Sumamas integritets- och informationssäkerhetspolicy
​
INLEDNING
Vi på Sumama respekterar våra kunders, partners och anställdas integritet. I denna integritets- och informationssäkerhetspolicy beskrivs hur Sumama samlar in, använder och behandlar olika personuppgifter samt säkerställer skyddet av den personliga integriteten. Policyn fastställer de principer, ansvar, skyldigheter, rutiner samt uppföljnings- och kontrollåtgärder som företaget tillämpar i genomförandet och utvecklingen av integritets- och informationssäkerheten. Denna policy kompletteras av mer detaljerade bestämmelser och anvisningar.
​
Företagets register innehåller information om kunder, anställda och verksamheten, som enligt lag ska skyddas. Behandlingen av personuppgifter regleras av EU:s dataskyddsförordning (GDPR) samt tillämplig nationell lagstiftning. Denna policy, som har godkänts och fastställts av Sumamas ledning, omfattar alla uppgifter om informationshantering som är relaterade till företagets verksamhet. Varje anställd och användare av företagets informationssystem är skyldig att känna till denna policy och följa de anvisningar och föreskrifter som grundar sig på den.
​
Externa aktörer och andra utomstående som samarbetar med Sumama ska också åta sig att följa lagstiftningen, denna integritets- och informationssäkerhetspolicy samt relevanta anvisningar, som ett villkor för tillgång till företagets informationssystem och datamaterial. När företaget agerar som personuppgiftsansvarig krävs att leverantörer undertecknar ett separat personuppgiftsbiträdesavtal (eller bilaga). Personer som behandlar uppgifter förutsätts underteckna en sekretessförbindelse. När företaget agerar som personuppgiftsbiträde ingås ett särskilt avtal om behandlingen av personuppgifter.
​
Med dataskydd avses skyddet av den personliga integriteten vid behandling av personuppgifter. Ett godkänt integritets- och informationssäkerhetsskydd ska vara en naturlig del av all verksamhet. Att utveckla och upprätthålla integritets- och informationssäkerheten är en del av företagets allmänna säkerhetsarbete, riskhantering och intern kontroll.
​
INTEGRITETS- OCH INFORMATIONSSÄKERHETSARBETE
​
Målet med integritets- och informationssäkerhetsarbetet är att säkerställa en laglig behandling av personuppgifter, trygga företagets informationssystems och nätverks kontinuerliga funktion, förhindra säkerhetsöverträdelser och obehörig åtkomst och/eller användning, förhindra oavsiktlig eller avsiktlig förstörelse eller förvanskning av uppgifter samt minimera uppkomna skador. Dessutom ska företaget vara förberett på hot som kan avbryta verksamheten och kunna hantera dessa.
​
ORGANISATION OCH ANSVAR
​
Integritets- och informationssäkerheten leds och övervakas av företagets direktör. Direktören beslutar om mål, organisering, resurser och befogenheter för utvecklingen av företagets totala säkerhet. Direktören utser också ett dataskyddsombud.
Dataskyddsombudet ansvarar för de uppgifter som fastställs i EU:s dataskyddsförordning och nationell lagstiftning. Informationssäkerhetsansvarig ansvarar för företagets samlade informationssäkerhetsarbete inom ramen för tilldelade resurser och befogenheter. Han eller hon ansvarar även för kommunikationen kring informationssäkerhetsfrågor.
Informationssäkerhetsansvariges uppgifter är bland annat:
-
definiera, bedöma och rapportera informationssäkerheten,
-
utarbeta och övervaka genomförandet av utvecklingsplaner för informationssäkerheten,
-
främja kunskap om informationssäkerhet,
-
säkerställa ett informationssäkert arbetssätt i företaget och i köpta tjänster,
-
samt ansvara för hårdvaru- och programvarusäkerhet samt personalsäkerhet kopplat till informationssäkerheten.
Varje personuppgiftsregister har en ansvarig person med ansvar definierade i EU:s dataskyddsförordning och nationell lag. Varje informationssystem har en ansvarig person, vars uppgifter är att definiera säkerhetskrav, kontinuitetsplaner och rutiner för säkerhetskopiering, samt hantera och övervaka behörigheter.
Alla anställda, personer som hanterar uppgifter eller underhåller informationssystem och nätverk, är ansvariga för att genomföra och följa integritets- och informationssäkerhetsprinciperna. Alla är skyldiga att rapportera hot eller avvikelser till dataskydds- eller informationssäkerhetsombudet.
​
GENOMFÖRANDE
​
Grunden för genomförandet är denna skriftliga policy, som alla anställda och systemanvändare får ta del av. Företagets integritets- och informationssäkerhetsprinciper baseras på EU:s dataskyddsförordning och nationell lag. Implementeringen beskrivs närmare i separata anvisningar, och arbetet är en kontinuerlig process.
Användarna styrs av fastställda och tillgängliga anvisningar samt genom utbildning i integritet och informationssäkerhet.
​
UPPFÖLJNING OCH KONTROLL
​
Företagsledningen och ansvariga personer ska övervaka att integritets- och informationssäkerheten efterlevs. Informationssäkerhetsansvarig övervakar och följer upp säkerhetsarbetet och vidtar vid behov åtgärder för att förbättra informationssäkerheten.
​
INSAMLING AV UPPGIFTER, KÄLLOR OCH REGISTER
​
Metoder för insamling, källor och kategorier av registrerade uppgifter beskrivs separat i respektive registerförteckning.
​
UTLÄMNANDE AV UPPGIFTER OCH TRANSPARENS
​
Utlämnande av uppgifter samt transparens gentemot registrerade beskrivs i respektive registerförteckning.
​
SAMARBETE MED INTRESSENTER OCH MYNDIGHETER
​
Företaget samarbetar med olika intressenter och myndigheter enligt EU:s dataskyddsförordning, nationell lag och särskild lagstiftning.
​
INTERNATIONELLA ÖVERFÖRINGAR
​
Företaget överför inte personuppgifter utanför EU utan giltig anledning, den registrerades samtycke och efter att ha kontrollerat mottagarens säkerhetsrutiner.
​
TILLSYNSMYNDIGHET
​
Dataskyddsombudsmannen är den myndighet som vägleder, ger råd och övervakar behandlingen av personuppgifter enligt dataskyddslagen. Dataskyddsombudsmannen utövar beslutanderätt i frågor om insyn, rättelse och lagligheten i registerföringen samt i frågor som rör registrerades rättigheter.
​
UPPDATERING AV PRINCIPER
​
Denna policy speglar vår nuvarande praxis. Vi uppdaterar principerna regelbundet och minst en gång per år.