
Policy för hantering av personuppgifter och cookies.
1. Inledning
TUC Sweden AB, härefter kallat ”företaget”, är engagerat i att behandla personuppgifter på ett säkert, lagligt och transparent sätt. Denna policy beskriver våra rutiner för insamling, lagring, användning och skydd av personuppgifter, i enlighet med Dataskyddsförordningen (GDPR).
2. Ansvar och roller
- Övergripande ansvar: vVD och Dataskyddsombudet (DSO) ansvarar för att driva och övervaka arbetet med personuppgiftshantering.
- Systemansvar: Systemägare ansvarar för att hålla register över personuppgiftsbehandling aktuella och korrekta.
- IT-säkerhet: Prog-It som IT-partner ansvarar för att implementera tekniska säkerhetsåtgärder och hantera incidenter.
- Utbildning: vVD ansvarar för årlig utbildning i personuppgiftshantering.
3. Principer för behandling av personuppgifter
All behandling av personuppgifter ska:
- Utföras lagligt, korrekt och transparent: Endast nödvändiga uppgifter samlas in och används för tydligt specificerade ändamål.
- Minimeras: Endast de uppgifter som krävs för ändamålet ska samlas in och lagras.
- Hanteras säkert: Tekniska och organisatoriska skydd är på plats för att säkerställa datasäkerhet.
- Begränsas i tid: Personuppgifter raderas i enlighet med företagets gallringspolicy.
4. Insamling och lagring av personuppgifter
- Rättslig grund: All behandling måste baseras på myndighetsutövning, avtal, rättslig förpliktelse eller samtycke.
- System: Personuppgifter lagras i godkända system som uppfyller GDPR-krav.
- Gallring: Personuppgifter lagras endast så länge det är nödvändigt för det specifika ändamålet och raderas därefter.
5. IT-säkerhet och incidenthantering
- Säkerhetsåtgärder: Alla IT-system skyddas med brandväggar, kryptering och rollbaserad åtkomstkontroll.
- Incidentrapportering: Alla säkerhetsincidenter rapporteras till IT-säkerhetsansvarig och dokumenteras i en incidentlogg.
- Rapportering till myndigheter: Personuppgiftsincidenter rapporteras till Integritetsskyddsmyndigheten (IMY) inom 72 timmar om så krävs.
6. Upphandling av IT-tjänster och biträdesavtal
- Riskbedömning: Vid upphandling av IT-tjänster genomförs risk- och sårbarhetsanalyser.
- Biträdesavtal: Företaget säkerställer att alla personuppgiftsbiträden erbjuder lämpliga tekniska och organisatoriska skydd.
- Tredje land: Överföring av data till tredje land sker endast med adekvata skyddsmekanismer.
7. Rättigheter för registrerade
De registrerade har rätt att:
- Begära tillgång till sina personuppgifter.
- Begära rättelse av felaktiga uppgifter.
- Invända mot eller begära begränsning av behandling.
- Begära radering av uppgifter enligt GDPR.
8. Utbildning och medvetenhet
- Årlig utbildning: Anställda och konsulter deltar i årlig utbildning om personuppgiftshantering.
- Introduktion: Nyanställda får utbildning vid anställningens start.
- Riktad utbildning: Genomförs vid behov för specifika roller.
9. Uppföljning och revision
- Intern revision: Dataskyddsarbete utvärderas regelbundet genom stickprov och årliga revisioner.
- Kontinuerlig förbättring: Policy och rutiner uppdateras vid behov för att efterleva lagkrav.
Kontakt
Vid frågor eller begäran om rättigheter enligt GDPR, kontakta:
- Dataskyddsombud: dataskydd@tucsweden.se
- Telefon: 0140-44 45 10
- Adress: Hamnparken 2, 573 35 Tranås