Utifrån den nya dataskyddsförordningen som träder i kraft 25/5 2018, GDPR, så har Hemvalvet valt att förtydliga sin personuppgiftshantering genom denna policy.

Syfte

Syftet med Dataskyddsförordningen (GDPR) är att skydda individers personliga integritet genom att reglera
förutsättningarna för behandling av personuppgifter. Arbetsgivare måste fastställa ändamålet och syftet med insamling och behandling av personuppgifter samt identifiera den rättsliga grunden för denna behandling. De rättsliga grunderna är uttömmande reglerade i Dataskyddsförordningen. På Hemvalvet värnar vi om din integritet.

Du ska kunna känna dig trygg när du anförtror oss dina personuppgifter. Därför har vi upprättat denna policy, som baseras på gällande dataskyddslagstiftning och tydliggör hur vi arbetar för att skydda dina rättigheter och din integritet.

Syftet med denna policy är att informera dig om hur vi behandlar dina personuppgifter, vad vi använder dem till, vilka som får ta del av dem och under vilka förutsättningar. Dessutom förklarar vi hur du kan utöva dina rättigheter.

Bakgrund

Vi behandlar dina personuppgifter främst för att fullgöra våra förpliktelser gentemot dig. Vår utgångspunkt är att inte behandla fler personuppgifter än vad som behövs för varje specifikt ändamål.

Vi behöver också dina personuppgifter för att kunna erbjuda dig bra service, exempelvis inom marknadsföring, uppföljning och information. Vidare kan det vara nödvändigt att behandla dina personuppgifter för att uppfylla lagkrav samt åtaganden enligt förordningar eller kollektivavtal.

Du har rätt att motsätta dig att vi använder dina personuppgifter för direktmarknadsföring. När vi samlar in personuppgifter om dig för första gången får du mer information om detta och hur du kan invända mot sådan behandling.

Riktlinjer

Grundläggande principer

Det finns sex grundläggande principer i dataskyddsförordningen (GDPR) som är direkt styrande för all behandling av personuppgifter hos Hemvalvet:

Laglighet, korrekthet och öppenhet: Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade.

1. Ändamålsbegränsning: Uppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte behandlas på ett sätt som är oförenligt med dessa ändamål.
2. Uppgiftsminimering: Uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas.
3. Korrekthet: Uppgifterna ska vara korrekta och, om nödvändigt, uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att felaktiga personuppgifter raderas eller rättas utan dröjsmål.
4. Lagringsminimering: Uppgifterna får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas.
5. Integritet och konfidentialitet: Uppgifterna ska behandlas på ett sätt som säkerställer lämplig säkerhet. Detta inkluderar användning av lämpliga tekniska eller organisatoriska åtgärder för att skydda mot obehörig eller otillåten behandling samt mot förlust, förstöring eller skada genom olyckshändelse.

Rättsliga grunder
Dataskyddsförordningen (GDPR) anger sju rättsliga grunder för hantering av personuppgifter. Hemvalvet använder fem av dessa som grund för all personuppgiftshantering:

Avtal: Hemvalvet behöver hantera personuppgifter för att fullfölja ett avtal med den registrerade.

Rättslig förpliktelse: Hemvalvet behöver behandla personuppgifter utifrån en förpliktelse i lag eller författning.

Allmänt intresse: När en juridisk eller fysisk person, på uppdrag av en kommunal eller statlig myndighet, utför en förvaltningsuppgift som åligger kommunen eller myndigheten, anses den privata utföraren, entreprenören eller det kommunala bolaget utföra en uppgift av allmänt intresse.

Intresseavvägning: Hemvalvet får hantera personuppgifter utan den registrerades medgivande om Hemvalvets berättigade intresse väger tyngre än den registrerades och behandlingen är nödvändig för ändamålet.

Samtycke: När den registrerade har gett sitt samtycke till hantering av personuppgifter för specifika ändamål.

