Innehåll
5.1 Frågor och/eller avanmäla eller radera uppgifter 7
5.2 Datasäkerhetsansvarig, personuppgiftsansvarig. 7
7.2 Genomförande av kontrakt med våra kunder 8
7.3 Försäljnings- och marknadsföringsändamål 9
9.6 Riktning / annonser med kakor 10
12.1 Checklista för intern årlig revision. 14
1. Definitioner
När vi refererar till ”företaget”, ”vi” eller ”vår”, menar vi Demokratikonsult Sverige AB, som ligger på Palmbladsvägen 1 i Stockholm registrerad med organisationsnummer 556904-3085. Vi erbjuder våra knder följeforskning, lärande utvärdering, processtöd, utredningar, föreläsningar och expertis inom olika områden, främst med fokus på innovation.
Följande definitioner hjälper dig att förstå vår Dataskyddspolicy och dataskydd vid insamling, lagring, användning och destruktion av data:
Användare – En person anställd i företaget Demokratikonsult Sverige AB.
Datainspektionen – Datainspektionen ser över och bevakar allvarliga intrång och förlust av känsliga data. Företaget har anmälningsplikt (72 h) för allvarliga händelser där enskilda förlorar kontrollen över sina uppgifter eller att deras rättigheter inskränks. Datainspektionen beslutar sedan om vilka åtgärder och eventuella sanktioner som ska vidtas.
Dataskydd – Hur ett företag hanterar personuppgifter på ett säkert sätt.
Dataskyddsförordningen GDPR – En ny lag om hantering av känsliga data, som träder i kraft 25 maj 2018, och ersätter Pul, personuppgiftslagen.
Dataskyddsombud eller datasäkerhetsansvarig –Rollen är att kontrollera att dataskyddsförordningen (GDPR) följs inom organisationen genom att till exempel utföra kontroller och informationsinsatser.
Dataskyddspolicy – Förklarar hur vi använder den information som du delar med oss för att vi ska kunna erbjuda pålitliga och excellenta tjänster samt ge dig en fantastisk upplevelse, genom att säkerställa att du förstår vilken information vi samlar in med din tillåtelse och vad vi gör – respektive inte gör – med den.
Kund eller uppdragsgivare – En person eller organisation som har beställt i vår webbshop, eller som vi träffat samarbetsavtal med, vunnit ramavtal hos, tecknat konsultavtal samt prenumererande på nyhetsbrev.
Partners – Personer eller organisationer som vi har affärsutbyte med exempelvis konsulter som tillsammans med Demokratikonsult utgör uppdragstagare eller leverantörer av till exempel e-tjänsterna Surveymonkey och Mailchimp. Vi undertecknar separata avtal med dessa partners för att skydda din integritet i enlighet med våra riktlinjer och GDPR.
Indata – Den data som företaget tillhandahålls.
Informationssäkerhet – De åtgärder som vidtas för att hindra att information läcker ut, förvanskas eller förstörs och för att informationen ska vara tillgänglig när den behövs. Informationen som ska skyddas kan vara tryckt på papper, vara lagrad elektroniskt, överföras med post eller med elektroniska hjälpmedel, visas på film eller yttras i en konversation.
Känslig data – Information som innehåller hälsoinformation, facklig tillhörighet, etniskt ursprung, bolagsinformation, information om projektdeltagandet eller annan information som kan röja Demokratikonsults sekretess gentemot uppdragsgivare eller bryter lagar och förordningar om personuppgifter.
Uppgiftsminimering – En princip inom GDPR som innebär att personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Det är inte tillåtet att samla in personuppgifter för obestämda framtida behov.
Utdata – Den data som företaget tillhandahåller.
Personuppgiftsansvarig – Demokratikonsult eller den organisation som bestämmer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till. Den som är personuppgiftsansvarig kan överlåta den faktiska behandlingen av personuppgifter men personuppgiftsansvaret kan aldrig överlåtas.
Personuppgiftsbiträde – Personuppgiftsbiträde är den som behandlar personuppgifter för en personuppgiftsansvarigs räkning. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvariges organisation. De biträden som den personuppgiftsansvarige anlitar ska kunna ge tillräckliga garantier för att behandlingen uppfyller kraven i dataskyddsförordningen och säkerställer att den registrerades rättigheter skyddas.
Personuppgiftsincident – En säkerhetsincident som kan leda till fysisk, materiell eller immateriell skada, såsom förlust av kontrollen över de egna personuppgifterna eller till begränsning av deras rättigheter, diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, obehörigt hävande av pseudonymisering, skadat anseende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, eller till annan ekonomisk eller social nackdel för den berörda fysiska personen.
Personuppgiftslagen (Pul) – Lagen om hantering av personuppgifter. Lagen byts ut 25 maj 2018 till en mer omfattande lag som gäller för hela Europeiska Unionen Dataskyddsförordningen (GDPR).
Systemrapporter – De e-tjänster som Demokratikonsult
Webbplatser – Webbplatsen, webbsidor, interaktiva funktioner, applikationer, widgets, bloggar, sociala medier, flikar eller annat innehåll på nätet eller mobil som länkar till information från Demokratikonsult.
Ändamålsbegränsning – Personuppgifter får bara behandlas för specifikt angivna ändamål som den registrerade har informerats om.
2. Bakgrund
Demokratikonsult samlar in och bearbetar information med förutbestämda ändamål.
2.1 Indata
Demokratikonsult får information tillhanda genom följande kanaler:
– Muntligt via konversationer, i telefon, workshops eller seminarier
– Fysisk dokumentation från uppdragsgivare och kunder eller partners
– Elektroniskt; arkiverat i moln, skicka via e-post eller användning av annat hjälpmedel så som exempelvis Mailchimp, Surveymonkey, diktafon
– Data från Kakor eller andra automatiskt lämnade uppgifter på Demokratikonsults webbplatser
2.2 Utdata
Demokratikonsult tillhandahåller endast personuppgifter i förutbestämda ändamål och använder endast personuppgifterna i enighet med uppdragsbeskrivningen eller syftet vid inhämtning av data. Förutbestämt kan uppgifterna spridas vidare i följande kanaler:
– Tryckt på papper eller i anteckningar
– Elektroniskt; arkiverat i moln, skicka via e-post eller användning av annat hjälpmedel så som exempelvis Mailchimp, Surveymonkey
– Rapporter och dokument med formaten Excel, Word, PowerPoint och PDF tillfälligt på hårddisk eller i moln
– I konversationer, telefon, workshops eller seminarier
2.3 Aktuella webbplatser
Vårt dataskydd och Dataskyddspolicy gäller följande webbplatser:
Och andra webbplatser som innehåller online-innehåll som visas på en dator, smartphone eller annan typ av enhet eller på annat sätt länkar till information från Demokratikonsult.
3. Datasäkerhetsförordningen
Den stora skillnaden jämfört med Pul är att GDPR innebär att ett företag inte kan äga en uppgift om en person, utan bara låna den.
I den nya förordningen finns något som kallas ”privacy by default” vilket i betyder att vi måste känna all vår data, och de system som hanterar informationen. GDPR är inte något som Demokratikonsult lägger över på en IT-leverantör. Demokratikonsult tillämpar nedan policy för att säkerställa att GDPR efterlevs.
3.1 Överträdelser
Överträdelser av dataskyddsförordningen kan leda till skadeståndskrav – Att inte uppfylla kraven avseende till exempel informationssäkerhet eller upprättande av avtal med personuppgiftsbiträden kan ge sanktioner på upp till två procent av företagets omsättning. Att inte uppfylla kraven på till exempel laglighet, ändamålsbegränsning och uppgiftsminimering kan ge sanktioner på upp till fyra procent av omsättningen. Sanktionsmekanismerna i dataskyddsförordningen är skrivna så att de gynnar ett proaktivt beteende. Ju mer omfattande åtgärder ett företag har vidtagit för att skydda de registrerades rättigheter, desto lägre kommer sanktionsavgifterna att bli om överträdelser trots allt sker.
