Policy GDPR – KB Motorcentrum i Hamburgsund
I enlighet med Dataskyddsförordningen (GDPR) har KB Motorcentrum i Hamburgsund, Ankaret 1, 457 45 Hamburgsund, (nedan kallat företaget) arbetat fram följande policy. Företaget förbinder sig att informera kunder och personal som omfattas av denna policy om densamma. Detta kan göras exempelvis via en kortfattad text i kundavtalet, kundfakturan eller anställningsavtalet och med en hänvisning till mer utförlig information på företagets webbplats. Policyn kommer i sin helhet att finnas tillgänglig på företagets hemsida; www.motorcentrum.se.
Den rättsliga grunden för behandlingen (med behandling menas i Dataskyddsförordningen all hantering av personuppgifter) vilar på att avtal med den registrerade ska kunna fullföljas. För detta behöver företaget personuppgifter såsom namn, adress, personnummer och kontaktuppgifter som exempelvis telefonnummer och e-mailadresser till sitt kund- och personalregister och för att kunna kontakta kunderna och personalen kring fakturering, löner, företagets verksamhet eller för att nå desamma om en nödsituation skulle uppstå. Om en kund eller anställd inte vill lämna ut sina uppgifter för behandling av företaget kan avtal med denna person ej fullgöras av företaget. Leverantörsregister innehåller normalt enbart uppgifter om juridiska personer, vilka ej omfattas av reglerna i Dataskyddsförordningen. Uppgifter om enskilda näringsidkare och uppgifter om kontaktpersoner är dock personuppgifter, och sådana personuppgifter är tillåtna att behandla för att kunna hantera avtalet med leverantörerna.
Företaget informerar samtliga kunder och all personal om vilka personuppgifter som behövs redan innan dessa behandlas. Om detta ej är möjligt ska så ske snarast möjligt, dock senast vid första kontakttillfället. Vissa kunduppgifter får registreras utan att först få kundens medgivande. Det gäller uppgifter som behövs för att företaget ska kunna uppfylla avtalet med kunden, såsom kontaktuppgifter och leveransadress. Endast personuppgifter nödvändiga för kontakt och för verksamhetens ändamål samlas in och – i de fall där så är nödvändigt – endast med den enskildes samtycke. Samtycke ska insamlas skriftligen på företagets blankett. Vid registrering av minderåriga krävs vårdnadshavares samtycke i förväg. Detsamma gäller om företaget ska registrera uppgifter såsom exempelvis kontaktinformation till den enskildes anhöriga.
Företaget ska sträva efter att minimera personuppgifterna så att de inte är för omfattande och får ej använda uppgifterna för ändamål som är oförenliga med de ändamål som den registrerade gett samtycke till. Företaget kommer ej använda personuppgifterna för direktmarknadsföring, profilering eller automatiserat beslutsfattande. I samband med fakturering kontrolleras löpande kundernas personuppgifter så att dessa är uppdaterade. Detsamma gäller vid lönerapportering för företagets anställda. Felaktiga uppgifter rättas eller raderas.
Företaget kan komma att dela uppgifter gällande kunder och personal med riksförbund, försäkringsbolag och anslagsgivande myndigheter. Personuppgifter lämnas då ej ut utan att informera de berörda om detta. Om så sker ska företaget dokumentera förfarandet. Ett sätt kan vara att samla in samtycken till exempelvis informationsutlämning på en särskild blankett.
Uppgifterna kommer att förvaras digitalt i företagets lösenordsskyddade bokföringsprogram, som endast företagets administratörer har tillgång till, samt i den krypterade molntjänst som lagrar företagets backup och tillhandahålls av Nyttodata, med vilka ett biträdesavtal upprättas. Fysiska kopior av uppgifter förvaras i ett låst, brandsäkert skåp samt i ett låst arkiv till vilka enbart företagets administratörer innehar nyckel/låskod. Företaget är medvetet om att det alltid föreligger en risk för intrång i såväl digitala som fysiska arkiv och förvaringsplatser och ska därför arbeta aktivt för att minimera dessa risker. Att begränsa antalet nycklar minskar risken att någon nyckel ska komma på villovägar. Företaget ska arbeta aktivt och ständigt så att endast de som behöver informationen får ha tillgång till den. Som exempel på andra säkerhetsåtgärder som vidtas kan nämnas antivirusprogram, trådlösa nätverk med kryptering samt kontinuerligt uppdaterade program.
