Dataskydds- och IT-policy

Teamledarna & Co AB (Teamledarna)
Org.nr: 556356-3286
Adress Kronobergsgatan 27, 112 33 Stockholm

Ansvarig för dataskyddsfrågor: Anders Gustafson, VD
E-post: anders.gustafson@teamledarna.se
Tel: 08-545 725 04

Version 1.0
7 maj 2018

Förord

Detta dokument är särskilt skapat för fullgörande av Dataskyddsförordningen (även kallat GDPR) som trädde i kraft den 25 maj 2018

Teamledarna har under åren gjort det yttersta för att behandla personuppgifter med största försiktighet och respekt och skall fortsätta med det även under kommande regelverk. Teamledarna skall följa Dataskyddsförordningen, andra regler och den sedvänja samt praxis som kan anses gälla för ett företag av vårt slag.

Denna policy innehåller dels Teamledarnas inställning till skyddet av personuppgifter och dels diverse handlingsregler för vår verksamhet. Policyn riktar sig företagets styrelsen, anställda , underleverantörer och företag med vilka Teamledarna har avtal och anställda på dessa bolag.

Policyn skall löpande uppdateras efter behov beroende på hur Teamledarnas verksamhet utvecklas, förändringar i kundföretag och andra registrerades intressen och beroende på hur lagar, föreskrifter, andra regler, sedvänja samt praxis ändras.

Teamledarna har under det senaste året arbetat med att förbereda sig för Dataskyddsförordningen. Detta har skett genom utbildning av personal, inventering av register, förstörande av personuppgifter som inte längre behövs (såväl i pappersform som på data), genomgång av avtal och ändring av dessa där det behövts, för skapande av denna dataskydds- och IT-policy mm.

I detta dokument använder vi normalt ordet Dataskyddsförordningen och inte GDPR.

Teamledarna är nu förberedda för Dataskyddsförordningen på det sätt som krävs av ett företag av vårt slag.

Anders Gustafson, VD
Stockholm den 7 maj 2018

1. Om de personuppgifter som Teamledarna behandlar

1.1 Registrerade personer

De personuppgifter Teamledarna behandlar rör i huvudsak personer som är anställda eller har varit anställda på kundföretag med avtal hos Teamledarna. Det kan vara fråga om följande personer; – person som är eller tidigare har varit anställda, på bolag som har eller tidigare har haft avtal med Teamledarna. Personer till vilka Teamledarna förmedlat försäkring. När vi i denna policy skriver ordet försäkrade avser vi de slags personer som nämns i ovan.

Teamledarnas personal kan i dator, mobil, andra tekniska hjälpmedel, utskrifter, andra papper och anteckningar ha personuppgifter på affärskontakter, vänner och anhöriga och andra personer som de behöver ha kontakt med i sin verksamhet inom Teamledarna och för sitt privatliv.

Teamledarna behandlar endast personuppgifter på personer inom kretsarna nämnda i föregående stycken ovan och på personer som är eller har varit anställda hos Teamledarna. Samtliga dessa personer kallas i Dataskyddsförordningens terminologi för registrerad eller registrerade.

1.2 Vilka slags personuppgifter och vad har Teamledarna för grund för att behandla dessa?

I fråga om försäkrade är det normalt fråga om namn, personnummer, adress, arbetsgivare och andra uppgifter som typiskt sett behövs för bedrivande av företagets verksamhet, fakturering mm.

Teamledarna har laglig grund för behandlingen, bland annat eftersom Teamledarna behöver uppgifterna för att kunna hantera ett register över försäkrade, uppdatera uppgifter från försäkrade, som upphandlare av gruppförsäkring förse försäkringsgivare uppgifter om anslutna försäkrade. Teckna försäkring via Teamledarna är frivilligt, det föreligger avtalsliknande relation mellan försäkrade och Teamledarna, försäkring söks aktivt av försäkrade och såväl kommande som existerande försäkrade får information om hur personuppgiftsbehandlingen sker enligt lag och information om Teamledarna policy. Teamledarna upprättar alltid avtal.

Den typ av känslig personuppgift som Teamledarna kan komma att behandla är uppgift som rör försäkrads ekonomi, familjesituation och hälsa. Dessa kan uppkomma i samband med försäkringsansökan eller i samband med en rådgivningsdokumentation. I de fallen skall Teamledarna begära samtycke av personen. Om uppgifter av dylikt känsligt slag sänds via e-post skall det ske genom låsta e-postmeddelanden som kan öppnas via lösenord. Teamledarna skall förstöra uppgiften så snart uppgiften inte längre är nödvändig för ärendet. Om personen inte beviljar samtycke kan det innebära att Teamledarna inte kan behandla alla för ärendet nödvändiga uppgifter. Det kan leda till att Teamledarna inte kan ge råd och förmedla ansökan om försäkring för personen eller bolaget (om det är ett bolag som är föremål för ärende) vilket i sin tur kan leda till att Teamledarna inte kan ge rådgivning och i förlängningen inte kan fullgöra det uppdrag kunden avtalat med om.