4. Dataskyddspolicyn
Policyn behandlar rutiner för hur alla som arbetar på uppdrag av Demokratikonsult på ett säkert sätt hanterar känsliga data. Policyn inventerar syftet med datalagringen och redogör för vilken data som Demokratikonsult ska vidta åtgärder och hantera risker. Välkommen att maila oss kring vår policy (erika@demokratikonsult.se).
ü Demokratikonsult samlar endast in data från personer och individer som har erhållit information om att de kan komma att kontaktas.
ü Individer som givit sitt godkännande har fått korrekt information och har givits förutsättning att ha realistiska förväntningar.
ü Demokratikonsult samlar endast relevant data och kan alltid motivera anledningen bakom insamlingen.
ü Demokratikonsult systemrapporterar automatiskt alla integritetsincidenter till Demokratikonsults styrelse, IT-ansvarig eller VD, sparar back-uper, rensar data kontinuerligt och löpande för att på detta sätt hålla data säker, aktuell och relevant.
ü Där Demokratikonsult anlitar en leverantör av för exempelvis molntjänster eller något annat företag som behandlar personuppgifter för företagets räkning så har de båda företagen ett skriftligt personuppgiftsbiträdesavtal.
ü Demokratikonsults styrelse är högst ansvarig och VD operativt ansvarig (om ingen annan bestämd person) med behörighet för hanteringen av känsliga data och individernas krav på hanteringen av densamme.
ü Demokratikonsult garanterar individer rätt att få sina uppgifter raderade eller uppgifter på individen sammanställda, och hanterar eventuella krav senast 30 dagar efter kravet inkommit till Demokratikonsult.
ü Demokratikonsult har klart syfte till lagring av personuppgifter och känner väl till risker och relevanta säkerhetsåtgärder, så som vilka eventuella dataintrång som ska rapporteras till berörda och Datainspektionen.
ü Demokratikonsults datorer och databaser är krypterade och väl skyddade med tvåfaktor autentisering samt med starka lösenord och som byts ut regelbundet.
ü VD är operativt ansvarig för att det finns riktlinjer och relevant information till berörda samt kontaktuppgifter till ansvariga.
ü Demokratikonsult informerar alltid individen om hur data kommer att hanteras och om svaren kommer att vara anonyma.
ü Demokratikonsult har strikta rutiner för hur inaktuella data ska kasseras och hålla hög säkerhet även när data blivit inaktuell. Datalagar begränsar Demokratikonsults möjligheter att bevara data för Demokratikonsult kan inte äga uppgifterna om en person, utan bara låna dem.
ü Demokratikonsults Dataskyddspolicy ska ses över årligen av VD som rapporterar till styrelse och informerar konsulter och underkonsulter, leverantörer och andra berörda vilken policy de berörs.
4.1 Ändringar
Vi kan ändra innehållet i denna Dataskyddspolicy när som helst. Den senaste versionen anges med versionsnumret och det datum som finns längst upp i denna Dataskyddspolicy. Alla uppdateringar och ändringar träder i kraft omedelbart. Vi kommer att publicera en reviderad version på våra webbplatser och inkludera en länk till vår Dataskyddspolicy i sidfoten av våra nyhetsbrev eller meddela ändringarna på annat sätt.
Vi rekommenderar årligen att gå igenom denna Dataskyddspolicy för att hålla er uppdaterade om eventuella förändringar som kan vara relevanta för er.
Kopior av denna Dataskyddspolicy – och tidigare versioner sparas elektroniskt.
5. Ansvar
Denna Dataskyddspolicy har företräde och avser – och respekterar – all information som vi samlat in eller samlar. Om tillämpligt använder vi separata användarvillkor för vilka vi alltid kommer att fråga separat, medvetet tillstånd.
Konsulter, underkonsulter, IT-ansvarig, systemleverantör, eventuella jurister samt applikationsägare ska alla efterleva lagen om säker lagring av personuppgifter, GDPR och därmed Demokratikonsults policy.
Årligen genomför Demokratikonsult en intern revision för att säkerställa att policyn efterlevs med hjälp av checklistan nedan, och rapporterar samtliga eventuella avvikelser till bolagsstyrelsen, snarast möjliga dock senast 72 timmar efter att felet upptäckts. Incidenter av allvarligare karaktär rapporteras även till Datainspektionen inom samma tidsram.
VD är högst ansvarig för årlig övervakning och implementering av riskhantering som krävs av lagen om hantering av känsliga data (GDPR).
5.1 Frågor och/eller avanmäla eller radera uppgifter
Om du vill avsluta prenumerationen från våra e-postmeddelanden kan du när som helst klicka på länken för borttagning längst ner i någon av våra e-postmeddelanden (Mailchimp). Om du har några frågor, kommentarer och / eller klagomål eller om du vill uppdatera, ta bort eller ändra din personliga information, vänligen kontakta oss. Detsamma gäller om du har några frågor om hur vi hanterar frågor som rör integritet. Mejla oss i så fall på erika@demokratikonsult.se.
5.2 Datasäkerhetsansvarig, personuppgiftsansvarig
Personer som berörs kan kontakta erika@demokratikonsult.se om frågor som rör behandling av informationen hos den berörda personen och utöva sina rättigheter enligt GDPR.
6. Information som vi samlar in
6.1 Frivillig information
Information som du frivilligt tillhandahåller till oss är när du använder vår plattform, placera en e-handelsorder, registrerar dig för nyhetsbrev, händelser eller andra tjänster, när du kontaktar vår kundservice, skickar oss ett mail, svarar på ett blogginlägg, startar en chat, integrerar med vår tjänst via en annan webbplats eller tjänst eller kommunicerar med oss på något annat sätt, ger du frivilligt information till oss, som vi samlar in.
Beroende på var och för vilket ändamål du anger den här informationen innehåller den: ditt namn, adress, personlig information, allmän information om din organisation och position, användardata, betalningsinformation och information om dina intressen / livsstilsegenskaper. Genom att tillhandahålla denna information till oss godkänner du att vi samlar, använder och lagrar denna information för det aktuella ändamålet under en relevant tidsperiod.
6.2 Automatisk information
Information som vi samlar in automatiskt är om du är klient, användare av vår e-handelsplattform, om du anmält dig till nyhetsbrev, evenemang eller andra tjänster eller besöker våra webbplatser samlar vi information från dig. Beroende på hur du kontaktar oss innehåller den här informationen din IP-adress, ditt operativsystem, ditt webbläsar-ID, din webbläsaraktivitet och annan information som gäller ditt besök på vår hemsida. Vi kan samla in denna information som en del av våra loggfiler, men också genom användning av kakor eller annan spårningsteknik. För mer detaljerad information, se vår kakpolicy nedan.
6.3 Personlig information
Personlig information som vi mottar för att skicka information är när en klient är en social media eller när en webbplatsbesökare använder ”delafunktioner” -alternativet tillåter vi att besökaren/webbplatsen besöker vårt e-post- och / eller webbinnehåll med den person vars personliga information kunden / webbplatsens besökare angav. Vi använder endast denna information en gång för att skicka den begärda informationen.
6.4 Andra källor
Information från andra källor kan vara genom tillhandahållen information från uppdragsgivare eller tredje part insamlad information om dig, ditt företag eller projekt, din organisation eller team, t.ex. namn, e-postadresser, demografisk information, projektinformation, IP-adresser, kommun, plats, annan kvalitativ eller kvantitativ information som är relevant för det uppdrag som Demokratikonsult är konsult i, uppdragstagare till, arbets- eller uppdragsgivare för.
