Integritetspolicy

Syftet med denna Integritetspolicy är att säkerställa att Oh My:s behandling av personuppgifter görs på lagliga skäl och i enlighet med GDPR: s principer. Samt att vi hanterar våra kunders, anställdas och leverantörers personuppgifter på ett säkert och öppet sätt.

1. Introduktion

På samma sätt som samhället i helhet har Oh My Interactive AB “Oh My”, våra kunder, anställda och leverantörer påverkats av digitalisering och globalisering vilket har lett till betydande ökning av användning och spridning av personuppgifter. Digitalisering betyder ökade möjligheter, men också ett större behov av skydd för de registrerade personuppgifter och integritet. Denna policy beskriver de övergripande principerna som gäller för personuppgiftsbehandling inom Oh My.

1.1. Syfte

Syftet med denna policy är att definiera Oh My:s ansvar samt utse roller och ansvar för att följa dataskyddsförordningen (GDPR).

1.2. Mål

Målsättningen är att Oh My:s behandling av personuppgifter sker på laglig grund och i enlighet med GDPR:s principer för att säkerställa för våra kunder, anställda och leverantörer att vi hanterar deras personuppgifter på ett säkert och öppet sätt.

1.3. Definitioner

I denna policy används följande definitioner:

Personuppgiftsansvarig
Den fysiska eller juridiska personen, den offentliga myndigheten, byrå eller annat organ som, ensam eller gemensamt med andra, bestämmer syftet och sättet att behandla personliga data.

Personuppgiftslämnare
Den levande person till vilken personuppgifterna gäller. En personuppgiftslämnare definieras i denna policy som en person som Oh My har någon form av relation med, t.ex. kund, anställd, konsult eller annat.

Personuppgiftsbiträde
En fysisk eller juridisk person, offentlig myndighet, institution eller annan som behandlar personuppgifter för den personuppgiftsansvariges räkning.

Personuppgift
All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet räknas enligt personuppgiftslagen som personuppgifter. Även bilder (foton) och ljudupptagningar på individer som behandlas i dator kan vara personuppgifter även om inga namn nämns. Krypterade uppgifter och olika slags elektroniska identiteter, som exempelvis IP-nummer, räknas som personuppgifter om de kan kopplas till fysiska personer.

Personuppgiftsbehandling
Alla former av åtgärder med personuppgifter är personuppgiftsbehandling, till exempel insamling, registrering, organisering, strukturering, lagring, bearbetning, ändring, framtagning, läsning, användning, utlämning, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

1.4 Omfattning

Omfattningen av denna policy är begränsad till personuppgiftsbehandling som krävs enligt de allmänna uppgifterna Skyddsförordning (GDPR). Detta omfattar Oh My, externa konsulter som utför uppgifter på uppdrag av Oh My och personuppgiftsbiträden som utför databehandling på uppdrag av Oh My.

Utöver de allmänna riktlinjerna i denna policy måste detaljerade krav i lokala dataskyddslagar, i tillämpliga fall, följas av anställda vid behandling av personuppgifter.

I det fallet Oh My är personuppgiftsbiträde för en extern organisation ska databehandlingen vara gjord i enlighet med denna policy, om inget annat anges i ett personuppgiftsbiträdesavtal mellan Oh My och den personuppgiftsansvarige.

1.5 Målgrupper

Integritetspolicyn gäller all personal som utför uppgifter på uppdrag av Oh My avseende behandling av personuppgifter. Det är också avsett att ligga till grund för information till personuppgiftslämnare rörande personuppgiftsbehandling. Det gäller även för personuppgiftsbiträden som utför personuppgifter på uppdrag av Oh My.

2. Roller och ansvar

Nedan beskriver vi roller.

2.1 VD

VD ska säkerställa att Oh My är ordentligt organiserade med delegerat ansvar och tillräckliga resurser för behandling av personuppgifter inom bolaget. VD nås via vd@ohmy.se

2.2 CIO

Chief Information Officer (CIO) har ansvaret att identifiera informationssäkerhetsrisker, föreslå lämplig informationskontroll och uppföljning av informationssäkerhetskontrollerna. CIO nås via cio@ohmy.se

2.3 Personuppgiftsansvarig

Personuppgiftsansvarig är alltid ansvarig för behandling av personuppgifter. Personuppgiftsansvarig är alltid den juridiska personen som kontrollerar och beslutar om hantering av personuppgifter.

