I denna policy fastställs de interna reglerna för den personuppgiftsansvariges databehandlingsverksamhet i syfte att följa EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av förordning (EG) nr 95/46/EG (allmän dataskyddsförordning).

 

Utfärdad i Budapest den 24 maj 2018.

 

 

Personuppgiftsansvarig data

 

 

Namn: BGR Central Europe Kft.
Adress: 1047 Budapest, Perényi Zsigmond utca 10. 2. våning 2.
Registreringsnummer för företag: 01-09-404629
Registrerad : Fővárosi Törvényszék Cégbírósága
Skattenummer: 32054527-2-41
Bankkontonummer: CIB
Telefonnummer: 06-30-285-1856

E-post: hello (at) baseballsapka.hu

 

 

 

 

 I. KAPITEL 2

ALLMÄNNA BESTÄMMELSER

 

 

Reglernas syfte och tillämpningsområde

 

  1. Syftet med denna policy är att fastställa interna regler och åtgärder för att säkerställa att den personuppgiftsansvariges databehandling och datahantering följer EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) 2016/679 av den 27 april 2016.) om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av förordning (EG) nr 95/46/EG (allmän dataskyddsförordning, nedan kallad förordningen) - och bestämmelserna i lag CXII från 2011 om rätten till självbestämmande i fråga om information och informationsfrihet (nedan kallad infotv.).

 

  1. Denna policy omfattar den personuppgiftsansvariges behandling av personuppgifter som rör fysiska personer.

 

  1. Kunder, kunder, kunder och leverantörer till egenföretagare, enskilda näringsidkare, enskilda firmor och egenföretagande jordbrukare ska betraktas som fysiska personer vid tillämpningen av dessa regler.

 

  1. Policyns tillämpningsområde omfattar inte behandling av personuppgifter som rör juridiska personer, inklusive den juridiska personens namn och form samt den juridiska personens kontaktuppgifter (GDPR (14)).

 

Definitioner

 

  1. Vid tillämpningen av dessa förordningar gäller de definitioner som anges i artikel 4 i förordningen. De viktigaste definitionerna är markerade i enlighet med detta:

„Personuppgifter”: all information som rör en identifierad eller identifierbar fysisk person („registrerad”); en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras, särskilt med hänvisning till en identifierare som ett namn, nummer, platsdata, en onlineidentifierare eller till en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet;

„datahantering”: varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter eller uppsättningar av personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämnande, översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, begränsning, radering eller förstöring;

„Begränsning av behandling”: identifiering av de lagrade personuppgifterna för att begränsa deras framtida behandling;

„profilering”: varje form av automatiserad behandling av personuppgifter som innebär att personuppgifter används för att bedöma vissa personliga aspekter som rör en fysisk person, särskilt för att analysera eller förutsäga egenskaper som är förknippade med den personens arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, tillförlitlighet, beteende, vistelseort eller förflyttningar;

„pseudonymisering”: behandling av personuppgifter på ett sådant sätt att det inte längre är möjligt att utan ytterligare information identifiera den fysiska person som personuppgifterna rör, förutsatt att sådan ytterligare information hålls åtskild och att tekniska och organisatoriska åtgärder vidtas för att säkerställa att ingen koppling till identifierade eller identifierbara fysiska personer är möjlig;

„registersystem”: en uppsättning personuppgifter, uppdelade på något sätt, vare sig det är centraliserat, decentraliserat eller efter funktionella eller geografiska kriterier, som är tillgängliga på grundval av särskilda kriterier;

„personuppgiftsansvarig”: en fysisk eller juridisk person, offentlig myndighet, institution eller något annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den registeransvarige eller de särskilda kriterierna för att utse den registeransvarige också bestämmas av unionsrätten eller medlemsstaternas nationella rätt;

„personuppgiftsbiträde”: en fysisk eller juridisk person, offentlig myndighet, institution eller något annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning;

„mottagare”: den fysiska eller juridiska person, offentliga myndighet, institution eller annat organ till vilken eller med vilken personuppgifterna lämnas ut, oavsett om det är en tredje part eller inte. Offentliga myndigheter som kan ha tillgång till personuppgifter inom ramen för en individuell utredning i enlighet med unionsrätten eller medlemsstaternas nationella rätt är inte mottagare; dessa offentliga myndigheters behandling av dessa uppgifter måste följa de tillämpliga reglerna om uppgiftsskydd i enlighet med syftet med behandlingen;

„tredje part”: en fysisk eller juridisk person, offentlig myndighet, institution eller något annat organ som inte är den registrerade, den registeransvarige, registerföraren eller de personer som under den registeransvariges eller registerförarens direkta ledning har rätt att behandla personuppgifter;

„samtycke från den registrerade”: en frivillig, specifik, informerad och otvetydig viljeyttring genom vilken den registrerade, genom ett uttalande eller en handling som uttrycker hans eller hennes otvetydiga samtycke, visar att han eller hon godtar behandling av personuppgifter som rör honom eller henne;

„dataskyddsincidenter”: en säkerhetsöverträdelse som leder till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande av eller tillgång till personuppgifter som överförts, lagrats eller på annat sätt behandlats.

 

KAPITEL II

SÄKERSTÄLLA ATT BEHANDLINGEN ÄR LAGLIG

 

Behandling som grundar sig på den registrerades samtycke

 

  1. Om den personuppgiftsansvarige avser att utföra behandling som grundar sig på samtycke, ska den registrerades samtycke till behandling av hans eller hennes personuppgifter inhämtas genom Bilaga nr. i enlighet med innehållet och informationen i formuläret för begäran om uppgifter och, när det gäller köp som görs i webbshoppen, kan den registrerade ge sitt samtycke till behandling av sina uppgifter i enlighet med denna policy genom att kryssa i relevant ruta innan köpet påbörjas.

 

  1. Samtycke ska också anses ha lämnats om den registrerade, när han eller hon besöker den personuppgiftsansvariges webbplats (baseballsapka.hu), kryssar i en ruta i detta syfte, gör relevanta tekniska inställningar vid användning av informationssamhällets tjänster eller gör något annat uttalande eller vidtar någon annan åtgärd som i det relevanta sammanhanget otvetydigt anger att den registrerade samtycker till den avsedda behandlingen av hans eller hennes personuppgifter. Tystnad, kryssande i en ruta eller passivitet utgör därför inte samtycke.

 

  1. Samtycket omfattar alla behandlingsaktiviteter som utförs för samma ändamål eller ändamål. Om behandlingen sker för mer än ett ändamål, ska samtycke ges för alla de ändamål för vilka behandlingen sker.

 

  1. Om den registrerade ger sitt samtycke i en skriftlig förklaring som även avser andra frågor, ska begäran om samtycke presenteras på ett sätt som klart kan särskiljas från dessa andra frågor, i en tydlig och lättillgänglig form och på ett klart och tydligt språk. Varje del av en sådan förklaring som innehåller den registrerades samtycke och som strider mot förordningen ska inte vara bindande.

 

  1. Den personuppgiftsansvarige får inte ställa som villkor för ingående eller fullgörande av ett avtal att samtycke lämnas till behandling av personuppgifter som inte är nödvändig för att fullgöra avtalet.

 

  1. Det ska vara möjligt att återkalla ett samtycke på samma enkla sätt som det lämnas.

 

  1. Om personuppgifterna har samlats in med den registrerades samtycke får den personuppgiftsansvarige behandla de insamlade uppgifterna i syfte att fullgöra en rättslig förpliktelse som åvilar den registrerade, om inte annat föreskrivs i lag, utan ytterligare särskilt samtycke och även efter det att den registrerades samtycke har återkallats.

 

Behandling som grundar sig på fullgörande av en rättslig förpliktelse

 

  1. När det gäller behandling av uppgifter som grundar sig på en rättslig förpliktelse regleras omfattningen av de uppgifter som ska behandlas, syftet med behandlingen, hur länge uppgifterna ska lagras och mottagarna av bestämmelserna i den underliggande lagstiftningen.

 

  1. Behandling som grundar sig på fullgörande av en rättslig förpliktelse är oberoende av den registrerades samtycke, eftersom behandlingen är fastställd i lag. I sådana fall måste den registrerade innan behandlingen inleds informeras om att behandlingen är obligatorisk och få tydlig och detaljerad information om alla fakta som rör behandlingen av hans eller hennes uppgifter, särskilt ändamålen med och den rättsliga grunden för behandlingen, den personuppgiftsansvariges och personuppgiftsbiträdets identitet, behandlingens varaktighet, huruvida den personuppgiftsansvarige behandlar den registrerades personuppgifter på grundval av en rättslig förpliktelse som den registrerade omfattas av och vilka personer som kan ha tillgång till uppgifterna. Informationen bör också omfatta den registrerades rättigheter och rättsmedel i samband med behandlingen. Vid obligatorisk behandling kan informationen även lämnas genom att en hänvisning offentliggörs till de rättsliga bestämmelser som innehåller ovannämnda information.