7. Behandling av information
Vi behandlar personuppgifter för följande ändamål och lagrar inte denna information längre än vad som behövs. Om du vill veta mer om din personliga information, var god kontakta oss via erika@demokratikonsult.se.
7.1 Juridiska skyldigheter
Ett antal av våra bearbetningsaktiviteter genomförs eftersom vi är lagligen skyldiga att göra det. Det gäller främst personlig information som vi behöver för att uppfylla vår skattskyldighet genom vår bokföringslag. Vi kan också behandla personlig information i händelse av rättslig skyldighet.
7.2 Genomförande av kontrakt med våra kunder
Vi registrerar vilka organisationer som besöker / använder vår plattform tillsammans med deras relevanta kontakter. Vi behandlar personuppgifterna för dessa kontakter för att uppfylla våra avtalsförpliktelser.
7.3 Försäljnings- och marknadsföringsändamål
I ett syfte till ökat affärsutbyte kan Demokratikonsult använda personlig information för att skicka kontakter email, textmeddelanden eller kontakta dem via telefon. Vi släpper dock inte ut personlig information till tredje part, om du inte ger oss otvetydigt tillstånd att göra det.
7.4 Förbättra våra tjänster
Vi strävar efter att erbjuda användarna av vår plattform, kunder, uppdragsgivare och besökare på våra webbplatser och / eller abonnenter omfamnas av optimal användarvänlighet och högsta servicekvalitet.
8. Rätten till den berörda personen
Enligt GDPR har varje person (den berörda personen) vars uppgifter behandlas ett antal rättigheter. Vi gör vårt bästa för att alltid uppfylla dessa krav. Om ni har några tips eller kommentarer, var vänlig och låt oss veta! För att utöva era rättigheter välkomnas ni att kontakta oss via erika@demokratikonsult.se.
8.1 Information och insikt
Det är självklart att du kan få insikt i vilken personlig information som ni behandlar.
8.2 Rättelse
Om ni tror att informationen vi har på dig är felaktig, vänligen låt oss veta så att vi kan uppdatera den.
8.3 Rätt att bli bortglömd
Ni kan be oss att tillfälligt eller permanent radera er personliga information. Vi kan fortfarande behöva er information för andra (t.ex. administrativa eller rättsliga) ändamål.
8.4 Begränsning
Om ni tror att vi olagligt eller felaktigt behandlar er känsliga data, kan ni begränsa behandlingen av er information genom att åberopa er rätt inom GDPR.
8.5 Invändning
Ni kan invända skriftligen (via e-post eller vanlig post) till behandlingen av er känsliga data. Vi kommer att behandla din förfrågan försiktigt och komma tillbaka till dig så snart som möjligt.
8.6 Dataskyddsmyndigheten
Vi skulle gärna hjälpa till om ni har några synpunkter om hanteringen av er känsliga data. Välkommen att mail erika@demokratikonsult.se. Säkerhetslagstiftningen ger er även rätt att lämna in ditt klagomål till Datainspektionen enligt riktlinjerna för detta. Demokratikonsult rapporterar själva in incidenter som är av allvarligare karaktär inom 72 h efter att incidenten upptäckts. Hur du anmäler en incident till Datainspektionen finner du här.
9. Kakor och spårning
9.1 Syfte
Demokratikonsult kan använda kakor för att förbättra våra tjänster, optimera prestanda för våra webbplatser och användaroptimera vår marknadsföring.
9.2 Vad är kakor?
Kakor är små textfiler som placeras på en dator, surfplatta eller smartphone under ett besök på en webbplats.
9.3 Olika typer av kakor
Det finns fyra typer av kakor som används på hemsidan. Dessa kakor är väsentliga för att hemsidan ska fungera bra. De låter dig navigera våra webbplatser och utnyttja de funktioner vi erbjuder. Dessa kakor identifierar inte användare som enskilda personer. Att inte acceptera dessa kakor kan påverka vår plattforms prestanda eller (delar av) våra webbplatser.
9.4 Funktioner med kakor
Med dessa kakor kan våra webbplatser komma ihåg de val du gjorde under ditt besök (t.ex. ditt användarnamn eller språkinställningar) för att ge en mer personlig online-upplevelse. De kan också låta dig visa videoklipp, spela spel och använda sociala verktyg som bloggar och chattrum. Informationen som samlas in av dessa kakor kan innehålla information som du angav och som kan identifiera dig som en person, t.ex. ditt användarnamn. Vi kommer alltid att vara öppna om vilken information vi samlar, vad vi gör med det och vilka vi delar med (om tillämpligt). Att inte acceptera dessa kakor kan påverka prestanda och funktionalitet på vår plattform eller våra webbplatser och det kan begränsa din tillgång till innehållet på vår plattform eller våra webbplatser.
9.5 Prestanda med kakor
Dessa kakor hjälper oss att få insikt i hur besökare använder våra webbplatser genom att ge information om de områden de besökte, den tid de spenderade på vår hemsida och eventuella problem som de stötte på under vägen, t.ex. fel. Detta hjälper oss att förbättra prestanda på våra webbplatser. Dessa kakor identifierar dig inte som en person. Alla data är anonymiserade och aggregerade.
9.6 Riktning / annonser med kakor
Dessa kakor spårar dig under en längre tid samt på flera webbplatser vilket gör att en profil kartläggs. Detta kan användas för att segmentera dig baserat på dina specifika intressen. Dessa kakor används ofta för att skicka mer personliga e-postmeddelanden och visa mer relevanta annonser online. Ett annonsnätverk placerar en eller flera kakor på din dator eller andra besökare på webbplatsen via en tredje parts webbplats. Nätverket kan komma åt dessa kakor när du besöker webbplatser som ingår i detta annonsnätverk. De flesta av dessa kakor kan spåra konsumenterna via deras IP-adress, så de kan samla information som kan identifiera dig som en person.
De olika typerna av kakor kan bestå av ”sessionskakor” och ”långvariga kakor”. Sessionskakor är tillfälliga kakor som lagras på din dator / enhet tills du lämnar vår hemsida. En långvarig kaka kommer att lagras på din dator under mycket längre tid eller tills den tas bort manuellt (hur länge kakorna lagras på enheten beror på ”livslängd” för den specifika kakan och dina webbläsarinställningar).
9.7 Radering av kakor
Det enklaste sättet att ta bort dina kakor är via dina webbläsarinställningar. Om du vill välja bort ”intressebaserade annonser”, besök http://www.youronlinechoices.eu/ för att göra dina inställningar. Notera Observera att du fortfarande kan få generiska annonser. Om du använder flera enheter för att besöka www.demokratikonsult.se (t.ex. din dator, smartphone, surfplatta etc.) måste du se till att varje enhetens webbläsarinställningar är anpassade så att de passar dina cookiepreferenser.
10. Identifiering av risker
Ses över varje år av IT-ansvarig, VD eller annan av bolagsstyrelsen utsedd. Riskerna är identifierade genom en inventering av kanaler för in-, lagring- respektive utdata, vilka alla värderats utifrån risk och konsekvens och satts ihop med relevanta proaktiva åtgärder, samt rutiner för eventuella läckor och uppföljning samt namn på ansvarig. Risk och sårbarhetsanalysen går igenom processerna i verksamheten för att identifiera och minimera riskerna med personuppgiftshanteringen.
