Roller
Personuppgiftsansvarig: Den som hanterar personuppgifter, i Top of Hearts fall de organisationer som använder Top of Hearts digitala tjänster.
Personsonuppgiftsbiträde: Den som biträder hanteringen, i Top of Hearts fall Top of Heart AB tillsammans med andra tjänsteleverantörer.
Varför finns denna policy?
Denna dataskyddspolicy säkerställer att Top of Heart AB:
- Följer gällande lagstiftning och branschstandard för personuppgiftsskydd
- Värnar rättigheter för anställda, kunder och samarbetspartners
- Är transparent med hur vi arbetar med personuppgiftsskydd
- Har tydliga rutiner för att skydda personuppgifter
Lagstiftning
Dataskyddsförordningen (på engelska General Data Protection Regulation, GDPR) gäller som lag i Sverige och övriga EU från och med 25 maj 2018. Förordningen ersätter Personuppgiftslagen (PUL).
Enligt Dataskyddsförordningen ska ett personuppgiftsbiträde:
- Enbart hantera personuppgifter på instruktion av den personuppgiftsansvarige
- Enbart anlita andra biträden (tjänster) med godkännande från den personuppgiftsansvarige
- Föra register över vilken typ av personuppgiftsbehandling som utförs
- Säkerställa en lämplig säkerhetsnivå
- Upprätta ett personuppgiftsbiträdesavtal med den personuppgiftsansvarige
- Ha rutiner för personuppgiftsincidenter
- Bistå personuppgiftsansvariga att fullgöra sina skyldigheter
Dessa skyldigheter uppfyller Top of Heart dels genom avtal med våra kunder, dels genom interna regelverk och avtal.
Mer information finns på datainspektionen.se
Internt regelverk
Top of Heart har upprättat och implementerat följande rutiner och policies som säkerställer att Top of Heart uppfyller krav både som personuppgiftsansvarig och personuppgiftsbiträde:
- Dataskyddspolicy (detta dokument)
- Rutin för att bistå begäran av personuppgift
- Rutin för begäran av personuppgift
- Rutin för rapportering av personuppgiftsincident
- Rutin för uppdatering av policies och avtal
- Informationssäkerhetspolicy *
- IT-Säkerhetspolicy *
- Sekretessavtal *
- Integritetspolicy *
* Separat dokument
Rutiner
Rutin för att bistå begäran av personuppgift
I det fall tredje man begär utdrag av personuppgiftsutdrag har Top of Heart en skyldighet att bistå den personuppgiftsansvariga kunden.
I första hand hänvisar vi till den sökfunktion som finns implementerad i tjänsten tillsammans med vår mall för standardsvar för begäran av personuppgift som skickas vid begäran.
Rutin för begäran av personuppgift
I det fall Top of Heart kontaktas angående begäran av personuppgift i rollen som personuppgiftsansvarig ska det handläggas skyndsamt.
Rutin för rapportering av personuppgiftsincident
Top of Heart övervakar kontinuerligt den egna tjänsten såväl som andra biträdens tjänster i fråga om eventuella incidenter. Utöver det ska eventuella misstänkta incidenter rapporteras av användare till info@www.topofheart.se enligt vad som framgår av villkoren för tjänsten.
Kan en personuppgiftsincident konstateras och Top of Heart är personuppgiftsbiträde så ska detta meddelas personuppgiftsansvariga omgående. Personuppgiftsansvariga anmälas till Datainspektionen inom 72 timmar förutsatt att det är sannolikt att incidenten kan leda till att enskildas fri- och rättigheter kränkts.
Kan en incident konstateras där Top of Heart är personuppgiftsansvarig så ska Top of Heart kontakta Datainspektionen inom 72 timmar.
Rutin för uppdatering av policies och avtal
Ovan listade dokument ska revideras i januari varannat år med början år 2020 eller så fort det finns anledning att göra det.