DATASKYDDSPOLICY
PERSONUPPGIFTSBITRÄDE
INNEHÅLLSFÖRTECKNING
1 INLEDNING 4
2 OMFATTNING 4
3 VÄSENTLIGA FÖRÄNDRINGAR 4
4 GODKÄNNANDE 4
5 ORDLISTA OCH FÖRKORTNINGAR 5
6 INTEGRITETSMÅL 5
7 INTEGRITETSANSVAR 6
7.1 Integritetsstyrning 6
7.2 Integritetshantering 6
7.3 Group Privacy Officers & DPO:s ansvar 6
7.4 Sekretess och dataskydd i processer 6
8 ALLMÄNNA INTEGRITETSPRINCIPER 7
8.1 Laglighet, rättvisa och transparens 7
8.2 Ändamålsbegränsning 7
8.3 Dataminimering 8
8.4 Korrekthet 8
8.5 Lagringsbegränsning 8
8.6 Integritet och konfidentialitet 8
9 PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE 8
10 DATABEHANDLINGSAVTAL 9
11 PERSONUPPGIFTER 9
12 KATEGORIER AV PERSONUPPGIFTER 10
13 UTFORMAD INTEGRITET (PRIVACY BY DESIGN) 10
13.1 Integritetsskyddande teknik 10
13.2 Designprinciper 11
14 BEDÖMNINGAR AV INTEGRITETSPÅVERKAN OCH RISKHANTERING 11 FÖRUTOM ETT GENERELLT RAMVERK FÖR RISKHANTERING SOM BESKRIVS I ADITROS
RISKHANTERINGSPOLICY, HAR ADITRO DEFINIERAT EN PROCESS FÖR REGISTRERING OCH
INTEGRITETSANALYS FÖR NYA PERSONUPPGIFTER VID BEHANDLING AV PERSONUPPGIFTER FÖR ATT SÄKERSTÄLLA ATT INTEGRITETSRISKER IDENTIFIERAS OCH MILDRAS VID BEHOV. 11
15 MOTTAGANDE AV PERSONUPPGIFTER 11
17 ANVÄNDNING AV UNDERBITRÄDEN 12
18 DATAÖVERFÖRING TILL TREDJE PARTER 12
19 ÖVERFÖRING AV INFORMATION TILL TREDJE LAND 13
20 DE REGISTRERADES RÄTTIGHETER OCH PERSONUPPGIFTSANSVARIGAS ÖVRIGA SKYLDIGHETER –
HJÄLP FRÅN ADITRO 13
20.1 Begäran om tillgång 13
20.2 Begäran om rättelse 13
20.3 Begäran om radering 13
20.4 Begäran om dataportabilitet 13
20.5 Aditros hantering av förfrågningar från registrerade 14
20.6 Övrig hjälp till personuppgiftsansvarig 14
20.7 Begäran om granskning 14
21 PERSONUPPGIFTSINCIDENT 14
22 BEGÄRAN OM INFORMATION 15
23 UTBILDNING 16
24 ÖVERVAKNING, MÄTNINGAR OCH KPI:ER 16
25 REFERENSINFORMATION 16
1 Inledning
Denna policy beskriver de organisatoriska och tekniska skyddsåtgärder som Aditro har infört för att skydda personuppgifter som behandlas av Aditro som personuppgiftsbiträde för våra kunder, i enlighet med EU:s allmänna dataskyddsförordning (GDPR) och
nationella lagar om dataskydd. Våra anställda är skyldiga att tillämpa bestämmelserna i denna policy på all behandling av personuppgifter.
Aditro arbetar för att integrera integritet i sina produkter och tjänster så att våra kunder kan följa lagen när de utnyttjar våra erbjudanden.
2 Omfattning
Denna policy gäller Aditro Group AB och dess dotterbolag.
Denna policy gäller endast Aditro i egenskap av personuppgiftsbiträde för våra kunder.
Aditro kommer endast att behandla personuppgifter i syfte att uppfylla sina skyldigheter enligt relevanta avtal med varje kund och i enlighet med denna policy.