10.1 Riskanalys
Här följer en riskanalys med proaktiva åtgärder för aktuellt kalenderår:
Demokratikonsult analyserar Dataskyddsrisker 2018 | ||||||
Indata |
Data sparad |
Utdata |
Risker |
Åtgärder |
Ansvarig (a) |
Riskvärde |
Webbsidor
· Frivilligt lämnad information · Automatiskt inhämtad information | · E-handels-system, elektroniska tjänster/verktyg
· Hårddisk eller fysiska enheter (endast tillfällig lagring) · E-tjänster/e-verktyg, inklusive molntjänst och email · Kakor | · Tryckt på papper eller i anteckningar
· Elektroniskt; arkiverat i moln, skicka via e-post eller användning av annat hjälpmedel så som exempelvis Mailchimp, Surveymonkey · Rapporter och dokument med formaten Excel, Word, PowerPoint och PDF tillfälligt på hårddisk eller i moln · I konvers-ationer, telefon, workshops eller seminarier | 1. Hårddisk / fysiska enheter eller anteckningsblock blir stulna
2. Intrång i mjukvara 3. Demokratikonsult misslyckas att uppfylla rätten till 100% åt en person som utövar GDPR 4. Långtidsfrånvaro/ personalomsättning | Lösenord med mycket hög säkerhet.
Lösenord är unika och byts med jämna mellanrum. Anställda, underkonsulter, leverantörer har erhållit denna rutinbeskrivning skriftligen. Demokratikonsult har ett stängt nätverk för alla anställda och konsulter samt ett gästnätverk för utomstående att använda. Demokratikonsult har endast leverantörer med hög säkerhet och ett Personuppgiftsbiträdesavtal. Demokratikonsult genomför regelbundet backuper på lagrad data enligt gällande rutiner. Demokratikonsult hanterar dokumentation i fysisk form enligt rutiner för detta. Demokratikonsult arkiverar äldre dokumentation enligt rutiner och nedan checklista som kvalitetssäkrar. Alla hårddiskar ska innehålla arbete som varit eller är aktuella under de senaste kvartal. Hårddiskarna används inte som arkiv utan alla data äldre än tre månader ska laddas upp på ett moln med två faktors autentisering. Data äldre än sju år kasseras eller arkiveras enligt rutiner för detta, mailkonversationer och personlig data raderas efter sju år i enighet med bokföringslagen. Demokrati-konsults personuppgifts-ansvarig mailar kvartalsvisa påminnelser till samtliga konsulter och anställda att arkivera äldre data från hårddiskarna upp till molnlösningen samt ändra lösenordet. I varje utgående mail står en fotnot om att e-postmeddelandet innehåller konfidentiell information. Demokratikonsulter arbetar två i fält för att säkerställa lärandet och minimera risker med personalomsättning eller frånvaro. | 1. Varje konsult/anställd enligt policy och rutin
2. Tjänste-leverantörer, den i styrelsen som köper in tjänsten 3. Person-uppgiftsansvarig uppdaterar årligen vid årsskiftet och ansvarar för indata från senaste sjuårsperioden med start 2018-05-25. Data inhämtad tidigare är VD ansvarig. 4. VD, styrelse, avtal, varje anställd och konsult enligt rutiner. | 1. 10
2. 15 3. 10 4. 6 |
11. Systemskiss
Indata | Sparat | Utdata |
Muntligt, frivillig info med förutbestämt syfte | E-leverantör, anteckningar, hårddisk, diktafon | E-leverantör, rapporter, muntligt, arkivering i moln enligt rutiner |
Fysisk dokumentation, frivillig information med förutbestämt syfte | Utskrivna dokument, anteckningsblock, dokumentation i pärmar som står på kontoret (<1 år) och arkiveras till moln <7år | Fysiskt enligt uppdragsbeskrivning, e-tjänster enligt rutiner |
Elektronisk frivillig information med förutbestämt syfte | Mailserver, server, hårddisk, e-tjänsteverktyg, leverantörer | Mailkonversationer för att uppfylla avtal och uppdrags-beskrivning, moln-arkiveras enligt rutin, e-tjänster med personuppgifts-biträdesavtal |
Automatisk information | Systemleverantör, google, e-tjänster, webbläsare | Ev. nyhetsbrev eller utskick med relevans, formulerar förbättringsåtgärder, e-tjänster med personuppgifts-biträdesavtal |
12. Det kontinuerliga förbättringsarbetet
Arbetet med dataskyddsförordningen är ett pågående arbete även efter förordningen träder i kraft den 25 maj 2018. Mycket arbete handlar då om att följa de nya rutinerna, policyers samt uppföljning av densamme.
12.1 Checklista för intern årlig revision
o Demokratikonsult Dataskyddspolicy är uppdaterad efter gällande lagar
o Demokratikonsult har en datasäkerhetsansvarig samt personuppgiftsansvarig med tydliga kontaktvägar till dessa
o Demokratikonsult emotser kontinuerligt systemrapporter med integritetsincidenter
o Demokratikonsult har ett aktuellt skydd mot virus och dataintrång
o Demokratikonsult arkiverar och säkerhetskopierar dokumentation och mailservrar löpande, minst en gång årligen
o Demokratikonsult skickar årligen ut vad GDPR innebär samt om någonting har förändrats under året
o Demokratikonsult lagrar alla data på moln-tjänsten och endast aktuell dokumentation för aktuella uppdrag finns nedladdade på fysiska hårddiskar, lagringsenheter
o Demokratikonsult använder sig av en säker moln-lösning med två-faktors autentisering och dubbel säkerhetskopiering
o Alla anställda och konsulter under Demokratikonsult genomför kvartalsvis inventering av lagring i fysiska enheter, personuppgiftsansvarig skickar ut påminnelser mail-ledes 1 feb, 1 maj, 1 aug, 1 nov att konsulter och anställda ska byta lösenord samt arkivera inaktuell data från sin hårddisk till molnet.
o Demokratikonsult kasserar inaktuell dokumentation i fysisk form sker med dokumentförstörare eller med inköpt tjänst med sekretesskärl
o Demokratikonsults tredjepartsavtal innehåller ett skriftligt personuppgiftsbiträdesavtal med krav på att leverantörernas system klarar kraven i linje med datasäkerhetsförordningen. Om leverantören inte kan garantera att GDPR efterlevs så säger Demokratikonsult upp avtalet med denne snarast möjliga.
o Demokratikonsult rapporterar om eventuella dataintrång, ändringar i GDPR, genomförda revisioner, synpunkter från användare, eventuella åtgärder eller krav i verksamhetsberättelsen samt till de berörda inom 72 h efter att avvikelsen upptäckts
o Demokratikonsults anställda och konsulter känner väl till aktuella rutiner för säker hantering av data
o Demokratikonsult erbjuder gäster tillgång till ett gästnätverk utanför det interna nätverket
o Demokratikonsults riskanalys är aktuell och relevant med proportionerliga åtgärder
o Demokratikonsults utgående mail har en fotnot om att e-postmeddelandet innehåller konfidentiell information
o Demokratikonsult har den senaste versionen av dataskyddspolicyn tillgänglig på hemsidan.
13. Policyändringar
OBS Demokratikonsult har rätt att ändra denna Dataskyddspolicy. Eventuella ändringar meddelas längst ner i föreliggande dokument.
Ägare: Demokratikonsult Sverige AB
Tillgänglig för: Senast version av policyn har skickats till respektive konsult och uppdragsgivare samt finns tillgänglig via länk på hemsidan.
