Boende

Policy för personuppgiftshantering och dataskydd– GDPR

Innehållsförteckning

1 INLEDNING OCH SYFTE

2 TILLÄMPNING OCH REVIDERING

3 ORGANISATION OCH ANSVAR

4 BEGREPP OCH FÖRKORTNINGAR

5 PERSONUPPGIFTBEHANDLING ENLIGT PRINCIPER OCH LAGLIG GRUND

  • Laglighet
    • Samtycke
    • Behandling är nödvändig för att fullfölja ett kontrakt eller sluta ett kontrakt.
    • Behandling är nödvändig för att fullgöra en rättslig förpliktelse.
    • Intresseavvägning
    • Myndighetsutövning och uppgift av allmänt intresse
  • Ändamålsbegränsning
  • Uppgiftsminimering
  • Korrekthet
  • Lagningsminimering
  • Integritet och konfidentialitet

6 DEN REGISTERADES RÄTTIGHETER

  • Registerutdrag och redogörelse för behandling
  • Rättelser
  • Radering – ”rätten att bli glömd”
  • Begränsning av behandling
  • Dataportabilitet
  • Invändningar
  • Underrättelseplikt

7 BEHANDLINGSREGISTER

8 GALLINGSRUTINER OCH FÖRVARING

9 SÄKERHET, INCIDENTER OCH HAVERI

  • Säkerhet
  • Incidenter och haveri

1 INLEDNING OCH SYFTE

Syftet med denna policy är att säkerställa att AB OmsorgsCompagniet i Norden med tillhörande bolag AB OC Stöd & Boende AB OmsorgsCompagniet i Storstaden, AB OmsorgsCompagniet i Salem Stöd & Boende, nedan används förkortningen OC med vilket avses vart och ett av bolagen enligt ovan, hanterar personuppgifter i enlighet med EUs dataskyddsförordning (General Data Protection Regulation – GDPR). Policyn omfattar alla behandlingar där personuppgifter hanteras och omfattar såväl strukturerad som ostrukturerad data. Denna policy är förankrad hos alla våra medarbetare. I avsnitt 2 och 3 nedan avses med VD den person som vid tiden har den formella rollen som VD i respektive bolag.

Syftet med denna policy är att följa dataskyddsförordningen GDPR som är ett krav för EU:s medlemsländer från 25 maj 2018. GDPR ersätter PUL och syftemålet med en nya förordning är att ha en modern lagstiftning för dataskydd inom EU som stärker den personliga integriteten för varje individ. GDPR förtydligar de rättigheter om den registrerade har, samt ansvaret för den personuppgiftsansvarige.

2 TILLÄMPNING OCH REVIDERING

VD ansvarar för att behandlingen av personuppgifter följer denna policy. Policyn ska fastställas av styrelse minst en gång per år, samt uppdateras vid behov. Ansvar för dataskydd och uppgiftsbehandling kan delegeras av VD. Delegering innebär att självständig beslutanderätt förs över från VD till delegat, dock har alltid VD det yttersta ansvaret att GDPR efterföljs. Dataskyddsansvarig är ansvarig för att varje år uppdatera denna policy till följd av nya och förändrade regelverk. Denna policy är tillämplig för företagets VD, ägare, styrelse medarbetare samt uppdragstagare som berörs av OCs verksamhet.

3 ORGANISATION OCH ANSVAR

VD har det övergripande ansvaret för innehållet i denna policy, samt att den implementeras och efterlevs i alla verksamheter. VD får delegera ansvaret och implementationen till lämplig person på företaget. Delegering innebär att självständig beslutanderätt förs över från VD till delegat, dock har alltid VD det yttersta ansvaret att GDPR efterföljs. Delegering kan göras från VD till enskild ansvarig chef i ett skriftligt delegeringsavtal.

