Policy för personuppgiftshantering på RMH Uppsala

 

Innehållsförteckning

1        Inledning och syfte

2        Tillämpning och revidering

3        Organisation och ansvar

4        Begrepp och förkortningar

5        Personuppgiftsbehandling

6        RMH Policy för att följa GDPR

7        Personuppgiftsbiträdesavtal

                                                                                      

 

 

 

 

 

1       INLEDNING OCH SYFTE

 

Syftet med denna policy är att säkerställa att RMH hanterar personuppgifter i enlighet med EUs dataskyddsförordning (General Data Protection Regulation – GDPR).  Policyn omfattar alla behandlingar där personuppgifter hanteras och omfattar såväl strukturerad som ostrukturerad data. 

Denna policy är förankrad hos alla våra medarbetare.

 

2      TILLÄMPNING OCH REVIDERING

Styrelsen för stiftelsen (SFS) ansvarar för att behandlingen av personuppgifter följer denna policy.

Policyn ska fastställas av SFS minst en gång per år och uppdateras vid behov. 

VA är ansvarig för att hålla i processen kring årlig uppdatering av policyn till följd av nya och förändrade regelverk. 

Denna policy är tillämplig för företagets styrelseledamöter, medarbetare samt uppdragstagare som berörs av vår verksamhet. 

3      ORGANISATION OCH ANSVAR

Husets styrelse är juridisk personuppgiftsansvarig och har det övergripande ansvaret för innehållet i denna policy samt att den implementeras och efterlevs av verksamheten. 

VA är Husets Dataskyddsombud och tar in Underbiträdesavtal av aktuella leverantörer.

Alla medarbetare ansvarar för att de agerar i enlighet med denna policy och vad den vill säkerställa. 

4      BEGREPP OCH FÖRKORTNINGAR

Begrepp

Betydelse

Personuppgift

En personuppgift är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.

Registrerad

Den som en personuppgift avser, det vill säga den fysiska person som direkt eller indirekt kan identifieras genom personuppgifterna i ett register.

Personuppgiftsbehandling

En åtgärd eller kombination av åtgärder beträffande personuppgifter – oberoende av om de utförs automatiserat eller ej – såsom insamling, registrering, organisering och strukturering.

5      PERSONUPPGIFTSBEHANDLING

·      Varje personuppgiftsbehandling ska ske enligt följande principer:

 

o  Laglighet 

o  Ändamålsbegränsning

o  Uppgiftsminimering

o  Korrekthet

o  Lagringsminimering

o  Integritet och konfidentialitet

·      Våra uppgiftsbehandlingar dokumenteras löpande i våra respektive bokningsprogram och tillhörande pärmar.

·     Uppföljning och utvärdering av vår hantering av personuppgifter ska ske minst årligen.

·     Eventuella incidenter rörande personuppgifter som vi behandlar ska utan dröjsmål rapporteras till VA. VA ska utan onödigt dröjsmål och senast inom 72 timmar anmäla incidenten till Datainspektionen samt i övrigt vidta nödvändiga åtgärder med anledning av incidenten. 

·      Våra krav på att personuppgifter hanteras enligt GDPR ska alltid säkerställas vid upphandling och utveckling av IT-lösningar och tjänster, och ska vara en del i kravspecifikationen och eventuella avtal.

6       RMH POLICY FÖR ATT FÖLJA GDPR

·      RMH Uppsala lagrar endast de uppgifter som krävs för att vi ska kunna fakturera våra boendes tid till respektive hemlandsting och fullfölja vårt avtal med Region Uppsala.

·      De uppgifter vi tar in är:

Namn på det inskrivna barnet

Barnets avdelning

Barnets personnummer

Hemlandsting

Hemadress, postnummer och ort

Förälder/föräldrars namn

Mobilnummer

Hemtelefonnr

 

·      Vi följer bokföringslagen och sparar våra dokument i 7 år och därefter raderas dessa i alla våra register, både digitalt och de dokument som vi arkiverat i pärm.

·      Den personal som tar del av insamlade personuppgifter är våra PA; PUB och dessa har skrivit under ett avtal för ändåmålet, se bifogat dokument punkt 7.