Utöver denna policy, anger avtalet mellan Aditro och varje kund, vilken typ av behandling som ska utföras för kunden samt personuppgiftsbiträdets (Aditros) och
personuppgiftsansvariges (kundens) skyldigheter.
Ansvaret för juridiska krav på arkivering av löne- eller redovisningsdokument vilar på respektive Aditro-kund och faller utanför denna policy och omfattningen av Aditros skyldigheter.
Denna policy kan översättas till valfritt språk i något av de länder som Aditro Group eller dess dotterbolag är verksamma i, och i händelse av avvikelser mellan en översättning och den engelska versionen ska den engelska versionen ha företräde.
3 Väsentliga förändringar
Version Förändring
1.0 Ursprunglig version
1.1 Ytterligare information om integritetsmål och integritetsstyrning samt allmänna uppdateringar
4 Godkännande
Godkänd av
Datum för godkännande
Aditro Group General Management Team, 19.9.2017
Giltigt från och med 25.5.2018
Version 1.1 godkänd av General Counsel Ulrika Ersman den 6 april 2020
5 Ordlista och förkortningar
Följande nyckeltermer används i denna policy. Om inget annat anges ska dessa termer och andra termer som används i denna policy tolkas i enlighet med deras definitioner i EU:s allmänna dataskyddsförordning (GDPR).
Term Förklaring
Personuppgift All slags information som kan hänföras till en identifierad eller identifierbar fysisk person (den registrerade).
Behandling Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, t.ex.
insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, inhämtning, konsultation, användning, utlämnande genom spridning eller annat tillhandahållande, sammanställning eller samkörning, blockering, radering eller förstöring.
Personuppgiftsansvarig Fysisk eller juridisk person, myndighet eller annat organ som fastställer syftet och ändamålet med behandlingen av personuppgifter, i detta fall Aditros kunder, deras dotterbolag eller slutkund(er).
Personuppgiftsbiträde (eller underbiträde)
Fysisk eller juridisk person, myndighet eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning, i detta fall Aditro, inklusive Aditros dotterbolag och underbiträden.
Den registrerade En identifierad eller identifierbar fysisk person Produkter Alla Aditros produkter
6 Integritetsmål
Aditro är införstått med betydelsen av personuppgifter och vikten av att respektera enskilda individers personliga integritet. På grund av den typ av verksamhet som vi bedriver härrör nästan all information som vi hanterar från anställningsförhållandet mellan våra kunder och deras anställda. Den information som följer av ett sådant förhållande kan vara känslig och bör därför hanteras med särskild omsorg. Vi har åtagit oss att reglera integriteten i enlighet därmed.
Aditros mål för integritetsstyrning är att:
• Att följa och respektera den personliga integriteten i tjänster och produkter
• Att varje arbetsplats och varje anställd arbetar på ett transparent sätt och följer regler kring efterlevnad
• Åta sig att ständigt förbättra system för integritetshantering
• Löpande förbättra och utveckla våra processer för att hantera framtida utmaningar kring integritet
7 Integritetsansvar
Aditro har definierat följande integritetsansvar.
7.1 Integritetsstyrning
Aditros integritetsarbete leds av General Management Team (GMT) med stöd av Aditro Compliance Committee för att anpassa olika standarder och ramverk och säkerställa konsekvens och efterlevnad i integritetsstyrningen.
7.2 Integritetshantering
Aditros integritetarbete hanteras av Group Privacy Officer & Data Protection Officer (DPO) tillsammans med våra Privacy Operations Team som finns i hela organisationen.
Aditros ramverk för integritetshantering är ISO 27701:2019.
Data Protection Officer rapporterar till General Counsel som är medlem i General Management Team och Compliance Committee.
7.3 Group Privacy Officers & DPO:s ansvar
Aditro har utsett en Group Privacy Officer och Data Protection Officer som ska:
• agera som huvudkontakt för alla internt och externt relaterade frågor rörande skydd av personuppgifter samt för rapportering av incidenter till
personuppgiftsansvariga och/eller dataskyddsmyndigheter
• övervaka efterlevnad av denna och andra policyer om skydd av personuppgifter samt av den allmänna dataskyddsförordningen (GDPR)
• granska interna procedurer och medverka vid alla konsekvensbedömningar avseende dataskydd
• samordna med dataägare för att tillhandahålla utbildning, förbättra
medvetenheten om och kommunicera information rörande denna policy till övriga anställda
• uppdatera denna policy vid behov
• demonstrera efterlevnad av dataskyddsförordningen (GDPR)
• hantera registreringar och kontakter med myndigheter såsom Datainspektionen, Datatylsynet samt Tietosuoja.
