MKA04-16

Dinair AB GDPR Policy

Date: 2018-05-25

Contact person: Mattias Sparrborn

Direct number: +46 143-12590

Mattias.sparrborn@dinair.se

 

GDPR-Policy

Inledning

Dinair AB har för att förbereda företaget och säkerställa att det kommer att följa den nya personuppgiftslagen (nedan kallad GDPR) upprättat denna policy för företagets ledning och övriga anställda att följa och respektera.

 

Syftet med denna policy är att all personal skall ta del av och informeras om vikten av att skydda personuppgifter, vilka riktlinjer som finns och hur dessa lämpligast efterlevs.

 

Policyn innehåller bl.a. vilken typ av personuppgifter som får lagras, vilken information som inte får lagras,

hur personalen baserat på företagets tekniska förutsättningar skall skydda personuppgifter.

 

Personuppgiftsansvarig

Till Personuppgiftsansvarig har Mattias Sparrborn, VD, utsetts.

Personuppgiftsansvarig ansvarar för att säkerställa att hantering av personuppgifter sker i enlighet med GDPR som träder i kraft den 25 maj 2018.

 

Förteckning över personuppgifter som behandlas inom Dinair AB

Dinair AB ska föra förteckningar över förekommande personuppgifter som lagras och behandlas i företaget.

Följande register och lagringsställe för register kan förekomma:

Kundregister

Dinair AB:s kunder är både juridiska personer och fysiska personer.

De juridiska personer som är kunder företräds av anställda fysiska personer.

Dinair AB lagrar personuppgifter avseende dessa personer i egenskap av deras yrkesroll.

För ändamålet att kunna uppfylla våra åtaganden mot våra kunder samt att vi ska vara kontaktbara för kunden lagras personuppgifter avseende dessa personer.

 

Tillåtna typer av personuppgifter

 

Endast följande nedanstående information får lagras och behandlas:

 

Arbetsgivarens namn och organisationsnummer

Förnamn

Efternamn

Arbetsbefattning

Fysisk adress till arbetsställe

Telefonnummer till arbetsställe (fast, mobilt, fax i förekommande fall)

Adress till arbetsrelaterat epost-konto

 

Lagringsställe för personuppgifter

 

Personuppgifter får endast lagras på nedanstående platser:

Kontakter i ERP system

Kontakter epost-program

Serverfarm

Låst Fysiskt arkiv 

 

Leverantörregister

Dinair AB:s leverantörer är uteslutande juridiska personer. Inköp förekommer inte från fysiska personer.

De juridiska personer som är leverantörer företräds av anställda fysiska personer.

Dinair AB lagrar personuppgifter avseende dessa personer i egenskap av deras yrkesroll.

För ändamålet att kunna uppfylla våra åtaganden mot våra leverantörer samt att vi ska vara kontaktbara för leverantören lagras personuppgifter avseende dessa personer.

 

Tillåtna typer av personuppgifter

 

Endast följande nedanstående information får lagras och behandlas:

Arbetsgivarens namn och organisationsnummer

Förnamn

Efternamn

Arbetsbefattning

Fysisk adress till arbetsställe

Telefonnummer till arbetsställe (fast, mobilt, fax i förekommande fall)

Adress till arbetsrelaterat epost-konto

 

Lagringsställe för personuppgifter

 

Personuppgifter får endast lagras på nedanstående platser:

ERP system

Kontakter epost-program

Låst Fysiskt arkiv

 

Anställningsregister

Dinair AB har anställda i sin verksamhet.

 

Förekommande typer av personuppgifter:

Endast följande nedanstående information får lagras och behandlas:

Förnamn

Efternamn

Personnummer

Anställningsavtal

Löneuppgifter

Bankkonto

Telefonnummer

Bostadsadress

Telefonnummer privat

Epost adress privat

Anhörigs förnamn

Anhörigs efternamn

Anhörigs telefonnummer privat

Dinair AB skall tydligt informera anställd att lagring av uppgifter sker.