Ansvarig chef kan vidare delegera arbetsuppgifter till kundansvarig, samordnare eller annan titel med arbetsledande funktion, dock inte ansvaret. Delegeringen av arbetsuppgifter sker genom skriftligt avtal. En delegering kan aldrig ges till en grupp utan ges alltid till specifik individ. Alla medarbetare på OC ansvarar för att de agerar i enlighet med denna policy och vad den vill säkerställa. Vid anställningstillfället ges information till den anställde om GDPR, denna policy samt ger den anställde ett frivilligt samtycke för behandling av hens personuppgifter. Denna policy är ett levande dokument i vår verksamhet som är en stående punkt på styrelsens agenda, personalmöten samt APT.

4 BEGREPP OCH FÖRKORTNINGAR

BEGREPPBETYDELSE
PERSONUPPGIFTEn personuppgift är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.
Exempel på personuppgifter:
Namn, kön, ålder
Bostadsadress
Telefonnummer
Email
IP-adress, cookie-id
Anställningsnummer
Foton som avbildar identifierbara personer
Fastighetsnummer, lägenhetsnummer
Registreringsskyltar - förmånsbilar
REGISTRERAD (R)En fysisk person som direkt eller indirekt kan identifieras genom personuppgifterna i ett register.
PERSONUPPGIFTSBEHANDLINGDet är en hantering av personuppgifter – oberoende av om de utförs automatiserat eller manuellt.
Exempel:
Samla in och lagra
Redigera/radera
Överföra
Använda i försäljning/marknadsföring
KÄNSLIGA UPPGIFTERArtikel 9 i förordningen går igenom vilka typer av uppgifter som räknas som extra känsliga.
Etnicitet
Politiska åsikter
Religiös livsåskådning
Uppgifter om hälsa, till exempel sjukdomar
PERSONUPPGIFTSANSVARIG (PUA)Med personuppgiftsansvarig menas den person inom organisationen som är skyldig att kunna påvisa att GDPR efterföljs, samt att registrerades rättigheter inte kränks.
Personuppgiftsansvarig är en fysisk eller juridisk person, offentlig myndighet eller annan organisation som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter.
En fysisk person som driver näringsverksamhet som enskild firma kan själv vara personuppgiftsansvarig, men i ett aktiebolag är det hela företaget som är ansvarigt, och därmed ytterst vd och styrelse.
OC är personuppgiftsansvarig för alla personuppgifter som vi hanterar för vårt eget syfte.
PERSONUPPGIFTSBITRÄDE (PUB)Personuppgiftsbiträde är en fysisk eller juridisk person, offentlig myndighet eller annan organisation som behandlar personuppgifter för den personuppgiftsansvariges räkning. Ett personuppgiftsbiträde finns alltid utanför den egna organisationen.
Typiska exempel är:
Molntjänster
Lönesystem
AIAI
E-postservrar
Backuptjänster
Bokföringssystem
IT-mästaren
OSTRUKTURERADE PERSONUPPGIFTEROstrukturerad behandling definieras som en behandling av personuppgifter som inte ingår i, eller är avsedda att ingå i, en samling av personuppgifter som har strukturerats för att underlätta sökning efter eller sammanställning av personuppgifter.
Exempel är behandling av personuppgifter i löpande text i ordbehandlingsprogram, löpande text på internet, ljud- och bildupptagningar och e-post.
Enkla listor är också exempel på ostrukturerat material.
Om uppgifterna är en del av ett ärendehanteringssystem rör det sig dock inte längre om ostrukturerad behandling. Även sökfunktionen i ett system för e-post eller systematiskt namngivna filer och mappar i ett vanligt operativsystem, anses utgöra ostrukturerad behandling.
STRUKTURERADE PERSONUPPGIFTERStrukturerad behandling definieras som behandling av personuppgifter som ingår i, eller är avsedda att ingå i, en samling av personuppgifter som har strukturerats för att underlätta sökning efter eller sammanställning av personuppgifter.
Exempel är personuppgiftsbehandling i databaser eller i dokument- och ärendehanteringssystem.
BEHANDLINGSREGISTERBåde personuppgiftsansvariga och personuppgiftsbiträden är skyldiga att föra ett register eller en förteckning över behandlingar av personuppgifter. Dessa register ska upprättas skriftligen, vara tillgängliga i elektronisk format och hållas uppdaterade. På begäran ska registret göras tillgängligt för Datainspektionen. Hos en personuppgiftsansvarig ska registret innehålla följande uppgifter:
Namn och kontaktuppgifter för den personuppgiftsansvarige, den personuppgiftsansvariges företrädare samt dataskyddsombudet.
Ändamålen med behandlingen.
En beskrivning av kategorierna av registrerade och kategorierna av personuppgifter.
De kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut.
Överföringar av personuppgifter till ett tredjeland eller en internationell organisation.
Tidsfristerna för radering av de olika kategorierna av uppgifter.
Beskrivning av tekniska och organisatoriska säkerhetsåtgärder.
Hos ett personuppgiftsbiträde ska registret innehålla följande uppgifter:
Namn och kontaktuppgifter för personuppgiftsbiträdet.
Varje personuppgiftsansvarig för vars räkning personuppgiftsbiträdet agerar.
Den personuppgiftsansvariges och personuppgiftsbiträdets företrädare samt dataskyddsombudet.
De kategorier av behandling som har utförts för varje personuppgiftsansvarigs räkning.
Överföringar av personuppgifter till ett tredjeland eller en internationell organisation.
Beskrivning av tekniska och organisatoriska säkerhetsåtgärder.
DATASKYDDSOMBUDPerson som fått ett delegerat ansvar av VD att kontrollera att dataskyddsförordningen (GDPR) följs inom organisationen genom att till exempel utföra kontroller och informationsinsatser. Dataskyddsombudet ansvarar även för att revidera OCs dataskyddspolicy. Dataskyddsombudet har tystnadsplikt, samt rapporterar till högsta ledningen.
DATAINSPEKTIONENTillsynsmyndighet som ansvarar för information och tillsyn inom dataskydd. Kan utdöma sanktionsavgifter.

