GDPR

GDPR är en gemensam EU-lagstiftning som reglerar hur personuppgifter får behandlas. I Mathems dataskyddspolicy får du som anställd vägledning om hur du ska hantera personuppgifter. Läs mer om GDPR och hur Mathem följer förordningen i vår dataskyddspolicy nedan. 

Om du har funderingar kring integritetsskydd eller frågor om vår policy är du alltid välkommen att kontakta oss på dpo@mathem.se eller dpo@oda.com. Alla ärenden och rapporteringar hanteras med strikt konfidentialitet.

Vid pågående incidenter: Om du misstänker en akut säkerhetsrisk eller att personuppgifter har läckt ut, ska du omedelbart använda vår Security Incident Playbook. Du hittar den direkt i vår Security portal. 

GDPR

GDPR is a common EU legislation that regulates how personal data may be processed. In Mathem's data protection policy, you as an employee receive guidance on how to process personal data. Read more about GDPR and how Mathem complies with the regulation in our Data Protection Policy down here.

If you have any concerns regarding privacy or questions about our policy, you are always welcome to contact us at dpo@mathem.se or dpo@oda.com. All matters and reports are handled with strict confidentiality.

In case of ongoing incidents: If you suspect an acute security risk or a personal data breach, please use our Security Incident Playbook immediately. You can find it directly in our Security portal.

1. Inledning

EU:s dataskyddsförordning, GDPR (General Data Protection Regulation) har som syfte att skapa enhetliga dataskyddsregler i hela Europa och skydda enskilda personer mot kränkning av den personliga integriteten vid behandling av personuppgifter. Förordningen innehåller bestämmelser om när personuppgifter får samlas in, hur de får behandlas, hur de registrerade ska informeras m.m. GDPR trädde i kraft den 25 maj 2018 och ersatte den svenska Personuppgiftslagen (PuL)

2. Syfte med policy

Detta dokument avser att ge dig som medarbetare närmare vägledning om hur du ska behandla personuppgifter. Denna policy ska säkerställa att Mathem:

• Följer gällande dataskyddslagstiftning

• Lagrar och hanterar personuppgifter på ett korrekt och enhetligt sätt

• Kommunicera tydligt och öppet gällande hur personuppgifter hanteras i verksamheten

• Kan tillmötesgå anställdas, medlemmars och andra intressenters rättigheter

• Skyddar den egna verksamheten mot hot och därmed minimerar integritetsrisker.

3. Definitioner

Behandling av personuppgifter: varje åtgärd eller serie av åtgärder som vidtas i frågor om personuppgifter. Det kan t.ex. vara insamling, registrering, lagring, bearbetning, användning.

Personuppgifter: är all information som kan användas för att identifiera en enskild person, direkt eller indirekt t.ex. namn, adress, e-post, telefonnummer, personnummer, bilder (på person), ljudinspelningar, fordons registreringsnummer, IP adresser m.m.

Personuppgiftsansvarig: en fysisk eller juridisk person, myndigheter eller annat organ som bestämmer ändamålen och medlen för behandling av personuppgifter. Personuppgiftsansvarig har det yttersta ansvaret för att lagstiftningen följs och den registrerades uppgifter behandlas korrekt. Den faktiska behandlingen av personuppgifter kan överlåtas till annan part men personuppgiftsansvaret kan aldrig överlåtas.

Personuppgiftsbiträde: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning. Personuppgiftsansvarig ansvarar för att det finns ett skriftligt avtal (personuppgiftsbiträdesavtal) med personuppgiftsbiträdet som anger att biträdet enbart får behandla uppgifter i enlighet med personuppgiftsansvariges instruktioner.

Personuppgiftsincident: en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

Registrerade: är den person som en personuppgift avser.

Känsliga personuppgifter: är uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i en fackförening, hälsa, en persons sexualliv eller sexuella läggning, genetiska uppgifter och biometriska uppgifter som används för att entydigt identifiera en person.

4. Dataskyddsförordningens grundläggande principer för behandling av personuppgifter

Dataskyddsförordningens grundläggande principer är:

• Laglighet, korrekthet och öppenhet

• Ändamålsbegränsning

• Uppgiftsminimering

• Riktighet

• Lagringsminimering

• Integritet och konfidentialitet

• Ansvarsskyldighet

4.1. Laglighet, korrekthet och öppenhet

Personuppgifter får endast behandlas om det finns laglig grund för behandlingen. Den lagliga grunden ska fastställas innan behandling påbörjas.

Laglig grund

• Behandlingen är nödvändig för att fullgöra ett avtal.

• Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse

• Behandlingen är nödvändig för det aktuella ändamålet och personuppgiftsansvariges intresse väger tyngre än den registrerades (intresseavvägning)

• Samtycke - ska vara informerat, frivilligt och specifikt samt kunna visas. Samtycke används inte om någon av ovanstående punkter är tillämplig.

Kan man inte identifiera någon laglig grund som är tillämplig för behandlingen, enligt någon av punkterna ovan, får behandlingen inte utföras.

Korrekthet

Behandlingen av personuppgifter ska vara rättvis, skälig, rimlig och proportionerlig i förhållande till de registrerade.

Öppenhet

Det ska vara klart och tydligt för de registrerade hur deras personuppgifter behandlas. De ska bl.a. få veta för vilka ändamål personuppgifterna behandlas, om och hur personuppgifterna delas med andra, hur länge personuppgifterna lagras. De registrerade ska ges tydlig och transparent information om behandling av deras personuppgifter.

4.2. Ändamålsbegränsning

Personuppgifter får bara samlas in för specifika ändamål, i den utsträckning det behövs och i enlighet med dataskyddslagstiftningen. Ändamålen sätter ramarna för vad man får och inte får göra, såsom till exempel vilka uppgifter som får behandlas och hur länge de får sparas.

4.3. Uppgiftsminimering

Endast sådana personuppgifter som faktiskt behövs får samlas in och sparas. Inga uppgifter får sparas med lösa motiveringar såsom att de "kan vara bra att ha".

4.4. Riktighet

Insamlade personuppgifter ska vara korrekta och uppdaterade. Alla rimliga åtgärder ska vidtas för att säkerställa att felaktiga personuppgifter raderas eller rättas utan dröjsmål.

4.5. Lagringsminimering

Personuppgifter som inte längre behövs (och som man inte heller är skyldig att spara) ska gallras eller avidentifieras löpande. Det kan finnas lagkrav på att arkivera och spara uppgifter men det ska alltid finnas gallringsrutiner för varje process och varje system där personuppgifter förekommer.

4.6. Integritet och konfidentialitet

Personuppgifterna ska skyddas så att ingen obehörig kommer åt dem och så att de inte används på ett otillåtet sätt. Lämpliga tekniska och organisatoriska säkerhetsåtgärder ska införas för att skydda uppgifterna.

4.7. Ansvarsskyldighet

Mathem ansvarar för att följa de grundläggande principerna och ska kunna visa hur och på vilket sätt de följs.

5. Mathems riktlinjer för uppfyllande av dataskyddsförordningen

5.1. Utbildning

Alla anställda ska få grundläggande dataskyddsutbildning, för att säkerställa förståelse för och vikten av att hantera personuppgifter korrekt. Varje avdelningschef ansvarar för att berörda medarbetare får ta del av sådana instruktioner och rutiner som är relevanta för dem samt sådan information som behövs för att var och en ska kunna utföra sitt arbete i linje med dataskyddslagstiftningen. Varje ny medarbetar ska i sin on-boarding process få information om denna dataskyddspolicy samt relevant utbildning. Alla medarbetare ska en gång per år få en grundläggande GDPR- utbildning. Utbildningsmaterial finns tillgängligt på Mathems Checkout

5.2. Information till registrerade

5.2.1. Allmän information

Den registrerade har rätt att få tydlig information om hur deras personuppgifter hanteras. De ska få veta att vi samlar in personuppgifter, varför vi samlar in dem och hur vi sedan använder dem. De registrerade ska också veta vad de har för rättigheter, t.ex. hur de kan begära registerutdrag, hur de kan få fel rättade och hur de kan få personuppgifter raderade. Detta gäller såväl anställda som medlemmar och andra grupper. Informationen ska vara lättillgänglig samt tillräckligt utförlig för att motsvara kraven i dataskyddsförordningen. Informationen ska lämnas på ett klart och tydligt sätt. På Mathems hemsida finns Integritets- och cookie-policy med information om Mathems behandling av personuppgifter. https://static.Mathem.se/shared/policy/Mathem\_integritetspolicy.pdf och https://static.Mathem.se/shared/policy/Mathem\_cookiepolicy.pdf

5.2.2. Registrerades rättigheter

Dataskyddsförordningen ger de registrerade ett flertal rättigheter vad gäller behandling av personuppgifter. Det är Mathems uppgift att uppfylla dessa rättigheter och tillse att tillräckliga processer finns för att tillmötesgå de registrerade. De registrerades rättigheter omfattar ovan nämnda informationsskyldighet men också rätten till tillgång (registerutdrag), rättelse, radering, invändning och dataportabilitet. Mathem har riktlinjer och rutiner på plats för hur organisationen ska fullgöra sina skyldigheter gentemot de registrerade. Läs mer om individens rättigheter på Mathems Checkout.