Därefter finns uppgifterna i respektive bokningssystem och hanteras av dennas leverantör i enlighet med GDPR.

·      Våra uppgifter kommer att finnas lagrade på servrar som finns i Sverige och Europa.

·      Vid önskan om radering och att vilja återta sitt samtycke kommer vi att radera all deras information omgående.

·      Vi kommer en gång om året, vid årets första gemensamma Husråd att se över vilka som ska gallras och som inte förväntas vara återkommande.

 

7      PERSONUPPGIFTSBITRÄDESAVTAL

 

PERSONUPPGIFTSBITRÄDESAVTAL

 

1 PARTER

 

……………………………………………………

Och Stiftelsen Ronald McDonald Hus i Uppsala, organisationsnummer 802426-5947, har denna dag träffat följande Personuppgiftsbiträdesavtal.

 

2 DEFINITIONER

Behandling av personuppgifter

Åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, inhämtande eller användning.

Personuppgiftsansvarig

Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter.

Personuppgiftsbiträde

Den som behandlar personuppgifter för den personuppgiftsansvariges räkning.

Tredje land

En stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet.

 

3 SYFTE

Syftet med detta avtal är att tillse att Personuppgiftsbiträdets behandling av personuppgifterna för Personuppgiftsansvariges räkning sker i enlighet med personuppgiftslagens (1998:204) krav och enligt vad som överenskommits i detta avtal.

4 INSTRUKTIONER

Personuppgiftsbiträdet får endast behandla den Personuppgiftsansvariges personuppgifter i enlighet med den Personuppgiftsansvariges skriftliga instruktioner. Personuppgiftsbiträdet får inte behandla personuppgifterna för egna ändamål. 

För det fall Personuppgiftsbiträdet saknar instruktioner som denne bedömer är nödvändiga för att genomföra sina åtaganden ska Personuppgiftsbiträdet, utan dröjsmål, informera Personuppgiftsansvarig om detta och invänta instruktioner.

 

5 PERSONUPPGIFTSBITRÄDETS ÅTAGANDEN

Personuppgiftsbiträdet åtar sig att tillämpa gällande svensk lagstiftning vid personuppgiftsbehandlingen.

Personuppgiftsbiträdet får inte överföra personuppgifterna till tredje land annat än efter Personuppgiftsansvariges i förväg lämnade skriftliga samtycke. Personuppgiftsbiträdet åtar sig att endast lämna ut personuppgifterna till de inom sin egen organisation som behöver tillgång till uppgifterna för att kunna utföra sina arbetsuppgifter. 

Personuppgiftsbiträdet får inte lämna ut personuppgifterna eller annan information om personuppgiftsbehandlingen till tredje man annat än efter Personuppgiftsansvariges i förväg lämnade skriftliga samtycke, med undantag för när sådant utlämnande kan krävas enligt lag. 

För det fall myndighet eller annan tredje man begär ut information från Personuppgiftsbiträdet som rör personuppgiftsbehandlingen ska Personuppgiftsbiträdet utan dröjsmål vidarebefordra sådan framställan till Personuppgiftsansvarig. Personuppgiftsbiträdet ska vid behov assistera Personuppgiftsansvarig med att ta fram information som begärts av tredje man. 

Personuppgiftsbiträdet har inte rätt att företräda Personuppgiftsansvarig eller agera för Personuppgiftsansvarigs räkning gentemot tredje man med undantag från vad som framgår av punkten 8. 

6 SÄKERHET

Personuppgiftsbiträdet ska vidta överenskomna säkerhetsåtgärder för att skydda personuppgifter. 

Personuppgiftsbiträdet intygar att dennes verksamhet i alla delar sköts på ett sätt som säkerställer efterlevnad av personuppgiftslagens krav på adekvat säkerhetsnivå. Personuppgiftsbiträdet åtar sig att följa myndighetsbeslut gällande säkerhetsåtgärder för personuppgiftshanteringen.

Personuppgiftsbiträdet ska omedelbart informera Personuppgiftsansvarig vid upptäckt av eller misstanke om obehörig åtkomst av personuppgifterna.