5 PERSONUPPGIFTBEHANDLING ENLIGT PRINCIPER OCH LAGLIG GRUND

Hantering och behandling av personuppgifter får endast utföras om den lyder följande principer som redovisas nedan, samt omfattas av en laglig grund. OC gör alltid en laglighetsbedömning innan behandling av uppgifter sker. OC inventerar regelbundet sina behandlingar och identifierar vilken laglig grund som finns med ändamålet som grund. OC arbetar kontinuerligt för att säkerställa att de grundläggande rutinerna efterföljs, såsom gallringsrutiner, rutiner för sekretess, integritet, behörighetsstyrning samt att endast de uppgifter som är relevanta behandlas.

Laglighet

Det ska finnas en laglig grund för behandlingen. Samt ska det specifika ändamålet vara tydliga och legitima. Ändamålet svarar på frågan vad anledningen eller behovet är att behandla en personuppgift.

Samtycke

Samtycke innebär att de registrerade gett ett frivilligt samtycke till att OC behandlar deras personuppgifter. OC informerar alltid om dataskyddsförordningen och den registrerade ges möjlighet att skriftligt samtycka till behandling. Samtycke kan inte alltid endast rättfärdiga en behandling av personuppgift utan de andra rättsliga grunderna ska även vägas innan behandling. Samtycket ska särskiljas från accepterande från andra villkor.

Samtycket är alltid frivilligt och den registrerade kan återkalla samtycket. Alla registrerade på OC har erhållit information hur den återkallas görs, samt vem de ska vända sig till vid en begäran.

Behandling är nödvändig för att fullfölja ett kontrakt eller sluta ett kontrakt.

Den registrerade har ett avtal eller ska ingå ett avtal med OC vars innehåll måste fullföljas. Ett typiskt exempel som rättfärdigar behandlingen av avtal är ett anställningsavtal.

Behandling är nödvändig för att fullgöra en rättslig förpliktelse.

Lagar eller regler som gör att OC måste behandla vissa personuppgifter i sin verksamhet.

Intresseavvägning

OC får behandla personuppgifter utan den registrerades samtycke om OCs intressen väger tyngre än den registrerades, samt om behandlingen är nödvändig för det aktuella ändamålet.

