Skip to main content

Integritetspolicy

Integritetspolicy för behandling av personuppgifter

1. Vad är en integritetspolicy och varför finns den?

1.1 Var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Goda Råd värnar om personlig integritet och är alltid mån att följa tillämpligt regelverk i detta syfte.

1.2 Integritetspolicyn är avsedd att säkerställa att alla inom organisationen följer en bestämd rutin för behandling av personuppgifter. Den är också en informativ handling för de vars personuppgifter organisationen behandlar.

1.3 Sedan den 25 maj 2018 gäller dataskyddsförordningen (GDPR). Den är avsedd att ge skydd åt personer vars personuppgifter behandlas. Särskilda krav ställs på alla organisationer som behandlar personuppgifter.

1.4 Om en viss behandling av personuppgifter strider mot dataskyddsförordningen kan det leda till intrång i den personliga integriteten hos den vars uppgifter behandlas. För att säkerställa regelefterlevnaden kan dryga påföljder aktualiseras vid överträdelse (skadestånd eller sanktionsavgift på upp till tjugo miljoner EUR).

2. Tillämpningsområde och omfattning

2.1 Policyn ska tillämpas vid var tid av anställda på Goda Råd och/eller de med uppdrag från organisationen.

2.2 Policyn tillämpas på behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan än automatisk behandling av personuppgifter som ingår i eller kommer att ingå i ett register.

2.3 Goda Råds ledning ska säkerställa implementeringen och efterlevnaden av Integritetspolicyn i arbetet som utförs inom organisationen. Personal ska utbildas och vara väl bekanta med Integritetspolicyn.

2.4 Integritetspolicyn ska hållas tillgänglig och lätt åtkomlig vid var tid för all personal hos Goda Råd.

3. Grundläggande principer

3.1 Goda Råd ansvarar för att nedan nämnda principer ska efterlevas vid organisationens behandling av personuppgifter.

3.2 Personuppgifter ska behandlas lagligt, korrekt, och med den registrerades vetskap. Varje behandling ska ha laglig grund. Kan tillämplig laglig grund för behandlingen inte identifieras får behandlingen inte ske.

3.3 Kommunikationen med den registrerade, om bl.a. ändamålet med att personuppgifterna behandlas, vilken typ av behandling som utförs, om och hur personuppgifterna delas med andra, och hur länge personuppgifterna lagras, ska vara tydlig.

3.4 Personuppgifter ska samlas in och behandlas för uttryckligt angivna och berättigade ändamål. De får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.

3.5 Goda Råd har alltid för avsikt att behandla minsta möjliga mängd personuppgifter, som i sammanhanget är adekvata och relevanta. Uppgifterna som inhämtas ska vara begränsade till mängd och art i förhållande till ändamålet.

3.6 Goda Råd ska, i samverkan med uppgiftslämnaren, men även självständigt för egen del, eftersträva att lagra korrekta uppgifter. Felaktiga eller ofullständiga uppgifter ska kompletteras och/eller rättas. Eventuella nödvändiga kopior (t.ex. säkerhetskopior), ska innehålla uppgifter som överensstämmer med originalet.

3.7 Den registrerade ska ha rätt att av Goda Råd utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Med beaktande av ändamålet med behandlingen, ska den registrerade ha rätt att komplettera ofullständiga personuppgifter, bland annat genom att tillhandahålla ett kompletterande utlåtande.

3.8 Personuppgifter ska endast lagras under nödvändig tid, beaktat ändamålet med behandlingen. Gallring ska ske regelbundet, varvid uppgifter som inte längre behövs elimineras.

3.9 Principen om ansvarsskyldighet innebär att organisationen ska kunna visa att GDPR efterlevs. Planerade processer och åtgärder för dataskyddsfrågor ska dokumenteras. Register ska föras över alla typer av behandlingar av personuppgifter som utförs, och registret ska kunna uppvisas för tillsynsmyndigheten på begäran.

