1 Introduktion
I den dagliga affärsverksamheten använder HELLENIC DAIRIES NORDIC AB olika data om identifierbara individer, inklusive uppgifter om:
• Nuvarande, tidigare och blivande anställda
• Nuvarande, tidigare och blivande studenter
• Nuvarande, tidigare och blivande lärare
• Andra kunder
• Besökare av HELLENIC DAIRIES NORDIC AB webbplatser
• Leverantörer/ underleverantörer/ samarbetspartners
• Andra intressenter
När det gäller insamling och användning av sådana uppgifter omfattas organisationen av lagar som beskriver hur sådana aktiviteter kan genomföras och skyddsåtgärder som vidtas med syfte att skydda dessa uppgifter.
Syftet med riktlinjerna är att fastställa relevant lagstiftning samt beskriva vilka steg HELLENIC DAIRIES NORDIC AB följer för att säkerställa att riktlinjerna följs.
Denna kontroll gäller alla system, personer och processer som utgör organisationens informationssystem, inklusive styrelseledamöter, verkställande direktörer, anställda, leverantörer, studenter, lärare och andra tredje parter som har tillgång till HELLENIC DAIRIES NORDIC AB system.
Följande riktlinjer och procedurer är relevanta för detta dokument:
• Process för bedömning av dataskydd
• Procedurer för kartläggning av personuppgifter
• Procedur för informationssäkerhets händelser
• GDPR-roller, ansvar och myndigheter
• Datalagrings- och skyddspolicy
3 Riktlinjer för integritets- och dataskydd
3.1 Allmän uppgiftsskyddsförordning
Allmän uppgiftsskyddsförordning 679/2016 (GDPR) är en av de viktigaste lagstiftningsdelarna som påverkar hur HELLENIC DAIRIES NORDIC AB bedriver sin informationsbehandlingsverksamhet. Höga böter utdelas när en överträdelse bedöms ha inträffat under GDPR, som är utformat för att skydda personuppgifter till EU-medborgare. Det är HELLENIC DAIRIES NORDIC AB policy att se till att vår överensstämmelse med GDPR och annan relevant lagstiftning alltid är tydlig och bevisbar.
3.2 Definitioner
Det finns 26 definitioner som anges i GDPR och det är inte lämpligt att presentera alla här. De mest grundläggande definitionerna angående dessa riktlinjer är följande:
Personuppgifter definieras som:
all information som hänvisar till en identifierad eller identifierbar fysisk person (”dataperson”); en identifierbar fysisk person är en som kan identifieras, direkt eller indirekt, särskilt med hänvisning till en identifierare som ett namn, ett ID-nummer, platsuppgift, en online identifierare eller till en eller flera faktorer specifika för den fysiska, psykologiska, genetiska, mentala, ekonomiska, kulturella eller sociala identiteten hos denna fysiska person.
"Behandling" betyder:
alla operationer eller uppsättningar av operationer som utförs beträffande personuppgifter eller uppsättningar av personuppgifter, oavsett om de utförs automatiserat eller inte, såsom insamling, inspelning, organisation, strukturering, lagring, anpassning eller ändring, framtagning, samråd, läsning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller kombination, begränsning, radering eller förstöring;
”Personuppgiftsansvarig” betyder:
en fysisk eller juridisk person, en offentlig organisation eller myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medel för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstatens nationella rätt, kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt.
3.3 Riktlinjer för behandling av personuppgifter
Det finns ett antal grundläggande riktlinjer på vilka GDPR baseras.