Vilka personuppgifter behandlar vi?
Vi behandlar endast personuppgifter när vi har en laglig grund för detta. Behandlingen sker när personuppgifterna behövs för att fullgöra förpliktelser enligt avtal och lagar samt för att kommunicera information om vår verksamhet. Hemvalvet för ett register över all personuppgiftshantering och gör riskbedömningar innan nya behandlingar påbörjas.

Här är exempel på personuppgifter som vi på olika sätt behandlar:

• Namn
• Adress
• E-postadress
• Telefonnummer
• Personnummer
• Ålder
• Födelsedatum
• Kön
• Titel
• Fotografier
• Betalkortsnummer, kreditkortsnummer och andra bankrelaterade uppgifter
• Uppgifter som du självmant och frivilligt uppger
• Innehåll som du själv publicerar, så kallat användargenererat innehåll

Hur får vi tillgång till dina personuppgifter?
Vi ser huvudsakligen fyra olika personuppgiftskategorier för vilka Hemvalvet hanterar personuppgifter:

• Personer inskrivna i verksamheten
• Uppdragsgivare/kunder och andra samarbetspartners
• Potentiella kunder
• Medarbetare

Beroende på vilken kategori man tillhör ser det lite olika ut hur vi får personuppgifter till oss:

Personer inskrivna i verksamheten: Personuppgifter inhämtas i samband med inskrivningen. De inskrivna får då information om vilka uppgifter vi registrerar, hur de kommer att hanteras och när de gallras. Ändamålet med behandlingen är att fullgöra våra åtaganden gentemot den inskrivna samt att uppfylla avtal och rättsliga förpliktelser. Den rättsliga grunden för behandlingen är att fullgöra avtal och rättsliga förpliktelser.

Uppdragsgivare och andra samarbetspartners: Personuppgifter inhämtas vid uppstarten av samarbetet. Hemvalvet informerar då om hur personuppgifterna kommer att hanteras. Ändamålet med behandlingen är att kunna fullfölja avtal, rättsliga förpliktelser och andra åtaganden, samt att kunna kommunicera med viktiga aktörer kring den inskrivna. Uppgifterna kan även användas för att skicka information och marknadsföring. Personuppgifterna gallras när ändamålen inte längre är aktuella, men vissa uppgifter, exempelvis i journaler, kan behöva sparas längre på grund av rättsliga förpliktelser. Den rättsliga grunden för behandlingen är att fullgöra avtal, rättsliga förpliktelser och intresseavvägning.

Potentiella kunder: Hemvalvet kan vid behov samla in personuppgifter för att komma i kontakt med potentiella kunder och informera om verksamhetens innehåll och platstillgång. Ändamålet med denna behandling är att marknadsföra och informera om verksamheten. Vid utskick får mottagarna aktivt välja om de vill fortsätta få utskicken eller inte. De får även möjlighet att ta del av Hemvalvets personuppgiftspolicy. Den rättsliga grunden för behandlingen är samtycke och intresseavvägning.

Medarbetare: Personuppgifter inhämtas i samband med rekryteringsförfarandet och anställningens start. Vid anställningens start får medarbetaren skriftlig information om Hemvalvets hantering av personuppgifter. Ändamålet med personuppgiftshanteringen är att kunna hantera ärenden som rör anställningen samt att fullgöra åtaganden och rättsliga förpliktelser gentemot den anställde. Den rättsliga grunden för behandlingen är att fullgöra avtal, rättsliga förpliktelser och intresseavvägning.

Om vi har inhämtat dina personuppgifter via samtycke har du när som helst rätt att återkalla ditt samtycke. Vi kommer då inte längre att behandla dina personuppgifter eller inhämta nya, förutsatt att det inte behövs för att fullgöra våra skyldigheter enligt avtal eller lag. Tänk på att återkallelse av samtycke kan innebära att vi inte kan fullgöra våra skyldigheter gentemot dig. Om behandlingen baseras på intresseavvägning kan du alltid invända mot behandlingen, och Hemvalvet är då skyldiga att pröva om behandlingen ska avslutas eller kvarstå enligt dataskyddsförordningen.