4. Personuppgifters behandling

4.1 Med personuppgifter avses varje upplysning som avser en identifierad eller identifierbar fysisk person (registrerad). Identifierbar fysisk person är den som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

4.2 Med behandling avses en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

4.3 Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter, uppgifter om hälsa eller uppgifter om en persons sexualliv eller sexuella läggning är förbjuden (med vissa undantag). De vanligaste undantagen är att den registrerade lämnat samtycke eller själv offentliggjort uppgifterna.

4.4 Behandling av personnummer får bara utföras om det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering, eller något annat beaktansvärt skäl.

4.5 Uppgifter om lagöverträdelser får endast behandlas i vissa särskilda fall.

5. Principer för behandling av personuppgifter

5.1 Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet). Registrering av personuppgifter sker förutsatt att den registrerade har lämnat sitt samtycke. Bevisbördan för samtycke åvilar den som behandlar personuppgiften. Särskilda krav finns som måste vara uppfyllda för att samtycke ska anses giltigt. Samtycke är möjlig att återkalla.

5.2 Uppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte behandlas senare på ett sätt som är oförenligt med dessa ändamål (ändamålsbegränsning).

5.3 Uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering).

5.4 De ska vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (korrekthet).

5.5 De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt denna förordning genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering).

5.6 De ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet).

5.7 Behandlingen får ske om den är nödvändig för ändamål som rör Goda Råds eller tredje parts intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter. Intresseavvägning ska ske. Vid intresseavvägning tillkommer särskilda krav på dokumentation avseende den bedömning som gjorts.

6. Säkerhetsåtgärder, behörighetsstyrning, åtkomst, radering

6.1 Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål, samt riskerna av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken.

6.2 Personuppgifter får inte bevaras längre än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Gallringsrutin ska finnas för att säkerställa det strukturerade gallringsarbetet. Även i ostrukturerat material såsom i dokument på servrar, i en enkellista, på webbplatser etc behöver personuppgifter raderas när ändamålet med behandlingen är uppfyllt.

7. Överföring till tredje land
7.1 För överföring av personuppgifter till länder utanför EU och EES gäller särskilda regler. Dataskyddsförordningen innebär att alla EU:s medlemsstater samt EES-länderna har ett likvärdigt skydd för personuppgifter och personlig integritet och därför kan personuppgifter föras över fritt inom det området utan begränsningar. För länder utanför det området finns däremot inte några generella regler som ger motsvarande garantier och därför får tredjelandsöverföring endast ske under särskilda förutsättningar. Det här gäller varje form av överföring av information över gränserna, t.ex. online IT-tjänster, moln-tjänster, tjänster för extern åtkomst eller globala databaser m.m.

8. Konsekvensbedömning

8.1 Goda Råd ska i organisationens arbete identifiera och hantera integritetsrisker. Strukturerad uppföljning ska finnas. Särskilda risker för fysiska personers rättigheter och friheter kan exempelvis förekomma i samband med en viss typ av behandling av uppgifter, vid vissa typer av tjänster, vid behandling av särskilt känsliga uppgifter, vid mängdhantering, eller vid användning av tekniska redskap.

8.2 Vid förhöjd risk för fysiska personers rättigheter och friheter, t.ex. vid nytt slags uppgiftsbehandling, ska en bedömning göras av effekterna av de påtänkta behandlingarna innan behandlingen påbörjas. Sådan bedömning ska alltid ske i samråd med personuppgiftsansvarige.

9. Registerutdrag och utlämnande

9.1 Goda Råd ansvarar för att på begäran samarbeta med registrerade, och i tillräcklig grad tillmötesgå och besvara frågor och önskemål beträffande organisationens behandling av personuppgifter.

9.2 Den som är tänkt att registreras ska få information om att personuppgifter samlas in. Denna information ska presenteras klart och tydligt före insamlingen. Medgivande ska efterfrågas.

9.3 Den registrerade har också rätt att få bekräftat huruvida dennes personuppgifter behandlas. Denne ska tillhandahållas kopia på begäran (registerutdrag).

