Integritetspolicy

Integritetspolicy

Personuppgiftspolicy – Extern
Innehåll
Personuppgiftspolicy
Information om hur vi behandlar dina personuppgifter
Information om dina rättigheter

 

1. PERSONUPPGIFTSPOLICY
Det är viktigt för oss att du kan känna dig trygg när du lämnar personuppgifter till oss. Personuppgifter är all information som kan användas för att direkt eller indirekt identifiera en enskild fysisk person.
Vi arbetar strukturerat för att behandla personuppgifter på ett korrekt och lagligt sätt. Vi vidtar åtgärder för att säkerställa att dina personuppgifter alltid är skyddade hos oss och att de behandlingar vi gör sker i enlighet med gällande dataskyddsregler. I det här avsnittet beskriver vi övergripande om företagets rutiner för hanteringen av personuppgifter.

 

1.1. Roller och ansvar

 

1.1.1. Personuppgiftsansvarig
AD-Plast i Anderstorp Aktiebolag (org. nr 556062-5443) är personuppgiftsansvarig för behandlingen av dina personuppgifter.

 

1.1.2. Vem kontaktar jag vid frågor och när jag vill utöva mina rättigheter?
Frågor/rättigheter
Om du har några frågor om vår behandling av dina personuppgifter är du välkommen att kontakta oss.
e-post: info@ad-plast.se
Telefon: 0371-58 71 00

Klagomål
Om du inte är nöjd med det svar du har fått har du rätt att lämna klagomål till Integritetsskyddsmyndigheten (IMY). www.imy.se

 

1.2. Principer för vår personuppgiftsbehandling
Vi ska vara ansvarsfulla i vår hantering av personuppgifter, oavsett om det gäller anställda, kunder, leverantörer eller andra samarbetspartners. Frågor som på olika sätt berör behandling av personuppgifter finns i alla delar av vår verksamhet och vi uppmuntrar därför till att samtliga mötesagendor innehåller personuppgiftsbehandling som en avstämningspunkt.
Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Vi ska vara transparanta om vilka uppgifter vi hanterar och se till att de personer som på olika sätt finns registrerade hos oss kan göra sina rättigheter gällande på ett effektivt sätt.
Insamling av personuppgifter får endast ske för särskilda, uttryckligt angivna, och berättigade ändamål och vi ska bara samla in uppgifter som behövs för detta ändamål. Vi arbetar aktivt med att begränsa lagringen genom att gallra i enlighet med vår gallringspolicy och när det är lämpligt genom automatisk gallring. Vi ska med rimliga åtgärder se till att uppgifterna är korrekta.
För att kunna säkerställa och visa att vi lever upp till lagstiftningens krav har vi upprättat dokumentation som beskriver vårt dataskyddsarbete.

 

1.3. IT-säkerhet

 

1.3.1. Riskbedömning
Vi ska fortlöpande göra en riskbedömning av den behandling av personuppgifter som vi genomför. Vi ska vidta tekniska och organisatoriska åtgärder för att uppnå en säkerhetsnivå som är lämplig i förhållande till risken. Riskanalys och beslut om åtgärder ska dokumenteras.

 

1.3.2. Konsekvensbedömning
Om en behandling av personuppgifter, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska vi enligt Dataskyddsförordningen före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter: Konsekvensbedömning eller DPIA (Data Protection Impact Assessment).
Även för behandlingar som inte kräver en konsekvensbedömning ska vi, när det är lämpligt, genomföra en förenklad riskanalys. Analysen blir ett underlag för valet av tekniska och organisatoriska säkerhetsåtgärder.

 

1.3.3. Inbyggt dataskydd och dataskydd som standard
Vi ska proaktivt utvärdera möjligheterna att genomföra tekniska åtgärder, såsom till exempel pseudonymisering och uppgiftsminimering för att effektivt leva upp till kraven i GDPR och skydda den registrerades rättigheter.
Vi ska även genomföra lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas.