VD på Demokratikonsult intygar härmed att versionen är kontrollerad med datum och signatur:
Datum Sign
________________ ______________________________
Innehåll
5.1 Frågor och/eller avanmäla eller radera uppgifter 7
5.2 Datasäkerhetsansvarig, personuppgiftsansvarig. 7
7.2 Genomförande av kontrakt med våra kunder 8
7.3 Försäljnings- och marknadsföringsändamål 9
9.6 Riktning / annonser med kakor 10
12.1 Checklista för intern årlig revision. 14
1. Definitioner
När vi refererar till ”företaget”, ”vi” eller ”vår”, menar vi Demokratikonsult Sverige AB, som ligger på Palmbladsvägen 1 i Stockholm registrerad med organisationsnummer 556904-3085. Vi erbjuder våra kunder följeforskning, lärande utvärdering, processtöd, utredningar, föreläsningar och expertis inom olika områden, främst med fokus på innovation.
Följande definitioner hjälper dig att förstå vår Dataskyddspolicy och dataskydd vid insamling, lagring, användning och destruktion av data:
Användare – En person anställd i företaget Demokratikonsult Sverige AB.
Datainspektionen – Datainspektionen ser över och bevakar allvarliga intrång och förlust av känsliga data. Företaget har anmälningsplikt (72 h) för allvarliga händelser där enskilda förlorar kontrollen över sina uppgifter eller att deras rättigheter inskränks. Datainspektionen beslutar sedan om vilka åtgärder och eventuella sanktioner som ska vidtas.
Dataskydd – Hur ett företag hanterar personuppgifter på ett säkert sätt.
Dataskyddsförordningen GDPR – En ny lag om hantering av känsliga data, som träder i kraft 25 maj 2018, och ersätter Pul, personuppgiftslagen.
Dataskyddsombud eller datasäkerhetsansvarig –Rollen är att kontrollera att dataskyddsförordningen (GDPR) följs inom organisationen genom att till exempel utföra kontroller och informationsinsatser.
Dataskyddspolicy – Förklarar hur vi använder den information som du delar med oss för att vi ska kunna erbjuda pålitliga och excellenta tjänster samt ge dig en fantastisk upplevelse, genom att säkerställa att du förstår vilken information vi samlar in med din tillåtelse och vad vi gör – respektive inte gör – med den.
Kund eller uppdragsgivare – En person eller organisation som har beställt i vår webbshop, eller som vi träffat samarbetsavtal med, vunnit ramavtal hos, tecknat konsultavtal samt prenumererande på nyhetsbrev.
Partners – Personer eller organisationer som vi har affärsutbyte med exempelvis konsulter som tillsammans med Demokratikonsult utgör uppdragstagare eller leverantörer av till exempel e-tjänsterna Surveymonkey och Mailchimp. Vi undertecknar separata avtal med dessa partners för att skydda din integritet i enlighet med våra riktlinjer och GDPR.
Indata – Den data som företaget tillhandahålls.
Informationssäkerhet – De åtgärder som vidtas för att hindra att information läcker ut, förvanskas eller förstörs och för att informationen ska vara tillgänglig när den behövs. Informationen som ska skyddas kan vara tryckt på papper, vara lagrad elektroniskt, överföras med post eller med elektroniska hjälpmedel, visas på film eller yttras i en konversation.
Känslig data – Information som innehåller hälsoinformation, facklig tillhörighet, etniskt ursprung, bolagsinformation, information om projektdeltagandet eller annan information som kan röja Demokratikonsults sekretess gentemot uppdragsgivare eller bryter lagar och förordningar om personuppgifter.
Uppgiftsminimering – En princip inom GDPR som innebär att personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Det är inte tillåtet att samla in personuppgifter för obestämda framtida behov.
Utdata – Den data som företaget tillhandahåller.
Personuppgiftsansvarig – Demokratikonsult eller den organisation som bestämmer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till. Den som är personuppgiftsansvarig kan överlåta den faktiska behandlingen av personuppgifter men personuppgiftsansvaret kan aldrig överlåtas.
Personuppgiftsbiträde – Personuppgiftsbiträde är den som behandlar personuppgifter för en personuppgiftsansvarigs räkning. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvariges organisation. De biträden som den personuppgiftsansvarige anlitar ska kunna ge tillräckliga garantier för att behandlingen uppfyller kraven i dataskyddsförordningen och säkerställer att den registrerades rättigheter skyddas.
Personuppgiftsincident – En säkerhetsincident som kan leda till fysisk, materiell eller immateriell skada, såsom förlust av kontrollen över de egna personuppgifterna eller till begränsning av deras rättigheter, diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, obehörigt hävande av pseudonymisering, skadat anseende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, eller till annan ekonomisk eller social nackdel för den berörda fysiska personen.
Personuppgiftslagen (Pul) – Lagen om hantering av personuppgifter. Lagen byts ut 25 maj 2018 till en mer omfattande lag som gäller för hela Europeiska Unionen Dataskyddsförordningen (GDPR).
Systemrapporter – De e-tjänster som Demokratikonsult
Webbplatser – Webbplatsen, webbsidor, interaktiva funktioner, applikationer, widgets, bloggar, sociala medier, flikar eller annat innehåll på nätet eller mobil som länkar till information från Demokratikonsult.
Ändamålsbegränsning – Personuppgifter får bara behandlas för specifikt angivna ändamål som den registrerade har informerats om.
2. Bakgrund
Demokratikonsult samlar in och bearbetar information med förutbestämda ändamål.
2.1 Indata
Demokratikonsult får information tillhanda genom följande kanaler:
– Muntligt via konversationer, i telefon, workshops eller seminarier
– Fysisk dokumentation från uppdragsgivare och kunder eller partners
– Elektroniskt; arkiverat i moln, skicka via e-post eller användning av annat hjälpmedel så som exempelvis Mailchimp, Surveymonkey, diktafon
– Data från Kakor eller andra automatiskt lämnade uppgifter på Demokratikonsults webbplatser
2.2 Utdata
Demokratikonsult tillhandahåller endast personuppgifter i förutbestämda ändamål och använder endast personuppgifterna i enighet med uppdragsbeskrivningen eller syftet vid inhämtning av data. Förutbestämt kan uppgifterna spridas vidare i följande kanaler:
– Tryckt på papper eller i anteckningar
– Elektroniskt; arkiverat i moln, skicka via e-post eller användning av annat hjälpmedel så som exempelvis Mailchimp, Surveymonkey
– Rapporter och dokument med formaten Excel, Word, PowerPoint och PDF tillfälligt på hårddisk eller i moln
– I konversationer, telefon, workshops eller seminarier
2.3 Aktuella webbplatser
Vårt dataskydd och Dataskyddspolicy gäller följande webbplatser:
Och andra webbplatser som innehåller online-innehåll som visas på en dator, smartphone eller annan typ av enhet eller på annat sätt länkar till information från Demokratikonsult.
3. Datasäkerhetsförordningen
Den stora skillnaden jämfört med Pul är att GDPR innebär att ett företag inte kan äga en uppgift om en person, utan bara låna den.
I den nya förordningen finns något som kallas ”privacy by default” vilket i betyder att vi måste känna all vår data, och de system som hanterar informationen. GDPR är inte något som Demokratikonsult lägger över på en IT-leverantör. Demokratikonsult tillämpar nedan policy för att säkerställa att GDPR efterlevs.
3.1 Överträdelser
Överträdelser av dataskyddsförordningen kan leda till skadeståndskrav – Att inte uppfylla kraven avseende till exempel informationssäkerhet eller upprättande av avtal med personuppgiftsbiträden kan ge sanktioner på upp till två procent av företagets omsättning. Att inte uppfylla kraven på till exempel laglighet, ändamålsbegränsning och uppgiftsminimering kan ge sanktioner på upp till fyra procent av omsättningen. Sanktionsmekanismerna i dataskyddsförordningen är skrivna så att de gynnar ett proaktivt beteende. Ju mer omfattande åtgärder ett företag har vidtagit för att skydda de registrerades rättigheter, desto lägre kommer sanktionsavgifterna att bli om överträdelser trots allt sker.