• Ge intern vägledning och utbildning
Aditro Group och dess dotterbolag ska ha Datainspektionen i Sverige som främsta tillsynsmyndighet.
7.4 Sekretess och dataskydd i processer
Varje affärsområde och affärsfunktion är ansvarig för att säkerställa att integritets- och dataskyddspolicyn och -rutiner efterlevs för att säkerställa att Aditros integritetspraxis
alltid uppfyller affärsmålen. Varje anställd är skyldig att följa de utfärdade integritetsinstruktionerna.
8 Allmänna integritetsprinciper
Personuppgifter ska alltid
• behandlas rättvist och lagligt ("laglighet, rättvisa och transparens");
• samlas in och behandlas för specifika och legitima ändamål ("ändamålsbegränsning");
• vara adekvata, relevanta och begränsade till det som krävs för ändamålet ("dataminimering");
• vara korrekta och aktuella ("korrekthet");
• inte lagras längre än vad som krävs för ändamålet ("lagringsbegränsning");
• behandlas med hjälp av lämpliga tekniska och organisatoriska åtgärder för att skydda mot obehörig ändring, oavsiktlig förlust, förstörelse eller skada ("integritet och konfidentialitet").
8.1 Laglighet, rättvisa och transparens
Aditro fastställer inte, i egenskap av personuppgiftsbiträde, omfattning och ändamål för den behandling som företaget utför åt sina kunder som är personuppgiftsansvariga.
Aditro kan hjälpa kunderna genom att tillhandahålla en översikt över den information eller de kategorier av information som våra produkter eller tjänster kräver för sin avsedda funktion. Aditro använder en ändamålsklassificering som bygger på tre pelare
("produktändamål" för information som krävs för att leverera produktens avsedda resultat, "rättsligt ändamål" för information som ska lagras baserat på lagkrav och
"kundändamål" för information som inte krävs för våra produkter eller för att uppfylla lagliga skyldigheter men som en kund kan behöva behandla för andra ändamål).
information eller kategorier av information som slutligen behandlas för varje kund definieras av kunden.
8.2 Ändamålsbegränsning
Aditro möjliggör kategorisering av information efter ändamål i dess
standardkonfiguration och i viss utsträckning kundspecifik kategorisering och kan därför identifiera när information används för andra ändamål eller används för ändamål som härleder sin användning direkt från det ursprungliga ändamålet t.ex. för support eller incidenthantering. Detta möjliggör lämplig åtkomst- och lagringshantering.
Aditro kan fullt ut använda avidentifierad eller anonym information för statistiska ändamål.
Aditros testdatapolicy anger gällande krav och processen för att erhålla kundens
samtycke för Aditros användning utanför det ursprungliga syftet för att Aditro ska kunna leverera avtalade tjänster till kunden.
8.3 Dataminimering
Aditro hjälper personuppgiftsansvariga genom att
• identifiera personuppgifter som generellt behövs som minimiinformation för var och en av våra produkter. Ytterligare information kan behövas beroende på typ av verksamhet och köpta produkter.
• hålla informationen aktuell när det är möjligt. Yttersta ansvaret för informationens korrekthet vilar på personuppgiftsansvarig.
• Vi sparar inte personuppgifter för att de kan "vara bra att ha" eller eftersom de kan komma till användning i framtiden. Information behandlas endast så länge den faller inom vår standardkonfiguration eller enligt personuppgiftsansvarigs instruktioner.
• När det är möjligt visar vi inte personuppgifter när det finns krav enligt lag att spara information utöver den information som är nödvändiga för produkternas funktion.
8.4 Korrekthet
Personuppgiftsansvarig ska vidta nödvändiga åtgärder för att säkerställa att den
information och de personuppgifter som skickas till Aditro är korrekta och aktuella. Några av Aditros produkter har ett kundgränssnitt som möjliggör för personuppgiftsansvariga att utföra nödvändiga kontroller för att säkerställa att informationen är korrekt.