 

1.3.4. Behörigheter
Det ska finnas skriftliga behörighetsinstruktioner för samtliga IT-system som innehåller personuppgifter. Grundprincipen är att behörigheter ska tilldelas så att endast de personer som behöver tillgång till personuppgifterna har åtkomst. Beroende på uppgifternas känslighet kan behörigheterna vara snävare eller vidare och det påverkar även vårt behov av att kontrollera att behörigheterna efterlevs och är korrekta.

 

1.3.5. Upphandling av IT-tjänster
När vi upphandlar IT-tjänster, såsom programvara eller drift och support, ska vi först genomföra en risk- och sårbarhetsanalys och därefter välja lösning eller leverantör utifrån utfallet.
Vid anlitande av personuppgiftsbiträden ska vi endast anlita den som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i lagen och säkerställer att den registrerades rättigheter skyddas. De överväganden som görs, inklusive dokumentation av säkerhetsnivå, ska dokumenteras. Vidare ska vi teckna ett personuppgiftsbiträdesavtal med samtliga personuppgiftsbiträden.
Tredje land
Vi undviker om möjligt överföring av personuppgifter till tredje land (utanför EU/EES), men när det bedöms lämpligt eller nödvändigt får detta endast ske efter att tillräckliga säkerhetsåtgärder har vidtagits och dokumenterats.

 

1.3.6. Incidenthantering
Alla säkerhetsincidenter ska dokumenteras i en incidenthanteringslogg med uppgift om omständigheterna kring personuppgiftsincidenten, dess effekter och de korrigerande åtgärder som vidtagits. Med säkerhetsincident avses en händelse som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.
När lagen så föreskriver ska incidenter anmälas till Integritetsskyddsmyndigheten och de registrerade som drabbats av incidenten informeras.

 

1.3.7. IT-policy och IT-säkerhetspolicy
Vi har antagit en IT-policy och en Informationssäkerhetspolicy där våra anställdas och företagets förhållningssätt till IT-miljön regleras mer i detalj.

 

 

1.4. Register över behandling
Vi för ett register över våra personuppgiftsbehandlingar för vilka vi är personuppgiftsansvarig.

 

 

1.5. Utbildning
Våra anställda ska få relevant information och utbildning om behandling av personuppgifter i enlighet med separat årsplan för utbildning. Vid behov ges fördjupad eller riktad utbildning till dem som hanterar känsliga uppgifter. Deltagandet i utbildningar ska dokumenteras.

 

 

1.6. Uppföljning och intern revision
Efterlevnaden av denna policy ska kontrolleras i enlighet med företagets kvalitetsrevision. Vi ska löpande utvärdera om vårt dataskyddsarbete lever upp till lagstiftningens krav och genomföra förändringar när det är påkallat.

 

2. INFORMATION TILL REGISTRERADE
Vi behandlar de personuppgifter som lämnas till oss, till exempel i samband med att ett kundavtal skrivs eller genom att personer kontaktar oss, genom ett kontaktformulär, en anmälan på vår webbplats eller om någon använder våra digitala kanaler. I det här avsnittet informerar vi om hur vi behandlar dina personuppgifter.
Informationen är uppdelat i olika kategorier så att du lättare ska hitta vad som gäller dig. Om du är anställd hos AD-plast hittar du motsvarande information på vårt intranät.

 

 

