GDPR, personuppgifter och dataskydd – Policy

Från och med den 25 maj 2018 gäller den nya dataskyddsförordningen (GDPR) istället för den gamla personuppgiftslagen (PUL) som lag i alla EU:s medlemsländer. Syftet med dataskyddsförordningen är att skydda enskilda personer mot felaktig användning av deras personuppgifter.

Personuppgifter är all slags information som kan knytas till en fysisk person som är i livet, som exempelvis personnummer, namn och adress – och i vissa fall även bild. Anställningsavtal, kundavtal och bokföring är exempel där företag måste registrera och hantera personuppgifter (men bara de uppgifter som behövs). Här behövs inte samtycke.

Du kan läsa mer om dataskyddsförordningen här: https://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/ Ansvarig för frågor rörande denna policy hos oss är City Studios Sweden AB (orgnr 556752-4540).

Om du som kund vill avtala fram specialbehandling av dina personuppgifter, så hör gärna av dig så ska vi se vad vi kan göra.

För att kunna utföra vårt bolags dagliga verksamhet och för att fullfölja de avtal vi har med våra anställda samt kunder, använder vi oss av tredjepartstjänster så som exempelvis (en ej begränsat till) webbhotell, emailserver, fillagrings- och överföringstjänster, tjänster för kundregister, bokföring, fakturering och inkasso, kreditupplysning, retuschering, bild- och filmproduktion. Dessa tjänster kan erhållas från företag både inom och utanför EU. I användandet av vissa av dessa tjänster behandlar vi personuppgifter.

Förteckning förs separat av bolaget över:

  • när uppgifter insamlas
  • vilka uppgifter som insamlas
  • vilka register som förs
  • vem som har tillgång till dem
  • hur uppgifterna används

§1
De rutiner som hanteras av denna policy ska årligen ses över och vid behov revideras i förhållande till nya lagar och förordningar, ny teknik etc.

§2
Vid varje form av aktiv insamling av personuppgifter ska tydlig information ges om:

  • Denna policy
  • Vilka uppgifter som samlas in
  • Vad uppgifterna ska användas till
  • Hur länge uppgifterna sparas
  • Dessutom ska tydligt och spårbart (exempelvis skriftligt) samtycke för denna insamling införskaffas

§3
Vi samlar inte in fler personuppgifter än nödvändigt

§4
Vi samlar endast in personuppgifter för ett visst, i förväg bestämt ändamål

§5
Uppgifter insamlade för ett specifikt ändamål, får inte användas för ett annat ändamål utan nytt samtycke.

§6
Vi sparar inte insamlade uppgifter längre än nödvändigt.

§7
Vi skickar inte direktreklam till någon som sagt nej till det.

§8
Varje år rensas all persondata bort som inte längre behövs för vår verksamhet. Praxis är att personuppgifter om en tidigare kund i normala fall får användas för marknadsföringsändamål under ett års tid efter att kundrelationen har upphört. Om en kund uppmanar oss att ta bort dennes personuppgifter ur alla våra register ska detta ske skyndsamt, och dokumenteras skriftligt.

§9
Alla dokument och register med personuppgifter ska endast göras tillgängligt för de inom företaget som behöver tillgång för sitt arbete inom företaget.

§10
Enstaka personuppgifter eller register samt lösenord för tillgång till dessa får endast laddas ner, kopieras och sparas varaktigt i datorer, mobiltelefoner etc. om detta krävs för personens arbete inom företaget. Lösenord ska väljas med omsorg, och hanteras på ett ansvarsfullt och säkert sätt. Företaget får skapa lösenordsskyddad backup av register med personuppgifter som skydd mot dataförlust.

§11
Om en ”personuppgiftsincident” sker så måste detta rapporteras till Datainspektionen inom 72 timmar. En sådan incident kan till exempel vara ett USB-minne med personuppgifter som tappats bort, ett dataintrång på en av företagets servrar eller att någon anställd obehörigt tagit del av personuppgifter.

§12
För en person vars personuppgifter insamlats av oss, finns möjligheten att lämna klagomål till tillsynsmyndigheten (som i Sverige är Datainspektionen) om denne anser att dennes personuppgifter har hanterats felaktigt.