Senast uppdaterad den 28 maj 2018
Allmänt om behandling av personuppgifter i Solberg Kommunikation AB:s verksamhet (benämns nedan Solberg)
Inledning
Denna text syftar till att beskriva Solbergs behandling av personuppgifter på ett öppet och transparent sätt så att personer vars personuppgifter företaget behandlar ska förstå hur och varför deras personuppgifter hanteras i vår verksamhet och vilka rättigheter de har i förhållande till företaget. För ett kunskapsföretag som Solberg är det avgörande att kundrelaterad information, inkluderande personuppgifter, såväl som information om företagets anställda, behandlas säkert och konfidentiellt samt att tillämpliga regelverk efterföljs.
Solberg erbjuder kommunikationstjänster inom Investor Relations, Hållbarhet, Public Relations och Varumärken. Merparten av våra kunder har sin bas i Sverige. Här finns såväl börsnoterade som onoterade företag med verksamhet inom ett stort antal branscher. Även offentliga förvaltningar förekommer på kundlistan. För att företaget ska kunna bedriva sin verksamhet behöver personuppgifter hanteras vid fullgörande av uppdrag.
Solbergs styrning av behandling av personuppgifter
Dataskyddsombud
Dataskyddsombud hos Solberg är Håkan Solberg och nås genom e-postadressen gdpr@solberg.se
Behandling av personuppgifter i Solbergs verksamhet:
Företaget utför inom ramen för verksamheten uppdrag både som personuppgiftsansvarig och/eller uppdrag som personuppgiftsbiträde. Företagets vägledningar till medarbetare innefattar information till ledning för bedömning av om enskilda uppdrag bedöms innebära en roll som personuppgiftsansvarig eller en roll som personuppgiftsbiträde.
Solberg Kommunikation AB är personuppgiftsansvarig för den behandling av personuppgifter som företaget genomför för egna ändamål, bland annat kontroller avseende förekomst av intressekonflikter och oberoende. Företagets kontaktuppgifter, organisationsnummer och uppgifter om företrädare för företaget finns tillgängliga på företagets webbplats www.solberg.se.
Behandling av personuppgifter i uppdragsverksamheten
Inom ramen för uppdragsverksamheten behandlar Solberg personuppgifter för ändamålet att fullgöra de åtaganden som följer av avtalen med våra uppdragsgivare. De lagliga grunderna för behandlingen i uppdragsverksamheten är främst att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse, avtal eller är tillåten genom en intresseavvägning. Intresseavvägningar i uppdragsverksamheten baseras på en avvägning mellan Solbergs intresse av att kunna bedriva verksamhet och följa de åtaganden som följer av avtalen med företagets uppdragsgivare och även uppdragsgivarens intresse av att Solberg ska kunna utföra uppdraget i förhållande till de registrerades eventuellt motstående intressen avseende skydd för sina personuppgifter.
Solbergs uppdragsgivare har ofta ett intresse av att kunna anlita specialisthjälp avseende ett behov som uppdragsgivaren har – till exempel att fullgöra dess rättsliga förpliktelser eller avtal.
Personuppgifter som Solberg behöver få del av för att utföra uppdrag samlas som utgångspunkt in från uppdragsgivaren, men det förekommer också att personuppgifter samlas in från andra parter. Personuppgifter som samlas in för att användas i uppdrag kan vara kontaktuppgifter, information om befattningshavare och andra uppgifter avseende kund- eller leverantörsförhållanden. De som behandlar personuppgifter i Solbergs uppdragsverksamhet är de medarbetare hos oss som arbetar i uppdragsverksamheten.
Behandling av personuppgifter vid marknadsaktiviteter
För att Solberg ska kunna nå ut till marknaden med företagets tjänster bedrivs marknadsaktiviteter som syftar till att marknadsföra företaget, medarbetare och de tjänster som företaget tillhandahåller. Solberg behandlar personuppgifter för sådana marknadsföringsändamål, bland annat genom inbjudningar till seminarier.