1.3 Information till registrerade

Företag och försäkrade har via Teamledarnas rådgivardokumentation fått information om Teamledarnas personuppgiftsbehandling på det sätt som krävs enligt Personuppgiftslagen (PuL). Senast den 25 maj 2018 lämnas information enligt Dataskyddsförordningen på rådgivardokumentationen och Teamledarnas hemsida. Informationen innehåller bland annat de rättigheter en försäkrade har i fråga om information, möjligheten till rättelse av felaktig personuppgift mm. Beslut i viktiga frågor och ärenden som kommer från försäkrade eller andra registrerade skall VD förankra med Teamledarnas egen jurist eller med extern jurist. Det gäller till exempel begäran om rättelse av personuppgift eller begäran om radering av personuppgift

1.4 Mer om registren med personuppgifter

De personuppgifter Teamledarna har finns i olika register. Såväl i pappersform som på data. Teamledarna har en förteckning över samtliga register och var de finns. Varje register har regler för varför uppgiften behöver sparas innehållande en förklaring av ändamålet med behandlingar, hur länge uppgifter i registret skall sparas och att uppgift därefter skall förstöras. Den tid som uppgifter inom respektive register skall sparas beror dels på hur länge det krävs för försäkringsavtalet och bokföringslagen.
Teamledarna använder inte själva, och låter inte utomstående använda, personuppgifter insamlade av Teamledarna till marknadsföring för sådant som ligger utanför den verksamhet som företaget bedriver.
Inga personuppgifter lagras i annat land än Sverige.

De personuppgifter på affärskontakter, vänner och anhöriga med mera som Teamledarnas personal har i dator, mobil, andra tekniska hjälpmedel, i utskrifter, andra papper och anteckningar skall förstöras när de inte längre behövs.

2. Bolag, personal och andra som kan ta del av personuppgifter som Teamledarna behandlar

Teamledarna delar vissa personuppgifter med det helägda bolaget Teamledarna AB, 556595-8583. Endast för verksamheten nödvändiga uppgifter delas. Det kan vara fråga om administration av avgift, premie till försäkring och annat som rör Teamledarnas verksamhet. Teamledarna AB utför endast uppdrag åt Teamledarna. Teamledarna AB är personuppgiftsbiträde till Teamledarna och parterna har ingått ett personuppgiftsbiträdesavtal.

Teamledarna kan anlita externt företag för IT-stöd, bokföringsfirma, revisor och annat för sin verksamhet. Endast absolut nödvändiga personuppgifter delas med dessa. I samtliga dessa fall har Teamledarna ett personuppgiftsbiträdesavtal när så krävs enligt Dataskyddsförordningen.

På Teamledarnas kontor finns personal som tar del av personuppgifter. Dessa anställda kan även komma att utföra vissa uppgifter för Teamledarna AB. Därutöver kan Teamledarna komma att anställa extra personal från tid till annan. Samtliga anställda har endast tillgång till de personuppgifter som är nödvändiga för den anställdes arbete. VD skall tillse att personal har de instruktioner och den kunskap som krävs för att följa Dataskyddsförordningen och följa denna dataskydds- och IT-policy.

Teamledarnas styrelseledamöter kan i samband med behandling av försäkringsansökningar och i samband med rådgivning komma att ta del av personuppgifter. Samtliga styrelseledamöter får endast tillgång till absolut nödvändiga personuppgifter i respektive ärende och alla styrelseledamöter måste förstöra samtliga personuppgifter de fått från Teamledarna så snart ett ärende är avslutat.

I samband med upprättandet av nya avtal/försäkringsansökan sänder Teamledarna namn på sökanden och namn på sökandens arbetsgivare till en vid krets av personer inom försäkringsbranschen för eventuella försäkrings offerter. En slags upphandling. Teamledarna skall i samband med detta utskick begära att mottagaren förstör e-postmeddelande eller dokument med dessa namn efter det att offertens giltighetstid är slut.

Utöver det som anges ovan delar Teamledarna inga personuppgifter med något annat företag eller organisation, vare sig sådant som ägs av Teamledarna eller ej, eller någon annan person.

3. Inköp av IT-varor och IT-tjänster

Inköp av IT-varor och IT-tjänster skall göras med stor omsorg. Teamledarna skall vid behov ta hjälp av extern expertis för att kunna avgöra vad för slags inköp som är lämpliga. Vid köp av annat än enklare utrustning skall kontroll göras av att leverantören har god vandel och att leverantören har en dataskydds- och IT-policy som uppfyller alla gällande regler för dennes verksamhet och att denne intygar att policyn uppdateras och följs.

4. Löpande avtal angående IT-tjänster

Teamledarna använder extern leverantör för vissa IT-stöd. Externt stöd kan få insyn i personuppgifter.
Externt stöd kan dock aldrig få insyn i känsliga personuppgifter.
I de fall det krävs enligt Dataskyddsförordningen skall Teamledarna se till att det finns ett personuppgiftsbiträdesavtal mellan Teamledarna som personuppgiftsansvarig och extern IT-firma.
Avtal med externt företag skall löpande utvärderas i syfte att utröna om det finns nya eller ändrade risker i samband med att externt stöd får del av personuppgifter hos Teamledarna.