För att kunna säkerställa att Personuppgiftsbiträdet vidtar tillräckliga säkerhetsåtgärder har Personuppgiftsansvarig rätt till nödvändig insyn i Personuppgiftsbiträdets verksamhet, system och personuppgiftshantering. Personuppgiftsbiträdet åtar sig att utan dröjsmål, på Personuppgiftsansvariges begäran, tillhandahålla Personuppgiftsansvarig med den information Personuppgiftsansvarig behöver för att kunna utöva sin insyn.

 

8 UNDERLEVERANTÖRER

Personuppgiftsbiträdet har inte rätt att anlita underleverantör för behandling av personuppgifter för den Personuppgiftsansvariges räkning, utan skriftligt godkännande från denne.

Personuppgiftsbiträdet ska vid inhämtande av samtycke tillhandahålla Personuppgiftsansvarig med information som den Personuppgiftsansvarig anser nödvändig angående underleverantören inklusive, men inte begränsat till;

-       Underleverantörens bolagsnamn

-       Var underleverantören är lokaliserad

-       Vilket land underleverantören kommer att behandla Personuppgiftsansvariges personuppgifter i

-       Vilken typ av tjänst underleverantören kommer att utföra

Efter inhämtande av samtycke får Personuppgiftsbiträdet såsom ombud för Personuppgiftsansvarig underteckna ett skriftligt avtal med underleverantören enligt vilket underleverantören, som personuppgiftsbiträde för Personuppgiftsansvarig, åtar sig samma skyldigheter som framgår av detta Personuppgiftsbiträdesavtal. 

Personuppgiftsbiträdet ska på Personuppgiftsansvariges begäran översända en kopia på avtalet som undertecknats av både Personuppgiftsbiträdet och underleverantören.

Personuppgiftsbiträdet åtar sig att informera Personuppgiftsansvarige om eventuella planer på att upphöra att använda sig av en underleverantör. 

 9 KONTAKTPERSON

Parterna ska utse var sin kontaktperson med ansvar för Parternas samarbete. Ändring av kontaktperson eller kontaktuppgifter ska skriftligen meddelas den andra parten. 

 

10 RÄTTELSE OCH RADERING AV PERSONUPPGIFTER

Personuppgiftsbiträdet åtar sig att utan dröjsmål rätta felaktiga eller ofullständiga personuppgifter efter instruktioner från Personuppgiftsansvarig. 

Efter det att Personuppgiftsansvarig skriftligen begärt radering av personuppgifter får Personuppgiftsbiträdet endast behandla personuppgifterna som ett led i raderingsprocessen och åtar sig att radera personuppgifterna utan dröjsmål men senast inom hundratjugo (120) dagar.  

Vid avtalets upphörande ska Personuppgiftsbiträdet, på begäran av Personuppgiftsansvarig, återlämna personuppgifterna. Personuppgiftsbiträdet får vid avtalets upphörande endast behandla personuppgifterna som ett led i raderingsprocessen och åtar sig att radera personuppgifterna utan dröjsmål men senast vid avtalets upphörande.  

11 ÖVERLÅTELSE

Detta avtal får inte överlåtas utan den andra Partens föregående godkännande. 

 12 AVTALSTID

Detta avtal gäller från dess undertecknande och tills vidare. Vardera Part har rätt att skriftligen säga upp avtalet. Vid uppsägning av avtalet gäller en uppsägningstid om tre (3) månader. Part är berättigad att säga upp detta avtal till omedelbart upphörande om motparten;

i)     gör sig skyldig till väsentligt brott mot bestämmelse i detta avtal, och underlåter att vidta rättelse inom trettio (30) dagar från mottagande av skriftlig begäran därom från den andra Parten, eller

ii)    försätts i konkurs, inleder ackordsförhandling eller annars är på obestånd. 

 

13 TVISTER OCH TILLÄMPLIG LAG

Svensk rätt ska vara tillämplig på avtalet. Tvister i anledning av avtalet ska slutligt avgöras av svensk allmän domstol.