 

Information om den personuppgiftsansvariges datahantering

 

  1. Den personuppgiftsansvariges allmänna meddelande om behandling av personuppgifter finns tillgängligt på Bilaga nr. ingår.

 

  1. Den personuppgiftsansvarige ska se till att den registrerade kan utöva sina rättigheter i all sin behandling.

 

 

KAPITEL III

BEHANDLING AV ANSTÄLLNINGSRELATERADE UPPGIFTER

 

Arbetskraft, personalregister

 

  1. Medarbetare får endast tillfrågas om och registreras för uppgifter och medicinska undersökningar av arbetsförmågan som är nödvändiga för att skapa, upprätthålla och avsluta anställningen och för att tillhandahålla sociala förmåner och som inte kränker deras individuella rättigheter.

 

  1. Den personuppgiftsansvarige behandlar följande uppgifter om den anställde i syfte att etablera, fullgöra eller avsluta anställningsförhållandet för att tillgodose arbetsgivarens berättigade intressen (artikel 6.1 f i förordningen):
  1. Namn
  2. namn vid födseln,,
  3. födelsedatum,
  4. moderns namn,
  5. din adress,
  6. din nationalitet,
  7. skatteregistreringsnummer,
  8. Personnummer,
  9. Pensionärens permanenta nummer (om det rör sig om en pensionerad arbetstagare),
  10. telefonnummer,
  11. E-postadress,
  12. Nummer på identitetskort,
  13. Numret på det officiella intyget om bosättning,
  14. ditt bankkontonummer,
  15. online-ID (om tillgängligt)
  16. Datum då din anställning börjar och slutar,
  17. Arbetstitel,
  18. en kopia av ett dokument som intygar din utbildning och yrkesutbildning,
  19. foto,
  20. CV,
  21. storleken på din lön och andra förmåner,
  22. det skuldbelopp som ska dras av från arbetstagarens lön, eller rätten att dra av det, på grundval av ett slutligt beslut eller en lagbestämmelse eller ett skriftligt samtycke,
  23. en utvärdering av den anställdes arbete,
  24. hur och av vilka skäl anställningsförhållandet avslutas,
  25. ett intyg om god vandel, beroende på befattningen
  26. en sammanfattning av testerna av yrkesmässig lämplighet,
  27. vid medlemskap i privata pensionsfonder och frivilliga ömsesidiga försäkringsfonder, fondens namn, dess identifikationsnummer och den anställdes medlemsnummer,
  28. För utländska arbetstagare: passnummer, namn och nummer på den handling som styrker rätten att arbeta,
  29. Uppgifter som registrerats i registren över olyckor som drabbat arbetstagare;
  30. uppgifter som är nödvändiga för användning av välfärdstjänster, kommersiella boenden;
  31. det kamera- och åtkomstkontrollsystem som används av den personuppgiftsansvarige för säkerhets- och tillgångsskyddsändamål,
  32. eller data som registreras av positioneringssystem.

 

  1. Arbetsgivaren kommer att behandla uppgifter om din sjukdom och fackföreningsmedlemskap endast i syfte att uppfylla en rättighet eller skyldighet enligt arbetslagstiftningen.

 

  1. Mottagare av personuppgifterna är: arbetsgivarens chef, den person som utövar arbetsgivarens befogenheter, anställda hos den personuppgiftsansvarige som utför arbetsrelaterade uppgifter och personuppgiftsbiträden.

 

  1. Endast personuppgifter för anställda i ledande ställning får överföras till den personuppgiftsansvariges ägare.

 

  1. Lagringstid för personuppgifter: 3 år efter avslutad anställning.

 

  1. Den registrerade ska innan behandlingen påbörjas informeras om att behandlingen grundar sig på arbetsrättslagstiftningen och arbetsgivarens berättigade intressen.

 

  1. Arbetsgivaren ska i samband med att anställningsavtalet ingås meddela följande Bilaga nr. informerar den anställde om behandlingen av hans/hennes personuppgifter och personliga rättigheter genom att förse honom/henne med informationsmeddelandet.

 

Datahantering i samband med lämplighetstest

 

  1. En anställd får endast genomgå ett lämplighetstest som krävs enligt en anställningsregel eller som är nödvändigt för utövandet av en rättighet eller fullgörandet av en skyldighet som anges i en anställningsregel. Före undersökningen ska arbetstagarna informeras i detalj om bland annat de färdigheter och förmågor som ska bedömas och om de medel och metoder som används för bedömningen. Om undersökningen krävs enligt lag måste de anställda informeras om lagens titel och den exakta platsen där den ska genomföras. En modell av detta informationsmeddelande bifogas denna policy. Bilaga nr. ingår.

 

  1. Arbetsgivare kan låta anställda fylla i testformulär för lämplighet och beredskap för arbete, både innan anställningsförhållandet etableras och under anställningsförhållandet.

 

  1. För att kunna genomföra och organisera arbetsprocesser på ett mer effektivt sätt får ett testformulär som lämpar sig för forskning om psykologiska egenskaper eller personlighetsdrag endast fyllas i av en stor grupp anställda i syfte att effektivisera arbetsförhållandet om de uppgifter som framkommer vid analysen inte kan kopplas till enskilda anställda, dvs. uppgifterna behandlas anonymt.
  2. Omfattningen av de behandlade personuppgifterna: lämplighet för arbetet och de villkor som krävs för detta.

 

  1. Rättslig grund för behandlingen: arbetsgivarens berättigade intresse.

 

  1. Syftet med behandlingen av personuppgifter: att etablera och upprätthålla ett anställningsförhållande, att tillsätta en tjänst.

 

  1. Mottagare och kategorier av mottagare av personuppgifter: Resultaten av undersökningen kan lämnas ut till de anställda som undersökts eller till den yrkesutövare som utför undersökningen. Arbetsgivaren kan endast få information om huruvida den undersökta personen är lämplig för arbetet eller inte och under vilka förutsättningar han eller hon är lämplig för arbetet. Arbetsgivaren får dock inte ta del av detaljerna i undersökningen eller den fullständiga dokumentationen av den.

 

  1. Behandlingstid för personuppgifter: 3 år efter avslutad anställning.

 

Hantering av rekryteringsdata, ansökningar, CV:n

 

  1. De personuppgifter som kan komma att behandlas är: namn, födelsedatum och födelseort, moderns namn, adress, kvalifikationer, fotografi, telefonnummer, e-postadress, arbetsgivaruppgifter (om sådana finns) för den fysiska personen.

 

  1. Ändamålet med behandlingen av personuppgifter är: ansökan, utvärdering av ansökan, ingående av ett anställningsavtal med den utvalda personen. Den registrerade måste informeras om arbetsgivaren inte har valt ut honom/henne för jobbet.

 

  1. Rättslig grund för behandlingen: samtycke från den registrerade.

 

  1. Mottagare eller kategorier av mottagare av personuppgifter: chefer och anställda som utför arbetsrelaterade uppgifter och som har rätt att utöva sina rättigheter som arbetsgivare hos den personuppgiftsansvarige.

 

  1. Varaktighet för lagring av personuppgifter: till dess att ansökan eller anbudet har utvärderats. Personuppgifter om sökande som inte har godkänts kommer att raderas. Uppgifter om dem som återkallar sin ansökan eller kandidatur kommer också att raderas.

 

  1. Arbetsgivaren får endast lagra ansökningar på grundval av den registrerades uttryckliga, otvetydiga och frivilliga samtycke, förutsatt att lagringen är nödvändig för ändamålen med behandlingen i enlighet med lagen. Sådant samtycke ska begäras från kandidater efter det att rekryteringsförfarandet har slutförts.

 

E-kontroll av användning av e-postkonto databehandling

 

  1. Om den personuppgiftsansvarige tillhandahåller ett e-postkonto till den anställde - får den anställde använda denna e-postadress och detta konto endast för sina arbetsuppgifter, för att hålla kontakt med varandra eller för att korrespondera med kunder, andra personer och organisationer på uppdrag av arbetsgivaren.

 

  1. Den anställde får inte använda e-postkontot för personliga ändamål och får inte lagra personlig post på kontot.

 

  1. Arbetsgivaren har rätt att regelbundet - var tredje månad - kontrollera hela innehållet i och användningen av e-postkontot, och den rättsliga grunden för behandlingen av uppgifterna är arbetsgivarens berättigade intresse. Syftet med övervakningen är att kontrollera att arbetsgivarens bestämmelser om användningen av e-postkontot följs och att kontrollera den anställdes skyldigheter (artiklarna 8 och 52 i arbetslagen).

 

  1. Chefen för arbetsgivaren eller den person som utövar arbetsgivarens rättigheter är behörig att kontrollera och hantera uppgifterna.

 

  1. Om omständigheterna vid inspektionen inte utesluter detta, måste det säkerställas att arbetstagaren är närvarande under inspektionen.