De lagliga grunderna för sådan behandling är antingen en intresseavvägning eller samtycke. Intresseavvägningarna baseras på en avvägning mellan företagets intresse av att kunna marknadsföra verksamheten och erbjuda marknaden företagets tjänster och kunders intresse av att kunna informera sig om Solbergs tjänsteutbud samt de registrerades intresse avseende skydd för sina personuppgifter.
Personuppgifterna samlas in inom företaget (till exempel från medarbetare eller kundregister) eller från annan och innefattar främst uppgifter om befattningshavare. Personuppgifterna behandlas i de system och de verktyg företaget använder för att hantera marknadsaktiviteter.
Personuppgifter som samlas in för marknadsföringsändamål sparas inte längre än vad som är nödvändigt för ändamålet. Uppgifter som behandlas efter en intresseanmälan behandlas till dess personen anmäler att han eller hon inte längre är intresserad av att motta nyhetsbrev eller inbjudningar från oss. Kontaktuppgifter till affärskontakter såsom befintliga eller potentiella kunder bevaras normalt så länge företaget bedömer att personens befattning eller yrkesroll kan antas medföra ett intresse för företagets tjänster.
Profilering
För att företaget ska kunna göra relevanta urval avseende utskick av nyhetsbrev och inbjudningar till event används profilering på det sättet att urval för utskick baseras på uppgifter om branschsegment eller tidigare aktivitet (såsom anmälan till ett seminarium). Sådan profilering är begränsat till sådana uppgiftskategorier och syftar till att innehållet i företagets kommunikation ska vara relevant, av intresse och till nytta för mottagaren.
Behandling av personuppgifter vid rekrytering och avseende medarbetare
En förutsättning för att Solberg ska kunna bedriva verksamhet är att företaget kan rekrytera ny medarbetare och ge stöd till anställda samt administrera förhållanden som rör dessa. Denna verksamhet innefattar behandling av personuppgifter, bland annat personuppgifter avseende personer som är eller har varit föremål för rekryteringsaktiviteter och behandling av personuppgifter avseende nuvarande och tidigare medarbetare. Den rättsliga grunden för denna behandling är en intresseavvägning (rekrytering och medarbetare), fullgörande av avtal (medarbetare) och fullgörande av rättsliga förpliktelser (medarbetare). Intresseavvägningarna baseras på en avvägning mellan företagets intresse av att kunna anställa, bibehålla och utveckla kompetenta och lämpliga medarbetare i företagets verksamhet och dessa personers intressen avseende skydd för sina personuppgifter. När det gäller behandling av personuppgifter i samband med en rekryteringsprocess har även de arbetssökande ett intresse av att kunna ansöka och komma i fråga för den aktuella anställningen.
I rekryteringsverksamheten erhåller företaget personuppgifter från personer som söker anställning hos företaget, antingen direkt eller via ett rekryteringsföretag, och inhämtar personuppgifter vid egna rekryteringsaktiviteter. Kategorier av personuppgifter som behandlas avser bland annat kontaktuppgifter, CV-uppgifter såsom kompetens, tidigare arbetsuppgifter och arbetsgivare samt ansvarsområden. Personuppgifter avseende arbetssökande inhämtas huvudsakligen från den arbetssökande. Vid användning av rekryteringsföretag kan sådant företag samla in uppgifter om arbetssökande och sortera ut kandidater som ska presenteras för företaget.
Personuppgifter avseende befintliga medarbetare inhämtas från medarbetaren själv i samband med att anställning inleds. Under anställning inhämtas och används fortlöpande personuppgifter från chefer, till exempel inför och i samband med utvecklingssamtal och vid uppföljning av uppdrag samt återkoppling från kunder. Medarbetares personuppgifter används även i den dagliga verksamheten eftersom uppgifter om anställda hanteras vid offertarbete och utförande av uppdrag (till exempel i e-postkorrespondens med kunder och med andra medarbetare).