5.3. Lagring och gallringsrutiner

Personuppgifter får inte bevaras längre än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Mathems gallringsrutiner framgår av Integritets- och cookie-policyn.

5.4. Information och IT-säkerhet

Personuppgifter som behandlas ska skyddas så att ingen obehörig kommer åt dem och så att de inte används på ett otillåtet sätt.

5.5. Registerförteckning

Mathem ska systematiskt dokumentera sina behandlingar av personuppgifter i enlighet med dataskyddsförordningen. En sådan dokumentation ska göras i form av en så kallad registerförteckning. Registerförteckningen ska omfatta samtliga behandlingar av personuppgifter som Mathem utför. Systemansvarig (se punkt 6 nedan) ansvara för att DPOrganizer uppdateras med nya system och/eller förändrad användning av personuppgifter efter godkännande av kategoriansvarig. Avtalsansvarig (se punkt 5.6 nedan) ansvarar för att lägga in och uppdatera personuppgiftsbiträdesavtalen. Registerförteckningen finns tillgänglig i DPOrganizer.

5.6. Biträdesavtal

Avtalsansvarig ansvarar för att personuppgiftsbiträdesavtal finns med de avtalsparter där personuppgifter delas och behandlas. Vidare ansvarar avtalsansvarig för att uppdatera personuppgiftbiträdesavtalet när detta kommunicerats från kategoriansvarig. Avtalsansvarig ansvarar vidare för att lägga in personuppgiftsbiträdesavtal samt uppdatera registerförteckningen i DPOrganizer. Förteckningen ska kunna uppvisas för Datainspektionen på begäran. Mall för personuppgiftsbiträdesavtal finns tillgängligt på Mathems Checkout.

5.7. Incident och incidentrapportering

Alla på Mathem är ansvariga för att rapportera en misstänkt incident. Det är viktigt att alltid rapportera en misstänkt incident så att en riskbedömning kan göras och beslut kan fattas om incidenten ska anmälas till Datainspektionen eller inte. Om incidenten ska rapporteras till Datainspektionen ska detta ske inom 72 timmar. Rapportering av en misstänkt incident görs via Security portal. En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. T.ex.

• Intrång i ett IT-system där personuppgifter t.ex. kopieras, förstörs eller förändras

• Stulen eller borttappad utrustning som t.ex. dator eller mobiltelefon

• Stulen borttappad dokumentation som t.ex. presentationer som innehåller personuppgifter eller annan dokumentation

• Inloggningsuppgifter till IT-system eller applikation som obehörig har fått tillgång till

Riktlinjer för hantering av incidenter och rapporteringsmall hittar du på Mathems Checkout.

5.8. Privacy by design/default

Inbyggt dataskydd (privacy by design) innebär att man tar hänsyn till integritetsreglerna redan när man utformar IT-system och rutiner. Det är ett sätt att se till att kraven i dataskyddsförordningen uppfylls och att den registrerades rättigheter skyddas. Kraven på dataskydd som standard (privacy by default) innebär i korthet att den som behandlar personuppgifter ska se till att personuppgifter i standardfallet inte behandlas i onödan.

5.9. Överföring till tredje land

För överföring till länder utanför EU och EES (så kallad tredjelandsöverföring) gäller särskilda regler. Dataskyddsförordningen innebär att alla EU:s medlemsstater samt EES-länderna har ett likvärdigt skydd för personuppgifter och personlig integritet och därför kan personuppgifter föras över fritt inom det området utan begräsningar. För länder utanför det området finns däremot inte några generella regler som ger motsvarande garantier och därför får tredjelandsöverföring endast ske under särskilda förutsättningar. Det här berör varje form av överföring av information över gränserna, t.ex. många online IT-tjänster, molnbaserade tjänster m.m.

6. Mathems dataskyddsorganisation

Varje avdelning som hanterar personuppgifter i sin verksamhet måste säkerställa att uppgifterna behandlas i enlighet med denna policy samt följer kompletterande riktlinjer och rutiner. Följande personer inom organisationen har särskilt ansvar för dataskyddsarbetet.

6.1. Kategoriansvar

Varje kategori av personuppgifter har en kategoriansvarig som internt inom organisationen är ansvarig för behandlingen av personuppgifterna. Nedan framgår vem som är ansvarig för respektive kategori.

Kategoriansvar innebär att personen har ansvar för att:

• Behandlingen av personuppgifter inte bryter mot dataskyddslagstiftningen

• Säkerställa att all insamling av personuppgifter och behandling därav har ett syfte oavsett var behandlingen sker i organisationen.

