Integritetspolicy

Version 2, 20200827 / K.S

Integritetspolicy

Följande Policy har upprättats för KIA Kvalitetsstäd AB, org nr 556686-4772, nedan kallat ¨företaget¨ den 27 augusti 2020.

Introduktion

På företaget arbetar vi strukturerat för att behandla personuppgifter på ett korrekt och lagligt sätt. I den här policyn beskrivs våra övergripande rutiner för hantering av personuppgifter. Denna policy gäller för anställd, kund, leverantör och samarbetspartner. Den gäller även användandet av våra tjänster samt Webbtjänster. Personuppgifter är information som enskilt eller i kombination med andra tjänster används för att identifiera en fysiskt levande person. Det kan t.ex. vara namn, adress, e-postadress, telefonnummer eller annan information som Du lämnat för att vi skall kunna uppfylla våra åtaganden gentemot Dig.

Roller och ansvar

VD har ett övergripande ansvar att driva och övervaka de frågor som behandlas i denna policy. Samtliga chefer är ansvariga för den egna organisationens efterlevnad. Roller och ansvar förs i företagets organisationsstruktur.

Principer för vår personuppgiftsbehandling

Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Vi ska vara transparanta om vilka uppgifter vi hanterar. 

Insamling av personuppgifter sker endast för berättigade ändamål. Vi ska med rimliga åtgärder se till att uppgifterna är korrekta. Vi behandlar olika kategorier av personuppgifter med olika ändamål och rättsliga grunder. Därför skiljer sig lagringstiderna beroende på i vilket ändamål vi behandlar Dina personuppgifter.

För att kunna säkerställa och visa att vi lever upp till lagstiftningens krav samlar vi all dokumentation avseende vårt dataskyddsarbete samt register över behandling av personuppgifter på samma ställe, endast tillgängligt för ansvariga.

Upphandling av It-tjänster

Vid upphandling av It-tjänster, genomförs en riskanalys. Utfallet av denna bidrar sedan till valet av lösning/leverantör.

Vi undviker om möjligt överföring av personuppgifter till tredje land men när det bedöms lämpligt eller nödvändigt får detta endast ske efter tillräckliga säkerhetsåtgärder har vidtagits.

IT-säkerhet

Riskbedömning: Vi ska fortlöpande göra en riskbedömning av den behandling av personuppgifter som vi genomför. Vi ska vidta tekniska och organisatoriska åtgärder för att uppnå en säkerhetsnivå som är lämplig i förhållande till risken. Riskanalys och beslut om åtgärder ska dokumenteras.

Behörigheter: behörighet till IT-system tilldelas så att endast de personer som behöver tillgång till personuppgifterna har åtkomst. Beroende på uppgifternas känslighet kan behörigheterna vara snävare eller vidare.

Incidenthantering: säkerhetsincidenter dokumenteras i en avvikelsejournal med uppgift om omständigheterna kring personuppgiftsincidenten, dess effekter och de korrigerande åtgärder som vidtagits.

IT-policy/säkerhetspolicy: Vi har antagit en IT-policy/säkerhetspolicy där våra anställdas förhållningssätt till IT-miljön regleras mer i detalj.

Dataskydd

Vi ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa att Dina personuppgifter skyddas. Åtkomsystem krävs på samtliga datorer och telefoner som hanterar personuppgifter. De personuppgifter som finns på papper i pärmar och dylikt förvaras i låsta skåp.

Utbildning

Våra anställda ska få relevant och löpande information om behandling av personuppgifter. Vid behov ges utbildning till dem som hanterar känsliga uppgifter, denna dokumenteras i utbildningsplan.

Uppföljning och inter revision

Efterlevnaden av denna policy ska kontrolleras inom ramen för vårt Kvalitetsarbete och då i enlighet med plan för interna revisioner. Vi ska löpande utvärdera om vårt dataskyddsarbete lever upp till lagstiftningens krav och genomföra förändringar när det påkallat.