Personuppgifterna behandlas i de system företaget använder för administration och stöd för befintliga och tidigare medarbetare.
Personuppgifter inhämtade i samband med rekrytering bevaras normalt under högst två år efter rekryteringsaktivitetens avslutande om personen inte har anställts. Vissa personuppgifter avseende anställda medarbetare raderas efter anställningens upphörande, medan andra personuppgifter bevaras under längre tid (till exempel för att kunna tillhandahålla viss information till Försäkringskassan efter att anställningen upphört och enligt lagliga krav).
Anlitande av personuppgiftsbiträden
När Solberg fullgör uppdrag som personuppgiftsbiträde vid hantering av personuppgifter i uppdrag förekommer det att Solberg anlitar underbiträden för behandling av personuppgifter. Vilka dessa underbiträden är framgår av det avtal som upprättas med uppdragsgivaren/den personuppgiftsansvarige (personuppgiftsbiträdesavtal). Underbiträdena har i avtal med Solberg åtagit sig att underrätta Solberg om eventuellt anlitade underbiträden och utbyte av sådana underbiträden. Information om vilka underbiträden som anlitas för ett specifikt uppdrag lämnas på förfrågan.
De registrerades rättigheter
Rätten till information
Den registrerade har enligt regelverket om behandling av personuppgifter rätt att få information när hans eller hennes personuppgifter behandlas. Information om behandlingen ska lämnas både när uppgifter samlas in, eller kort tid därefter när uppgifterna inte samlas in från den registrerade, och när den registrerade begär det. Härtill finns vissa tillfällen när särskild information ska ges till den registrerade, exempelvis om det inträffar ett dataintrång eller liknande.
Information ska bland annat lämnas om kontaktuppgift till den personansvarige, den rättsliga grunden för och ändamålet med behandlingen.
Detta dokument innefattar bland annat sådan information som Solberg har att lämna till de personer vars personuppgifter behandlas i verksamheten.
En begäran om tillgång till information anmäls till gdpr@solberg.se.
Rätt till radering
En registrerad har enligt regelverket om behandling av personuppgifter rätt att vända sig till företag och be att uppgifterna som avser honom eller henne raderas.
En begäran om radering anmäls till gdpr@solberg.se.
Rätt till begränsning av behandling
De personer vars personuppgifter behandlas har i vissa fall rätt att kräva att behandling begränsas. Med begränsning avses att personuppgifterna markeras så att dessa i framtiden endast får behandlas för vissa avgränsade syften.
En begäran om begränsning av behandling av personuppgifter anmäls till gdpr@solberg.se.
Rätt att återkalla samtycke
Personer vars personuppgifter som behandlas med samtycke som laglig grund har rätt att återkalla samtycke.
Ett återkallande av samtycke anmäls till gdpr@solberg.se.
Rätt att göra invändningar
En enskild har i vissa fall rätt att invända mot den personuppgiftsansvariges behandling av dennes personuppgifter. Denna rätt gäller bland annat personuppgifter som behandlas efter en intresseavvägning och innefattar rätt att invända mot profilering.
Invändning mot behandling av personuppgifter skickas till gdpr@solberg.se.
Grundläggande principer för personuppgiftsbehandling hos Solberg
Laglighet, korrekthet och öppenhet
Personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt så att den registrerade förstår hur hans eller hennes uppgifter behandlas och varför.
Förutsättningar för en laglig och korrekt behandling av personuppgifter är att Solbergs medarbetare har kunskap om vilka krav som gäller, stöd genom vägledande dokumentation och tillgång till medarbetare med kunskap avseende regleringen av personuppgiftsbehandling för besvarande av frågor.
