Cookies och personuppgiftspolicy

Cookiespolicy

En cookie är en liten textfil som webbplatsen du besöker begär att få spara på din dator. Du bestämmer själv hur din dator hanterar cookies genom inställningarna i din webbläsare.

Vi tar hjälp av både förstaparts- och tredjepartscookies för olika ändamål. En del av de cookies som läggs på din dator raderas då du lämnar vår webbplats (sessionscookies) medan andra ligger kvar i upp till 2 år på din dator för att webbplatsen ska kunna känna igen dig från gång till gång om du återkommer (permanenta cookies).

Vi registrerar ingen information om besökarens IP-adress, därför kan informationen om dig aldrig kopplas samman med din identitet.

Vi använder cookies på vår webbplats för att:

Underlätta användningen av webbplatsen och göra så att sidorna ska laddas snabbt på din dator. (Förstaparts sessionscookie)
Med hjälp av analysverktygen Google Analytics (tredjeparts sessions- och permanenta cookies) samla in statistik om hur våra besökare rör sig på webbplatsen, till exempel:
Om besökaren har varit på webbplatsen tidigare
Varifrån besökaren har klickat sig in till vår webbplats
Vilka sidor som besöks på webbplatsen
Hur lång tid besöket tar
Vilken webbläsare som används
Har du frågor om cookies på vår webbplats är du välkommen att kontakt oss på [email protected]

Enligt lagen om elektronisk kommunikation (2003:389) ska alla som besöker en webbplats med cookies få tillgång till information om att webbplatsen innehåller cookies och ändamålet med användningen av cookies. Besökaren ska också lämna sitt samtycke till att cookies används.

 

Personuppgiftspolicy

Följande policy har upprättats för Gignation Sverige AB nedan kallat ”företaget” den 2018-07-03.

Introduktion
På företaget arbetar vi strukturerat för att behandla personuppgifter på ett korrekt och lagligt sätt. I den här policyn beskrivs våra övergripande rutiner för hanteringen av personuppgifter.

Roller och ansvar
[Johan Elfsberg har ett övergripande ansvar att driva och övervaka de frågor som behandlas i denna policy. Samtliga chefer är ansvariga för den egna organisationens efterlevnad.

Principer för vår personuppgiftsbehandling
Vi ska vara ansvarsfulla i vår hantering av personuppgifter, oavsett om det gäller anställda, kunder, leverantörer eller andra samarbetspartners. Frågor som på olika sätt berör behandling av personuppgifter finns i alla delar av vår verksamhet och vi uppmuntrar därför till att samtliga mötesagendor innehåller personuppgiftsbehandling som en avstämningspunkt.
Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Vi ska vara transparanta om vilka uppgifter vi hanterar och se till att de personer som på olika sätt finns registrerade hos oss kan göra sina rättigheter gällande på ett effektivt sätt.
Insamling av personuppgifter får endast ske för särskilda, uttryckligt angivna, och berättigade ändamål och vi ska bara samla in uppgifter som behövs för detta ändamål. Vi arbetar aktivt med att begränsa lagringen genom att gallra i enlighet med vår gallringspolicy och när det är lämpligt genom automatisk gallring. Vi ska med rimliga åtgärder se till att uppgifterna är korrekta.
För att kunna säkerställa och visa att vi lever upp till lagstiftningens krav ska vi samla all dokumentation avseende vårt dataskyddsarbete på samma ställe: i plattformen Gignation.se

Upphandling av IT-tjänster
När vi upphandlar IT-tjänster, såsom programvara eller drift och support, ska vi först genomföra en risk- och sårbarhetsanalys och därefter välja lösning eller leverantör utifrån utfallet.
Vid anlitande av personuppgiftsbiträden ska vi endast anlita den som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i lagen och säkerställer att den registrerades rättigheter skyddas. De överväganden som görs, inklusive dokumentation av säkerhetsnivå etc., ska dokumenteras. Vidare ska det tecknas ett personuppgiftsbiträdesavtal.
Vi undviker om möjligt överföring av personuppgifter till tredje land men när det bedöms lämpligt eller nödvändigt får detta endast ske efter att tillräckliga säkerhetsåtgärder har vidtagits och dokumenterats.

 

IT-säkerhet

Riskbedömning
Vi ska fortlöpande göra en riskbedömning av den behandling av personuppgifter som vi genomför. Vi ska vidta tekniska och organisatoriska åtgärder för att uppnå en säkerhetsnivå som är lämplig i förhållande till risken. Riskanalys och beslut om åtgärder ska dokumenteras.

Behörigheter
Det ska finnas skriftliga behörighetsinstruktioner för samtliga IT-system som innehåller personuppgifter. Grundprincipen är att behörigheter ska tilldelas så att endast de personer som behöver tillgång till personuppgifterna har åtkomst. Beroende på uppgifternas känslighet kan behörigheterna vara snävare eller vidare.

Incidenthantering
Alla säkerhetsincidenter ska dokumenteras i en incidenthanteringslogg med uppgift om omständigheterna kring personuppgiftsincidenten, dess effekter och de korrigerande åtgärder som vidtagits. Med säkerhetsincident avses en händelse som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.
När lagen så föreskriver ska incidenter även rapporteras till Datainspektionen respektive den registrerade.

IT-policy och IT-säkerhetspolicy
Vi har antagit en IT-policy och en IT-säkerhetspolicy där våra anställdas förhållningssätt till IT-miljön regleras mer i detalj.

Register över behandling
Vi ska föra ett register över behandlingar av personuppgifter i plattformen Gignation.se. Respektive systemägare är ansvarig för att hålla registret uppdaterat vid förändringar.

Konsekvensbedömning
Om en behandling av personuppgifter, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska vi enligt Dataskyddsförordningen före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter: Konsekvensbedömning eller DPIA (Data Protection Impact Assessment).
Även när vi inte når upp till kravet för Konsekvensbedömning ska vi, när det är lämpligt, genomföra en förenklad riskanalys. Analysen blir ett underlag för valet av tekniska och organisatoriska säkerhetsåtgärder.

Inbyggt dataskydd och dataskydd som standard
Vi ska proaktivt utvärdera möjligheterna att genomföra tekniska åtgärder, såsom pseudonymisering och uppgiftsminimering för att effektivt leva upp till kraven i GDPR och skydda den registrerades rättigheter.
Vi ska även genomföra lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas.

Utbildning
Våra anställda ska få relevant information och utbildning om behandling av personuppgifter i enlighet med separat årsplan för utbildning. Vid behov ges fördjupad eller riktad utbildning till dem som hanterar känsliga uppgifter. Deltagandet i utbildningar ska dokumenteras.

Uppföljning och intern revision
Efterlevnaden av denna policy ska kontrolleras med stickprov och intern revision. Vi ska löpande utvärdera om vårt dataskyddsarbete lever upp till lagstiftningens krav och genomföra förändringar när det är påkallat.

Denna Policy är antagen av styrelsen den 2018-07-03