Myndighetsutövning och uppgift av allmänt intresse

Den personuppgiftsansvarige måste behandla personuppgifter för att utföra sina myndighetsuppgifter eller för att utföra en uppgift av allmänt intresse.

Ändamålsbegränsning

OC får bara samla in personuppgifter för särskilda, uttryckligt angivna och berättigade ändamål. Det innebär att den som ska behandla personuppgifter måste ha ändamålen klara för sig redan innan insamlingen av personuppgifter börjar. Ändamålen ska dokumenteras skriftligt och den registrerade ska få information om ändamålen, både när uppgifterna samlas in och annars när den registrerade begär det. Om de insamlade personuppgifterna senare ska behandlas för andra ändamål som är förenliga med de ursprungliga ändamålen måste de registrerade också informeras om detta.

Uppgiftsminimering

OC har en skyldighet att användandet av personuppgifter minimeras. Behandling får endast ske om det verkligen finns en nödvändighet. Uppgifternas måste vara av den art att de är relevanta, adekvata samt nödvändiga för det ändamål som de behandlas enligt. Det får inte samlas eller sparas uppgifter som är ”bra att ha”.

Korrekthet

Behandlingen måste vara laglig men behandlas öppet och korrekt. Detta innebär att informationen om den registrerade måste vara lättåtkomlig och lätt att förstå. Vidare ska informationen vara korrekt, d.v.s. att det ska ha gjorts en intresseavvägning till varför behandlingen sker, där också den registrerades intresse vägs in.

Uppgifterna ska vidare ställas i förhållandet till ändamålet. Personuppgifter som är felaktiga eller inte relevanta till ändamålet ska rättas eller raderas utan dröjsmål.

Lagningsminimering

OC får inte förvara eller lagra personuppgifter längre än nödvändigt. Varje verksamhet har tydliga gallringsrutiner som är utformade för ta säkerställa gallringen sker enligt rådande lagstiftning. Gallringsrutinerna är anpassade för varje verksamhet, men OC har även gemensamma gallringsrutiner som t.ex. hantering av e-mail.

Integritet och konfidentialitet

OC behandlar personuppgifter på ett sådant sätt de skyddas från att obehöriga får tillgång till dem, samt att det sker en otillåten behandling. Vidare har OC ett skydd för att uppgifterna inte går förlorade eller blir förstörda, vare sig genom en medveten handling eller olyckshändelse. Detta säkerställer OC genom organisatoriska och tekniska lösningar och åtgärder.

6 DEN REGISTERADES RÄTTIGHETER

Enligt den nya förordningen tydliggörs de rättigheter som den registrerade har. OC har anpassat sitt arbete och sin behandling av personuppgifter för att säkerställa att dessa rättigheter efterföljs. Dessa rättigheter innebär i att de registrerade ska få information om när och hur deras personuppgifter behandlas och ha kontroll över sina egna uppgifter

Registerutdrag och redogörelse för behandling

Alla som är registrerade hos OC har en rättighet att få tillgång till alla personuppgifter som OC behandlar och lagrar, samt i vilket syfte. Den registrerade har rätt att få ut ett registerutdrag av OC om vilka uppgifter som behandlas. OC ska tillhandahålla ett begärt registerutdrag inom en månad, och detta är kostnadsfritt. OC kan ta ut en avgift om begäran skulle vara orimlig och ogrundad.

Rättelser

OC är skyldig att rätta felaktiga och saknade uppgifter om den registrerade begär det. Korrigeringen måste ske inom en månad.

Radering – ”rätten att bli glömd”

Enligt GDPR har den registrerade rätten till att bli glömd. Det innebär att OC är skyldiga att radera de personuppgifter som saknar laglig grund om den registrerade begär det. När den registrerade vill bli glömd måste OC inkomma med svar om åtgärder inom en månad. Ett undantag är begäran att upphöra med direktmarknadsföring, som OC måste följa omedelbart. Dock finnas flera lagliga grunder som tvingar eller tillåter OC att behålla uppgifterna.