 

Lagringsställe för personuppgifter

 

Personuppgifter får endast lagras på nedanstående platser:

Löneprogram, Affärssystem

Dinair AB:s server

Låst Fysiskt arkiv

 

 

Personuppgifter som inte får lagras eller hanteras

Exempel på personuppgifter som är av extra känslig natur och inte får förekomma i någon form av register är alla typer av uppgifter som kan kränka den enskildes integritet, såsom:

Ras

Etnicitet

Sexuell orientering

Politiska åsikter

Religiös eller filosofisk övertygelse

Medlemskap i fackförening (såvida inte medgivande erhålls)

Hälsa (*)

Genetiska och biometriska uppgifter

Personliga omdömen ska inte heller noteras eller lagras då detta kan anses kränkande för den enskilde personen.

(*=uppgifter kring hälsotillstånd i samband med rehabiliteringsutredningar är undantagna i enlighet med gällande  arbetsrätt)

 

Otillåten lagring och hantering av personuppgifter

Överlåtande av personuppgifter till tredje part är inte tillåtet. Dinair AB får inte gratis eller mot betalning överlåta personuppgifter till tredje part.

Mass-utskick till personer i kund- och leverantörsregister, t.ex. för reklamändamål, får endast förekomma i begränsad utsträckning, t.ex. vid kundenkäter och för att informera om att Dinair AB kommer att delta vid en utställning.

Detta förutsätter dock att utskicket sänds till redan förekommande personer i företagets register samt att det finns möjlighet att avanmäla sig till ytterligare utskick. Avseende person som tidigare inte finns i företagets register, måste tillstånd erhållas innan utskicket sänds till sådan person.

 

Skydd av personuppgifter

Dinair AB lagrar personuppgifter både i fysisk och elektronisk form

 

Dinair AB har adekvata teknisk utrustning och system för att skydda företagets elektroniska databaser och register i flera lager för att få åtkomst till företagets personuppgifter krävs följande steg:

 

Avseende kund- och leverantörsregister:

Skyddslager 1:

Inloggning på dator (fysisk enhet): Användarnamn och Lösenord
Skyddslager 2:

Inloggning på Fjärrskrivbord (virtuellt skrivbord): Användarnamn och Lösenord *

Skyddslager 3:

Inloggning i ekonomisystem: Användarnamn och Lösenord

* avseende personuppgifter på mail-server finns skyddslager 1 och 2 eftersom det inte krävs ytterligare användarnamn eller lösenord för att logga in i sin egen mailserver. Detta bedöms dock fortfarande adekvat eftersom några personuppgifter av känsligare natur inte förekommer.

 

Avseende personalregister:

Skyddslager 1:

Inloggning på dator (fysisk enhet): Användarnamn och Lösenord

Skyddslager 2:

Inloggning på Fjärrskrivbord (virtuellt skrivbord): Användarnamn och Lösenord

Skyddslager3):

Inloggning i löneprogram: Användarnamn och Lösenord

 

Övrigt skydd och Personalens ansvar

Samtliga arbetsdatorer har antivirusprogram. Personalen använder krypterade trådlösa nätverk eller nätverk med fast anslutning.

 

Avseende personuppgifter för personalen finns det begränsning för vilka anställda som har tillgång.

 

Gällande personuppgifter i kund- och leverantörsregister finns inte någon sådan begränsning eftersom (I) lagrad information inte bedöms som känslig och (II) anställda har tillgång till kunduppgifterna för att kunna utföra sitt arbete gentemot kunder och leverantörer.

För att ovanstående skyddsåtgärder ska fungera måste personal agera därefter och inte använda s.k. öppna nätverk. När inte företagets egna krypterade nätverk används använder personalen sin mobiltelefon för uppkoppling till internet, via VPN ,då med lösenord.

 

Lagringstid och radering av personuppgifter

Finns inte längre skäl att lagra eller hantera personuppgifter för en eller flera individer ska uppgifterna raderas. Radering skall utföras i enlighet med företagets personuppgiftsregister.

 

Eftersom arbetstagarna hos våra kunder och leverantörer är många är det inte alltid vi får reda på när en individ avslutar sin anställning, och om företaget eller individen inte aktivt meddelar oss kommer personuppgifterna sannolikt att ligga kvar. Detta ses dock inte som allvarligt då den typ av information som finns avseende kunder och leverantörer inte bedöms som känslig och inte heller får utlämnas till tredje part.

 

Varje individ har rätt att när som helst begära att samtliga deras personuppgifter raderas  i enlighet med art. 17. 2016/679, från Dinair AB:s register.