Personuppgiftspolicy på arbetsplats - mallformulär Pro · SE-law

Datum för publicering ________

PERSONUPPGIFTSPOLICY

Behandling av personuppgifter i enlighet med Europaparlamentets och rådets förordning (EU) 2016/679 (dataskyddsförordningen, "GDPR") samt lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning

§ 1. Allmänt och personuppgiftsansvarig

Företaget ________, org.nr ________, med adress ________ ("Företaget"), har antagit denna personuppgiftspolicy ("Policyn") i egenskap av personuppgiftsansvarig enligt artikel 4.7 GDPR för den behandling av personuppgifter som sker inom verksamheten.

Policyn ställer upp regler och riktlinjer kring hur personuppgifter hanteras på arbetsplatsen. Den anger bl.a. vilka personuppgifter som behandlas, hur de samlas in, hur de används, hur de registrerade kan utöva sina rättigheter samt hur de kan komma i kontakt med ansvarig vid frågor.

Policyn gäller för samtliga fysiska personer vars personuppgifter behandlas inom ramen för ________s verksamhet, fortsatt benämnda "de registrerade". Hit räknas framförallt nuvarande, tidigare och kommande anställda, men även konsulter, praktikanter och andra individer som kommer i kontakt med verksamheten och på något sätt delar sina personuppgifter.

§ 2. Syfte

Syftet med Policyn är att säkerställa att personuppgiftshanteringen inom verksamheten sker i enlighet med GDPR, dataskyddslagen (2018:218) och annan gällande lagstiftning. Policyn syftar även till att skapa transparens och tydlighet kring hur personuppgifter behandlas samt ge de registrerade insyn i hur personuppgifterna skyddas.

§ 3. Definition av personuppgifter

Lorem ipsum dolor sit amet consectetur adipiscing elit sed do eiusmod tempor incididunt ut labore et dolore magna aliqua ut enim ad minim veniam quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat duis aute irure dolor in reprehenderit voluptate velit esse cillum dolore eu fugiat nulla pariatur lorem ipsum dolor sit amet consectetur adipiscing elit sed do eiusmod tempor.

Med särskilda kategorier av personuppgifter avses enligt artikel 9 GDPR uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt genetiska och biometriska uppgifter, uppgifter om hälsa eller om en persons sexualliv eller sexuella läggning. Sådana uppgifter behandlas endast om det finns rättslig grund enligt artikel 9 GDPR.

§ 4. Personuppgifter som kan komma att behandlas

Följande personuppgifter kan samlas in och behandlas av Företaget:

________

Personuppgifterna kan antingen samlas in i samband med rekryteringsprocessen, vid en anställnings, praktiks eller uppdrags påbörjande eller löpande under anställningen eller samarbetet. Insamling kan även ske i samband med en anställnings/ett samarbetes upphörande för att t.ex. kunna uppfylla rättsliga förpliktelser gentemot myndigheter som Skatteverket.

§ 5. Ändamål med behandlingen av personuppgifter

Personuppgifterna sparas och behandlas för följande ändamål:

________

Personuppgifter behandlas endast för de uttryckligt angivna och berättigade ändamål för vilka de samlats in och behandlas inte på ett sätt som är oförenligt med dessa ändamål (artikel 5.1 b GDPR).

§ 6. Den rättsliga grunden för behandlingen

Den huvudsakliga rättsliga grunden för behandlingen av personuppgifter är fullgörande av anställningsavtalet eller liknande avtal, t.ex. uppdragsavtal eller praktikantavtal (artikel 6.1 b GDPR), vilket innebär att behandlingen är nödvändig för att Företaget ska kunna fullgöra sina skyldigheter gentemot de registrerade, som t.ex. utbetalning av lön, hantering av pension, semester och andra arbetsrelaterade frågor.

Vissa personuppgifter behandlas vidare för att fullgöra en rättslig förpliktelse som åvilar Företaget (artikel 6.1 c GDPR), bl.a. till följd av krav i lag, kollektivavtal eller i förhållande till Skatteverket och försäkringsbolag.

Behandling kan i vissa fall även ske med stöd av en intresseavvägning (artikel 6.1 f GDPR), under förutsättning att Företagets berättigade intresse väger tyngre än de registrerades intresse av skydd för sina personuppgifter, eller med stöd av samtycke (artikel 6.1 a GDPR).