8.5 Lagringsbegränsning
Aditro använder en standardkonfiguration för de produkter och tjänster som hanterar strukturerad information. Dessa inkluderar alternativ för säker radering eller
avidentifiering av information. Sådan radering sker främst inom kundens domän och är kundens ansvar. Aditros standardkonfiguration är emellertid en fullständig installation som syftar till att skapa efterlevnad av GDPR när det gäller principen om
lagringsbegränsning. Alla avvikelser från standardkonfigurationen är tillval.
Aditros policy för datalagring innehåller ytterligare information om lagring och radering av information.
8.6 Integritet och konfidentialitet
Aditro använder ett klassificeringssystem som säkerställer integritet och konfidentialitet.
Ytterligare information finns i kapitel 12 nedan.
9 Personuppgiftsansvarig och personuppgiftsbiträde
Aditro är personuppgiftsbiträde för de personuppgifter som Aditro behandlar som en del av vår service för våra kunder. Aditro kommer, i egenskap av personuppgiftsbiträde, endast att behandla personuppgifter i syfte att uppfylla sina skyldigheter enligt relevant avtal med varje kund och i enlighet med denna policy.
Varje kund till Aditro (eller slutkund) är personuppgiftsansvarig för de personuppgifter som gäller dess anställda. Det åligger personuppgiftsansvarig att säkerställa att det finns ett giltigt lagligt skäl för behandlingen, att de registrerade har informerats på ett korrekt sätt om behandlingen i enlighet med lagens krav samt, i den utsträckning behandlingen baseras på den registrerades samtycke, att eventuella samtycken har inhämtats och registrerats. Några av våra produkter kan bistå vid registrering av samtycke. Innan Aditro anlitas som personuppgiftsbiträde ska personuppgiftsansvarig kontrollera att Aditros behandling, inklusive de tekniska och organisatoriska åtgärderna som beskrivs av Aditro i denna policy och andra relevanta dokument, uppfyller personuppgiftsansvarigs krav och följer gällande lagstiftning eller andra krav från personuppgiftsansvarig.
10 Databehandlingsavtal
Avtalet mellan Aditro och dess kunder ska ange databehandlingens ämnesområde och varaktighet, typ av och ändamål med behandlingen, typer av personuppgifter och kategorier av registrerade samt kundens och Aditros respektive skyldigheter och
rättigheter. Om inget annat avtalats kommer databehandlingsavtalet att vara i den form som tillhandahålls av Aditro.
Länkar: Aditro Data Processing Agreement Templates (Aditro internal)
11 Personuppgifter
I sin verksamhet och för sina kunders räkning tar Aditro emot såväl strukturerad som ostrukturerad information, information som minst måste anges för de produkter eller tjänster som köpts och Aditro skapar även information som ska behandlas som känslig.
För att skydda information kan Aditro endast klassificera information om Aditro känner till informationens avsedda innehåll. Ostrukturerad information eller information som tillhandahålls av kunden som inte behövs för de produkter eller tjänster som köpts men som ska betraktas som personuppgifter eller känslig information, måste identifieras av kunden så att Aditro kan vidta förebyggande åtgärder.
Aditro kan förse varje kund med en lista över dataposter som utgör nödvändig
information för inköpta produkter eller tjänster och även information som kunden måste tillhandahålla enligt medlemsländernas lagar. Denna information har klassificerats av Aditro som information som gäller fysiska personer, antingen indirekt eller direkt eller som känsliga personuppgifter. Aditro använder denna klassificering i kombination med en riskbedömning för att identifiera lämpliga tekniker, strategier och organisatoriska
åtgärder för att skydda personuppgifterna.
12 Kategorier av personuppgifter
För att säkerställa att lämpliga säkerhetsåtgärder används för att skydda personuppgifter använder Aditro sig av kategorisering där information eller uppsättningar av information kategoriseras beroende på typen av personuppgifter som kategorin innehåller. Eftersom våra kunder kan använda våra produkter för andra typer av information bör kunderna kontrollera att fälten med informationsklasser har klassificerats korrekt. För vissa produkter utförs ingen klassificering på grund av produktens egenskaper.
