Integritetspolicy

 
 

1. Inledning

Denna integritetspolicy beskriver hur NYAB AB och NYAB Infrastruktur AB, nedan gemensamt benämnda ”NYAB”, samlar in, använder och lagrar Dina personuppgifter. Syftet med policyn är att säkerställa att NYAB hanterar personuppgifter i enlighet med Dataskyddsförordningen.

Denna policy är tillämplig för NYABs styrelseledamöter, medarbetare samt uppdragstagare som berörs av NYABs verksamhet.

2. Vad är en personuppgift?

En personuppgift är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Exempel på personuppgifter är: personnummer, namn, adresser, telefonnummer och e-mailadresser eller en eller flera faktorer som är specifika för den fysiska personens identitet.

En identifierad eller identifierbar fysisk person vars personuppgifter behandlas benämns ”registrerad”.

3. Vad är personuppgiftsbehandling?

Alla former av åtgärder med personuppgifter är personuppgiftsbehandling. Exempel på personuppgiftsbehandling är: insamling, registrering, organisering, lagring, bearbetning, läsning, spridning, justering, radering eller förstöring.

Varje personuppgiftsbehandling ska ske enligt följande principer:

• Laglighet

• Ändamålsbegränsning

• Uppgiftsminimering

• Korrekthet

• Lagringsminimering

• Integritet och konfidentialitet

4. Personuppgiftsansvarig

NYAB Sverige AB är personuppgiftsansvarig för de personuppgifter som lämnas till NYAB Sverige AB och ansvarar för att behandlingen av personuppgifterna sker i enlighet med aktuell lagstiftning.

NYAB Infrastruktur AB är personuppgiftsansvarig för de personuppgifter som lämnas till NYAB Infrastruktur AB och ansvarar för att behandlingen av personuppgifterna sker i enlighet med aktuell lagstiftning.

5. NYABs personuppgiftsbehandling

NYAB har alltid en laglig grund för behandling av personuppgifter. Oftast är det nödvändigt för att fullgöra avtal men det kan även ske efter samtycke, om det krävs för att tillvarata rättsliga anspråk eller på grund av lagkrav. NYAB kan även behandla personuppgifter om det finns ett berättigat intresse. Det berättigade intresset väger då tyngre än den registrerades intresse av att NYAB inte behandlar dennes personuppgifter.

Anställningsförhållanden

För att sköta administrering, utbetalning av löner och kontakt med anställda måste NYAB behandla anställdas personuppgifter.

Personuppgifter

Namn, e-postadress, telefonnummer, eventuella anhöriga, kontouppgifter, lönespecifikationer, uppgifter om frånvaro och arbetsgivarintyg.

Laglig grund

Behandlingen är nödvändig för att kunna uppfylla anställningsavtal och administrera samt utbetala lön.

NYAB har som arbetsgivare en rättslig förpliktelse att tillhandahålla Skatteverket med anställdas kontrolluppgifter.

Personuppgifterna sparas så länge det finns ett förhållande med den registrerade, samt en tid därefter så länge det finns laglig grund.

Uppgifternas ursprung

Uppgifterna kommer från den registrerade själv och lämnas till oss vid ingåendet av avtal eller under avtalsförhållandet. Lönespecifikationer genereras i NYABs lönesystem och arbetsgivarintyg skapas av HR-avdelningen.

Leverantörer och kunder

NYAB köper tjänster av leverantörer och levererar tjänster till kunder. Detta medför ett behov av att behandla leverantörernas och kundernas personuppgifter för att kunna göra utbetalningar och för att kontakta leverantörer. Då kan samarbetet mellan NYAB och leverantörer/kunder löpa effektivt och smidigt. De personuppgifter som behandlas i förhållande till leverantörer/kunder är namn och kontaktuppgifter. För leverantörer/kunder som är fysiska personer hanteras även personnummer och betalningsinformation. Behandlingen är nödvändig för att NYAB ska kunna fullgöra sina leverantörs- och kundavtal. Personuppgifterna sparas så länge det finns ett förhållande med den registrerade och en tid därefter så länge det finns laglig grund.

6. Personuppgiftsbiträde

Ett personuppgiftsbiträde är någon som behandlar personuppgifter för den personuppgiftsansvariges räkning.

NYAB använder i sin verksamhet olika konsulter.

I de fall NYAB anlitar ett personuppgiftsbiträde måste NYAB ingå ett skriftligt avtal med personuppgiftsbiträdet. I avtalet ska det särskilt föreskrivas att personuppgiftsbiträdet bara får behandla personuppgifterna i enlighet med instruktionerna från NYAB och att biträdet måste vidta de säkerhetsåtgärder som behövs för att skydda uppgifterna.

NYAB kan enbart överlåta den faktiska behandlingen av personuppgifter till personuppgiftsbiträdet. Personuppgiftsansvaret kan aldrig överlåtas.