Dataskyddsförordningen omfattar också personuppgifter som förekommer i e-mail. Av denna anledning ska företaget arbeta aktivt med att rensa in- och utkorgar i företagets e-mail. Personuppgifter och andra uppgifter som behövs för att kunna uppfylla avtal med kunder och/eller personal förs över till andra system och mailen raderas därefter.
Företaget, som personuppgiftsansvarig, tillkännager den registrerades rätt till rättvis och transparent behandling. Detta innebär bland annat att informera om vilken period personuppgifterna kommer att lagras, eller om så ej är möjligt, de kriterier som används för att fastställa denna period. Det föreligger en rätt att av den personuppgiftsansvarige begära gratis tillgång till och rättelse eller radering av personuppgifter eller begränsning av behandling som rör den registrerade eller att invända mot behandling. I Dataskyddsförordningen finns också rätten till dataportabilitet; överföring av data från en tjänsteleverantör till en annan, vilket syftar till att göra det lättare att få ens personuppgifter flyttade från exempelvis ett företag till ett annat. Samtliga uppgifter som begärs utlämnade kommer, oavsett anledning, av företaget att lämnas ut i ett allmänt använt format, såsom PDF. Om behandlingen grundar sig på artikel 6.1 a1 eller artikel 9.2 a2 föreligger rätt att när som helst återkalla sitt samtycke, utan att detta påverkar lagligheten av behandlingen på grundval av samtycket, innan detta återkallades. Dessutom innehar den registrerade rätten att inge klagomål till en tillsynsmyndighet, såsom exempelvis Datainspektionen, om denne anser sig ha fått sina personuppgifter felaktigt behandlade av företaget.
Uppgifterna sparas så länge den enskilde är kund, respektive anställd, i företaget och därefter så länge företaget är rapporteringsskyldigt för exempelvis stöd. Personuppgifter behandlas därefter enbart om de är nödvändiga för att uppfylla en rättslig förpliktelse, såsom bokföringsskyldigheten vilken anges i bokföringslagen och som dikterar att bokföring ska sparas i sju år. Om företaget som säljare behöver kunna fullgöra eventuella garantiåtaganden sparas vissa personuppgifter tills garantin löpt ut. Rutiner för radering av uppgifter innefattar exempelvis att radera alla personuppgifter som inte är nödvändiga för verksamheten. Uppgifter som inte längre behövs för det syfte de en gång insamlats tas bort. Med andra ord raderas onödig information såsom exempelvis kontaktuppgifter till avslutade kunder och tidigare anställd personal samt kreditupplysningar äldre än tre månader. Fysiska kopior av dokument innehållande personuppgifter strimlas i dokumentförstörare; digitala kopior raderas från IT-systemen, det vill säga från såväl företagets lokala hårddisk samt från den krypterade molntjänst som lagrar företagets backup.
Företaget publicerar och arkiverar också vissa personuppgifter i resultatlistor, årsredovisningar och annan dokumentation från företagets verksamhet, som allra längst till företagets upplösning. Personuppgiftsskydd sätts upp som en återkommande punkt på verksamhetens dagordning. Arbetet med kontroller och förbättringar tas dessutom upp i verksamhetsberättelsen.
Vid eventuell personuppgiftsincident, såsom intrång i företagets databasregister och fysiska arkiv eller att någon obehörig tagit del av personuppgifter, rapporteras detta omgående till Datainspektionen av, i första hand, företagets komplementär; i andra hand dess delägare; i tredje hand företagets HR-avdelning. Den eller de personer som omfattas av incidenten ska därefter, inom skälig tid, underrättas om densamma.
Hamburgsund, 2018-05-01
KB Motorcentrum i Hamburgsund
Ankaret 1
457 45 Hamburgsund
Org. Nr: 916444-1363
Telefon: 0525-33538
E-mail: info@motorcentrum.se
1 Artikel 6.1 a, Dataskyddsförordningen: Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.
2 Artikel 9.2, Dataskyddsförordningen: Punkt 1 (Artikel 9.1, Dataskyddsförordningen: Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden.) ska inte tillämpas om något av följande gäller: Artikel 9.2 a, Dataskyddsförordningen: Den registrerade har uttryckligen lämnat sitt samtycke till behandlingen av dessa personuppgifter för ett eller flera specifika ändamål, utom då unionsrätten eller medlemsstaternas nationella rätt föreskriver att förbudet i punkt 1 inte kan upphävas av den registrerade.