Direkt identifierande kategorier av personuppgifter inkluderar personnummer, namn, adresser, IP-adresser, e-postadresser.
Känsliga kategorier av personuppgifter inkluderar personuppgifter som avslöjar etniskt ursprung, politiska åsikter, religiösa eller filosofiska åskådningar,
fackföreningsmedlemskap, genetiska eller biometriska data, information om hälsa eller information som rör en persons sexualliv eller sexuella läggning. Aditros tjänster kan inkludera behandling av särskilda kategorier av personuppgifter (huvudsakligen rörande hälsa eller medlemskap i fackföreningar), dock endast som inkluderas i relevant tjänst och som beskrivs i tillämplig tjänstebeskrivning.
Behandling av särskilda kategorier av personuppgifter (eller "känslig information") omfattas av ytterligare restriktioner och säkerhetsåtgärder.
Om personuppgiftsansvarig eller dess slutanvändare i övrigt lägger till eller skickar personuppgifter som tillhör en särskild kategori av personuppgifter, eller som i övrigt anses känsliga, i en lösning för vilken Aditro sköter hantering eller hosting, kommer Aditro inte att bära något ansvar för behandlingen av sådana personuppgifter utöver dess allmänna säkerhetsåtagande.
13 Utformad integritet (Privacy by Design)
13.1 Integritetsskyddande teknik
Aditro använder integritetsskyddande teknik, strategier och organisatoriska åtgärder för att skydda personuppgifter. Identifiering av relevanta åtgärder sker på basis av
personuppgifternas känslighetsnivå, lagringstiden för informationen, den risk som behandlingen medför och användningsfrekvensen. Mer information om datakategorier finns i kapitel 12.
Aditro tillämpar konventionella och beprövade säkerhetsåtgärder t.ex. end-to-end- kryptering för de registrerades mest känsliga information och tillämpar annan integritetsskyddande teknik baserat på karaktären och lagringstid.
Nivå Personuppgiftskategori Säkerhetsklassificering 0 Inga personuppgifter
1 Personuppgifter som indirekt rör en identifierbar person
Semikonfidentiell
2 Personuppgifter som direkt rör en identifierbar person
Konfidentiell
3 Känslig information Ytterst konfidentiell
Klassificeringen kan fastställa vilken integritetsskyddande teknik som tillämpas för
informationen. Standardkravet för Nivå 3-information kan vara end-to-end-kryptering och kravet för Nivå 2-information kan vara pseudonymanvändning. Kategoriseringen gör det också möjligt för Aditro att specificera hur personuppgifter ska raderas på ett säkert sätt.
För nivå 3 kan det innebära radering och för nivå 2 kan det innebära anonymisering.
Information som kategoriserats som nivå 0 och 1 ska aldrig leda till identifiering om nivå 2 och nivå 3 har avidentifierats på ett korrekt sätt. Integritetsskyddande teknik tillämpas produktspecifikt.
13.2 Designprinciper
Aditro kommer att implementera integritetsutformning genom aktivt engagemang från de som arbetar med utveckling och tidiga implementeringsfaser av nya produkter eller systemfunktioner. Aditro använder sig av utbildade systemarkitekter för att främja integriteten i alla relevanta utvecklingsområden i företaget. Syftet med detta är att följa grundläggande integritetsprinciper när det gäller
• att proaktivt och på ett tidigt stadium och konsekvent, anamma kraftfulla integritetsåtgärder
• att integritet ska vara standard där det är möjligt
• att integrera integritet i utvecklingen
• utan att försämra funktionen
• skydd under livscykeln
• synlighet och transparens
• respekt för användarens integritet.
Mer information finns i Aditro Privacy by Design Policy.
14 Bedömningar av integritetspåverkan och riskhantering
Förutom ett generellt ramverk för riskhantering som beskrivs i Aditros
riskhanteringspolicy, har Aditro definierat en process för registrering och integritetsanalys för nya personuppgifter vid behandling av personuppgifter för att säkerställa att
integritetsrisker identifieras och mildras vid behov.