§ 7. Hur personuppgifterna samlas in

De flesta personuppgifter som behandlas samlas in från de registrerade i fråga i samband med t.ex. rekrytering, ingående av avtal eller vid lönehantering. De kan dock även samlas in från offentliga register som Skatteverket eller Försäkringskassan eller från interna system.

Vid all insamling är det endast de uppgifter som är nödvändiga för aktuellt ändamål som behandlas (principen om uppgiftsminimering, artikel 5.1 c GDPR).

§ 8. Tillgång till personuppgifterna

Följande avdelning/personer har tillgång till de personuppgifter som samlas in och behandlas av Företaget:

________

§ 9. Mottagare och tredje man

Personuppgifterna kan komma att delas med tredje man enligt följande:

________

I de fall Företaget anlitar personuppgiftsbiträden regleras behandlingen genom personuppgiftsbiträdesavtal i enlighet med artikel 28 GDPR.

§ 10. Överföring till tredjeland

Företaget eftersträvar att behandla personuppgifter inom EU/EES. Sker överföring till land utanför EU/EES vidtas lämpliga skyddsåtgärder i enlighet med kapitel V GDPR, t.ex. genom EU-kommissionens standardavtalsklausuler eller beslut om adekvat skyddsnivå. Eventuella överföringar sker enligt följande:

________

§ 11. Samtycke

Behandlingen av personuppgifter sker i huvudsak med stöd av anställningsavtal, rättslig förpliktelse eller berättigat intresse, och normalt inte med stöd av samtycke.

I de situationer behandling av personuppgifter ändå sker med stöd av samtycke kommer det att inhämtas frivilligt och vara tydligt och informativt i enlighet med artikel 7 GDPR. Det kan t.ex. bli aktuellt inför publicering av bilder på sociala medier eller webbplats.

§ 12. Återkallande av samtycke

De registrerade som har lämnat samtycke till behandling av personuppgifter kan när som helst välja att återkalla det, utan att det påverkar lagligheten av behandling som skett före återkallandet. När samtycket återkallats kan det även begäras att personuppgifterna raderas, i den mån annan rättslig grund saknas.

Återkallelse av samtycke och eventuell begäran om radering görs genom att kontakta Företagets kontaktperson i dataskyddsfrågor ________ via telefon på telefonnummer ________ eller via e-post ________.

§ 13. Period som personuppgifterna sparas

Personuppgifterna sparas endast så länge det är nödvändigt för att uppfylla ändamålet, eller så länge det är nödvändigt enligt lag (principen om lagringsminimering, artikel 5.1 e GDPR). När uppgifterna inte längre behövs raderas, anonymiseras eller arkiveras de på ett säkert sätt.

För de registrerade innebär detta vanligtvis att uppgifterna sparas under hela anställnings-/uppdragsperioden men även under den period som anses nödvändig därefter för att Företaget ska kunna fullfölja sina rättsliga förpliktelser gällande bl.a. skatt och bokföring (jfr bokföringslagen [1999:1078] om sju års arkivering).

Vissa uppgifter kan behöva sparas under en längre period, t.ex. då det krävs av en myndighet eller vid pågående tvister. Tillämpliga gallringsfrister anges enligt följande:

________

§ 14. De registrerades rättigheter

a) Rätt till tillgång (registerutdrag)

De registrerade har enligt artikel 15 GDPR rätt att få bekräftelse på huruvida deras personuppgifter behandlas. Behandlas personuppgifterna har personen i fråga rätt att få tillgång till dem samt till viss kompletterande information.

