Personuppgiftspolicy
Organisationens styrning, ledning och bestämmelser
gällande personuppgiftsbehandling tar sig uttryck genom denna policy.
Personuppgifter har ett värde både för den enskilde
individen och för vår organisation. Personuppgifter är därmed i grunden en
viktig resurs för organisationen.
Omfattning
Personuppgiftspolicyn gäller för alla i vår
organisation och omfattar även externa parter som utför arbete för
organisationens räkning i tillämpliga delar.
Syfte och mål
Syftet med policy, riktlinjer och dit hörande
bestämmelser är att minimera personuppgiftsincidenter och uppnå efterlevnad av
krav och principer som framgår av gällande dataskyddslagstiftning.
Det övergripande målet är att skydda enskilda
individers personuppgifter och integritet.
Organisation och ansvar
Organisationens ledning har ett övergripande ansvar för
att tilldela tillräckliga resurser så att behandling av personuppgifter kan
förbättras, utvecklas och vara verkningsfullt i enlighet med gällande krav och
principer.
Behandlingen av personuppgifter ska kännetecknas av
· Att
vara systematiserat och riskbaserat
· Att
vara förebyggande, långsiktigt och kostnadseffektivt
· Tillräcklig
kompetens inom informations-, dataskydds- och IT-säkerhet
· Kontinuerlig
och periodisk information, utbildning och kontroll
· Efterlevnad
av gällande lagar, förordningar och föreskrifter
Grundläggande principer
Vid behandling av personuppgifter ska följande
grundläggande principer tillämpas:
· Laglighet
- Behandlingen ska vara laglig, korrekt och öppen gentemot den registrerade.
· Ändamålsbegränsning
- Personuppgifter ska endast behandlas för berättigat ändamål som är fastställt
innan behandlingen påbörjas.
· Korrekthet
- Personuppgifter som samlas in ska vara riktiga, uppdaterade och relevanta för
ändamålet.
· Uppgiftsminimering
– Insamlingen av personuppgifter får inte vara mer omfattande än nödvändigt.
· Lagringsminimering
- Insamlade personuppgifter får bara bevaras i identifierbar form så länge det
är nödvändigt för ändamålet. Personuppgifter ska raderas när de inte längre
behövs i vår verksamhet.
· Åtkomstbegränsning
- Endast behöriga ska få åtkomst till personuppgifter och endast de
personuppgifter som den har behov av.
· Säkerhet
– Vi ska vidta de tekniska och organisatoriska åtgärder som behövs för att
skydda personuppgifterna. Vid behandling av personuppgifter ska risk för skada
för den registrerade minimeras.
· Kunskaper
- Alla medarbetare ska ha relevanta kunskaper om reglerna på dataskyddsområdet.
· Ansvarsskyldighet
– Vi ska kunna visa att behandlingen av personuppgifter sker med följsamhet
till principerna och att vi lever upp till de fastställda dataskyddskraven.