 

  1. Före kontrollen ska den anställde informeras om arbetsgivarens intresse av kontrollen, vem från arbetsgivarens sida som får utföra kontrollen, - de regler enligt vilka kontrollen får utföras (iakttagande av principen om successivt tillvägagångssätt) och det förfarande som ska följas, - den anställdes rättigheter och rättsmedel i förhållande till behandlingen av uppgifter i samband med kontrollen av e-postkontot.

 

  1. Principen om gradvishet bör tillämpas vid kontrollen, så att e-postmeddelandets adress och ämne bör vara den primära grunden för att fastställa att det är relaterat till den anställdes arbetsuppgifter och inte personligt. Innehållet i icke-personliga e-postmeddelanden får granskas av arbetsgivaren utan begränsning.

 

  1. Om det, i strid med bestämmelserna i denna policy, kan fastställas att den anställde har använt e-postkontot för personliga ändamål, måste den anställde uppmanas att omedelbart radera personuppgifterna. Om den anställde är frånvarande eller inte samarbetar kommer personuppgifterna att raderas av arbetsgivaren efter verifiering. Användning av e-postkontot i strid med denna policy kan leda till att arbetsgivaren vidtar rättsliga åtgärder mot den anställde enligt arbetsrätten.

 

  1. Den anställde kan utöva de rättigheter som anges i avsnittet i denna policy om registrerades rättigheter i samband med behandling av uppgifter som omfattar kontroll av ett e-postkonto.

 

Databehandling relaterad till kontroll av dator, bärbar dator, surfplatta

 

  1. Den dator, laptop eller surfplatta som den personuppgiftsansvarige tillhandahåller den anställde för arbetsändamål får endast användas av den anställde för att utföra hans/hennes arbetsuppgifter, den personuppgiftsansvarige förbjuder privat användning av dessa enheter, den anställde får inte hantera eller lagra några personuppgifter eller korrespondens på dessa enheter. Arbetsgivaren får övervaka de uppgifter som lagras på dessa enheter. Arbetsgivarens kontroll av dessa enheter och de rättsliga följderna därav ska regleras av bestämmelserna i föregående § 9.

 

Databehandling i samband med övervakning av internetanvändning i arbetet

 

  1. Anställda får endast besöka webbplatser som är relaterade till deras arbetsuppgifter, och arbetsgivaren förbjuder användning av Internet för personliga ändamål på jobbet.

 

  1. Den personuppgiftsansvarige är innehavare av de internetregistreringar som utförs för den personuppgiftsansvariges räkning som en arbetsuppgift, och vid registreringen måste en identifierare och ett lösenord som hänvisar till den personuppgiftsansvarige användas. Om det även krävs att personuppgifter lämnas för registrering ska den personuppgiftsansvarige initiera radering av sådana uppgifter när anställningsförhållandet upphör.

 

  1. Arbetsgivaren får övervaka de anställdas användning av Internet i arbetet, enligt de bestämmelser och rättsliga följder som anges i artikel 9.

 

Databehandling i samband med kontroll av användningen av företagets mobiltelefoner

 

  1. Din arbetsgivare tillåter att du använder din företagsmobil för privata ändamål.

 

  1. Anställda måste rapportera till sin arbetsgivare om de använder sin tjänstemobil för privata ändamål. I detta fall kan arbetsgivarens kontroll ske genom att begära ut samtalsdetaljer från telefonoperatören och be den anställde att göra de uppringda numren oigenkännliga på dokumentet vid privata samtal.

 

  1. I annat fall gäller bestämmelserna i § 9 för kontrollen och de rättsliga följderna.

 

Datahantering i samband med in- och utträde från arbetsplatsen

 

  1. Om ett system för åtkomstkontroll (ej elektroniskt) används, måste information om den registeransvariges identitet och hur uppgifterna behandlas tillhandahållas.

 

  1. Omfattningen av de personuppgifter som behandlas: den fysiska personens namn, adress, bilens registreringsnummer, tid för in- och utpassering.

 

  1. Rättslig grund för behandlingen: arbetsgivarens berättigade intressen.

 

  1. Ändamålen med behandlingen av personuppgifter är: skydd av tillgångar, fullgörande av avtal, övervakning av anställdas skyldigheter.

 

  1. Mottagare eller kategorier av mottagare av personuppgifter: chefer som har rätt att utöva arbetsgivarens rättigheter hos den personuppgiftsansvarige, anställda hos den personuppgiftsansvariges säkerhetsföretag som personuppgiftsbiträden.

 

  1. Behandlingstiden för personuppgifter: 6 månader.

 

Databehandling i samband med kameraövervakning på arbetsplatsen

 

  1. I syfte att skydda människoliv, fysisk integritet, personlig frihet, affärshemligheter och egendomsskydd använder vår personuppgiftsansvarige elektroniska övervakningssystem på sitt huvudkontor, i sina lokaler och i lokaler som är öppna för kunder, som också möjliggör direkt observation eller inspelning och lagring av bilder, ljud eller bilder och ljud, och därför betraktas den registrerades beteende som registreras av kameran också som personuppgifter.

 

  1. Den rättsliga grunden för denna behandling är arbetsgivarens berättigade intressen och den registrerades samtycke.

 

  1. Information om att ett elektroniskt övervakningssystem används i ett visst område ska finnas på en klart synlig och läsbar plats, på ett sätt som underlättar informationen till tredje man som vill komma in i området. Informationen ska lämnas för varje kamera. Denna information ska också innehålla uppgifter om att det elektroniska systemet för skydd av tillgångar övervakar, syftet med inspelningen och lagringen av bild- och ljudupptagningar av personuppgifter som registreras av systemet, den rättsliga grunden för behandlingen, den plats där inspelningen lagras, lagringens varaktighet, identiteten på den person som använder (operatören) systemet, de personer som är behöriga att få tillgång till uppgifterna, datasäkerhetsåtgärderna i samband med lagringen av inspelningen samt information om de registrerades rättigheter och förfarandena för att utöva dem. En modell för informationen finns i bilaga 5 till koden.

 

  1. Bilder och ljudupptagningar av tredje part (kunder, besökare, gäster) som kommer in i det övervakade området kan tas och behandlas med deras samtycke. Samtycke kan också ges genom impuls. I synnerhet ska det anses vara en impuls om en fysisk person går in i det övervakade området trots att han eller hon har informerats eller informerats om användningen av det elektroniska övervakningssystem som installerats där.

 

  1. Inspelat material får sparas i högst 3 (tre) arbetsdagar om det inte används. Användning anses föreligga om den inspelade bilden, ljudet eller bild- och ljudupptagningen och övriga personuppgifter är avsedda att användas som bevis i rättegång eller annat officiellt förfarande.

 

  1. Åtgärder för datasäkerhet:
  1. Monitorn för visning och granskning av bilderna måste vara placerad på ett sådant sätt att den inte kan ses av någon person som inte har åldern inne för samtycke medan bilderna sänds.
  2. Övervakning och granskning av lagrade bilder får endast ske i syfte att upptäcka intrångshandlingar och vidta nödvändiga åtgärder för att stoppa dem.
  3. Bilderna som sänds av kamerorna kan inte spelas in av någon annan enhet än den centrala inspelningsenheten.
  4. Inspelningsmedier måste förvaras på en låst plats.
  5. Tillgång till de lagrade bilderna får endast ske på ett säkert sätt och på ett sådant sätt att den personuppgiftsansvariges identitet kan identifieras.
  6. Granskning och säkerhetskopiering av lagrade bilddokument ska dokumenteras.
  7. Om skälet till att rättigheten upphört inte längre är giltigt, måste tillgången till de lagrade bildregistren omedelbart upphöra.
  8. En separat hårddisk i inspelningsapparaten kör operativsystemet och
  9. inspelade inspelningar. Inspelningarna säkerhetskopieras inte separat.
  10. Märkning av handlingsprotokollet efter att brottet har upptäckts
  11. och att utan dröjsmål vidta nödvändiga administrativa åtgärder
  12. och informera myndigheten om att handlingen har registrerats.

 

  1. En person vars rätt eller berättigade intresse påverkas av registreringen av bild-, ljud- eller videoinspelningen får inom tre arbetsdagar efter registreringen av bild-, ljud- eller videoinspelningen begära att uppgifterna inte förstörs eller raderas av den personuppgiftsansvarige genom att styrka sin rätt eller sitt berättigade intresse.

 

  1. Inget elektroniskt övervakningssystem får användas i lokaler där sådan övervakning kan kränka den mänskliga värdigheten, särskilt i omklädningsrum, duschar, toaletter eller till exempel i ett läkarrum eller dess angränsande väntrum, eller i lokaler som är avsedda för arbetstagarnas raster.

 

  1. Om ingen enligt lag får vistas på arbetsplatsen, särskilt inte utanför arbetstid eller på helgdagar, kan hela arbetsplatsen (t.ex. omklädningsrum, toaletter, pausrum) övervakas.