Denna process beskrivs vidare i Aditro Privacy Impact Assessment Policy.
15 Mottagande av personuppgifter
Aditro kan ta emot personuppgifter från kunden (personuppgiftsansvarig), direkt från kundens anställde (registrerad) eller från tredje part.
Aditro kommer att hantera personuppgifter som erhålls direkt från en registrerad eller från en tredje part som om den kom från personuppgiftsansvarig. Det åligger alltid personuppgiftsansvarig att säkerställa att det finns ett lagligt skäl för behandlingen, att de
krav samt, i den utsträckning behandlingen baseras på den registrerades samtycke, att eventuella samtycken har inhämtats och registrerats.
16 Behandlingsregister
Aditro för register över behandlingsaktiviteter som utförs för kunders räkning. Sådana register inkluderar information om namn- och kontaktuppgifter till den eller de Aditro- enheter och underbiträden som behandlar personuppgifter, namn på
personuppgiftsansvarig(a), kategorier för behandling som utförs för varje
personuppgiftsansvarig, eventuell överföring till tredje land samt en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som Aditro vidtagit.
Aditro tillhandahåller löpande aktuella register på https://aditro.com/gdpr/rop/.
17 Användning av underbiträden
Utöver företag i Aditro-koncernen använder Aditro även underbiträden för att tillhandahålla produkter och tjänster till våra kunder. Då ett underbiträde anlitas för behandling av personuppgifter för en av Aditros kunders räkning, blir underbiträdet även personuppgiftsbiträde (underbiträde).
Om inget annat avtalats med en specifik kund, inkluderar avtalet mellan Aditro och dess kunder en generell skriftlig auktorisation för Aditro att använda underbiträden. Aditro kommer att göra en aktuell lista över sina underbiträden tillgänglig för sina kunder, inklusive information om de behandlingsaktiviteter som underbiträden utför. Den här listan finns på https://aditro.com/gdpr/rop/entities-involved-in-the-processing-of-data/.
Innan ett underbiträde anlitas kommer Aditro att ingå avtal med ifrågavarande
underbiträde där behandlingens ämnesområde och varaktighet, typ av och ändamål med behandlingen, typer av personuppgifter och kategorier av registrerade samt
underbiträdets och Aditros respektive skyldigheter och rättigheter anges.
18 Dataöverföring till tredje parter
Aditros tillhandahållande av tjänster kan inkludera en överföring av personuppgifter till tredje parter, utöver Aditros dotterbolag eller underbiträden, dock endast enligt
specifikation och överenskommelse för ifrågavarande tjänst och i enlighet med tillämplig tjänstebeskrivning. Exempel på sådana tredje parter är nationella skattemyndigheter, banker, statistikmyndigheter o.s.v.
Sådana överföringar kommer endast att göras i den utsträckning och för de ändamål som anges i avtalet mellan Aditro och kunden och på det sätt som specificerats och avtalats.
Relevant personuppgiftsansvarig förblir ansvarig för att behandlingen av personuppgifterna är laglig, inklusive överföringen till tredje part.
Aditros svar på begäran om information från offentliga myndigheter eller andra tredje parter, utöver den avtalade tjänsten som Aditro tillhandahåller till sin kund, beskrivs nedan i kapitel 22.
19 Överföring av information till tredje land
Om inget annat skriftligen avtalats kommer Aditro endast att lagra och behandla personuppgifter inom EU-/EES-området. I vissa situationer som beskrivs i
https://aditro.com/gdpr/rop/ kan Aditro överföra personuppgifter till ett underbiträde som befinner sig utanför EU/EES.
När Aditro eller ett underbiträde gör en överföring av personuppgifter till ett
underbiträde utanför EU/EES ska Aditro säkerställa att överföringen endast sker till ett land som av Kommissionen anses ha en tillräcklig skyddsnivå, till enheter som har förbundit sig att följa sekretesskyddet inom EU-USA eller som har förbundit sig att följa standardklausuler om skydd av personuppgifter eller som har tillhandahållit andra lämpliga skyddsåtgärder.
