Skepparholmens policy för personuppgiftshantering

Skepparholmen tar personlig integritet och dataskydd på allvar. Denna policys syfte är att säkerställa att Skepparholmen hanterar personuppgifter enligt EU:s dataskyddsförordning GDPR. Policyn omfattar alla behandlingar där personuppgifter hanteras och omfattar såväl strukturerad som ostrukturerad data. Policyn är förankrad hos alla våra medarbetare.

Skepparholmens VD ansvarar för att personuppgiftshanteringen följer policyn och för uppdateringar till följd av förändrade regelverk. Policyn är tillämplig för hela Skepparholmens verksamhet inklusive underentreprenörer som berörs av vår verksamhet. 

Begrepp och förkortningar

Personuppgift

En personuppgift är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.

Registrerad

Den som en personuppgift avser, dvs den fysiska person som direkt eller indirekt kan identifieras genom personuppgifterna i ett register.

Personuppgifts-behandling

En åtgärd eller kombination av åtgärder beträffande personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering eller strukturering.

Varje personuppgiftsbehandling sker enligt följande principer: Laglighet (sex definierade skäl, GDPR), Ändamålsbegränsning, Uppgiftsminimering, Korrekthet, Lagringsminimering, Integritet och konfidensialitet.

Våra behandlingar dokumenteras i ett Behandlingsregister som löpande övervakas av vårt dataskyddsombud. Kontroll och säkerställande att Skepparholmens hantering av personuppgifter är korrekt sker inom ramen för Skepparholmens årliga kontroll av efterlevnad av lagar och andra krav eller i samband med incidentrapportering.

Ev. incidenter rörande personuppgifter ska omgående rapporteras till dataskyddsombud@skepparholmen.se som bedömer allvaret i incidenten därefter skall Skepparholmen senast inom 72 timmar anmäla incidenten till Datainspektionen samt i övrigt vidta nödvändiga åtgärder med anledning av incidenten. Däribland konsekvensanalys för de drabbade och underrättelse till de som omfattas.

Våra krav på att personuppgifter ska hanteras enligt GDPR ska alltid säkerställas vid upphandling av IT-lösningar och övriga tjänster och ska vara en del i kravspecifikationer och eventuella avtal.