Vi får också tillgång till dina personuppgifter på följande sätt:

• Uppgifter som du tillhandahåller oss direkt
• Uppgifter som registreras när du besöker vår hemsida
• Uppgifter som vi får från offentliga register
• Uppgifter som vi får när du kommer med förfrågningar till verksamheten
• Uppgifter som vi får när du anmäler dig till våra kurser eller seminarier
• Uppgifter som vi får när du anmäler dig till nyhetsbrev och andra utskick
• Uppgifter som vi får när du svarar på enkäter och undersökningar
• Uppgifter som vi får när du kontaktar oss, söker anställning hos oss, besöker oss eller på annat sätt tar kontakt med oss

Vilken information får du från oss?

När vi för första gången samlar in dina personuppgifter, kommer vi att informera dig om hur vi erhöll dessa uppgifter, vad vi kommer att använda dem till, vilka rättigheter du har enligt dataskyddslagstiftningen och hur du kan tillvarata dessa rättigheter. Du kommer också att bli informerad om vem som är ansvarig för personuppgiftsbehandlingen och hur du kan kontakta oss om du har frågor eller vill lämna en begäran eller förfrågan som rör dina personuppgifter och/eller rättigheter.

Behandlas dina personuppgifter på ett betryggande sätt?

Vi utarbetar rutiner och arbetssätt för att säkerställa att dina personuppgifter hanteras på ett säkert sätt. Endast de arbetstagare och andra personer inom organisationen som behöver personuppgifterna för att utföra sina arbetsuppgifter har tillgång till dem. För känsliga personuppgifter har vi inrättat särskilda behörighetskontroller för att ge ett högre skydd för dina uppgifter.

Våra säkerhetssystem är utvecklade med din integritet i fokus och skyddar i hög grad mot intrång, förstöring och andra förändringar som kan utgöra en risk för din integritet. Vi har även en IT-säkerhetspolicy för att säkerställa att dina personuppgifter behandlas säkert. Vi överför inte personuppgifter annat än i de fall som uttryckligen anges i denna policy.

När lämnar vi ut dina personuppgifter?

Vår utgångspunkt är att inte lämna ut dina personuppgifter till tredje part om du inte har samtyckt till det eller om det inte är nödvändigt för att uppfylla våra förpliktelser enligt avtal eller lag. I de fall vi lämnar ut personuppgifter till tredje part upprättar vi sekretessavtal och säkerställer att personuppgifterna behandlas på ett betryggande sätt.

Gallring
Vårt mål är att inte hantera några onödiga personuppgifter. Vi raderar personuppgifter så snart vi saknar syfte eller laglig grund för hanterandet. Senast vid den nästkommande årliga revisionen av vår personuppgiftsbehandling, som genomförs i anslutning till årsskiftet.

Ansvar
Hemvalvet är personuppgiftsansvarig, vilket innebär att vi är ansvariga för hur dina personuppgifter behandlas och att dina rättigheter tas tillvara.

Du kan, en gång per år kostnadsfritt, erhålla information om vilka personuppgifter som är registrerade genom att skriftligt begära ett så kallat registerutdrag från oss.

Hemvalvet har riktlinjer för att hantera personuppgiftsincidenter som innebär olaglig förlust, förstöring eller ändring av data, eller obehörigt röjande av, alternativt obehörig åtkomst till, de personuppgifter som behandlas. Hemvalvet informerar tillsynsmyndigheten inom 72 timmar om en sådan incident inträffar.

Om du anser att dina rättigheter inte respekteras av oss eller om du har frågor rörande vår hantering av personuppgifter, kontakta vår kontaktcenter i dessa frågor via [email protected] Vi utreder då om fel begåtts och vidtar i så fall skyndsamma åtgärder. Om du upplever att vi hanterat dina personuppgifter felaktigt kan du även vända dig till tillsynsmyndigheten Datainspektionen via [email protected].