Policyn reglerar hur All-Bilar AB (bolaget) hanterar personuppgifter i enlighet med EU:s dataskyddsförordning (General Data Protection Regulation – GDPR). Policyn omfattar hanteringen av samtliga personuppgifter och omfattar såväl strukturerad som ostrukturerad data. Policy är förankrad hos alla våra medarbetare.
TILLÄMPNING OCH REVIDERING
Bolagets styrelse ansvarar för att behandlingen av personuppgifter följer denna policy. Policyn ska fastställas, och vid behov uppdateras, årligen av bolagets styrelse.
Bolagets personuppgiftsansvarig har till uppgift att hålla sig informerad om förändringar i dataskyddsförordningen samt ansvarar för att policyn uppdateras till följd av nya och förändrade regelverk. Denna policy ska tillämpas av bolagets samtliga befattningshavare och medarbetare samt underkonsulter och uppdragstagare som på ett eller annat sätt ingår i vår affärsverksamhet.
ORGANISATION OCH ANSVAR
VD är ytterst ansvarig för innehållet i bolagets personuppgiftspolicy samt att den implementeras och efterlevs av bolagets samtliga befattningshavare, medarbetare samt uppdragstagare. VD får delegera innehållsansvaret och implementationen till lämplig person på företaget. Bolagets samtliga befattningshavare, medarbetare och uppdragstagare ansvarar för att de agerar i enlighet med bolagets personuppgiftspolicy.
PERSONUPPGIFTSBEHANDLING
Varje personuppgiftsbehandling sker enligt följande principer:
• Laglighet
• Ändamålsbegränsning
• Uppgiftsminimering
• Korrekthet
• Lagringsminimering
• Integritet och konfidentialitet
UPPGIFTSINSAMLINGSKRITERIER
Principerna för uppgiftsbehandling innebär att vi löpande endast hanterar personuppgifter som är av direkt relevant och berättigat affärsmässigt intresse, avtalsreglerat eller lagstadgat. Endast i undantagsfall och om nödvändigt hanteras övriga personuppgifter, vilka då regleras genom samtyckesavtal. Endast personuppgifter som är absolut nödvändiga för att bedriva affärsverksamheten, uppfylla gällande avtal, hantera personaladministration samt uppfylla lagkrav ska behandlas och lagras. När personuppgiften inte längre uppfyller dessa kriterier ska de utan dröjsmål raderas.
HANTERINGSRUTINER
Våra uppgiftsbehandlingar dokumenteras löpande i vårt hanteringsregister, som hanteras av personuppgiftsansvarig. Person som finns registrerad har alltid rätt att få ett utdrag på registrerade uppgifter, samt rätt att korrigera felaktiga uppgifter. Uppföljning och utvärdering av vår hantering av personuppgifter ska ske minst årligen.
OLOVLIG UPPGIFTSHANTERING
Eventuella incidenter rörande personuppgifter som vi behandlar ska utan dröjsmål rapporteras till personuppgiftsansvarig. Personuppgiftsansvarig ska utan onödigt dröjsmål och senast inom 72 timmar anmäla incidenten till Datainspektionen samt i övrigt vidta nödvändiga åtgärder med anledning av incidenten.
VID EXTERN HANTERING, SAMVERKAN OCH INKÖP AV TJÄNSTER
Våra krav på att personuppgifter hanteras enligt GDPR ska alltid säkerställas vid upphandling av externa leverantörer samt utveckling av IT-lösningar och tjänster, och ska vara en del i kravspecifikationen och eventuella avtal. Outsorcing av personuppgiftshantering regleras genom personbiträdesavtal.