 

  1. De uppgifter som registreras av det elektroniska övervakningssystemet får, utöver vad som är tillåtet enligt lag, ses av den operativa personalen, arbetsgivarens chef och biträdande chef samt chefen för arbetsplatsen inom det övervakade området, i syfte att upptäcka överträdelser och kontrollera systemets funktion.

 

 

KAPITEL IV

AVTALSRELATERAD DATABEHANDLING

 

Hantering av entreprenörsdata - registrering av kunder och leverantörer

 

  1. Den personuppgiftsansvarige behandlar namn, namn på den fysiska person som har ingått avtal med den personuppgiftsansvarige som köpare eller leverantör, namn på den fysiska personen, namn på personens födelse, födelsedatum, moderns namn, adress, skatteregistreringsnummer, skattenummer, identitetskortsnummer för företagare eller egenföretagare, personnummer för identitetskort i syfte att fullgöra avtalet, ingå, fullgöra, säga upp eller bevilja en avtalsenlig rabatt, adress, adress till säte, adress till verksamhetsställe, telefonnummer, e-postadress, webbadress, bankkontonummer, kundnummer (kundnummer, ordernummer), onlineidentifierare (kundförteckning, leverantörsförteckning, förteckning över frekventa köpare), Denna behandling anses också vara laglig om behandlingen är nödvändig för att vidta åtgärder på begäran av den registrerade innan avtalet ingås. Mottagare av personuppgifter: anställda hos den personuppgiftsansvarige som utför kundtjänstuppgifter, anställda som utför redovisnings- och skatteuppgifter samt personuppgiftsbiträden. Lagringstid för personuppgifter: 8 år efter det att avtalet har upphört att gälla.

 

  1. Den berörda fysiska personen ska innan behandlingen påbörjas informeras om att behandlingen grundar sig på fullgörandet av ett avtal, vilket får anges i avtalet. Den registrerade ska informeras om överföringen av hans eller hennes personuppgifter till ett personuppgiftsbiträde. Texten till klausulen om behandling av personuppgifter i samband med ett avtal med en fysisk person anges i följande Bilaga nr. ingår.

 

Kontaktuppgifter till fysiska personer som företräder juridiska personer som är kunder, köpare eller leverantörer

 

  1. Omfattningen av de personuppgifter som behandlas: den fysiska personens namn, adress, telefonnummer, e-postadress, onlineidentifierare.

 

  1. Ändamålet med behandlingen av personuppgifter: fullgörande av ett avtal med en juridisk person som är partner till den personuppgiftsansvarige, affärsrelationer, rättslig grund: den registrerades samtycke.

 

  1. Mottagare eller kategorier av mottagare av personuppgifter: anställda hos den personuppgiftsansvarige som utför kundtjänstuppgifter.

 

  1. Lagringstid för personuppgifter: i 5 år efter det att affärsförbindelsen eller den registrerades egenskap av representant har upphört.

 

  1. Modellen för formuläret för uppgiftsinsamling i denna förordning Bilaga nr. ingår. Den medarbetare som har kontakt med kunden, köparen eller leverantören ska visa upp denna försäkran för den berörda personen och genom att underteckna försäkran begära dennes samtycke till behandling av dennes personuppgifter. Förklaringen ska sparas under hela den tid som behandlingen pågår.

 

Hantering av besöksdata på den personuppgiftsansvariges webbplats

(Information om användning av cookies)

 

  1. En cookie är en bit data som den besökta webbplatsen skickar till besökarens webbläsare (i form av ett variabelt namnvärde) så att den kan lagra den och senare ladda dess innehåll på samma webbplats.

 

  1. Uppgifter får endast lagras på en användares terminalutrustning för elektronisk kommunikation eller tillgång till uppgifter som lagras där på grundval av användarens tydliga och fullständiga samtycke, inklusive syftet med behandlingen (lag C från 2003, § 155/4/). På grundval av detta måste besökaren vid det första besöket på den registeransvariges webbplats ges en kort sammanfattning av användningen av cookies och en länk till den fullständiga information som finns tillgänglig (Informationsmeddelande om datahantering enligt bilaga 2). Med denna information säkerställer den personuppgiftsansvarige att besökaren på webbplatsen före och när som helst under användningen av informationssamhällets tjänster på webbplatsen kan informeras om de databehandlingsändamål för vilka den personuppgiftsansvarige behandlar vilka typer av uppgifter, inklusive behandling av uppgifter som inte direkt kan relateras till användaren.

 

  1. I enlighet med artikel 13/A (3) i lag CVIII av 2001 om vissa frågor om elektroniska handelstjänster och informationssamhällets tjänster (Elkertv.) får tjänsteleverantören behandla personuppgifter som är tekniskt nödvändiga för att tillhandahålla tjänsten. Tjänsteleverantören måste, allt annat lika, välja och under alla omständigheter använda de medel som används vid tillhandahållandet av informationssamhällets tjänster på ett sådant sätt att personuppgifter endast behandlas om det är absolut nödvändigt för tillhandahållandet av tjänsten och för att uppfylla de andra syften som anges i denna lag, men i detta fall endast i den utsträckning och under den tid som är nödvändig.

 

Registrering på den personuppgiftsansvariges webbplats

 

  1. På webbplatsen kan den fysiska person som registrerar sig ge sitt samtycke till att hans/hennes personuppgifter behandlas genom att kryssa i den relevanta rutan. Det är inte tillåtet att kryssa i rutan i förväg.

 

  1. Omfattningen av personuppgifter som kan komma att behandlas: namn (efternamn, förnamn), adress, telefonnummer, e-postadress, fakturering, postnamn och adress till den fysiska personen, det fotografi som är nödvändigt för att slutföra beställningar i webbshoppen.

 

  1. Ändamålet med behandlingen av personuppgifterna:

 

  1. tillhandahållande av tjänster på webbplatsen
  2. kontakta oss via e-post, telefon, SMS och post.
  3. Marknadsföringsutskick kan ske elektroniskt och per post
  4. analys av användningen av webbplatsen.

 

  1. Den rättsliga grunden för behandlingen är den registrerades samtycke.

 

  1. Mottagare eller kategorier av mottagare av personuppgifter: anställda hos den personuppgiftsansvarige som utför uppgifter relaterade till kundservice och marknadsföringsaktiviteter, anställda hos den personuppgiftsansvariges IT-tjänsteleverantör som tillhandahåller hostingtjänster som personuppgiftsbiträden.

 

  1. Varaktighet för lagring av personuppgifter: tills registreringen/tjänsten är aktiv eller tills den registrerades samtycke återkallas (begäran om radering).

 

  1. Om den registrerade tillhandahåller alla eller delar av de uppgifter som krävs för registrering eller för att göra ett köp i onlinebutiken, men inte slutför registreringen, kommer den personuppgiftsansvarige att lagra de tillhandahållna uppgifterna i högst 60 dagar, varefter de kommer att raderas oåterkalleligt.

 

Databehandling i samband med nyhetsbrevstjänsten 

 

  1. Den fysiska person som anmäler sig till nyhetsbrevstjänsten på webbplatsen kan ge sitt samtycke till behandling av sina personuppgifter genom att kryssa i den aktuella rutan. Det är inte tillåtet att kryssa i rutan i förväg. När prenumerationen görs måste en länk till integritetsmeddelandet (bilaga 2) tillhandahållas. Den registrerade kan när som helst avregistrera sig från nyhetsbrevet genom att använda applikationen „Unsubscribe” eller genom att lämna en skriftlig förklaring eller en förklaring via e-post, vilket innebär att samtycket återkallas. I sådana fall ska alla uppgifter om den som avregistrerar sig omedelbart raderas.

 

  1. Omfattningen av de behandlade personuppgifterna: den fysiska personens namn (efternamn, förnamn), e-postadress.

 

  1. Ändamålet med behandlingen av personuppgifterna:
  1. Utskick av nyhetsbrev om den personuppgiftsansvariges produkter och tjänster
  2. Skicka reklammaterial

 

  1. Rättslig grund för behandlingen: samtycke från den registrerade.

 

  1. Mottagare och kategorier av mottagare av personuppgifter: anställda hos den personuppgiftsansvarige som utför uppgifter relaterade till kundservice och marknadsföringsaktiviteter, anställda hos den personuppgiftsansvariges IT-tjänsteleverantör som personuppgiftsbiträden i syfte att tillhandahålla hostingtjänster.

 

  1. Hur länge personuppgifterna lagras: tills nyhetsbrevstjänsten upprätthålls eller tills den registrerades samtycke återkallas (begäran om radering).

 

Databehandling i den personuppgiftsansvariges webbshop

 

  1. Ett köp i den webbshop som drivs av den personuppgiftsansvarige betraktas som ett avtal, med beaktande av artikel 13/A i lag CVIII från 2001 om vissa frågor om elektroniska handelstjänster och informationssamhällets tjänster, och regeringsdekret 45/2014 (26.II.) om detaljerade regler för avtal mellan konsumenter och företag.