Solbergs vägledningar innefattar rekommendationer till medarbetarna avseende laglighet och korrekthet vid olika slags behandling av personuppgifter, bland annat i uppdragsverksamheten samt vid användning av e-post.
Principen om öppenhet innebär att de registrerade har tillgång till information om hur och varför deras personuppgifter behandlas. Solbergs medarbetare ska också visa företagets intranät ha tillgång till information om hur företaget behandlar personuppgifter.
Ändamålsbegränsning
Principen om ändamålsbegränsning innebär att personuppgifter endast får behandlas för tydligt angivna ändamål och att de inte i ett senare skede får behandlas för något annat oförenligt ändamål.
Utgångspunkten för Solbergs efterlevnad av ändamålsbegränsningar är att medarbetarna vid behandling av personuppgifter har kunskap om ändamålen för behandling av personuppgifter och förbudet mot att behandla personuppgifter för oförenliga ändamål samt att dessa ändamål dokumenteras. Härigenom ges medarbetarna möjlighet att efterleva samt verka för att principen om ändamålsbegränsning efterlevs vid behandling av personuppgifter.
Uppgiftsminimering
Principen om uppgiftsminimering innebär att fler eller känsligare personuppgifter än vad som behövs för att uppfylla ändamålet inte får behandlas.
Utgångspunkten för Solbergs efterlevnad avseende uppgiftsminimering är att medarbetarna har kunskap om principen om uppgiftsminimering. Härigenom ges medarbetarna möjlighet att begränsa Solbergs användning av personuppgifter för att inte avse annat än vad som behövs för att uppfylla ändamålet med behandlingen av personuppgifterna. Härtill innefattar Solbergs vägledningar rekommendationer till medarbetarna avseende minimering av personuppgifter, till exempel vid användande av e-post och vid bevarande av uppdragsdokumentation.
Korrekthet
Principen om korrekthet innebär att de personuppgifter som företaget behandlar ska vara korrekta och om nödvändigt uppdaterade.
Utgångspunkten för Solbergs efterlevnad av principen om korrekthet är att medarbetarna har kunskap om principen om kravet på korrekthet och möjlighet att korrigera eventuella felaktigheter eller verka för att eventuella felaktigheter korrigeras genom företagets rutiner.
Det framgår av Solbergs vägledningar och rutiner att medarbetare som upptäcker felaktigheter i personuppgifter ska rätta dessa eller verka för att företaget ges möjlighet att rätta felaktigheterna.
Härigenom ges medarbetarna kunskap om att eventuellt felaktiga personuppgifter ska korrigeras och tillgång till en rutin för att verka för Solbergs korrigering av eventuellt felaktiga personuppgifter.
Lagringsminimering
Principen om lagringsminimering innebär att personuppgifter inte får sparas i identifierbart skick under en längre tid än vad som är nödvändigt för ändamålet med behandlingen.
Solbergs efterlevnad av principen om lagringsminimering sker genom fastställande av interna regler för lagring, vilka bland annat innefattar tidsfrister för radering på olika områden.
Integritet och konfidentialitet
Principen om integritet och konfidentialitet innebär att personuppgifterna ska skyddas med lämpliga tekniska och organisatoriska åtgärder så att de inte blir åtkomliga för obehöriga, förstörs eller oavsiktligt raderas.
Solbergs efterlevnad av principen om integritet och konfidentialitet sker genom fastställande av interna regler för informationssäkerhet och reglering av tystnadsplikt med samtliga anställda och underkonsulter.
Ansvarsskyldighet
Principen om ansvarsskyldighet innebär att den personuppgiftsansvarige ska ansvara för och kunna visa att principerna för personuppgiftsbehandling efterlevs.
- Internt och externt informera om företagets regler och rutiner för hantering av personuppgifter.
- fastställa och uppdatera strategi för dataskydd (riskpolicy)
- dokumentera rutiner för dataskydd
- genomföra konsekvensbedömningar vid behov
- utse dataskyddsombud.