4. Dataskyddspolicyn
Policyn behandlar rutiner för hur alla som arbetar på uppdrag av Demokratikonsult på ett säkert sätt hanterar känsliga data. Policyn inventerar syftet med datalagringen och redogör för vilken data som Demokratikonsult ska vidta åtgärder och hantera risker. Välkommen att maila oss kring vår policy (erika@demokratikonsult.se).
ü Demokratikonsult samlar endast in data från personer och individer som har erhållit information om att de kan komma att kontaktas.
ü Individer som givit sitt godkännande har fått korrekt information och har givits förutsättning att ha realistiska förväntningar.
ü Demokratikonsult samlar endast relevant data och kan alltid motivera anledningen bakom insamlingen.
ü Demokratikonsult systemrapporterar automatiskt alla integritetsincidenter till Demokratikonsults styrelse, IT-ansvarig eller VD, sparar back-uper, rensar data kontinuerligt och löpande för att på detta sätt hålla data säker, aktuell och relevant.
ü Där Demokratikonsult anlitar en leverantör av för exempelvis molntjänster eller något annat företag som behandlar personuppgifter för företagets räkning så har de båda företagen ett skriftligt personuppgiftsbiträdesavtal.
ü Demokratikonsults styrelse är högst ansvarig och VD operativt ansvarig (om ingen annan bestämd person) med behörighet för hanteringen av känsliga data och individernas krav på hanteringen av densamme.
ü Demokratikonsult garanterar individer rätt att få sina uppgifter raderade eller uppgifter på individen sammanställda, och hanterar eventuella krav senast 30 dagar efter kravet inkommit till Demokratikonsult.
ü Demokratikonsult har klart syfte till lagring av personuppgifter och känner väl till risker och relevanta säkerhetsåtgärder, så som vilka eventuella dataintrång som ska rapporteras till berörda och Datainspektionen.
ü Demokratikonsults datorer och databaser är krypterade och väl skyddade med tvåfaktor autentisering samt med starka lösenord och som byts ut regelbundet.
ü VD är operativt ansvarig för att det finns riktlinjer och relevant information till berörda samt kontaktuppgifter till ansvariga.
ü Demokratikonsult informerar alltid individen om hur data kommer att hanteras och om svaren kommer att vara anonyma.
ü Demokratikonsult har strikta rutiner för hur inaktuella data ska kasseras och hålla hög säkerhet även när data blivit inaktuell. Datalagar begränsar Demokratikonsults möjligheter att bevara data för Demokratikonsult kan inte äga uppgifterna om en person, utan bara låna dem.
ü Demokratikonsults Dataskyddspolicy ska ses över årligen av VD som rapporterar till styrelse och informerar konsulter och underkonsulter, leverantörer och andra berörda vilken policy de berörs.
4.1 Ändringar
Vi kan ändra innehållet i denna Dataskyddspolicy när som helst. Den senaste versionen anges med versionsnumret och det datum som finns längst upp i denna Dataskyddspolicy. Alla uppdateringar och ändringar träder i kraft omedelbart. Vi kommer att publicera en reviderad version på våra webbplatser och inkludera en länk till vår Dataskyddspolicy i sidfoten av våra nyhetsbrev eller meddela ändringarna på annat sätt.
Vi rekommenderar årligen att gå igenom denna Dataskyddspolicy för att hålla er uppdaterade om eventuella förändringar som kan vara relevanta för er.
Kopior av denna Dataskyddspolicy – och tidigare versioner sparas elektroniskt.
5. Ansvar
Denna Dataskyddspolicy har företräde och avser – och respekterar – all information som vi samlat in eller samlar. Om tillämpligt använder vi separata användarvillkor för vilka vi alltid kommer att fråga separat, medvetet tillstånd.
Konsulter, underkonsulter, IT-ansvarig, systemleverantör, eventuella jurister samt applikationsägare ska alla efterleva lagen om säker lagring av personuppgifter, GDPR och därmed Demokratikonsults policy.
Årligen genomför Demokratikonsult en intern revision för att säkerställa att policyn efterlevs med hjälp av checklistan nedan, och rapporterar samtliga eventuella avvikelser till bolagsstyrelsen, snarast möjliga dock senast 72 timmar efter att felet upptäckts. Incidenter av allvarligare karaktär rapporteras även till Datainspektionen inom samma tidsram.
VD är högst ansvarig för årlig övervakning och implementering av riskhantering som krävs av lagen om hantering av känsliga data (GDPR).
5.1 Frågor och/eller avanmäla eller radera uppgifter
Om du vill avsluta prenumerationen från våra e-postmeddelanden kan du när som helst klicka på länken för borttagning längst ner i någon av våra e-postmeddelanden (Mailchimp). Om du har några frågor, kommentarer och / eller klagomål eller om du vill uppdatera, ta bort eller ändra din personliga information, vänligen kontakta oss. Detsamma gäller om du har några frågor om hur vi hanterar frågor som rör integritet. Mejla oss i så fall på erika@demokratikonsult.se.
5.2 Datasäkerhetsansvarig, personuppgiftsansvarig
Personer som berörs kan kontakta erika@demokratikonsult.se om frågor som rör behandling av informationen hos den berörda personen och utöva sina rättigheter enligt GDPR.
6. Information som vi samlar in
6.1 Frivillig information
Information som du frivilligt tillhandahåller till oss är när du använder vår plattform, placera en e-handelsorder, registrerar dig för nyhetsbrev, händelser eller andra tjänster, när du kontaktar vår kundservice, skickar oss ett mail, svarar på ett blogginlägg, startar en chat, integrerar med vår tjänst via en annan webbplats eller tjänst eller kommunicerar med oss på något annat sätt, ger du frivilligt information till oss, som vi samlar in.
Beroende på var och för vilket ändamål du anger den här informationen innehåller den: ditt namn, adress, personlig information, allmän information om din organisation och position, användardata, betalningsinformation och information om dina intressen / livsstilsegenskaper. Genom att tillhandahålla denna information till oss godkänner du att vi samlar, använder och lagrar denna information för det aktuella ändamålet under en relevant tidsperiod.
6.2 Automatisk information
Information som vi samlar in automatiskt är om du är klient, användare av vår e-handelsplattform, om du anmält dig till nyhetsbrev, evenemang eller andra tjänster eller besöker våra webbplatser samlar vi information från dig. Beroende på hur du kontaktar oss innehåller den här informationen din IP-adress, ditt operativsystem, ditt webbläsar-ID, din webbläsaraktivitet och annan information som gäller ditt besök på vår hemsida. Vi kan samla in denna information som en del av våra loggfiler, men också genom användning av kakor eller annan spårningsteknik. För mer detaljerad information, se vår kakpolicy nedan.
6.3 Personlig information
Personlig information som vi mottar för att skicka information är när en klient är en social media eller när en webbplatsbesökare använder ”delafunktioner” -alternativet tillåter vi att besökaren/webbplatsen besöker vårt e-post- och / eller webbinnehåll med den person vars personliga information kunden / webbplatsens besökare angav. Vi använder endast denna information en gång för att skicka den begärda informationen.
6.4 Andra källor
Information från andra källor kan vara genom tillhandahållen information från uppdragsgivare eller tredje part insamlad information om dig, ditt företag eller projekt, din organisation eller team, t.ex. namn, e-postadresser, demografisk information, projektinformation, IP-adresser, kommun, plats, annan kvalitativ eller kvantitativ information som är relevant för det uppdrag som Demokratikonsult är konsult i, uppdragstagare till, arbets- eller uppdragsgivare för.