2.4 Ansvarig för Personuppgiftsfrågor / Privacy Officer (PO)

Rollens uppgift är att säkerställa tillhandahållande av GDPR i sin organisation. Denna är också skyldig att hålla ett register över alla processer som inbegriper personuppgifter som utförs av organisation. PO nås via po@ohmy.se

2.5 Personuppgiftsbiträde

Externa leverantörer av IT-verksamhet, molntjänster och liknande där personuppgifter behandlas för Oh My:s räkning kallas personuppgiftsbiträden. Ett personuppgiftsbiträde ska utföra uppgifterna som finns specificerade i ett personuppgiftsbiträdesavtal.

2.6 Anställda

Alla anställda är personligen ansvariga för en laglig och korrekt behandling av personuppgifter i deras dagliga arbete. Genom att följa Oh My:s styrande dokument rörande personuppgiftsbehandling bidrar medarbetarna till efterlevnad av korrekt personuppgiftsbehandling.

3. Dataskyddskrav

Nedan beskriver vi hur personuppgifter och dataskydd hanteras.

3.1 Register över personuppgifter

En register över personuppgifter hos Oh My ska sammanställas och upprätthållas som en förutsättning för att hantera personuppgifter på ett lagligt sätt. All databehandling skall dokumenteras.

3.2 Rättslig grund för bearbetning

Personuppgifter får endast behandlas om vissa villkor är uppfyllda, till exempel (A) om den person till vilken personuppgifterna hänför sig har givit sitt medgivande till behandlingen. (B) Behandlingen är nödvändig för utförandet av ett kontrakt som personen är part i. (C) Behandlingen är nödvändig för att Oh My ska uppfylla en laglig skyldighet. eller (D) Oh My:s legitima intresse att behandla personuppgifter uppväger individens intresse att inte få sina personuppgifter behandlade.

3.3 Principer för behandling av personuppgifter

Laglighet, korrekthet och öppenhet - Vid behandling av personuppgifter inom Oh My ska vi säkerställa att behandlingen är laglig, och att vi är transparenta mot personuppgiftslämnare.

Uppgiftsminimering - Inom Oh My samlar vi aldrig in och hanterar mer personuppgifter än vad som krävs för att uppfylla uppgifternas ändamål. Det betyder att vi måste fråga oss själva i varje samling av personliga data om det är nödvändigt. Om syftet med databehandling har löpt ut måste vi ta bort personuppgifter som inte längre behövs.

Ändamålsbegränsning - Vid insamling av personuppgifter måste vi ha ett tydligt och legitimt syfte med insamlingen och behandlingen. Om ändamålet inte längre är giltigt, måste vi ta bort de personuppgifter som behandlas enligt det ändamålet. Om vi ​​vill behandla personuppgifter för ett nytt syfte får det inte vara oförenligt med det ursprungliga syftet, exempelvis utanför vad den berörda personuppgiftslämnaren rimligen skulle förvänta sig. Vi måste också se till att informera personuppgiftslämnaren om detta, och med vilken juridisk grund vi behandlar personuppgifterna.

Noggrannhet - Personuppgifter måste vara korrekta och aktuella. Personuppgifter som är felaktig eller ofullständig bör raderas eller korrigeras.

Lagringsminimering - Personuppgifter ska endast lagras så länge som nödvändigt för de ändamål för vilka uppgifterna behandlas, eller enligt vad som krävs enligt gällande lag. När den tiden har löpt ut ska personuppgifterna raderas permanent på ett säkert sätt. Om vi ​​vill behålla personuppgifter under en längre period än vad som krävs för ändamålet måste vi se till att uppgifterna inte längre kan kopplas ihop till en person, direkt eller indirekt (anonymisering). För personuppgifter som vi mottagit från en person vi har en kundrelation med, behåller vi dessa under den tidsperiod som utgör praxis bestämd av den nationella dataskyddsmyndigheten.

Integritet och konfidentialitet - Personuppgifterna ska skyddas bland annat mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse. Oh My ska därför vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna.

Ansvarsskyldighet - Oh My ansvarar för att principerna om personuppgiftsbehandling följs när personuppgifter behandlas och ska kunna visa på vilket sätt man följer dem.

3.4 Personuppgiftslämnarens rättigheter

Oh My ska svara på personuppgiftslämnarens önskemål på det sätt som krävs enligt gällande lag eller på annat sätt anses vara rimligt praktiskt och lämpligt i samråd med vår PO.