 

14 ÖVRIGT

Detta Personuppgiftsbiträdesavtal utgöra bilaga till ett av Parterna träffat huvudavtal. Vid händelse av motstridiga uppgifter har huvudavtalet företräde.

Ändringar eller tillägg till avtalet ska göras skriftligen och undertecknas av båda Parterna för giltighet. 

_________________________________________

Avtalet har upprättats i två (2) exemplar varav Parterna har tagit varsitt.

 

Personuppgiftsansvarig                                               Personuppgiftsbiträdet

________________________                                       ________________________

Ort och datum                                                              Ort och datum

________________________                                       ________________________

Underskrift                                                                   Underskrift

________________________                                       ________________________

Namnförtydligande                                                       Namnförtydligande

 

Personuppgiftsansvarig                                               Personuppgiftsbiträdet

 

________________________                                       ________________________

Ort och datum                                                              Ort och datum

________________________                                       ________________________

Underskrift                                                                   Underskrift

________________________                                       ________________________

Namnförtydligande                                                       Namnförtydligande

Samtycke

Vi samlar in information i form av namn, personnummer, kontonummer, adress, telefonnummer, e-post, dokumentation av löne/medarbetssamtal, övriga dokument för att fullfölja vårt arbetsgivaransvar, närståendes namn och närståendes företagsuppgifter. 

Informationen samlas in av VA och det är Styrelsen för RMH Uppsala som är personuppgiftsansvarig. Vi delar aktuella personuppgifter med Rekab för löneadministrering. Vi delar dina uppgifter i form av namn och bild på vår hemsida, Instagram och FB.

Vi delar dina uppgifter i form av namn och bild i respektive Hus.

Samtycket är giltigt under den tid du är anställd hos RMH Uppsala. Du har rätt att när som helst ta tillbaka ditt samtycke. Detta gör du genom att kontakta 

Verksamhetschef: Lotta Sterning 076 00 11 085

Lotta.sterning@rmdbarnfond.se 

Observera dock att ett återkallande av ditt samtycke inte påverkar lagligheten av behandlingen innan samtycket återkallades. 

Du har även rätt att kontakta oss för att få information om vilka uppgifter som behandlas om dig eller för att begära rättelse, överföring, radering eller begränsning av dina personuppgifter. Du kan även kontakta vårt dataskyddsombud Lotta Sterning. Du har även rätt att inge klagomål till tillsynsmyndigheten Datainspektionen om du tycker att vi behandlar dina personuppgifter på ett felaktigt sätt. 

Samtycker du till ovanstående? 

☐Ja 

☐Nej

Vi kommer att överföra dina personuppgifter till Rekab för löneadministrering.

Samtycker du till ovanstående?

☐Ja 

☐Nej

Ort & Datum:                                         Namn:

 

Samtycke

Vi samlar in information i form av ditt namn, företag och eventuell bild och presenterar detta på vår hemsida under rubriken Styrelsemedlemmar.

Informationen samlas in av VA och det är Styrelsen för RMH Uppsala som är personuppgiftsansvarig. 

Samtycket är giltigt under den tid du är medlem och aktiv i Styrelsen för RMH Uppsala. Du har rätt att när som helst ta tillbaka ditt samtycke. Detta gör du genom att kontakta 

Verksamhetschef: Lotta Sterning, 076 00 11 085

Lotta.sterning@rmdbarnfond.se 

Observera dock att ett återkallande av ditt samtycke inte påverkar lagligheten av behandlingen innan samtycket återkallades. 

Du har även rätt att kontakta oss för att få information om vilka uppgifter som behandlas om dig eller för att begära rättelse, överföring, radering eller begränsning av dina personuppgifter. Du kan även kontakta vårt dataskyddsombud Lotta Sterning. Du har även rätt att inge klagomål till tillsynsmyndigheten Datainspektionen om du tycker att vi behandlar dina personuppgifter på ett felaktigt sätt. 

Samtycker du till ovanstående? 

☐Ja 

☐Nej

 

Ort & Datum:

 

…………………………………………………………………..

Namn:

………………………………………………………………….