Dataskyddspolicy
Den 27 april 2016 antogs Europaparlamentets och Rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (”Dataskyddsförordningen”).
Dataskyddsförordningen kommer att ersätta de nationella datasyddslagstiftningarna i samtliga EU-länder och tillämpas likvärdigt i alla EU-länder med undantag för mindre särreglering. Reglerna i Dataskyddsförordningen skiljer sig inte nämnvärt från dagens regler gällande behandling av personuppgifter enligt personuppgiftslagen (1998:204), med undantag för att det införs mer omfattande skyldigheter för personuppgiftsbiträden och att det införs högre sanktionsavgifter för brott mot Dataskyddsförordningen. Enligt beslutet gäller Dataskyddsförordningen från och med den 25 maj 2018.
Inom Softronic finns personuppgifter huvudsakligen inom 2 olika områden – dels inom personalrelaterade system (t.ex. personalsystem, lönesystem, reseräkning etc.) och dels i system som körs åt kund där dessa system innehåller personuppgifter.
Det är den personuppgiftsansvarige som är ansvarig för att informationen hanteras korrekt – i det första fallet är Softronic den ansvarige parten (dvs. den som är personuppgiftsansvarig) och i det andra fallet är det kunden som har denna roll – Softronic är här biträde. I det senare fallet måste ett biträdesavtal samt en biträdesinstruktion (data protection agreement, data protection instruction) upprättas mellan Softronic och kunden som tydliggör vilka och hur personuppgifter ska hanteras.
Den personliga integriteten är viktig att upprätthålla. Personuppgifter måste behandlas med största försiktighet och i enlighet med relevanta lagar, EU 2016/679 GDPR och myndighetskrav.
- Förordningen syftar till att stärka enskilda personers rättigheter genom att ge dem större kontroll över sina egna personuppgifter.
- Dataskyddsförordningen omfattar alla verksamheter som behandlar persondata; information om anställda, kunder, användare, leverantörer och liknande.
Syfte
Personuppgifter måste hanteras på ett säkert sätt i enlighet med lagar och myndighetskrav så att den personliga integriteten skyddas.
Generell dataskyddspolicy
Följande gäller på Softronic avseende hantering av personuppgifter:
- information innehållande personuppgifter ska som lägst klassificeras som:
- konfidentialitet – konfidentiell;
- riktighet – kritisk;
- tillgänglighet – inga minimikrav;
- då extern part anlitas för att hantera personuppgifter inom Softronics ansvar ex en leverantör av tjänster, måste ett personuppgiftsbiträdesavtal med tillhörande personuppgiftsinstruktion som klargör hur personuppgifter ska hanteras;
- då extern part anlitas för att hantera personuppgifter som Softronics hanterar åt kund dvs där Softronic är biträde, måste underbiträdesavtal med tillhörande underbiträdesinstruktion som klargör hur personuppgifter ska hanteras upprättas som godkänns av kunden alternativt att kunden tillhandahåller motsvarande;
- personuppgifter måste hanteras i enlighet med rådande lagstiftning;
- dataskyddsombudet ska kontrollera att personuppgifter hanteras korrekt, och rapportera eventuella avvikelser till den personuppgiftsansvarige alternativt till tillsynsmyndighet.
- Uppgifter som Softronic inte längre behöver för kontraktuell- och/eller laglig uppfyllnad, raderas snarast då det är möjligt.
- Personuppgifter ska ges ett tillräckligt skydd. För detta skall sk DPIA (Data Protection Impact Analyses) genomföras för att lyfta fram risker med hanteringen och kunna bedöma rätt nivå av skydd i förhållande till kostnader, kategorier av behandlat persondata och den tekniska utvecklingen.
Molntjänster
Softronic levererar flera olika montjänster till våra kunder. Dessa kan vara olika infrastrukturella/plattforms tjänster baserat på Microsoft Azure samt AWS och Mjukvara som tjänst ex. Microsoft Business Central, Microsoft Dynamics m fl. Softronic säkerställer att det finns giltiga sk. Binding Corporate Rules eller Standard Contract Clauses med leverantörens garantier för att Europeisk lag, i synnerhet GDPR EU2016/679, efterlevs och att leverantören har ett adekvat dataskydd (skydd av personuppgifter) som motsvarar lagliga krav. Våra tjänster produceras inom EU hos Microsoft och AWS i något av deras datacenter. Vissa tjänster kan levereras helt inom Sverige från våra lokala datacenter i ett privat moln.
Vi rekommenderar alltid våra kunder att genomföra en egen konsekvens och riskanalys av att lägga personuppgiftsbehandlingar i molnbaserade tjänster som grund i sitt beslut.
Intresseavvägning Nyhetsbrev
Softronic har idag befintliga kunder och kontakter som vi har kontinuerlig dialog med gällande avtal, kundprojekt samt upphandlingar.
Softronic har sedan 2021 skickat nyhetsbrev från Microsoft CRM Marketing modul. Vi har som grund för detta tagit beslut om att Softronic kan göra utskick till de kontakter som omnämns ovan i och med bedömningen ”intresseavvägning enligt GDPR”.
- Direktmarknadsföring: Behandling av personuppgifter för direktmarknadsföring kan betraktas som ett berättigat intresse.
Då vi har en befintlig och pågående relation (ingånget avtal) till kunden anser vi det ett berättigat intresse. Detta innebär att Softronic får skicka relevant information per epost till kontakter exempelvis nyhetsbrev, en inbjudan till ett event/webinar etc.
Kontakterna kan även i vissa fall ha registrerat sig för ett webinar eller på annat sätt deltagit i Softronics kundaktiviteter och då givit sitt samtycke till att vi fått samla in och lagra nödvändiga personuppgifter.
Det finns även en prenumerationslänk till våra nyhetsbrev på softronic.se där de som är intresserade kan registrera sig för Softronics nyhetsbrev. Samtycker du till att ta emot våra nyhetsbrev och utskick samtycker du även till att vi samlar in information om hur du interagerar med vårt nyhetsbrev vilket ger oss lärdomar kring hur vi kan förbättra vårt innehåll till dig.
Kunden eller prenumeranten kan alltid välja att avregistrera sig från nyhetsbrevet/utskicket.
Vi följer som alltid Softronics integritetspolicy och samlar endast in nödvändig information för att fullfölja våra åtaganden.