Registerutdrag begärs hos kontaktpersonen i dataskyddsfrågor ________ via telefon på telefonnummer ________ eller via e-post ________. Registerutdraget lämnas ut i skriftlig form, antingen digitalt eller via post, normalt inom en månad från begäran.

b) Rätt till rättelse

De registrerade har enligt artikel 16 GDPR rätt att få felaktiga personuppgifter rättade samt att komplettera ofullständiga personuppgifter. Begäran om rättelse görs genom att kontakta kontaktpersonen i dataskyddsfrågor ________ via telefon på telefonnummer ________.

c) Rätt till begränsning av behandling

De registrerade har enligt artikel 18 GDPR i vissa fall rätt att kräva att behandlingen av deras personuppgifter begränsas. Detta kan bl.a. bli aktuellt när den registrerade bestrider personuppgifternas korrekthet, när behandlingen är olaglig men den registrerade motsätter sig radering, eller när uppgifterna inte längre behövs men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara ett rättsligt anspråk. Begäran om begränsning görs genom att kontakta kontaktpersonen i dataskyddsfrågor ________ via telefon på telefonnummer ________.

d) Rätt till dataportabilitet

I vissa fall har en registrerad person enligt artikel 20 GDPR rätt att få ut de personuppgifter som denne tillhandahållit i ett strukturerat, allmänt använt och maskinläsbart format samt att överföra dessa till en annan personuppgiftsansvarig. Detta gäller behandling som grundas på samtycke eller avtal och som sker automatiserat.

e) Rätt att göra invändningar

I vissa fall har en registrerad person enligt artikel 21 GDPR rätt att göra invändningar mot hur dennes personuppgifter behandlas. Detta gäller bl.a. när personuppgifterna behandlas med stöd av en uppgift av allmänt intresse, som ett led i myndighetsutövning eller efter en intresseavvägning, samt alltid vid behandling för direktmarknadsföring.

f) Rätt till radering

De registrerade har enligt artikel 17 GDPR rätt att i vissa fall få sina personuppgifter raderade. Det finns undantag då denna rättighet inskränks, men i bl.a. följande fall ska uppgifterna raderas:

Lorem ipsum dolor sit amet consectetur adipiscing elit sed do eiusmod tempor incididunt ut labore et dolore magna aliqua ut enim ad minim veniam quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat duis aute irure dolor in reprehenderit voluptate velit esse cillum dolore eu fugiat nulla pariatur lorem ipsum dolor sit amet consectetur adipiscing elit sed do eiusmod tempor incididunt ut labore.

g) Automatiserat beslutsfattande

De registrerade har enligt artikel 22 GDPR rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering, om beslutet har rättsliga följder för den enskilde eller på liknande sätt i betydande grad påverkar denne.

h) Identifiering

Om en registrerad begär ut information om sig själv, eller begär att sådan information rättas, begränsas eller raderas, måste personen i fråga identifieras. Detta görs på följande sätt:

________

§ 15. Säkerhet

________ har vidtagit lämpliga tekniska och organisatoriska säkerhetsåtgärder i enlighet med artikel 32 GDPR för att garantera en trygg och säker hantering av de personuppgifter som behandlas. Säkerhetsåtgärderna syftar till att skydda uppgifterna mot manipulering, förlust, obehörig åtkomst, obehörig spridning och förstörelse.

Säkerhetsåtgärderna utvärderas och uppdateras kontinuerligt.

§ 16. Felaktig behandling och personuppgiftsincident

Anser en registrerad person att dennes personuppgifter har behandlats i strid med GDPR kan klagomål lämnas i första hand till Företaget och i andra hand till Integritetsskyddsmyndigheten (IMY), som är tillsynsmyndighet i Sverige.

Upptäcker Företaget att det uppstått en personuppgiftsincident ska denna, i de fall det krävs, anmälas till Integritetsskyddsmyndigheten utan onödigt dröjsmål och senast inom 72 timmar enligt artikel 33 GDPR. Berörda registrerade ska underrättas i enlighet med artikel 34 GDPR när incidenten sannolikt leder till en hög risk för fysiska personers rättigheter och friheter.

§ 17. Skadestånd

Vid en situation där en registrerad persons personuppgifter har behandlats i strid med GDPR kan rätt till skadestånd uppstå enligt artikel 82 GDPR. En skadeståndstalan kan föras i allmän domstol med tingsrätten som första instans.

§ 18. Kontakt

Vid frågor som rör Företagets behandling av personuppgifter ska kontaktpersonen i dataskyddsfrågor ________ kontaktas via telefon på telefonnummer ________ eller via e-post ________.

Telefontider: ________.

§ 19. Ändringar i Policyn

Denna Policy publicerades den ________.

Policyn kan komma att ändras, varför de registrerade uppmanas att läsa igenom den med jämna mellanrum. Ändringar kommer även att meddelas på följande sätt:

________