 

  1. Den personuppgiftsansvarige, i egenskap av tjänsteleverantör, får behandla de fysiska personuppgifterna och adressen för den kund som registrerar sig i webbshoppen i syfte att skapa ett avtal om tillhandahållande av informationssamhällets tjänster, fastställa innehållet, ändra det, övervaka dess prestanda, fakturera de avgifter som härrör från det och genomdriva fordringar relaterade till detta, i enlighet med punkt 13/A(1) i årets lag CVIII, och telefonnummer, e-postadress, bankkontonummer, onlineidentifierare, i enlighet med samtycket.

 

  1. Den personuppgiftsansvarige kan för faktureringsändamål behandla personuppgifter som rör användningen av informationssamhällets tjänster, adress, leveransadress och uppgifter som rör tidpunkt, varaktighet och plats för användningen av tjänsten, i enlighet med artikel 13/A.2 i lag CVIII från 2007.

 

  1. Mottagare eller kategorier av mottagare av personuppgifter: anställda hos den personuppgiftsansvarige som utför uppgifter relaterade till kundservice, betalning, transport, marknadsföringsaktiviteter, som personuppgiftsbiträden, anställda hos det företag som utför skatte- och redovisningsuppgifter hos den personuppgiftsansvarige i syfte att fullgöra skatte- och redovisningsskyldigheter, anställda hos den personuppgiftsansvariges IT-tjänsteleverantör i syfte att fullgöra värdtjänster, anställda hos budtjänsten i syfte att leverera uppgifter (namn, adress, telefonnummer).

 

  1. Behandlingen av personuppgifter varar: tills registreringen/tjänsten är slutförd eller tills den registrerades samtycke återkallas (begäran om radering), vid köp till utgången av 6 år efter inköpsåret.

 

  1. En länk till integritetsmeddelandet (bilaga 2) måste finnas tillgänglig när du handlar i webbutiken.

 

Databehandling för direktmarknadsföringsändamål

 

  1. Om inte annat följer av särskild lag får reklam lämnas till en fysisk person som är mottagare av reklamen genom direktreklam, särskilt genom elektronisk post eller andra likvärdiga medel för individuell kommunikation, med undantag för bestämmelserna i lag XLVIII från 2008, endast om mottagaren av reklamen i förväg har lämnat sitt tydliga och uttryckliga samtycke.

 

  1. Omfattningen av de personuppgifter som den personuppgiftsansvarige kan behandla i syfte att skicka ut förfrågningar om reklamutskick: den fysiska personens namn, adress, telefonnummer, e-postadress, onlineidentifierare.

 

  1. Syftet med behandlingen av personuppgifter är att genomföra direktmarknadsföringsaktiviteter som är relaterade till den personuppgiftsansvariges verksamhet, dvs. regelbundet eller periodiskt utskick av reklampublikationer, nyhetsbrev, aktuella erbjudanden i tryckt (post) eller elektronisk form (e-post) till de kontaktuppgifter som anges vid registreringen.

 

  1. Rättslig grund för behandlingen: samtycke från den registrerade.

 

  1. Mottagare eller kategorier av mottagare av personuppgifter: anställda hos den personuppgiftsansvarige som utför kundtjänstuppgifter, anställda hos den personuppgiftsansvariges IT-tjänsteleverantör som utför servertjänster som personuppgiftsbiträden, anställda hos post/kurirtjänst vid leverans per post eller kurirtjänst.

 

  1. Varaktighet för lagring av personuppgifter: tills samtycke återkallas.

 

  1. Samtycke till behandling av uppgifter för direktmarknadsföring regleras av denna policy. formulär för begäran om uppgifter enligt bilagan tillämplig.

 

 

 V.  KAPITEL 2

BEHANDLING SOM GRUNDAR SIG PÅ EN RÄTTSLIG FÖRPLIKTELSE

 

Databehandling för skatte- och bokföringsskyldigheter

 

  1. §-Enligt lagen av år 2000 om bokföring: namn, adress, beteckning på den person eller organisation som beställer transaktionen, underskrift av den person som beställer transaktionen och den person som intygar att beställningen har utförts och, beroende på organisation, underskrift av den person som sköter kontrollen; på kuponger för lagerrörelser och kuponger för kassahantering, underskrift av mottagaren och på talongerna underskrift av betalaren och, enligt lagen CXVII av år 1995 om inkomstskatt för personer: företagarens identitetsnummer, jordbrukarens identitetsnummer, skatteidentifikationsnummer.

 

  1. Lagringsperioden för personuppgifter är 8 år efter det att det rättsliga förhållande som ligger till grund för den rättsliga grunden har upphört.

 

  1. Mottagare av personuppgifter: anställda och personuppgiftsbiträden hos den personuppgiftsansvarige som utför uppgifter inom skatt, redovisning, löner och socialförsäkring.

 

Behandling av betalarens uppgifter

 

  1. Den personuppgiftsansvarige behandlar personuppgifter för de registrerade - anställda, deras familjemedlemmar, anställda, mottagare av andra förmåner - med vilka den har ett förhållande som betalningsombud (lag 2017:CL om skatteordningen (artikel) 7.§ 31.) i syfte att fullgöra rättsliga skyldigheter, skatte- och avgiftsskyldigheter som föreskrivs i lag (skatt, förskottsskatt, avgifter, lönelista, social trygghet, pensionsadministration). Omfattningen av de uppgifter som behandlas definieras i art. I artikel 50 i lagen definieras de uppgifter som behandlas, varvid följande särskilt lyfts fram: den fysiska personens identifieringsuppgifter (inklusive tidigare namn och titel), kön, nationalitet, skatteregistreringsnummer, socialförsäkringsnummer (socialförsäkringsnummer). Om skattelagstiftningen medför en rättslig konsekvens får den personuppgiftsansvarige behandla uppgifter om anställdas medlemskap i hälsoorganisationer (avsnitt 40 i lagen om social trygghet) och fackföreningar (avsnitt 47.2 b i lagen om social trygghet) i syfte att fullgöra skatte- och avgiftsskyldigheter (löneutbetalning, administration av social trygghet).

 

  1. Lagringsperioden för personuppgifter är 8 år efter det att det rättsliga förhållande som ligger till grund för den rättsliga grunden har upphört.

 

  1. Mottagare av personuppgifter: anställda och personuppgiftsbiträden hos den personuppgiftsansvarige som utför skatte-, löne- och socialförsäkringsuppgifter (lönelistor).

 

 

 VI. KAPITEL 2

ÅTGÄRDER FÖR DATASÄKERHET

 

Åtgärder för datasäkerhet

 

  1. Den personuppgiftsansvarige ska vidta de tekniska och organisatoriska åtgärder och fastställa de förfaranderegler som krävs för att genomföra förordningen och Infotv. för att säkerställa säkerheten för personuppgifter för alla ändamål och för alla lagliga ändamål.

 

  1. Den personuppgiftsansvarige ska vidta lämpliga åtgärder för att skydda uppgifterna mot oavsiktlig eller olaglig förstöring, förlust, ändring, skada, obehörigt röjande eller obehörig åtkomst.

 

  1. Den personuppgiftsansvarige klassificerar och behandlar personuppgifter som konfidentiella. Den personuppgiftsansvarige ålägger sina anställda tystnadsplikt avseende behandlingen av personuppgifter, till vilken den personuppgiftsansvarige är bunden. Bilaga nr. klausul ska tillämpas. Den personuppgiftsansvarige ska begränsa tillgången till personuppgifter genom att fastställa behörighetsnivåer.

 

  1. Den personuppgiftsansvarige skyddar IT-systemen med brandväggar och virusskydd.

 

  1. Anställda hos den personuppgiftsansvarige får ansluta sina egna datorer, datalagrings- och inspelningsenheter till arbetsplatsens datorer.

 

  1. Den personuppgiftsansvarige skall utföra elektronisk databehandling och registerhållning med hjälp av ett datorprogram som uppfyller kraven på datasäkerhet. Programmet ska säkerställa att tillgången till uppgifterna är begränsad till de personer som behöver dem för att utföra sina uppgifter, och endast för de ändamål för vilka de är avsedda och under kontrollerade förhållanden.

 

  1. När personuppgifter behandlas automatiskt vidtar den personuppgiftsansvarige och personuppgiftsbiträdet ytterligare åtgärder för att säkerställa:
  1. förhindra obehörig datainmatning;
  2. förhindra att automatiserade databehandlingssystem används av obehöriga personer som använder utrustning för dataöverföring;
  3. verifierbarheten och fastställbarheten hos de organ till vilka personuppgifter har överförts eller kan överföras med hjälp av utrustning för dataöverföring;
  4. verifierbarhet och kontrollerbarhet av vilka personuppgifter som har införts i automatiserade databehandlingssystem, när och av vem;
  5. de installerade systemens återställbarhet i händelse av fel, och
  6. att fel i automatiserad behandling rapporteras.