7. Vem lämnar NYAB ut personuppgifter till?

NYAB lämnar endast ut personuppgifter (i) till personuppgiftsbiträden, (ii) för att förhindra skräppost eller bedrägeriförsök, (iii) om skyldighet till utlämnande följer av lag, (iv) om det behövs för att förhindra eller stoppa en överbelastningsattack eller liknande på NYABs IT-system.

NYAB kommer inte sälja Dina personuppgifter till tredje part.

NYAB kommer inte överföra Dina personuppgifter till länder utanför EU/EES.

8. E-post och annan ostrukturerad data

NYAB har en särskild IT-policy för bland annat behandling av personuppgifter i e-post och annan ostrukturerad data. För att NYAB ska kunna hantera e-post krävs en rättslig grund. Denna kan bestå i en pågående avtalsrelation eller i förhandlingar om ett avtal. Den kan också, efter en intresseavvägning, bestå i ett berättigat intresse för NYAB att hantera personuppgifter i e-posten eller att avsändaren uttryckligen samtyckt till att NYAB hanterar personuppgifter i e-posten.

9. Ändring av integritetspolicyn

NYAB har rätt att när som helst ändra integritetspolicyn. NYAB kommer att revidera integritetspolicyn på en årlig basis.

10. Rättigheter

NYAB ansvarar för att personuppgifter behandlas i enlighet med gällande lagstiftning.

NYAB kommer på begäran eller på eget initiativ att rätta, avidentifiera, radera eller komplettera uppgifter som upptäcks vara felaktiga, ofullständiga eller missvisande.

Varje person som NYAB har registrerat personuppgifter om har rätt att begära:

• Tillgång till sina personuppgifter. Detta innebär en rättighet för varje registrerad att begära ett registerutdrag över den behandling som NYAB genomför avseende personuppgifter. Vidare en rätt att få en kopia av de personuppgifter som behandlas. Varje registrerad har rätt att en gång per kalenderår, genom en skriftligt undertecknad ansökan, kostnadsfritt erhålla ett registerutdrag om vilka personuppgifter som finns registrerade, ändamålen med behandlingen och till vilka mottagare uppgifterna har lämnats eller ska lämnas ut till. Det föreligger även en rätt att i registerutdraget få information om var uppgifterna har hämtats ifrån om personuppgifterna inte har samlats in från den registrerade. Samt den förutsedda period under vilken uppgifterna kommer att lagras eller hur denna period fastställs. Varje registrerad har vidare rätt att i registerutdraget få information om sina övriga rättigheter enligt denna punkt.

• Rättelse av personuppgifter. NYAB kommer på begäran att så snabbt som möjligt rätta de felaktiga eller ofullständiga personuppgifter vi behandlar.

• Radering av sina personuppgifter. Varje registrerad har rätt att begära att personuppgifter tas bort om de inte längre är nödvändiga för det ändamål de samlades in för. Det kan dock finnas lagkrav som hindrar NYAB från att radera personuppgifter, exempelvis i bokförings- och skattelagstiftning. NYAB kommer då att avsluta all annan behandling av personuppgifterna.

• Begränsning av behandling. Detta innebär att personuppgifter markeras så att de endast får behandlas för vissa avgränsade ändamål. En registrerad kan bland annat begära begränsning om den registrerade anser att de uppgifter NYAB behandlar om den registrerade är felaktiga och rättelse har begärts enligt ovan. Under tiden uppgifternas korrekthet utreds kommer behandlingen av dem att begränsas.

NYAB kommer att underrätta varje mottagare till vilken uppgifterna har lämnats enligt punkt 7 ovan om eventuella rättelser, radering av och begränsning av personuppgifter.

Varje registrerad har rätt till dataportabilitet. Detta innebär en rätt att under vissa förutsättningar få ut och överföra registrerade personuppgifter i ett strukturerat, allmänt använt och maskinläsbart format till en annan personuppgiftsansvarig.

Varje registrerad har rätt att inge eventuella klagomål angående behandlingen av sina personuppgifter till Datainspektionen.

11. Hantering vid säkerhetsincidenter

Exempel på säkerhetsincidenter är obehörig åtkomst eller annan otillåten påverkan avseende personuppgifterna stöld, förlust, bortglömd dator, tappad dator och tappat USB minne.

Säkerhetsincidenter som berör personuppgifter som behandlas av NYAB ska utan dröjsmål rapporteras i enlighet med kontaktinformationen nedan. Efter risk- och konsekvensanalys ska nödvändiga åtgärder för att minimera negativa effekter av incidenten vidtas. Vidare ska det göras en bedömning av om säkerhetsincidenten ska rapporteras till Datainspektionen vilket i så fall ska ske inom 72 timmar.

12. Kontaktinformation

Vid frågor om vår integritetspolicy eller vår behandling av Dina personuppgifter eller om Du vill begära ett registerutdrag är Du välkommen att kontakta NYABs KMA-chef Magnus Broström. E-mail: magnus.brostrom@nyabab.se