7. Behandling av information
Vi behandlar personuppgifter för följande ändamål och lagrar inte denna information längre än vad som behövs. Om du vill veta mer om din personliga information, var god kontakta oss via erika@demokratikonsult.se.
7.1 Juridiska skyldigheter
Ett antal av våra bearbetningsaktiviteter genomförs eftersom vi är lagligen skyldiga att göra det. Det gäller främst personlig information som vi behöver för att uppfylla vår skattskyldighet genom vår bokföringslag. Vi kan också behandla personlig information i händelse av rättslig skyldighet.
7.2 Genomförande av kontrakt med våra kunder
Vi registrerar vilka organisationer som besöker / använder vår plattform tillsammans med deras relevanta kontakter. Vi behandlar personuppgifterna för dessa kontakter för att uppfylla våra avtalsförpliktelser.
7.3 Försäljnings- och marknadsföringsändamål
I ett syfte till ökat affärsutbyte kan Demokratikonsult använda personlig information för att skicka kontakter email, textmeddelanden eller kontakta dem via telefon. Vi släpper dock inte ut personlig information till tredje part, om du inte ger oss otvetydigt tillstånd att göra det.
7.4 Förbättra våra tjänster
Vi strävar efter att erbjuda användarna av vår plattform, kunder, uppdragsgivare och besökare på våra webbplatser och / eller abonnenter omfamnas av optimal användarvänlighet och högsta servicekvalitet.
8. Rätten till den berörda personen
Enligt GDPR har varje person (den berörda personen) vars uppgifter behandlas ett antal rättigheter. Vi gör vårt bästa för att alltid uppfylla dessa krav. Om ni har några tips eller kommentarer, var vänlig och låt oss veta! För att utöva era rättigheter välkomnas ni att kontakta oss via erika@demokratikonsult.se.
8.1 Information och insikt
Det är självklart att du kan få insikt i vilken personlig information som ni behandlar.
8.2 Rättelse
Om ni tror att informationen vi har på dig är felaktig, vänligen låt oss veta så att vi kan uppdatera den.
8.3 Rätt att bli bortglömd
Ni kan be oss att tillfälligt eller permanent radera er personliga information. Vi kan fortfarande behöva er information för andra (t.ex. administrativa eller rättsliga) ändamål.
8.4 Begränsning
Om ni tror att vi olagligt eller felaktigt behandlar er känsliga data, kan ni begränsa behandlingen av er information genom att åberopa er rätt inom GDPR.
8.5 Invändning
Ni kan invända skriftligen (via e-post eller vanlig post) till behandlingen av er känsliga data. Vi kommer att behandla din förfrågan försiktigt och komma tillbaka till dig så snart som möjligt.
8.6 Dataskyddsmyndigheten
Vi skulle gärna hjälpa till om ni har några synpunkter om hanteringen av er känsliga data. Välkommen att mail erika@demokratikonsult.se. Säkerhetslagstiftningen ger er även rätt att lämna in ditt klagomål till Datainspektionen enligt riktlinjerna för detta. Demokratikonsult rapporterar själva in incidenter som är av allvarligare karaktär inom 72 h efter att incidenten upptäckts. Hur du anmäler en incident till Datainspektionen finner du här.
9. Kakor och spårning
9.1 Syfte
Demokratikonsult kan använda kakor för att förbättra våra tjänster, optimera prestanda för våra webbplatser och användaroptimera vår marknadsföring.
9.2 Vad är kakor?
Kakor är små textfiler som placeras på en dator, surfplatta eller smartphone under ett besök på en webbplats.
9.3 Olika typer av kakor
Det finns fyra typer av kakor som används på hemsidan. Dessa kakor är väsentliga för att hemsidan ska fungera bra. De låter dig navigera våra webbplatser och utnyttja de funktioner vi erbjuder. Dessa kakor identifierar inte användare som enskilda personer. Att inte acceptera dessa kakor kan påverka vår plattforms prestanda eller (delar av) våra webbplatser.
9.4 Funktioner med kakor
Med dessa kakor kan våra webbplatser komma ihåg de val du gjorde under ditt besök (t.ex. ditt användarnamn eller språkinställningar) för att ge en mer personlig online-upplevelse. De kan också låta dig visa videoklipp, spela spel och använda sociala verktyg som bloggar och chattrum. Informationen som samlas in av dessa kakor kan innehålla information som du angav och som kan identifiera dig som en person, t.ex. ditt användarnamn. Vi kommer alltid att vara öppna om vilken information vi samlar, vad vi gör med det och vilka vi delar med (om tillämpligt). Att inte acceptera dessa kakor kan påverka prestanda och funktionalitet på vår plattform eller våra webbplatser och det kan begränsa din tillgång till innehållet på vår plattform eller våra webbplatser.
9.5 Prestanda med kakor
Dessa kakor hjälper oss att få insikt i hur besökare använder våra webbplatser genom att ge information om de områden de besökte, den tid de spenderade på vår hemsida och eventuella problem som de stötte på under vägen, t.ex. fel. Detta hjälper oss att förbättra prestanda på våra webbplatser. Dessa kakor identifierar dig inte som en person. Alla data är anonymiserade och aggregerade.
9.6 Riktning / annonser med kakor
Dessa kakor spårar dig under en längre tid samt på flera webbplatser vilket gör att en profil kartläggs. Detta kan användas för att segmentera dig baserat på dina specifika intressen. Dessa kakor används ofta för att skicka mer personliga e-postmeddelanden och visa mer relevanta annonser online. Ett annonsnätverk placerar en eller flera kakor på din dator eller andra besökare på webbplatsen via en tredje parts webbplats. Nätverket kan komma åt dessa kakor när du besöker webbplatser som ingår i detta annonsnätverk. De flesta av dessa kakor kan spåra konsumenterna via deras IP-adress, så de kan samla information som kan identifiera dig som en person.
De olika typerna av kakor kan bestå av ”sessionskakor” och ”långvariga kakor”. Sessionskakor är tillfälliga kakor som lagras på din dator / enhet tills du lämnar vår hemsida. En långvarig kaka kommer att lagras på din dator under mycket längre tid eller tills den tas bort manuellt (hur länge kakorna lagras på enheten beror på ”livslängd” för den specifika kakan och dina webbläsarinställningar).
9.7 Radering av kakor
Det enklaste sättet att ta bort dina kakor är via dina webbläsarinställningar. Om du vill välja bort ”intressebaserade annonser”, besök http://www.youronlinechoices.eu/ för att göra dina inställningar. Notera Observera att du fortfarande kan få generiska annonser. Om du använder flera enheter för att besöka www.demokratikonsult.se (t.ex. din dator, smartphone, surfplatta etc.) måste du se till att varje enhetens webbläsarinställningar är anpassade så att de passar dina cookiepreferenser.
10. Identifiering av risker
Ses över varje år av IT-ansvarig, VD eller annan av bolagsstyrelsen utsedd. Riskerna är identifierade genom en inventering av kanaler för in-, lagring- respektive utdata, vilka alla värderats utifrån risk och konsekvens och satts ihop med relevanta proaktiva åtgärder, samt rutiner för eventuella läckor och uppföljning samt namn på ansvarig. Risk och sårbarhetsanalysen går igenom processerna i verksamheten för att identifiera och minimera riskerna med personuppgiftshanteringen.