 

  1. Den personuppgiftsansvarige ska se till att inkommande och utgående kommunikation övervakas med elektroniska medel för att skydda personuppgifter.

 

  1. Det är förbjudet att dela med sig av personuppgifter som behandlas av den personuppgiftsansvarige på Internet.

 

  1. Det är strängt förbjudet att besöka webbplatser för filnedladdning, spel, chatt och sexuella tjänster på arbetet och med den personuppgiftsansvariges enheter.

 

  1. Du får inte använda obehöriga program som erhållits från externa källor eller laddats ner från externa källor.

 

  1. Endast berörda administratörer har tillgång till handlingar i samband med arbete eller behandling, och handlingar som innehåller personal-, löne-, anställnings- och andra personuppgifter ska förvaras inlåsta på ett säkert sätt.

 

  1. Säkerställ ett adekvat fysiskt skydd av uppgifterna och de enheter och dokument som innehåller dem.

 

  1. Det är den personuppgiftsansvariges ansvar att se till att dokumentation som innehåller personuppgifter förvaras på ett säkert sätt, och pappersdokument måste förvaras i ett arkivskåp eller låsbart skåp.

 

  1. Efter den obligatoriska arkiveringsperioden, om ingen ytterligare arkivering är motiverad, och efter det att den registrerades samtycke har återkallats, ska de handlingar som innehåller personuppgifterna förstöras. Handlingar ska förstöras genom ett förfarande som gör det omöjligt att rekonstruera dem.

 

 

KAPITEL VII

HANTERING AV DATAINTRÅNG

 

Begreppet personuppgiftsincident

 

  1. Dataintrång: en säkerhetsöverträdelse som leder till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande av eller obehörig åtkomst till personuppgifter som överförts, lagrats eller på annat sätt behandlats (artikel 4.12 i förordningen).

 

 

 

 

Hantering och avhjälpande av dataskyddsincidenter  

 

  1. Det är den personuppgiftsansvariges chef som ansvarar för att förebygga och hantera dataskyddsincidenter och för att följa relevanta rättsliga krav.

 

  1. Åtkomst och försök till åtkomst till IT-system bör loggas och analyseras löpande.

 

  1. Om anställda hos den personuppgiftsansvarige som är behöriga att utföra kontroller upptäcker en dataskyddsincident i samband med sina arbetsuppgifter, måste de omedelbart meddela den personuppgiftsansvariges chef.

 

  1. Anställda hos den personuppgiftsansvarige är skyldiga att rapportera till den personuppgiftsansvariges chef eller den person som utövar arbetsgivarens rättigheter om de får kännedom om en dataskyddsincident eller en händelse som kan tyda på en sådan incident.

 

  1. Dataintrång kan rapporteras till den personuppgiftsansvariges centrala e-postadress och telefonnummer, där anställda, entreprenörer och registrerade kan rapportera de bakomliggande händelserna och säkerhetsbristerna.

 

  1. Vid en anmälan om dataintrång ska den personuppgiftsansvariges chef - med medverkan av IT-, ekonomi- och verksamhetschefen - omedelbart undersöka anmälan, identifiera incidenten och avgöra om det är en verklig incident eller en falsk varning. Det bör undersökas och fastställas:
  2. tid och plats för händelsen,
  3. En beskrivning av händelsen, omständigheterna kring den och dess effekter,
  4. omfattningen och kvantiteten av data som äventyrats i incidenten,
  5. den krets av personer som berörs av de komprometterade uppgifterna,
  6. En beskrivning av de åtgärder som vidtagits för att hantera händelsen,
  7. en beskrivning av de åtgärder som vidtagits för att förebygga, avhjälpa eller begränsa skadan.

 

  1. I händelse av ett dataintrång ska de system, personer och data som är inblandade begränsas och separeras, och man ska se till att samla in och bevara bevis för att intrånget har skett. Därefter kan man börja återställa skadan och återgå till laglig verksamhet.

 

Register över dataskyddsincidenter

 

  1. Register över dataskyddsincidenter måste sparas, inklusive:
  1. omfattningen av de berörda personuppgifterna,
  2. Omfattning och antal registrerade som berörs av dataintrånget,
  3. Datumet för dataintrånget,
  4. omständigheterna kring och effekterna av dataintrånget,
  5. de åtgärder som vidtagits för att avhjälpa personuppgiftsincidenten,
  6. andra uppgifter som anges i den lagstiftning som gäller för behandlingen.

 

  1. Uppgifter om dataintrång i registret måste sparas i 5 år.

 

 

KAPITEL VIII

KONSEKVENSBEDÖMNING AVSEENDE DATASKYDD OCH FÖRHANDSSAMRÅD

 

Konsekvensbedömning av dataskydd och förhandssamråd

  1. Om en typ av behandling, särskilt behandling som sker med hjälp av ny teknik, sannolikt kommer att innebära en hög risk för fysiska personers rättigheter och friheter, med beaktande av dess art, omfattning, sammanhang och ändamål, ska den personuppgiftsansvarige genomföra en konsekvensbedömning före behandlingen för att bedöma hur den planerade behandlingen kommer att påverka skyddet av personuppgifter. Liknande typer av behandlingar som medför liknande höga risker får bedömas inom ramen för en enda konsekvensbedömning.
  2. Om det i konsekvensbedömningen avseende dataskydd konstateras att behandlingen sannolikt kommer att leda till en hög risk om den personuppgiftsansvarige inte vidtar åtgärder för att minska risken, ska den personuppgiftsansvarige samråda med tillsynsmyndigheten innan personuppgifterna behandlas.
  3. De närmare bestämmelserna om konsekvensbedömning avseende dataskydd och förhandssamråd regleras i artiklarna 35-36 i förordningen och i Infotv.

 

KAPITEL IX

DEN BERÖRDA PERSONENS RÄTTIGHETER

 

Information om den registrerades rättigheter

 

  1. En kort sammanfattning av den registrerades rättigheter:
    1. Transparent information, kommunikation och underlättande av utövandet av den registrerades rättigheter
    2. Rätt till förhandsinformation - när personuppgifter samlas in från den registrerade
    3. Information till den registrerade och den information som ska lämnas till honom eller henne om den personuppgiftsansvarige inte har erhållit personuppgifterna från honom eller henne.
    4. Den registrerades rätt till tillgång
    5. Rätt till rättelse
    6. Rätt till radering („rätten att bli bortglömd”)
    7. Rätt till begränsning av behandling
    8. Skyldighet att meddela om rättelse eller radering av personuppgifter eller begränsning av behandling
    9. Rätten till dataportabilitet
    10. Rätten att protestera
    11. Automatiserat beslutsfattande i enskilda fall, inklusive profilering
    12. Begränsningar
    13. Informera den registrerade om personuppgiftsincidenten
    14. Rätt att lämna in klagomål till en tillsynsmyndighet (rätt till officiell prövning)
    15. Rätt till ett effektivt rättsmedel mot tillsynsmyndigheten
    16. Rätt till ett effektivt rättsmedel mot den personuppgiftsansvarige eller personuppgiftsbiträdet

 

  1. Dina rättigheter som registrerad i detalj:

 

 

Transparent information, kommunikation och underlättande av utövandet av den registrerades rättigheter 

 

  1. Den registeransvarige ska ge den registrerade all information och alla uppgifter som rör behandlingen av personuppgifter i en koncis, överskådlig, begriplig och lättillgänglig form, på ett klart och tydligt språk, särskilt när det gäller information som riktar sig till barn. Informationen ska tillhandahållas skriftligen eller på annat sätt, inbegripet, när så är lämpligt, på elektronisk väg. På begäran av den registrerade får information lämnas muntligen, under förutsättning att den registrerades identitet har kontrollerats på annat sätt.

 

  1. Den personuppgiftsansvarige måste underlätta för den registrerade att utöva sina rättigheter.

 

  1. Den registeransvarige ska utan onödigt dröjsmål och under alla omständigheter inom en månad efter mottagandet av begäran informera den registrerade om de åtgärder som vidtagits med anledning av begäran om att utöva sina rättigheter. Denna tidsfrist får förlängas med ytterligare två månader på de villkor som fastställs i förordningen, vilket den registrerade ska informeras om.

 

  1. Om den registeransvarige underlåter att tillmötesgå den registrerades begäran ska den registeransvarige utan dröjsmål och senast inom en månad från mottagandet av begäran informera den registrerade om skälen till underlåtenheten att agera och om den registrerades möjlighet att lämna in ett klagomål till en tillsynsmyndighet och att utöva sin rätt till domstolsprövning.

 

  1. Den personuppgiftsansvarige ska tillhandahålla information och åtgärder om den registrerades rättigheter kostnadsfritt, men får ta ut en avgift i de fall som anges i förordningen.