5. Användning av IT-system, datorer, mobiler och andra tekniska hjälpmedel samt andra ställen där personuppgifter kan finnas

Teamledarna skall för register innehållande personuppgifter ha säkra IT-system. För tillträde till system, datorer mm skall var och en av de som använder dessa behöva säkra lösenord för tillträde. Teamledarna skall i sina system ha uppdaterade skydd mot virus och andra säkerhetshot. VD skall tillse att det finns rutiner för säker lagring och back-up. VD har ansvar för att personal får instruktioner om vad som är lämpligt i fråga om uttalanden om Teamledarna och dess verksamhet i sociala medier eller andra medier. Teamledarna får aldrig omtala försäkrade utan deras samtycke i sociala medier eller andra medier.

En anställd får använda Teamledarnas dator och mobil även i privata angelägenheter så länge det inte påverkar den anställdes utförande av arbetet, så länge inga personuppgifter som Teamledarna ansvarar för används i privata sammanhang, så länge det inte är fråga om brottslig verksamhet och sådan aktivitet som kan anses vara omoralisk och som enligt arbetsrättslig praxis skulle kunna leda till varning, uppsägning eller avsked. Teamledarnas policy om ickediskriminering skall alltid följas.

En anställd får inte inneha några uppgifter om Teamledarnas verksamhet och dess försäkrade på någon privatägd dator, privat mobil eller annan privat elektronisk utrustning. När en anställd avslutar sin anställning skall dator, mobil och annan teknisk utrustning som ägs av Teamledarna återlämnas. Alla privata personuppgifter i denna utrustning skall kastas innan den återlämnas till Teamledarna.
Datorer och annan teknisk utrustning samt personuppgifter som finns i pappersform skall utanför kontorstid förvaras inom Teamledarnas låsta lokaler och inte förvaras i anställds bostad eller på annat ställe annat än då det behövs vid tillfälligt arbete utanför Teamledarnas lokal.

Om dator, mobil eller annan teknisk utrustning, innehållande personuppgifter som Teamledarna ansvarar för, tappas bort skall Teamledarna omedelbart vidtaga åtgärder för att minska risken för spridning av personuppgifter.

Teamledarna skall ha ett avtal om tillgång till omedelbar hjälp av expertis/kvalificerad IT-support om det kommer till Teamledarnas kännedom om att intrång sker eller har skett från utomstående i Teamledarnas register eller om det finns risk för läckage av personuppgifter på annat sätt.

6. Åtgärder vid brott mot Dataskyddsförordningen

Personal skall informera VD så snart ett brott mot Dataskyddsförordningen upptäcks, eller så snart det finns risk för att ett sådant skulle ske. VD skall skyndsamt behandla ärendet. Om personuppgifter inte behandlats på rätt sätt skall berörda personer, till exempel berörda försäkrade, informeras snarast när så krävs enligt Dataskyddsförordningen. VD skall snarast informera styrelsen och all den personal som kan beröras. VD skall i övrigt vidtaga alla nödvändiga åtgärder som behövs för att begränsa skadan och för att återställa verksamheten så att Dataskyddsförordningen och denna dataskydds- och IT-policy följs. VD skall, om så krävs enligt Dataskyddsförordningen, informera relevant myndighet på det sätt och inom de tider som krävs.

VD skall dokumentera vad som hänt, orsaken, hur det upptäcktes, hur det åtgärdades och vilka övriga åtgärder som vidtogs i saken. Förutom den första inledande informationen som VD skall lämna till styrelsen skall VD sedan presentera hela ärendet för styrelsen och redogöra för hur det kan undvikas i framtiden. VD skall i alla beslut och åtgärder av vikt som vidtas i samband med ett brott mot Dataskyddsförordningen förankra dessa med Teamledarnas egna jurist eller med extern jurist.

Om inte VD finns tillgänglig för att vidtaga ovan nämnda åtgärder skall VD se till att annan person på Teamledarnas kontor har instruktion om att vid dylika händelser snarast informera styrelsen. Styrelsen skall sedan utse person som för Teamledarnas räkning snarast vidtar de åtgärder VD skall vidtaga enligt ovan.

7. Dataskyddsombud (”Data Protection Officer / DPO”)

Efter genomgång av de regler som gäller för om en organisation skall utse en DPO eller ej så har Teamledarna kommit fram till att Teamledarna inte behöver utse en sådan. Företaget behandlar inte personuppgifter av sådant slag och i sådan utsträckning som gör att en DPO behöver utses.

8. Uppdatering av denna policy

VD skall minst en gång per år utvärdera om denna dataskydds- och IT-policy
behöver ändras. VD skall utreda och ändra text i policyn när så behövs beroende på hur företagets verksamhet utvecklas, förändringar i försäkrade och andra registrerades intressen
och beroende på hur lagar, föreskrifter, andra regler, sedvänja samt praxis ändras.
försäkrade skall informeras om ändring i denna policy genom nyhetsbrev och genom att ändrad policy läggs ut på Teamledarnas hemsida. Styrelsen skall antaga nya versioner av denna policy.