Policy GDPR
Syfte
Att företaget kan följa de direktiv och lagtexter som benämns ”Allmänna Dataskyddsförordningen” eller motsvarande, förkortat GDPR. Att göra samtliga medarbetare bekanta med hur vi hanterar GDPR.
Genomförande
- IPU står hos oss för ldentifierbara PersonUppgifter.
- Vi samlar in och bevarar data med IPU i syfte att underlätta relationerna mellan oss, våra leverantörer och våra kunder. Syftet ska vara relevant för vår verksamhet och göras i första hand utifrån en intresseavvägning.
- Detaljer kan beskrivas i avtal med leverantörer och kunder.
- Vi har reglerat vilka användare som får hantera och få tillgång till IPU.
- Utöver externa uppgifter (leverantör/kund), hanterar vi även internt IPU. Dessa behandlas på samma sätt som externa uppgifter.
- Vi har tekniska system som reglerar skyddet för IPU. Detta omfattar även skydd för intrång eller stöld.
- Om myndigheter kräver att vi ska ha certifikat för hantering kommer vi att följa dessa krav.
Information
- En viktig del i hantering av IPU är information. Vi har särskilt reglerat hur berörd individ informeras om insamling och hantering av IPU.
- Vi har även reglerat hur vi informerar de myndigheter och andra organisationer.
Ansvar
Utöver VD har vi möjlighet att utse en särskild personuppgiftsansvarig. Denne ska då självständigt göra bedömningar som kan beröra IPU. Om det uppstår ett fel eller en incident, där det finns risk för att IPU har kommit i orätta händer, ska detta skyndsamt anmälas till Datainspektionen (inom 72 timmar) samt till berörd individ.
Uppföljning
Eftersom vi har ett kvalitetssystem som uppfyller ISO-standard, följer vi upp nödvändiga händelser även inom GDPR. Detta sker vid ledningens genomgång eller vid ledningsmöten. Anmälan till Integritetsskyddsmyndigheten.
Rutin GDPR
Förutsättning
Allmänna dataskyddsförordningen har satt upp regler för ansvar för företag och rättigheter för individen när det gäller att hantera identifierbara personuppgifter (lPU) i sin datahantering. Dessa regler måste följas. Företag måste ha rättslig grund för att hantera lPU. Den vanligaste grunden för oss är att det görs en intresseavvägning mellan behovet hos företaget och nödvändigheten för den enskilde att IPU bevaras. Det finns även andra möjligheter till rättslig grund, t.ex. genom avtal.
Hantering av IPU
- IPU står hos oss för ldentifierbara PersonUppgifter
- Vi ska samla in personuppgifter (lPU) enbart om vi behöver dem för vår verksamhet.
- Om vi får in IPU i vårt system utan att vi begärt detta ska vi ta ställning till om vi har behov av dessa uppgifter. Har vi inte behov ska de snarast raderas i våra system. Har vi behov av dessa IPU ska vi skyndsamt meddela berörd individ att vi fått in uppgifterna samt informera om varför vi kommer att ha behov av dem. OBS! Behovet ska utgå från att det är individen som har behov av uppgifterna för att kunna ha en affärsrelation med oss.
- Vi har befintliga avtal och andra kundrelationer. I dessa följer vi rutin för GDPR.
- Vid tecknande av nya avtal ser vi till att kund / leverantör följer GDPR.
- När vi samlat in IPU på eget initiativ ska vi informera berörd individ om innehåll, anledning, hur vi hanterar uppgifterna och hur de kan göra om de vill ta bort uppgifterna.
- Om det uppstår ett fel eller en incident vid hanteringen ska detta skyndsamt anmälas till Datainspektionen (inom 72 timmar) samt till berörd individ.
- Om person begär besked om vilka uppgifter vi har på denna individ ska vi besvara detta skriftligt utan skäligt dröjsmål. Utöver vilka uppgifter vi har ska vi i svaren redovisa varför vi har just dessa uppgifter.
Avslutning av IPU
- När en personuppgift inte längre behövs ska alla uppgifter om individen tas bort ur de system vi använder.
- Om vi har en affärsrelation ska vi först informera individen om att uppgifterna kommer att tas bort. Detta gör vi för att individen ska ha möjlighet att ge sitt medgivande till att uppgifterna kan vara kvar, trots att en affärsrelation har upphört och vi inte längre har ett behov.