Öppenhet och information - Personer vars personuppgifter behandlas bör informeras på ett tydligt sätt. Ett sådant meddelande bör vara koncist, enkelt tillgänglig, skrivas i tydligt och enkelt språk och måste innehålla viss specifik Information.

Rätt till information - En individ kan begära att få information om Oh My:s behandling av personuppgifter.

Rätt till rättelse och radering - En individ kan begära att ens personuppgifter ska korrigeras eller raderas.

Rätt att göra invändningar - En individ har i vissa fall rätt att invända mot den personuppgiftsansvariges behandling av hans eller hennes personuppgifter.

Rätten att invända - Gäller när personuppgifter behandlas för att utföra en uppgift av allmänt intresse, som ett led i myndighetsutövning eller efter en intresseavvägning.

En individ har rätt att klaga mot Oh My:s behandling av sina Personuppgifter.

En individ har rätt till ersättning för skada.

3.5 Personuppgiftsansvarige och personuppgiftsbiträdets skyldigheter

När bearbetningen ska utföras av ett personuppgiftsbiträde på uppdrag av den personuppgiftsansvarige, ska personuppgiftsansvarige endast använda sig av personuppgiftsbiträden som kan lämna tillräckliga garantier för att ha implementerat tillräckligt tekniskt och organisatoriskt skydd, för att kunna möta kraven från GDPR och därmed skydda personuppgiftslämnaren

Det ska finnas ett rättsligt bindande avtal mellan personuppgiftsansvarige och personuppgiftsbiträdet som uppfyller kraven i dataskyddslagarna och vilken fördelning av ansvar som gjorts mellan parterna avseende personuppgiftsbehandlingen:

Register över personuppgifter - Som anges i kapitel 3.1 i denna policy.

Dataskydd genom “privacy by design” - Varje ny tjänst eller affärsprocess som introduceras av Oh My och som innebär behandling av personuppgifter bör vara utformad för att ta hänsyn till skyddet av sådana data, till exempel genom att se till att nödvändiga säkerhetsåtgärder är inbyggda i dess design ("privacy by design"). Varje sådan ny tjänst eller affärsprocess ska också utformas för att se till att som standard endast personuppgifter som är nödvändiga för det specifika syftet med behandlingen behandlas ("privacy by default").

Konsekvensbedömning av dataskydd - Där det finns höga risker vid behandling av personuppgifter, i synnerhet när det rör nya teknologier, molntjänster och andra IT-system, bör Oh My före en sådan bearbetning genomföra en konsekvensbedömning. Oh My ska då följa datainspektionens riktlinjer om konsekvensbedömning.

Rapportering av personuppgiftsincidenter - anställda som misstänker att denna policy eller relevanta dataskyddslagar har brutits ska kontakta Oh My:s PO omedelbart för att Oh My ska kunna följa lagstadgade anmälningskrav.

Tillhandahållande av personuppgiftslämnarens rättigheter - som anges i kapitel 3.2 i denna policy.

Säkerhetsåtgärder - En anställd som har tillgång till personuppgifter får endast bearbeta uppgifterna i enlighet med syftet för behandlingen, och får inte dela, distribuera eller på annat sätt avslöja personuppgifterna till en tredje part om inte instrueras att göra det av Oh My. Lämpliga tekniska och organisatoriska åtgärder bör genomföras skydda personuppgifter mot oavsiktlig eller olaglig förstörelse, oavsiktlig dataförlust eller ändring, obehörigt utlämnande eller åtkomst och andra olagliga former av bearbetning. Lämpliga skyddsåtgärder i förhållande till risken skall vidtas.

Överföring av personuppgifter utanför EU och EEA är endast tillåten när den importerande enheten har lämnat tillräckliga garantier för att personuppgifter kommer att skyddas tillräckligt. Detta kan åstadkommas genom att använda en av EU:s standardiserade dataöverföringsavtal. Kontakta PO för ytterligare information.

Utbildning och medvetenhet - Oh My ger tillräcklig utbildning för alla anställda, baserad på anställdas roll och ansvar.

4.Internrevision

Oh My kommer att göra objektiva interna revisioner av denna policy, inklusive dataskydd på periodisk bas. VD på Oh My ansvarar för övergripande övervakning och genomförande av denna policy. PO ansvarar för Oh My dagliga överensstämmelse med denna policy och dataskyddslagar.