 

  1. De detaljerade reglerna finns i artikel 12 i förordningen.

 

Rätt till förhandsinformation - när personuppgifter samlas in från den registrerade

 

  1. Den registrerade ska ha rätt att informeras om fakta och information som rör behandlingen innan behandlingen inleds. I detta sammanhang ska den registrerade informeras:
  1. Identitet och kontaktuppgifter för den personuppgiftsansvarige och dennes företrädare,
  2. Kontaktuppgifter för dataskyddsombudet (om sådant finns),
  3. de ändamål för vilka personuppgifterna är avsedda att behandlas och den rättsliga grunden för behandlingen,
  4. vid behandling som grundar sig på berättigade intressen, den personuppgiftsansvariges eller en tredje parts berättigade intressen,
  5. de mottagare till vilka personuppgifterna lämnas ut och eventuella kategorier av mottagare;
  6. i tillämpliga fall, det faktum att den personuppgiftsansvarige avser att överföra personuppgifterna till ett tredjeland eller en internationell organisation.

 

  1. För att säkerställa en rättvis och öppen behandling måste den personuppgiftsansvarige förse den registrerade med följande ytterligare information:
  1. hur länge personuppgifterna ska lagras eller, om detta inte är möjligt, kriterierna för att fastställa hur länge detta ska ske;
  2. den registrerades rätt att begära att den personuppgiftsansvarige ger tillgång till, rättar, raderar eller begränsar behandlingen av personuppgifter som rör honom eller henne och att invända mot behandlingen av sådana personuppgifter samt rätten till dataportabilitet;
  3. vid behandling som grundar sig på den registrerades samtycke, rätten att när som helst återkalla samtycket, utan att det påverkar lagligheten av den behandling som utfördes på grundval av samtycket innan det återkallades;
  4. rätt att lämna in klagomål till en tillsynsmyndighet;
  5. om tillhandahållandet av personuppgifterna grundar sig på en rättslig eller avtalsenlig skyldighet eller är en förutsättning för att ett avtal ska kunna ingås, om den registrerade är skyldig att tillhandahålla personuppgifterna och de eventuella följderna av att inte tillhandahålla uppgifterna;
  6. Automatiserat beslutsfattande, inbegripet profilering, och, åtminstone i dessa fall, den logik som används och tydlig information om betydelsen av sådan behandling och de sannolika följderna för den registrerade.

 

  1. Om den personuppgiftsansvarige avser att behandla personuppgifterna vidare för ett annat ändamål än det för vilket de samlades in, måste den personuppgiftsansvarige informera den registrerade om detta andra ändamål och om all relevant ytterligare information före den fortsatta behandlingen.

 

  1. De närmare bestämmelserna om rätten till förhandsinformation anges i artikel 13 i förordningen.

 

Information till den registrerade och den information som ska lämnas till honom eller henne om den personuppgiftsansvarige inte har erhållit personuppgifterna från honom eller henne.

 

  1. Om den registeransvarige inte har erhållit personuppgifterna från den registrerade, ska den registrerade informeras av den registeransvarige senast en månad efter det att personuppgifterna erhölls; om personuppgifterna används i syfte att kontakta den registrerade, åtminstone vid tidpunkten för den första kontakten med den registrerade; eller, om det är sannolikt att uppgifterna kommer att lämnas ut till en annan mottagare, senast vid tidpunkten för det första utlämnandet av personuppgifterna, de fakta och den information som beskrivs i föregående punkt, de berörda kategorierna av personuppgifter och källan till personuppgifterna samt, i tillämpliga fall, huruvida uppgifterna har erhållits från allmänt tillgängliga källor.

 

  1. För ytterligare regler, se föregående punkt (Rätt till förhandsinformation).

 

  1. De närmare bestämmelserna för denna information anges i artikel 14 i förordningen.

 

Den registrerades rätt till tillgång

 

  1. Den registrerade har rätt att av den personuppgiftsansvarige få återkoppling om huruvida hans eller hennes personuppgifter behandlas eller inte och, om sådan behandling sker, rätt att få tillgång till de personuppgifter och den relaterade information som beskrivs i punkterna 2-3 ovan (artikel 15 i förordningen).

 

  1. Om personuppgifter överförs till ett tredje land eller en internationell organisation har den registrerade rätt att få information om lämpliga skyddsåtgärder för överföringen i enlighet med artikel 46 i förordningen.

 

  1. Den personuppgiftsansvarige ska förse den registrerade med en kopia av de personuppgifter som behandlas. För ytterligare kopior som begärs av den registrerade får den personuppgiftsansvarige ta ut en rimlig avgift som baseras på administrativa kostnader.

 

  1. Närmare bestämmelser om den registrerades rätt till tillgång fastställs i artikel 15 i förordningen.

 

Rätt till rättelse

 

  1. Den registrerade ska ha rätt att på begäran och utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade av den personuppgiftsansvarige.

 

  1. Med beaktande av ändamålet med behandlingen har den registrerade rätt att begära att ofullständiga personuppgifter kompletteras, inklusive genom en kompletterande deklaration.

 

  1. Dessa regler anges i artikel 16 i förordningen.

 

Rätt till radering („rätten att bli bortglömd”)

 

  1. Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få de personuppgifter som rör honom eller henne raderade på hans eller hennes begäran, och den personuppgiftsansvarige ska vara skyldig att utan onödigt dröjsmål radera personuppgifter som rör honom eller henne om
  1. personuppgifterna inte längre är nödvändiga för de ändamål för vilka de samlades in eller på annat sätt behandlades;
  2. den registrerade återkallar det samtycke som ligger till grund för behandlingen och det inte finns någon annan rättslig grund för behandlingen;
  3. den registrerade invänder mot behandlingen och det inte finns några tvingande berättigade skäl för behandlingen,
  4. personuppgifterna har behandlats på ett olagligt sätt;
  5. personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse enligt unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av;
  6. Personuppgifter samlas in i samband med tillhandahållande av informationssamhällets tjänster direkt till barn.

 

  1. Rätten till radering kan inte utövas om behandlingen är nödvändig
  1. att utöva rätten till yttrande- och informationsfrihet;
  2. för att fullgöra en skyldighet enligt unionsrätten eller en medlemsstats nationella rätt som åvilar den personuppgiftsansvarige eller för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som utförs av den personuppgiftsansvarige;
  3. av hänsyn till allmänintresset på folkhälsoområdet;
  4. för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, om rätten till radering sannolikt skulle göra sådan behandling omöjlig eller allvarligt äventyra den, eller
  5. för att väcka, genomdriva eller försvara rättsliga anspråk.

 

  1. Närmare bestämmelser om rätten till radering finns i artikel 17 i förordningen.

 

 

 

Rätt till begränsning av behandling

 

  1. Om behandlingen är begränsad får sådana personuppgifter, med undantag för lagring, endast behandlas med den registrerades samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda en annan fysisk eller juridisk persons rättigheter eller ett viktigt allmänintresse för unionen eller en medlemsstat.

 

  1. Den registrerade ska ha rätt att på egen begäran få den personuppgiftsansvariges behandling av personuppgifter begränsad om något av följande villkor är uppfyllt:
  1. den registrerade bestrider personuppgifternas riktighet, i vilket fall begränsningen gäller under den tidsperiod som krävs för att den personuppgiftsansvarige ska kunna kontrollera personuppgifternas riktighet;
  2. behandlingen av uppgifterna är olaglig och den registrerade motsätter sig att uppgifterna raderas och begär i stället att användningen av dem begränsas;
  3. den personuppgiftsansvarige inte längre behöver personuppgifterna för ändamålen med behandlingen, men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk, eller
  4. den registrerade har invänt mot behandlingen; i detta fall gäller begränsningen under perioden fram till dess att det har fastställts om den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl.

 

  1. Den registrerade ska i förväg informeras om att begränsningen av behandlingen upphävs.

 

  1. De relevanta reglerna anges i artikel 18 i förordningen.

 

Skyldighet att meddela om rättelse eller radering av personuppgifter eller begränsning av behandling

 

  1. Den personuppgiftsansvarige ska informera varje mottagare till eller med vilken personuppgifterna har lämnats ut om varje rättelse, radering eller begränsning av behandlingen, såvida inte detta visar sig vara omöjligt eller innebär en oproportionerligt stor ansträngning. Den personuppgiftsansvarige ska på begäran av den registrerade informera denne om dessa mottagare.

 

  1. Dessa regler anges i artikel 19 i förordningen.

 

Rätten till dataportabilitet

 

  1. På de villkor som anges i förordningen har den registrerade rätt att få ut de personuppgifter som rör honom eller henne och som han eller hon har lämnat till en personuppgiftsansvarig i ett strukturerat, allmänt använt och maskinläsbart format och rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig utan hinder av den personuppgiftsansvarige till vilken personuppgifterna har lämnats, om.
  1. behandlingen grundar sig på samtycke eller på ett avtal; och
  2. behandlingen sker på automatiserad väg.