- Har vi fått in en IPU som vi ser att vi inte behöver kan vi ta bort denna uppgift direkt utan att informera berörd. Den har då inte lagts in i något register. Avslutet görs rent tekniskt och samtidigt går det ut ett meddelande till individen om att uppgifterna har tagits bort.
Tekniska lösningar
- Vi sparar all vår data på våra servrar.
- Vi använder oss av lösenord för att säkerställa obehörig inloggning till våra system, datorer och mobila enheter.
- Vi använder antivirusprogram för att säkerställa att vi ej får t.ex. phishing m.m. på våra datorer och servrar.
- Vi använder oss av brandväggar för att säkerställa kommunikation mellan våra kontor och att våra interna nät är skyddade mot internet. Här har vi möjlighet att spåra intrångsförsök via logg.
- Mail körs via Microsofts Office 365 via ett Microsoft Trust Center.
- Vårt affärssystem är Pyramid. Här kan vi byta IPU till ett numeriskt lD. Här sparar vi uppgifter på våra kunder.
- MobiGO är vårt system där vi hanterar våra serviceorder. MobiGO hämtar sina uppgifter från Pyramid. Här kan vi byta IPU till ett numeriskt lD.
- I AutoCAD sparas ritningarna enligt Carlhags standard på Företagsnamn, Ordernummer / Projektnummer + en initial.
- I vårt beräkningsprogram sparar vi våra uträkningar med företagsnamn.
- Vi jobbar med Visma lön som lönesystem. Här får våra anställda hämta sina lönerapporter via Vismas portal.
- Mobila enheter används i vårt arbete och vi säkerställer att vi raderar IPU om denna skulle komma i orätta händer.
Cookies
Carlhags webbplats använder små textfiler, så kallade cookies, för att underlätta ditt surfande på sidan. Vi använder oss av följande cookies:
- Permanenta cookies. Permanenta cookies sparas som små textfiler i datorn och raderas sedan på ett bestämt datum. De används till exempel för att lagra inställningar som användaren gör mellan olika besök på webbplatsen.
- Sessionscookie. Sessionscookies lagras i webbläsarens minne och raderas när webbläsaren stängs. De kan till exempel användas för att upprätthålla en inloggning då användaren går från en sida till en annan. Vi använder helt enkelt sessionscookies för att förbättra upplevelsen för våra användare på Carlhag.se
- Cookies för statistik. Analytiska-cookies som gör det möjligt för oss att känna igen och räkna antalet besökare och se hur besökare navigerar när de använder webbplatsen. Vi använder verktyg från Google för att analysera vår trafik.
- Cookies för marknadsföring. Cookies som är kopplade till Carlhags marknadsföring, som gör det möjligt för dig som besökare att bli nådd av vår digitala annonsering. Vi har cookies från Facebook, LinkedIn.
Inställningar för Cookies. Om du inte vill att din dator tar emot och lagrar cookies kan du justera säkerhetsinställningarna i din webbläsare. Vissa delar av Carlhag.se kan användas fullt ut endast om din webbläsare tillåter cookies. Läs gärna mer om Cookies hos Post- och Telestyrelsen.
Tracking
Tracking, via så kallade pixlar, är en metod att ”följa” besökare på webbplats så att dina nätvanor ska kunna styra vilka annonser du får ta del av. Vi använder tracking för att den som har visat intresse för Carlhag genom att besöka vår sida, också ska få del av digital annonsering från Carlhag.
På Carlhags hemsida finns pixlar från
- Facebook. För att vi ska kunna rikta annonsering på Facebook till de IP-nummer som har besökt Carlhags webbplats. Carlhag hanterar ingen information om personer eller vad de gör på Facebook. Läs mer om hur Facebook behandlar uppgifter.
- LinkedIn. För att vi ska kunna rikta annonsering på LinkedIn till de IP-nummer som har besökt Carlhags webbplats. Carlhag hanterar ingen information om personer eller vad de gör på LinkedIn. Läs mer om hur LinkedIn behandlar uppgifter.
- Google. Vi använder Google Analytics för att analysera och utveckla Carlhags hemsida. Vi anonymiserar IP-adresserna för att dessa inte ska kunna kopplas till individer.