Personuppgiftspolicy
Organisationens styrning, ledning och bestämmelser gällande personuppgiftsbehandling tar sig uttryck genom denna policy.
Personuppgifter har ett värde både för den enskilde individen och för vår organisation. Personuppgifter är därmed i grunden en viktig resurs för organisationen.
Omfattning
Personuppgiftspolicyn gäller för alla i vår organisation och omfattar även externa parter som utför arbete för organisationens räkning i tillämpliga delar.
Syfte och mål
Syftet med policy, riktlinjer och dit hörande bestämmelser är att minimera personuppgiftsincidenter och uppnå efterlevnad av krav och principer som framgår av gällande dataskyddslagstiftning.
Det övergripande målet är att skydda enskilda individers personuppgifter och integritet.
Organisation och ansvar
Organisationens ledning har ett övergripande ansvar för att tilldela tillräckliga resurser så att behandling av personuppgifter kan förbättras, utvecklas och vara verkningsfullt i enlighet med gällande krav och principer.
Behandlingen av personuppgifter ska kännetecknas av
· Att vara systematiserat och riskbaserat
· Att vara förebyggande, långsiktigt och kostnadseffektivt
· Tillräcklig kompetens inom informations-, dataskydds- och IT-säkerhet
· Kontinuerlig och periodisk information, utbildning och kontroll
· Efterlevnad av gällande lagar, förordningar och föreskrifter
Grundläggande principer
Vid behandling av personuppgifter ska följande grundläggande principer tillämpas:
· Laglighet - Behandlingen ska vara laglig, korrekt och öppen gentemot den registrerade.
· Ändamålsbegränsning - Personuppgifter ska endast behandlas för berättigat ändamål som är fastställt innan behandlingen påbörjas.
· Korrekthet - Personuppgifter som samlas in ska vara riktiga, uppdaterade och relevanta för ändamålet.
· Uppgiftsminimering – Insamlingen av personuppgifter får inte vara mer omfattande än nödvändigt.
· Lagringsminimering - Insamlade personuppgifter får bara bevaras i identifierbar form så länge det är nödvändigt för ändamålet. Personuppgifter ska raderas när de inte längre behövs i vår verksamhet.
· Åtkomstbegränsning - Endast behöriga ska få åtkomst till personuppgifter och endast de personuppgifter som den har behov av.
· Säkerhet – Vi ska vidta de tekniska och organisatoriska åtgärder som behövs för att skydda personuppgifterna. Vid behandling av personuppgifter ska risk för skada för den registrerade minimeras.
· Kunskaper - Alla medarbetare ska ha relevanta kunskaper om reglerna på dataskyddsområdet.
· Ansvarsskyldighet – Vi ska kunna visa att behandlingen av personuppgifter sker med följsamhet till principerna och att vi lever upp till de fastställda dataskyddskraven.