10.1 Riskanalys
Här följer en riskanalys med proaktiva åtgärder för aktuellt kalenderår:
Demokratikonsult analyserar Dataskyddsrisker 2018 | ||||||
Indata |
Data sparad |
Utdata |
Risker |
Åtgärder |
Ansvarig (a) |
Riskvärde |
Webbsidor
· Frivilligt lämnad information · Automatiskt inhämtad information | · E-handels-system, elektroniska tjänster/verktyg
· Hårddisk eller fysiska enheter (endast tillfällig lagring) · E-tjänster/e-verktyg, inklusive molntjänst och email · Kakor | · Tryckt på papper eller i anteckningar
· Elektroniskt; arkiverat i moln, skicka via e-post eller användning av annat hjälpmedel så som exempelvis Mailchimp, Surveymonkey · Rapporter och dokument med formaten Excel, Word, PowerPoint och PDF tillfälligt på hårddisk eller i moln · I konvers-ationer, telefon, workshops eller seminarier | 1. Hårddisk / fysiska enheter eller anteckningsblock blir stulna
2. Intrång i mjukvara 3. Demokratikonsult misslyckas att uppfylla rätten till 100% åt en person som utövar GDPR 4. Långtidsfrånvaro/ personalomsättning | Lösenord med mycket hög säkerhet.
Lösenord är unika och byts med jämna mellanrum. Anställda, underkonsulter, leverantörer har erhållit denna rutinbeskrivning skriftligen. Demokratikonsult har ett stängt nätverk för alla anställda och konsulter samt ett gästnätverk för utomstående att använda. Demokratikonsult har endast leverantörer med hög säkerhet och ett Personuppgiftsbiträdesavtal. Demokratikonsult genomför regelbundet backuper på lagrad data enligt gällande rutiner. Demokratikonsult hanterar dokumentation i fysisk form enligt rutiner för detta. Demokratikonsult arkiverar äldre dokumentation enligt rutiner och nedan checklista som kvalitetssäkrar. Alla hårddiskar ska innehålla arbete som varit eller är aktuella under de senaste kvartal. Hårddiskarna används inte som arkiv utan alla data äldre än tre månader ska laddas upp på ett moln med två faktors autentisering. Data äldre än sju år kasseras eller arkiveras enligt rutiner för detta, mailkonversationer och personlig data raderas efter sju år i enighet med bokföringslagen. Demokrati-konsults personuppgifts-ansvarig mailar kvartalsvisa påminnelser till samtliga konsulter och anställda att arkivera äldre data från hårddiskarna upp till molnlösningen samt ändra lösenordet. I varje utgående mail står en fotnot om att e-postmeddelandet innehåller konfidentiell information. Demokratikonsulter arbetar två i fält för att säkerställa lärandet och minimera risker med personalomsättning eller frånvaro. | 1. Varje konsult/anställd enligt policy och rutin
2. Tjänste-leverantörer, den i styrelsen som köper in tjänsten 3. Person-uppgiftsansvarig uppdaterar årligen vid årsskiftet och ansvarar för indata från senaste sjuårsperioden med start 2018-05-25. Data inhämtad tidigare är VD ansvarig. 4. VD, styrelse, avtal, varje anställd och konsult enligt rutiner. | 1. 10
2. 15 3. 10 4. 6 |
11. Systemskiss
Indata | Sparat | Utdata |
Muntligt, frivillig info med förutbestämt syfte | E-leverantör, anteckningar, hårddisk, diktafon | E-leverantör, rapporter, muntligt, arkivering i moln enligt rutiner |
Fysisk dokumentation, frivillig information med förutbestämt syfte | Utskrivna dokument, anteckningsblock, dokumentation i pärmar som står på kontoret (<1 år) och arkiveras till moln <7år | Fysiskt enligt uppdragsbeskrivning, e-tjänster enligt rutiner |
Elektronisk frivillig information med förutbestämt syfte | Mailserver, server, hårddisk, e-tjänsteverktyg, leverantörer | Mailkonversationer för att uppfylla avtal och uppdrags-beskrivning, moln-arkiveras enligt rutin, e-tjänster med personuppgifts-biträdesavtal |
Automatisk information | Systemleverantör, google, e-tjänster, webbläsare | Ev. nyhetsbrev eller utskick med relevans, formulerar förbättringsåtgärder, e-tjänster med personuppgifts-biträdesavtal |
12. Det kontinuerliga förbättringsarbetet
Arbetet med dataskyddsförordningen är ett pågående arbete även efter förordningen träder i kraft den 25 maj 2018. Mycket arbete handlar då om att följa de nya rutinerna, policyers samt uppföljning av densamme.
12.1 Checklista för intern årlig revision
o Demokratikonsult Dataskyddspolicy är uppdaterad efter gällande lagar
o Demokratikonsult har en datasäkerhetsansvarig samt personuppgiftsansvarig med tydliga kontaktvägar till dessa
o Demokratikonsult emotser kontinuerligt systemrapporter med integritetsincidenter
o Demokratikonsult har ett aktuellt skydd mot virus och dataintrång
o Demokratikonsult arkiverar och säkerhetskopierar dokumentation och mailservrar löpande, minst en gång årligen
o Demokratikonsult skickar årligen ut vad GDPR innebär samt om någonting har förändrats under året
o Demokratikonsult lagrar alla data på moln-tjänsten och endast aktuell dokumentation för aktuella uppdrag finns nedladdade på fysiska hårddiskar, lagringsenheter
o Demokratikonsult använder sig av en säker moln-lösning med två-faktors autentisering och dubbel säkerhetskopiering
o Alla anställda och konsulter under Demokratikonsult genomför kvartalsvis inventering av lagring i fysiska enheter, personuppgiftsansvarig skickar ut påminnelser mail-ledes 1 feb, 1 maj, 1 aug, 1 nov att konsulter och anställda ska byta lösenord samt arkivera inaktuell data från sin hårddisk till molnet.
o Demokratikonsult kasserar inaktuell dokumentation i fysisk form sker med dokumentförstörare eller med inköpt tjänst med sekretesskärl
o Demokratikonsults tredjepartsavtal innehåller ett skriftligt personuppgiftsbiträdesavtal med krav på att leverantörernas system klarar kraven i linje med datasäkerhetsförordningen. Om leverantören inte kan garantera att GDPR efterlevs så säger Demokratikonsult upp avtalet med denne snarast möjliga.
o Demokratikonsult rapporterar om eventuella dataintrång, ändringar i GDPR, genomförda revisioner, synpunkter från användare, eventuella åtgärder eller krav i verksamhetsberättelsen samt till de berörda inom 72 h efter att avvikelsen upptäckts
o Demokratikonsults anställda och konsulter känner väl till aktuella rutiner för säker hantering av data
o Demokratikonsult erbjuder gäster tillgång till ett gästnätverk utanför det interna nätverket
o Demokratikonsults riskanalys är aktuell och relevant med proportionerliga åtgärder
o Demokratikonsults utgående mail har en fotnot om att e-postmeddelandet innehåller konfidentiell information
o Demokratikonsult har den senaste versionen av dataskyddspolicyn tillgänglig på hemsidan.
13. Policyändringar
OBS Demokratikonsult har rätt att ändra denna Dataskyddspolicy. Eventuella ändringar meddelas längst ner i föreliggande dokument.
Ägare: Demokratikonsult Sverige AB
Tillgänglig för: Senast version av policyn har skickats till respektive konsult och uppdragsgivare samt finns tillgänglig via länk på hemsidan.
VD på Demokratikonsult intygar härmed att versionen är kontrollerad med datum och signatur:
Datum Sign
________________ ______________________________
Redigeringshistorik:
Datum för ändring | Beskrivning | Författare |
2018-01-10 | Författande av dok | Erika Brandt |
2018-05-25 | Giltig version | EB |
Redigeringshistorik:
Datum för ändring | Beskrivning | Författare |
2018-01-10 | Författande av dok | Erika Brandt |
2018-05-25 | Giltig version | EB |