• Bevaka förändrade behandlingar av personuppgifter

• Vid överföringar av personuppgifter mellan olika system säkerställa att behandling av personuppgifter i det mottagande systemet sker med godkända syften

• Bevaka huruvida förändrade behandlingarna av personuppgifter leder till informationsbehov gentemot registrerade. I sådana fall ska kategoriansvarige informera Dataskyddskommittén om förändring, samt se till att integritetspolicyn uppdateras alternativ ombesörja att samtycken inhämtas i de fall det inte redan finns.

• Ansvarig för att uppdatera avtalsansvarig om förändrad insamling av personuppgifter som innebär att personuppgiftsbiträdesavtal behöver uppdateras.

6.2. Systemansvarig

Varje IT-system på Mathem har en ansvarig systemägare ("Systemansvarig"). Denna person har även ett internt GDPR-ansvar för hur personuppgifterna behandlas i det egna systemet. Systemansvarig har ansvar för att:

• Informera kategoriansvarig om förändrad behandling av personuppgifter i systemet.

• Vid redan godkända förändringar av behandlingar av personuppgifter i det egna systemet som sedan tidigare utförs i andra system och därmed redan är tillåten enligt Mathems integritetspolicys, behöver kategoriansvarig dock ej informeras.

• Informera kategoriansvarig om nya inhämtade personuppgifter till systemet.

• Säkerställa att all insamling av personuppgifter och behandling därav som sker har ett syfte som är aktuellt.

• Informera kategoriansvarig om överföringar av personuppgifter från det egna systemet till ett annat.

• Ansvara för att det finns ett giltigt och uppdaterad personuppgiftsbiträdesavtal med personuppgiftsbiträden som behandlar personuppgifterna för Mathems räkning.

• Ansvara för att behandlingen av personuppgifter i systemet inte bryter mot dataskyddslagstiftningen. Det innefattar bl.a. att se till att IT-säkerhetspolicy följs och att tillbörlig IT-säkerhet finns på plats (såsom t.ex. behörighetsstruktur).

• Ansvara för behörighetsstrukturen i systemet så att enbart auktoriserad personal har tillgång till den mängd information som behövs för utförande av sina arbetsuppgifter.

• Ansvara för att DPOrganizer uppdateras med nya system och/eller förändrad användning av personuppgifter efter godkännande av detta från kategoriansvarig.

6.3. Chefsansvar

Chefer är ansvariga för att all behandling av personuppgifter som sker på deras avdelning i enlighet med GDPR. Därmed innefattas ansvar för att anställda följer policys och riktlinjer gällande dataskydd av personuppgifter, i strukturerad samt ostrukturerad form. Vid frågor om dataskydd ska kategoriansvariga konsulteras. Om kategoriansvarig eller systemansvarig avslutar sin anställning eller byter arbetsuppgifter är chefen ansvarig för att ansvaret förs över till annan medarbetare.

6.4. Anställdas ansvar

Anställda i Mathem är ansvariga för att följa bolagets policys och riktlinjer gällande dataskydd och GDPR, samt rapportera förändrad behandling till närmaste chef. Även frågor om dataskydd ska i första hand tas med närmaste chef.

7. Tillsynsmyndigheten och Dataskyddskommitté

Ansvarig tillsynsmyndighet är Datainspektionen. Enskilda personer som har klagomål gällande Mathems hantering av personuppgifter har rätt att kontakta Datainspektionen. Mathem har utsett en dataskyddskommitté.

Dataskyddskommittén ska bl.a.

• Ge organisationen och anställda som behandlar personuppgifter råd i dataskyddsfrågor,

• Övervaka efterlevnaden av dataskyddsförordningen,

• Sprida kunskap och hålla utbildning om dataskydd inom organisationen,

• Fungera som kontaktpunkt för Datainspektionen och registrerade,

• Kontrollera och följa upp att registret över all behandling av personuppgifter uppdateras och

• Bistå vid upprättande av riktlinjer och rutiner som rör dataskyddsfrågor.

Det är alltid den personuppgiftsansvarige och/eller personuppgiftsbiträdet som har det yttersta ansvaret för att bestämmelser om dataskydd iakttas. Dataskyddskommittén har endast en rådgivande och reviderande roll. För att Dataskyddskommitténs arbetsuppgifter ska kunna utföras på ett tillfredställande sätt ansvarar ledningen och i punkt 6 utsedda ansvariga för att hålla Dataskyddskommittén underrättade om vilka personuppgiftsbehandlingar som sker inom enheten och de säkerhetsrutiner som skyddar personuppgifterna.