 

  1. Den registrerade kan också begära direkt överföring av personuppgifter mellan personuppgiftsansvariga.

 

  1. Utövandet av rätten till dataportabilitet ska inte påverka tillämpningen av artikel 7 i förordningen (rätt till radering („rätten att bli bortglömd”). Rätten till dataportabilitet ska inte gälla om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Denna rätt får inte negativt påverka andras rättigheter och friheter.

 

  1. De närmare bestämmelserna anges i artikel 20 i förordningen.

 

Rätten att protestera

 

  1. ADen registrerade ska ha rätt att när som helst, av skäl som hänför sig till hans eller hennes specifika situation, invända mot behandling av hans eller hennes personuppgifter som grundar sig på allmänt intresse, på utförandet av en uppgift av allmänt intresse (artikel 6.1 e) eller på berättigade skäl (artikel 6 f), inbegripet profilering som grundar sig på dessa bestämmelser. I sådana fall får den personuppgiftsansvarige inte längre behandla personuppgifterna, såvida inte den personuppgiftsansvarige kan visa att det finns tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller för att fastställa, göra gällande eller försvara rättsliga anspråk.

 

  1. Om personuppgifter behandlas för direktmarknadsföringsändamål ska den registrerade ha rätt att när som helst invända mot behandlingen av personuppgifter som rör honom eller henne för sådana ändamål, inbegripet profilering, om det har samband med direktmarknadsföring. Om den registrerade invänder mot behandling av personuppgifter för direktmarknadsföringsändamål, får personuppgifterna inte längre behandlas för dessa ändamål.

 

  1. Dessa rättigheter måste uttryckligen uppmärksammas av den registrerade senast vid den första kontakten med den registrerade och informationen måste tydligt visas separat från all annan information.

 

  1. Den registrerade kan också utöva rätten att göra invändningar med hjälp av automatiserade metoder baserade på tekniska specifikationer.

 

  1. Om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, ska den registrerade ha rätt att av skäl som hänför sig till hans eller hennes specifika situation invända mot behandling av personuppgifter som rör honom eller henne, såvida inte behandlingen är nödvändig för att utföra en uppgift av allmänt intresse.

 

Automatiserat beslutsfattande i enskilda fall, inklusive profilering

 

  1. Den registrerade ska ha rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering, och som har rättsliga följder för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne.

 

  1. Denna rättighet gäller inte vid beslut:
  1. nödvändigt för att ingå eller fullgöra ett avtal mellan den registrerade och den personuppgiftsansvarige;
  2. är tillåtet enligt unionsrätten eller en medlemsstats nationella rätt som är tillämplig på den personuppgiftsansvarige och som också fastställer lämpliga åtgärder för att skydda den registrerades rättigheter och friheter och berättigade intressen, eller
  3. baseras på uttryckligt samtycke från den registrerade.

 

  1. I de fall som avses i leden a och c ska den personuppgiftsansvarige vidta lämpliga åtgärder för att skydda den registrerades rättigheter, friheter och berättigade intressen, inbegripet åtminstone rätten att få ett mänskligt ingripande av den personuppgiftsansvarige, att uttrycka sin ståndpunkt och att invända mot beslutet.

 

  1. Ytterligare regler anges i artikel 22 i förordningen.

 

Begränsningar

 

  1. Unionsrätten eller medlemsstaternas nationella rätt som är tillämplig på en personuppgiftsansvarig eller ett personuppgiftsbiträde får begränsa omfattningen av rättigheter och skyldigheter (artiklarna 12-22, 34 och 5 i förordningen) genom lagstiftningsåtgärder, förutsatt att begränsningen respekterar det väsentliga innehållet i de grundläggande rättigheterna och friheterna.

 

  1. Villkoren för denna begränsning anges i artikel 23 i förordningen.

 

Informera den registrerade om personuppgiftsincidenten

 

  1. Om personuppgiftsincidenten sannolikt kommer att leda till en hög risk för fysiska personers rättigheter och friheter, ska den personuppgiftsansvarige utan onödigt dröjsmål informera den registrerade om personuppgiftsincidenten. Denna information ska klart och tydligt beskriva personuppgiftsincidentens art och ska åtminstone innehålla följande
  1. Namn och kontaktuppgifter till dataskyddsombudet eller annan kontaktperson som kan lämna ytterligare information;
  2. förklara de sannolika konsekvenserna av dataintrånget;
  3. beskriva de åtgärder som den personuppgiftsansvarige har vidtagit eller planerar att vidta för att avhjälpa personuppgiftsincidenten, inklusive, i förekommande fall, åtgärder för att mildra eventuella negativa konsekvenser av personuppgiftsincidenten.

 

  1. Den registrerade behöver inte informeras om något av följande villkor är uppfyllt:
    1. den personuppgiftsansvarige har genomfört lämpliga tekniska och organisatoriska skyddsåtgärder och dessa åtgärder har tillämpats på de uppgifter som berörs av personuppgiftsincidenten, i synnerhet åtgärder, såsom användning av kryptering, som gör uppgifterna obegripliga för personer som inte är behöriga att få tillgång till personuppgifterna;
    2. den personuppgiftsansvarige har vidtagit ytterligare åtgärder efter personuppgiftsincidenten för att säkerställa att det inte längre är sannolikt att den höga risken för den registrerades rättigheter och friheter kommer att förverkligas;
    3. information skulle kräva en oproportionerligt stor ansträngning. I sådana fall bör de registrerade informeras genom offentliggörande av information eller genom en liknande åtgärd som säkerställer att de registrerade informeras på ett lika effektivt sätt.

 

  1. Ytterligare regler anges i artikel 34 i förordningen.

 

 Rätt att lämna in klagomål till en tillsynsmyndighet (rätt till officiell prövning)

 

  1. Den registrerade har rätt att lämna in ett klagomål till en tillsynsmyndighet, särskilt i den medlemsstat där han eller hon är stadigvarande bosatt, har sin arbetsplats eller där den påstådda överträdelsen har ägt rum, om den registrerade anser att behandlingen av personuppgifter som rör honom eller henne strider mot förordningen. Den tillsynsmyndighet till vilken klagomålet har lämnats in ska informera den registrerade om hur förfarandet har utvecklats och om resultatet av klagomålet, inbegripet den registrerades rätt till rättslig prövning.

 

  1. Dessa regler anges i artikel 77 i förordningen.

 

Rätt till ett effektivt rättsmedel mot tillsynsmyndigheten

 

  1. Utan att det påverkar tillämpningen av något annat administrativt eller icke-rättsligt rättsmedel ska varje fysisk eller juridisk person ha rätt till ett effektivt rättsmedel mot ett rättsligt bindande beslut av tillsynsmyndigheten som rör honom eller henne.

 

  1. Utan att det påverkar tillämpningen av andra administrativa eller icke-rättsliga rättsmedel ska varje registrerad ha rätt till ett effektivt rättsmedel om den behöriga tillsynsmyndigheten inte behandlar klagomålet eller inte inom tre månader underrättar den registrerade om hur förfarandet avseende det inlämnade klagomålet har utvecklats eller om resultatet av klagomålet.

 

  1. Talan mot tillsynsmyndigheten skall väckas vid domstol i den medlemsstat där tillsynsmyndigheten är etablerad.

 

  1. Om talan väcks mot ett beslut av en tillsynsmyndighet som nämnden tidigare har yttrat sig över eller fattat beslut om enligt mekanismen för enhetlighet, är tillsynsmyndigheten skyldig att översända detta yttrande eller beslut till domstolen.

 

  1. Dessa regler anges i artikel 78 i förordningen.

 

Rätt till ett effektivt rättsmedel mot den personuppgiftsansvarige eller personuppgiftsbiträdet

 

  1. Utan att det påverkar tillgängliga administrativa eller utomrättsliga rättsmedel, inbegripet rätten att inge klagomål till en tillsynsmyndighet, ska varje registrerad ha tillgång till ett effektivt rättsmedel om han eller hon anser att hans eller hennes rättigheter enligt denna förordning har kränkts till följd av behandling av hans eller hennes personuppgifter som inte sker i enlighet med denna förordning.

 

  1. Talan mot den registeransvarige eller registerföraren skall väckas vid domstolarna i den medlemsstat där den registeransvarige eller registerföraren är etablerad. Sådana förfaranden får också inledas vid domstolarna i den medlemsstat där den registrerade har sin vanliga vistelseort, såvida inte den personuppgiftsansvarige eller personuppgiftsbiträdet är en offentlig myndighet i en medlemsstat som agerar under utövande av offentlig makt.

 

  1. Dessa regler anges i artikel 79 i förordningen.

 

SLUTLIGA BESTÄMMELSER

 

Åtgärder för att göra koden känd

 

Bestämmelserna i denna policy ska meddelas alla anställda hos den personuppgiftsansvarige och ska utgöra en väsentlig del av alla anställdas anställningsavtal. Modellen för klausulen i anställningsavtalet i denna policy är Bilaga nr. ingår.