Begränsning av behandling

En rättighet som den registrerade har är att frysa behandling av hens personuppgifter. För OC innebär det att uppgifterna sparas men behandling av dem upphör. Ett exempel är att en registrerad ifrågasätter korrektheten i de personuppgifter som finns och vill att OC fryser behandlingen till dess de är korrigerade. Ett annat exempel är att OC inte är i behov av de uppgifter som finns, men den registrerade anser att det är av vikt att de kvarstår, t.ex. i ett rättsligt ärende.

Dataportabilitet

Om en registrerad skulle vilja få ut uppgifter måste OC tillhandhålla dem på är lätthanterligt och lättförståeligt sätt. Den registrerade har även rätt att få uppgifter överförda till andra organisationer och företag. Det gäller endast i följande fall:

  • Uppgifter som den registrerade själv har lämnat till OC.
  • Uppgifter som lagras hos OC med samtycke, eller för att fullfölja ett kontrakt.
  • Om behandlingen är automatiserad.

Dessa typer av uppgifter måste OC förse i ett elektroniskt format som kan läsas av datorer. De uppgifter som den registrerade begärt kan OC även vara tvungen att föra över direkt till ett annat företag eller organisation. OC dock ingen skyldighet att anpassa uppgifterna för att passa andra företags eller organisationers system.

Invändningar

Alla registrerade har rätt att invända mot behandlingen av personuppgifter. OC är skyldiga att möta dessa invändningar Det gäller:

  • Behandling baserad på berättigade intressen (exempel: profilering).
  • Direktmarknadsföring.
  • Behandling för vetenskapliga syften och statistik.

Den registrerade måste ange en specifik personlig orsak och OC måste omedelbart agera och upphöra att behandla uppgifterna, om inte OC kan påvisa en laglig grund som kräver att behandling fortgår. Om den registrerade inte vill omfattas av direktmarknadsföring måste OC upphöra omedelbart. Den registrerade får då inte kontaktas i marknadsföringssyften alltså eller omfattas av utskick.

Underrättelseplikt

Den personuppgiftsansvarige (PuA) har en skyldighet att underrätta eventuella personuppgiftsbiträden om ändringar i uppgifter. Om en registrerad kräver att få sina uppgifter raderade och OC inte har någon laglig grund att behålla dem är OC skyldig att se till att även andra företag som vars tjänster som används raderar dem.

7 BEHANDLINGSREGISTER

Personuppgiftsansvarig är skyldig att föra register över behandlingar som omfattar personuppgifter. OCs uppgiftsbehandlingar dokumenteras löpande i Behandlingsregistret. Både personuppgiftsansvariga (OC) och personuppgiftsbiträden är skyldiga att föra ett register över de behandlingar som görs av personuppgifter. OCs behandlingsregister upprättas i Excel och är tillgängliga i elektronisk format, samt hålls kontinuerligt uppdaterade. För tillgång till registren krävs behörighet. VD, ansvarig chef och Dataskyddsombud har tillgång till registren och på begäran är de tillgängliga för Datainspektionen.

8 GALLINGSRUTINER OCH FÖRVARING

Inom OC behandlas många olika typer av personuppgifter. Typen av personuppgifter kan variera eftersom OC är operativ inom flera olika områden som personlig assistans, hemtjänst, boenden och boendestöd. Gemensamt är dock att många av de uppgifter som behandlas kan klassas som extra känsliga enligt dataskyddsförordningen GDPR. Eftersom OC endast får spara personuppgifter om det finns en laglig grund och ett berättigat ändamål ställs höga krav på organisationens gallringsrutiner.