Dessa är följande:
1. Personuppgifter ska:
(a) behandlas lagligt, rättvist och på ett öppet sätt i förhållande till den registrerade ("laglighet, rättvisa och öppenhet");
(b) samlas in för specificerade, explicita och legitima syften och ska inte behandlas vidare på ett sätt som är oförenligt med dessa syften; vidarebearbetning för arkiveringsändamål av allmänna intressen, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål anses, i enlighet med artikel 89.1, inte oförenliga med de initiala syftena (”syftebegränsning”);
(c) adekvata, relevanta och begränsade till vad som är nödvändigt i förhållande till de syften för vilka de behandlas ("minimering av data");
(d) korrekt och, vid behov, uppdaterad. Alla steg måste följas för att säkerställa att personuppgifter som är felaktiga med hänsyn till syften för vilka de behandlas raderas eller korrigeras omedelbart (”noggrannhet”);
(e) sparas i en form som tillåter identifiering av det som har registrerats inte längre än nödvändigt för de syften för vilka personuppgifterna behandlades i början; personuppgifter får lagras under längre perioder i den mån personuppgifterna endast behandlas för arkiveringsändamål i allmänhetens intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 med förbehåll för genomförande av lämpliga tekniska och organisatoriska åtgärder som krävs enligt denna förordning för att skydda den registrerades rättigheter och friheter (”lagringsbegränsning”).
(f) behandlas på ett sätt som säkerställer personuppgifternas säkerhet, inklusive skydd mot obehörig eller olaglig behandling och mot oavsiktlig förlust, förstörelse eller skada, med lämpliga tekniska eller organisatoriska åtgärder ("integritet och konfidentialitet").
2. Den som ansvarar för all registrering ansvarar för att följa punkt 1 (”ansvarighet”).
HELLENIC DAIRIES NORDIC AB måste se till att följa alla dessa riktlinjer i sina processer och som en del av introduktion av nya metoder för behandling, till exempel nya IT-system. Funktionen av ett informationssäkerhetshanteringssystem (ISMS) som överensstämmer med ISO/ IEC 27001 internationell standard är en viktig del av detta åtagande.
3.4 Individrättigheter
Den registrerade har också rättigheter enligt GDPR. Dessa består av:
1. Rätten att bli informerad
2. Rätten till tillgång
3. Rätten till rättelse
4. Rätten att radera
5. Rätten att begränsa behandlingen
6. Rätten till dataportabilitet
7. Rätten att invända
8. Rättigheter i samband med automatiserad beslutsfattande och profilering.
Var och en av dessa rättigheter stödjas av lämpliga förfaranden inom HELLENIC DAIRIES NORDIC AB som gör det möjligt att vidta nödvändiga åtgärder inom de tidsgränser som anges i GDPR.
Dessa tidsskalor visas i tabell 1.
|
Registrerade personers förfrågan |
Tidsskala |
|
Rätten att bli informerad |
När data samlas in (om den tillhandahålls av den registrerade) eller inom en månad (om inte den tillhandahålls av den registrerade) |
|
Rätten till tillgång |
En månad |
|
Rätten till rättelse |
En månad |
|
Rätten att radera |
Utan onödig försening |
|
Rätten att begränsa behandlingen |
Utan onödig försening |
|
Rätten till dataportabilitet |
En månad |
|
Rätten att invända |
Vid mottagande av invändning |
|
Rättigheter i samband med automatiserad beslutsfattande och profilering. |
Ej angivet |
Tabell 1 - Tidsskala för registrerade personers förfrågor
3.5 Samtycke
Såvida det inte är nödvändigt på grund av skäl som tillåts i GDPR, måste den registrerade personen ge sitt samtycke att samla in och behandla personens uppgifter. För barn under 16 år måste föräldrarna ge samtycket. Transparent information om hur vi använder personuppgifterna måste tillhandahållas till den registrerade direkt när samtycket har getts lika väl som den registrerades rätter måste förklaras, så som rätt att återkalla samtycket. Denna information måste tillhandahållas i en tillgänglig form, tydligt skrivet och utan kostnad.
Om personuppgifterna inte erhålls direkt från den registrerade måste denna information tillhandahållas inom rimlig tid efter att uppgifterna har erhållits och definitivt inom en månad.
3.6 Sekretess efter design
HELLENIC DAIRIES NORDIC AB följer principen om integritet genom design och kommer att säkerställa att definition och planering av alla nya eller väsentligt förändrade system som samlar in eller behandlar personuppgifter fungerar med hänsyn till sekretessfrågor, inklusive fullbordandet av en eller flera dataskyddseffekter bedömningar.