20 De registrerades rättigheter och personuppgiftsansvarigas övriga skyldigheter – hjälp från Aditro
20.1 Begäran om tillgång
Varje registrerad har rätt att erhålla bekräftelse från personuppgiftsansvarig huruvida personuppgifter som rör honom eller henne behandlas eller ej och att, om så är fallet, få tillgång till personuppgifterna och viss information om sådan behandling.
20.2 Begäran om rättelse
Varje registrerad har rätt att utan onödigt dröjsmål erhålla rättelse av felaktiga
personuppgifter som rör vederbörande. En begäran om rättelse från en registrerad ska rikta sig till personuppgiftsansvarig. Aditro kommer inte att svara på förfrågningar som kommer direkt från den registrerade. I stället kommer Aditro, om en registrerad begär tillgång av Aditro, att hänvisa den registrerade till personuppgiftsansvarig.
20.3 Begäran om radering
Under förutsättning att personuppgifterna inte längre behövs för det ändamål för vilket de samlades in eller behandlades, att deras behandling baseras helt och hållet på samtycke och om den registrerade återkallar sitt samtycke enligt beskrivningen i artikel 21 i GDPR, eller om personuppgifterna har hanterats på olagligt vis, är
personuppgiftsansvarig skyldig enligt lag att radera informationen utan onödigt dröjsmål om den registrerade begär det. Aditro kan uppfylla en sådan begäran om att radera information om den härrör från personuppgiftsansvarig. Den information som kommer att raderas inkluderar inte information som måste sparas enligt lag i medlemsstaten.
20.4 Begäran om dataportabilitet
När behandlingen baseras på samtycke eller avtal mellan personuppgiftsansvarig och den registrerade och behandlingen sker automatiskt, har den registrerade rätt att erhålla de personuppgifter som gäller honom eller henne, som vederbörande har tillhandahållit till personuppgiftsansvarig, i ett strukturerat, vanligt förekommande och maskinläsbart
personuppgiftsansvarig utan att den personuppgiftsansvarige som ursprungligen tog emot personuppgifterna har rätt att hindra detta.
20.5 Aditros hantering av förfrågningar från registrerade
En förfrågan från en registrerad enligt beskrivning i paragraferna 20.1- 20.4 ska riktas till relevant personuppgiftsansvarig. Aditro kommer inte att svara på förfrågningar som kommer direkt från en registrerad. I stället kommer Aditro, om en registrerad skickar en begäran till Aditro, att hänvisa vederbörande till personuppgiftsansvarig.
På kundens begäran och beroende på typen av tjänst som Aditro tillhandahåller till kunden, kommer Aditro att hjälpa kunden (personuppgiftsansvarig) att svara på
förfrågningar från personuppgiftsansvarigs registrerade som beskrivs i 20.1- 20.4, när det gäller personuppgifter som behandlas av Aditro i egenskap av personuppgiftsbiträde för den som är personuppgiftsansvarig. Det åligger personuppgiftsansvarig att fastställa om den registrerades förfrågan är laglig. All hjälp från Aditros sida som faller utanför det område för tjänsterna som avtalats enligt relevant kundavtal kommer att faktureras enligt gällande taxa.
20.6 Övrig hjälp till personuppgiftsansvarig
Vid förfrågan från en kund, kommer Aditro efter rimlig förvarning och i rimlig omfattning med hänsyn till typen av behandling som Aditro utför, enligt avtal med ifrågavarande kund, att hjälpa kunden (personuppgiftsansvarig) för att säkerställa att
personuppgiftsansvarigs skyldigheter, inklusive hjälp med konsekvensbedömningar avseende dataskydd, uppfylls. All hjälp från Aditros sida som faller utanför det område för tjänsterna som avtalas enligt relevant kundavtal kommer att faktureras enligt gällande taxa.
20.7 Begäran om granskning
Aditro kommer på begäran av kunden att tillgängliggöra information som krävs för att visa att avtalet mellan Aditro och ifrågavarande kund följs och kommer att möjliggöra granskning av kunden eller tredje part som utsetts av kunden. Om inget annat avtalats har Aditro rätt att debitera kunden för tid och kostnader som uppstått under
granskningen.
Aditro kan även tillhandahålla personuppgiftsansvarig med en granskningsrapport från en tredje parts-granskare och kan göra viss information eller vissa dokument kontinuerligt tillgängliga för kunderna på Aditros kundportal och/eller Aditros webbplats.
