Dataskyddspolicy

Den 27 april 2016 antogs Europaparlamentets och Rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (”Dataskyddsförordningen”).

Dataskyddsförordningen kommer att ersätta de nationella datasyddslagstiftningarna i samtliga EU-länder och tillämpas likvärdigt i alla EU-länder med undantag för mindre särreglering. Reglerna i Dataskyddsförordningen skiljer sig inte nämnvärt från dagens regler gällande behandling av personuppgifter enligt personuppgiftslagen (1998:204), med undantag för att det införs mer omfattande skyldigheter för personuppgiftsbiträden och att det införs högre sanktionsavgifter för brott mot Dataskyddsförordningen. Enligt beslutet gäller Dataskyddsförordningen från och med den 25 maj 2018.

Inom Softronic finns personuppgifter huvudsakligen inom 2 olika områden – dels inom personalrelaterade system (t.ex. personalsystem, lönesystem, reseräkning etc.) och dels i system som körs åt kund där dessa system innehåller personuppgifter.

Det är den personuppgiftsansvarige som är ansvarig för att informationen hanteras korrekt – i det första fallet är Softronic den ansvarige parten (dvs. den som är personuppgiftsansvarig) och i det andra fallet är det kunden som har denna roll – Softronic är här biträde. I det senare fallet måste ett biträdesavtal samt en biträdesinstruktion (data protection agreement, data protection instruction) upprättas mellan Softronic och kunden som tydliggör vilka och hur personuppgifter ska hanteras.

Den personliga integriteten är viktig att upprätthålla. Personuppgifter måste behandlas med största försiktighet och i enlighet med relevanta lagar, EU 2016/679 GDPR och myndighetskrav.

  • Förordningen syftar till att stärka enskilda personers rättigheter genom att ge dem större kontroll över sina egna personuppgifter.
  • Dataskyddsförordningen omfattar alla verksamheter som behandlar persondata; information om anställda, kunder, användare, leverantörer och liknande.

Syfte

Personuppgifter måste hanteras på ett säkert sätt i enlighet med lagar och myndighetskrav så att den personliga integriteten skyddas.

Generell dataskyddspolicy

Följande gäller på Softronic avseende hantering av personuppgifter:

  • information innehållande personuppgifter ska som lägst klassificeras som:
    • konfidentialitet – konfidentiell;
    • riktighet – kritisk;
    • tillgänglighet – inga minimikrav;
  • då extern part anlitas för att hantera personuppgifter inom Softronics ansvar ex en leverantör av tjänster, måste ett personuppgiftsbiträdesavtal med tillhörande personuppgiftsinstruktion som klargör hur personuppgifter ska hanteras;
  • då extern part anlitas för att hantera personuppgifter som Softronics hanterar åt kund dvs där Softronic är biträde, måste underbiträdesavtal med tillhörande underbiträdesinstruktion som klargör hur personuppgifter ska hanteras upprättas som godkänns av kunden alternativt att kunden tillhandahåller motsvarande;
  • personuppgifter måste hanteras i enlighet med rådande lagstiftning;
  • dataskyddsombudet ska kontrollera att personuppgifter hanteras korrekt, och rapportera eventuella avvikelser till den personuppgiftsansvarige alternativt till tillsynsmyndighet.
  • Uppgifter som Softronic inte längre behöver för kontraktuell- och/eller laglig uppfyllnad, raderas snarast då det är möjligt.
  • Personuppgifter ska ges ett tillräckligt skydd. För detta skall sk DPIA (Data Protection Impact Analyses) genomföras för att lyfta fram risker med hanteringen och kunna bedöma rätt nivå av skydd i förhållande till kostnader, kategorier av behandlat persondata och den tekniska utvecklingen.