Konsekvensanalysen för dataskydd kommer att omfatta:
• Hänsyn till hur personuppgifter kommer att behandlas och för vilka ändamål
• Bedömning av huruvida den föreslagna behandlingen av personuppgifter är både nödvändig och står i proportion till syftet/ ändamålen
• Bedömning av risker för individer vid behandling av personuppgifterna
• Vilka kontroller som är nödvändiga för att hantera de identifierade riskerna och visa att lagstiftningen följs
Användning av tekniker till exempel minimering av data och pseudonymisering bör övervägas när det anses vara nödvändigt och lämpligt.
3.7 Överföring av personuppgifter
Överföring av personuppgifter utanför EU måste noggrant granskas innan överföringen äger rum för att säkerställa att den ligger inom ramarna som införts av GDPR. Detta beror delvis på Europeiska Kommissionens bedömning av huruvida skyddsåtgärderna för personuppgifter är lämpliga i det mottagande landet, något som kan ändras över tid.
Internationella dataöverföringar inom koncernen måste omfattas av juridiskt bindande avtal som kallas Binding Corporate Rules (BCR) och ger de gällande rättigheterna till de registrerade personerna.
3.8 Dataskyddsansvarig
En definierad roll som DPO (Data Protection Officer) krävs enligt GDPR om en organisation är en offentlig myndighet, om kameraövervakning utförs i stor utsträckning eller om organisationen behandlar särskilt känsliga typer av data i stor utsträckning. DPO måste ha en lämplig kunskapsnivå och kan antingen vara en intern resurs eller läggas på en lämplig tjänsteleverantör.
Baserat på dessa kriterier kräver HELLENIC DAIRIES NORDIC AB inget dataskyddsombud.
3.9 Anmälan om överträdelse
Det är HELLENIC DAIRIES NORDIC AB skyldighet att vara rättvis och proportionerlig när man överväger de åtgärder som ska vidtas för att informera berörda parter om brott mot personuppgifter. I överensstämmelse med GDPR, där det är känt att ett brott har inträffat och där det med stor sannolikhet kan innebära risker för individernas rättigheter och friheter, kommer den berörda Dataskyddsmyndigheten (DPA) att informeras inom 72 timmar. Detta hanteras i enlighet med vårt förfarande för informationssäkerhetsrespons som definierar den övergripande processen för hantering av informationssäkerhetshändelser.
Enligt GDPR kan den berörda tillsynsenheten ålägga ett antal böter som motsvarar det högsta beloppet mellan ett belopp som motsvarar upp till fyra procent av den årliga globala omsättningen eller tjugo miljoner euro, när överträdelse av bestämmelserna sker.
3.10 Hantering av överensstämmelse med GDPR
Följande åtgärder vidtas för att säkerställa att HELLENIC DAIRIES NORDIC AB kontinuerligt följer ansvarighetsprincipen för GDPR:
• Den rättsliga grunden för behandling av personuppgifter är tydlig och otvetydig
• All personal som arbetar med att hantera personuppgifter förstår sitt ansvar för att följa god dataskyddspraxis
• Utbildning i dataskydd har tillhandahållits all personal
• Regler om samtycke följs
• Administreringssätt finns tillgänglig för de registrerade personer som vill utöva sina rättigheter beträffande personuppgifter och att sådana förfrågningar hanteras effektivt
• Regelbundna granskningar av förfaranden som involverar personuppgifter genomförs
• Integritet genom design används för alla nya eller ändrade system och processer
• Följande dokumentation av behandlingsaktiviteter registreras:
o Organisationsnamn och relevanta detaljer
o Syften med behandlingen av personuppgifter
o Kategorier av individer och personuppgifter som behandlas
o Kategorier av mottagare av personuppgifter
o Avtal och mekanismer för överföring av personuppgifter till länder utanför EU inklusive information om pågående kontroller
o Personuppgifters förvaringsteknik
o Relevanta tekniska och organisatoriska kontroller på plats
Dessa åtgärder kommer att granskas regelbundet som en del av vår hanteringsprocess för personuppgiftsskyddsprogrammet.