Varje verksamhet har gallringsrutiner som för verksamhetens alla behandlingstyper. Varje verksamhet har tydliga anvisningar vad som gäller för gallring och förvaring. Anvisningarna påvisar vilka handlingar och personuppgifter som ska gallras, samt finns det en tidsfrist för när gallring ska vara slutförd. Gallring får endast ske enligt de gallringsrutiner som finns för varje verksamhet. Vid osäkerhet ska personuppgiftsansvarig kontaktas eller Dataskyddsombudet. Dataskyddsombudet kan vidare kontakta Datainspektionen om osäkerhet fortfarande råder. Huvudregeln är att inga uppgifter får bevaras för att det ”kan vara bra att ha”, samt är PuA osäker på vilken laglig grund som gallringen omfattas av ska alltid en gallring ske stället för bevarande.
Vissa uppgifter som OC hanterar kan vara reglerade i lag om hur handlingar ska bevaras. Socialtjänstlagen och lagen om stöd och service till vissa funktionshindrade (LSS) är aktuella lagar inom OCs verksamheter. Ett annat exempel är bokföringslagen som förskriver en lagringstid på 7 år. Även om verksamheternas gallringsrutiner anpassande efter för deras ändamål finns det inom OC en generell gallringsrutin för hantering av e-post. Email är ett omfattande arbetsredskap inom organisationen och behöver därför ett sammanhållet förhållningssätt.

Huvudregeln är att känsliga uppgifter inte får skickas i oskyddad e-post. När e-post mottagits är det av största vikt att bedöma utifrån laglig grund och principer, samt om hur informationen ska behandlas samt lagras. Om det finns en laglig grund att hantera uppgifterna ska uppgifterna föras över till ett ärendehanteringssystem och efter det raderas e-postmeddelandet. Uppgifterna ska sedan gallras i ärendehanteringssystem enligt relevant gallringsrutin för den specifika personuppgiften. Inom OC hanteras även en stor mängd som är av okänslig karaktär som vanlig e-postkorrespondens mellan kollegor, vilket är helt normalt och ett viktigt verktyg i den dagliga driften.

9 SÄKERHET, INCIDENTER OCH HAVERI

Säkerhet

Den nya dataskyddsförordningen ställer högre säkerhetskrav i behandlingen av personuppgifter. OC arbetar därför kontinuerligt för att säkerställa att de tekniska och organisatoriska lösningarna och åtgärderna är adekvata i förhållande till den risk behandlingen utgör, särskilt eftersom OC behandlar extra känsliga personuppgifter. OCs åtgärder och lösningar för risker ställs i relation till krav på säkerhet, behandlingarnas art, omfattning, kostnader och genomförande.

OCs organisatoriska åtgärder innefattar utbildningsrutiner som säkerställer att kompetensen inom dataskydd kontinuerligt uppdateras efter rådande krav. OC har även tydliga rutiner vars syfte är att tillförsäkra att kraven av dokumentation, samt utlämnade av information efterlevs. OCs för register över sina behandlingar, samt utför alltid en konsekvensbedömning innan utförandet. Vidare informeras anställda och kunder om dataskyddsförordningens syfte, samt ges möjlighet till ett frivilligt samtycke av behandling av personuppgifter. Vid en personuppgiftsincident vidtar OC de åtgärder som krävs enligt rutin.

OCs tekniska åtgärder och arbete innefattar att våra krav på personuppgifter hanteras enligt GDPR alltid säkerställas vid upphandling och utveckling av IT-lösningar och tjänster, och ska vara en del i kravspecifikationen och eventuella avtal. Inom organisation ska alltid relevant kompetens finnas inom dataskyddet, samt ska Dataskyddsombudet erbjudas relevant utbildning inom området för att kunna säkerställa utförandet av arbetsgifter. OC arbetar fortlöpande med auktorisationskrav och behörighetsstyrning för att säkerställa att kravet på konfidentialitet efterlevs.

Incidenter och haveri

OC ska vid eventuella incidenter/haverier rörande personuppgifter utan dröjsmål rapportera till Dataskyddsombudet. Dataskyddsombudet ska rapportera incidenten/haverier inom 72 timmar till Dataskyddsinspektionen. OC ska genom Dataskyddsombudet vidta nödvändiga åtgärder med anledning av incidenten. Alla typer av incidenter och haverier dokumenteras i ett incidentregister, där även åtgärd och ansvar framgår. Information ska ges till den registrerade som är drabbad. Vid en större incident eller haveri som är oproportionerlig ska allmänheten informeras.

Upprättad av: Dataskyddsombud A.H, 180525

Godkänd av: VD Malin Novakovic, 180525