Se vår globala revisionspolicy och tillämpligt databehandlingsavtal för ytterligare information.
21 Personuppgiftsincident
När Aditro får kännedom om en personuppgiftsincident ska Aditro utan onödigt dröjsmål informera personuppgiftsansvarig(a). Aditros information ska inkludera beskrivning av typen av personuppgiftsincident, om möjligt kategorier och antalet registrerade samt
annan person inom Aditro som kan tillhandahålla ytterligare information och en
beskrivning av de åtgärder som Aditro vidtagit för att hantera personuppgiftsincidenten samt för att mildra konsekvenserna.
Mer information om Aditros rutiner vid personuppgiftsincidenter finns i Aditro Personal Data Breach Policy och i Aditro Incident Management Process description.
22 Begäran om information
Om Aditro tar emot en begäran om information från en myndighet eller annan tredje part utöver sådana begäranden som omfattas av en tjänst som tillhandahålls av Aditro åt en kund, sker följande:
a) Aditro loggar och sparar alla begäranden om utlämnande av information.
b) Aditro bekräftar identiteten på enheten och den person som gör begäran.
c) En begäran ska följa en juridisk process, d.v.s. den måste åtföljas av en skriftlig auktorisation, ett domstolsbeslut om innehåll eller om utlämnande av
personuppgifter för en eller flera registrerade.
d) Aditro kommer att försöka vidarebefordra en sådan begäran till personuppgiftsansvarig.
e) Om det inte är förbjudet enligt lag kommer Aditro att informera personuppgiftsansvarig om begäran.
f) Om Aditro är juridiskt skyldig att avslöja personuppgifter på begäran, kommer Aditro att sträva efter att begränsa omfattningen av de personuppgifter som lämnas ut.
g) Aditro tillhandahåller ingen direkt åtkomst till kundernas information och förser inte någon regering med verktyg för att bryta mot våra principer om dataskydd.
h) Aditro kan invända mot en myndighets begäran om information om begäran strider mot Aditros principer när det gäller avslöjande av information, om Aditro anser att begäran faller utanför jurisdiktionen för ifrågavarande regering eller myndighet, eller om en begäran om information inte har undertecknats eller godkänts på ett korrekt sätt, om den innehåller väsentliga felaktigheter eller är alltför omfattande, om informationen som begärs förefaller vara överdriven och faller utanför ändamålet med ifrågavarande begäran.
i) Aditro har inte möjlighet att förhindra en begäran om information men kan besluta att invända mot en begäran så att den hanteras korrekt och lagenligt.
j) Alla begäranden om utlämnande av information måste registreras i Aditros incidenthanteringssystem innan de kan behandlas.
För att godkänna utlämnande gäller följande:
a) Giltigheten av en begäran eller krav på utlämnande av information, som inte omfattas av ett avtal, granskas alltid av Aditros juridiska avdelning. Den juridiska
avdelningen fastställer om kraven är giltiga, avvisar de som är ogiltiga, specificerar vilken information som ska lämnas ut, o.s.v.
b) Beslut om att lämna ut information som ägs av kunden, på begäran av en
kommersiell tredje part, kan endast godkännas av kunden eller den registrerade.
c) Beslut om att lämna ut information, på begäran av en regering, kan endast auktoriseras av Aditros VD eller dennes ombud.
23 Utbildning
Aditros anställda får utbildning om onboarding samt en årlig utbildning om integritet.
Dessutom ges, vid behov eller regelbundet, mer detaljerad utbildning om processer och rutiner för olika målgrupper.
24 Övervakning, mätningar och KPI:er
Aditro kontrollerar antalet loggade och rapporterade personuppgiftsincidenter, antal begäranden om åtkomst till registrerade som mottagits och hanterats samt kunders användning av funktionen för radering av information i Aditros applikationer.
Aditros DPO rapporterar till General Management Team två gånger per år (vanligtvis i mars och i oktober) och Aditro General Counsel rapporterar till styrelsen årligen (normalt i september).
25 Referensinformation
Länkar till andra policyer och referensmaterial:
