({{search.Data.length}} resultat)
{{settings.Localization.Data.SearchResult.EmptySearchResultSuggestion}}
En del av
Tre män cyklar på rad ute på landsbygden.

Fotograf: Tobias Andersson

Integritetspolicy

Next Skövde Destinationsutveckling AB

Inledning

Den 25 maj 2018 träder EU:s dataskyddsförordning General Data Protection Regulation 679/2016 (GDPR) i kraft. Förordningen ersätter personuppgiftslagen (1998:2014), PuL, och det till PuL bakomliggande direktivet. Eftersom det rör sig om en förordning blir regelverket direktverkande i medlemsstaterna även om viss kompletterande reglering sker i nationella lagar.

Den nya regleringen syftar till att stärka och harmonisera den rättsliga säkerheten för enskilda och deras personliga integritet men även att öka flexibilitet och förutsägbarhet för myndigheter och ekonomiska operatörer inom unionen genom ett enhetligt regelverk för att därigenom kunna utveckla den digitala ekonomin över hela den inre marknaden.

Då förordningen lägger betydande vikt vid att personuppgiftsansvarig kan visa att förordningen följs kommer det medföra ett ökat krav på dokumentation över de hanteringar inom bolag som innefattar personuppgifter. För vad fall bolag brister i sin hantering eller på annat sätt inte lever upp till de krav som ställs riskerar även bolag komma att åläggas sanktionsavgift eller skadeståndsansvar. Förordningen är inte tänkt att begränsa offentlighetsprincipen eller myndigheternas skyldigheter enligt arkivlagen.

 

Syfte omfattning

Då hantering av personuppgifter av olika slag och för skilda ändamål sker inom en rad olika verksamheter inom bolaget finns ett behov av ett övergripande policydokument för att sätta de ramar verksamheterna behöver iaktta vid personuppgiftshantering. Detta skall sedan kompletteras av rutiner som på ett mer detaljerat sätt stödjer verksamheterna i de processer och hanteringsfrågor som uppkommer.

Med begreppet personuppgift avses all information som direkt eller indirekt kan hänföras till en levande person. Som exempel på personuppgifter kan nämnas namn, personnummer, telefonnummer, e-postadress, ip-adress, fotografier etc. Exemplen är inte tänkta att vara uttömmande utan det avgörande för om det är en personuppgift är om uppgiften, av slag det än månde vara, kan härledes till en fysisk levande person. Denna policy tar sikte på sådan behandling av personuppgifter som helt eller delvis företas på automatiserad väg samt i övrigt vid behandling av personuppgifter som ingår eller kommer att ingå i ett register.

 

Personuppgiftshantering

Inom Next Skövde skall varje behandling av personuppgifter ske med iakttagande av den enskildes
integritet och med beaktande av de rättigheter som tillkommer de registrerade. Utifrån detta skall:

• Varje behandling av personuppgifter ske i enlighet med gällande lagstiftning.
• Behandlingen skall vara laglig, korrekt och öppen gentemot den registrerade.
• Innan behandling påbörjas – ett särskilt och uttryckt ändamål med behandlingen vara fastställt. Behandling av personuppgifter ska/får inte ske för ett ändamål som är oförenligt med det ursprungliga ändamålet.
• Insamling av personuppgifter inte vara mer omfattande än nödvändigt. Detta innebär att endast uppgifter som är adekvata och relevanta får samlas in. Uppgifterna skall vara uppdaterade och korrekta.
• Insamlade personuppgifter ska endast bevaras i identifierbar form så länge det är nödvändigt för ändamålet och inte annat följer av lag.
• Åtkomst till personuppgifter begränsas till de som är behöriga.
• Sådana organisatoriska och tekniska åtgärder för att skydda personuppgifterna som utifrån riskanalyser och säkerhetsklassningar bedöms erforderliga vidtas.
• Personuppgiftsansvarig kunna påvisa sin följsamhet till förordningen och däri angivna regler/principer.
• Varje behandling av personuppgifter skall ske på sådant sätt att risken för den registrerade minimeras.

 

Personuppgiftsansvar

Det åvilar personuppgiftsansvarig i Next Skövde att säkerställa att regelverket för hanteringen av
personuppgiftshantering följs. Detta innefattar ansvaret att säkerställa bl.a. att:

• Ändamål och syfte med behandling av personuppgifter fastställs innan behandlingen påbörjas.
• Kännedom finns om var personuppgifter förekommer, hur de används och rutiner finns på plats att kunna informera berörda personer vid begäran.
• Det finns tekniska och organisatoriska förutsättningar att behandla personuppgifter med erforderlig säkerhet.
• Registerföring sker över personuppgiftsbehandlingar.
• Personuppgiftsbiträdesavtal upprättas när biträden anlitas.
• Rutiner finns på plats dels för att tillgodose de registrerades rättigheter dels i övrigt fullgöra skyldigheter som ankommer på personuppgiftsansvarig såsom t.ex. anmälningsskyldighet vid personuppgiftsincidenter.
• Genom dokumentation säkerställa att man kan styrka att lagstiftningens krav är uppfyllda.

Styrelsens ansvar

Riktlinjer/rutiner

Det åvilar särskilt styrelsen, genom dess tillsynsansvar, att säkerställa att bolagets arbete med förordningens efterföljande sker på ett korrekt och samordnat sätt. I syfte att underlätta personuppgiftsansvarigs fullgörande av sina skyldigheter skall därför styrelsen inom ramen för och med iakttagande av denna policy svara för framtagande och uppdateringar av mer detaljerade rutiner, mallar och annat underlag som underlättar de personuppgiftsansvarigas fullgörande av sitt ansvar. Detta innefattar emellertid inte någon inskränkning eller begränsning på personuppgiftsansvarigs
ansvar.