9.4 Om personuppgifter som behandlas är felaktiga eller ofullständiga kan den registrerade kräva korrigering. Om den registrerade visar att ändamålet för vilket personuppgifterna behandlas inte längre är tillåtet, nödvändigt eller rimligt under omständigheterna, ska de aktuella personuppgifterna raderas, om det inte finns några lagbestämmelser som anger annat.

9.5 Den registrerade har rätt att begära överföring av personuppgifter som denne lämnat till Goda Råd till annan personuppgiftsansvarig (rätt till dataportabilitet). Personuppgifterna ska tillhandahållas den registrerade i ett strukturerat, allmänt använt och maskinläsbart format. Om det är tekniskt möjligt kan den registrerade begära att uppgifterna överförs direkt till annan personuppgiftsansvarig. Rätten gäller endast för de personuppgifter som den registrerade själv har lämnat till Goda Råd.

9.6 Den registrerade har i vissa fall rätt att kräva att Goda Råd begränsar behandlingen av dennes personuppgifter. Rätten till begränsning gäller bland annat när den registrerade anser att uppgifterna är felaktiga och har begärt att personuppgifterna rättas. Den registrerade som har fått behandlingen begränsad ska underrättas av Goda Råd innan begränsningen av behandlingen upphör.

9.7 Den registrerade har rätt att invända mot behandling av personuppgifter som stöds på legitimt intresse som rättslig grund. Vid en invändning ska behandlingen upphöra om man inte kan visa tvingande legitima grunder för behandlingen som överväger den registrerades intressen, rättigheter och friheter eller om behandlingen av personuppgifter utförs för etablering, utövande eller försvar av rättsliga anspråk.

9.8 När personuppgifter behandlas för direktmarknadsföring har den registrerade rätt att när som helst invända mot behandling av personuppgifter om denne. Om en registrerad motsätter sig behandling av personuppgifter för direktmarknadsändamål ska personuppgifterna inte längre behandlas för sådana ändamål.

9.9 I vissa fall har den registrerade rätt att få sina personuppgifter raderade (”rätten att bli bortglömd”). Exempel på när radering kan begäras är när samtycke är den lagliga grunden förbehandlingen, och den registrerade återkallar sitt samtycke. Ett annat exempel är när personuppgifterna inte längre nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats.

10. Personuppgiftsincidenter

10.1 En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring eller obehörig åtkomst till personuppgifter. Exempel på personuppgiftsincidenter kan vara stöld av kundregister, oavsiktligt avslöjande av löneinformation via e-post till fel mottagare, en anställd tar hem en okrypterad arbetsdator som senare stjäls och som leder till att information om anställda eller kunder avslöjas, personuppgifter publiceras på webben av misstag, en bärbar dator innehållande personuppgifter tappas bort eller stjäls, m.m.

10.2 Personuppgiftsincidenter kan behöva anmälas till tillsynsmyndighet inom 72 timmar från upptäckten om det är sannolikt att det föreligger en risk för fysiska personers rättigheter och friheter.

10.3 Om personuppgiftsincidenten sannolikt leder till hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige utan onödigt dröjsmål informera den registrerade om personuppgiftsincidenten.

10.4 Personuppgiftsincident kan, utan onödigt dröjsmål, anmälas till info@godarad.se Personuppgiftsansvarige ska dokumentera alla personuppgiftsincidenter, inbegripet omständigheterna kring personuppgiftsincidenten, dess effekter och de korrigerande åtgärder som vidtagits. Dokumentationen ska göra det möjligt för tillsynsmyndigheten att utföra behövliga kontroller.

11. Övrigt

11.1 För definitioner av termer och begrepp hänvisas till dataskyddsförordningen https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/introduktion-till-gdpr/dataskyddsforordningen-i-fulltext/ . Läs gärna mer även på https://gdprinfo.eu/sv .

11.2 Denna policy ska uppdateras årligen eller vid behov baserat på instruktioner från Goda Råds styrelse.

12. Frågor

Vid frågor som anknyter till behandling av personuppgifter, vänligen kontakta i första hand personuppgiftsansvarige på Goda Råd: adam@godarad.se I andra hand ledamot av styrelsen.

Integritetspolicyn är antagen den 7 december 2022.