2.1. Kontaktpersoner hos kunder
Ändamål med behandlingen och rättslig grund
Om du är kontaktperson och anställd hos någon av våra kunder kommer dina personuppgifter att behandlas i den mån det är nödvändigt för att kontakta kunden, administrera kundförhållandet och för att AD-plast ska kunna uppfylla sina åtaganden gentemot kunden. Behandlingen grundas på AD- plasts berättigade intresse av att kunna leva upp till det avtal eller det kundförhållande som uppstår vid exempelvis en beställning som kunden gör hos oss. Vi kommer också att behandla dina personuppgifter om det behövs för att marknadsföra våra tjänster till kunden med stöd av en intresseavvägning.
Mottagare av personuppgifter
Uppgifterna kan komma att lämnas ut till myndigheter i enlighet med vad som föreskrivs i lag, till eventuella samarbetspartners som levererar stödtjänster till företaget, bland annat marknadsföring, ekonomi och IT-tjänster och på det sätt och i den omfattning som krävs för att AD-plast ska kunna fullfölja sina åtaganden gentemot vår kund.
Överföringar till tredje land
AD-plast strävar efter att inte överföra uppgifter till ett land eller bolag placerat utanför EU/EES. Om det ändå skulle uppstå ett behov av en sådan överföring kommer vi vidta lämpliga skyddsåtgärder för att på bästa sätt skydda dina personuppgifter.
Lagring och gallring
Dina personuppgifter sparas så länge kundförhållandet kvarstår och därefter den tid som krävs eller är tillåten enligt vid var tid gällande lagstiftning och praxis. Om dina personuppgifter finns som referens i fakturaunderlag kommer de att bevaras i sju år enligt bokföringslagen. Om du avslutar din anställning hos vår kund kommer vi att radera dina personuppgifter när vi får information om det från dig eller din arbetsgivare.
Dina rättigheter
Som registrerad har du vissa rättigheter. Dessa framgår under avsnitt 3.

 

 

2.2. Kontaktpersoner hos leverantörer
Ändamål med behandlingen och rättslig grund
Om du är kontaktperson och anställd hos någon av våra leverantörer kommer dina personuppgifter att behandlas i den mån det är nödvändigt för att kontakta leverantören, administrera leverantörsförhållandet och för att AD-plast ska kunna uppfylla sina åtaganden gentemot leverantören. Behandlingen grundas på vårt berättigade intresse av att kunna leva upp till det avtal eller det leverantörsförhållande som uppstår vid exempelvis en beställning som AD-plast gör hos leverantören.
Mottagare av personuppgifter
Uppgifterna kan komma att lämnas ut till myndigheter i enlighet med vad som föreskrivs i lag, till eventuella samarbetspartners som levererar stödtjänster till oss, såsom IT-tjänster och på det sätt och i den omfattning som krävs för att vi ska kunna fullfölja våra åtaganden gentemot dig som registrerad.
Överföringar till tredje land
AD-plast strävar efter att inte överföra uppgifter till ett land eller bolag placerat utanför EU/EES. Om det ändå skulle uppstå ett behov av en sådan överföring kommer vi vidta lämpliga skyddsåtgärder för att på bästa sätt skydda dina personuppgifter.
Lagring och gallring
Dina personuppgifter sparas så länge leverantörsförhållandet kvarstår och därefter den tid som krävs eller är tillåten enligt vid var tid gällande lagstiftning och praxis. Om dina personuppgifter finns som referens i fakturaunderlag kommer de att bevaras i sju år enligt bokföringslagen. Om du avslutar din anställning hos vår leverantör kommer vi att radera dina personuppgifter när vi får information om det från dig eller din arbetsgivare.
Dina rättigheter
Som registrerad har du vissa rättigheter. Dessa framgår under avsnitt 3.

 

 

2.3 Kandidater (rekrytering)
Vi annonserar om våra lediga tjänster i dagspress, LinkedIn, Facebook och på vår webbplats. Om du söker jobb hos AD-plast kommer vi att behandla dina personuppgifter.
Ändamål med behandlingen och rättslig grund
Om du söker jobb hos AD-plast kommer vi att behandla dina personuppgifter i den omfattning som krävs för den aktuella rekryteringsprocessen.
Vi ser gärna att den information som du lämnar till oss är saklig och att du undviker att lämna uppgifter om dig som är integritetskänsliga och som inte är relevant för den aktuella anställningen.
Vi kommer att behandla dina personuppgifter med stöd av berättigat intresse. Behandlingen omfattar det underlag du skickar till oss, uppgifter från referenspersoner, samt eventuella arbetsprover och tester.
Mottagare av personuppgifter
Uppgifterna kan komma att lämnas ut till eventuella samarbetspartners som levererar stödtjänster till företaget, såsom IT-tjänster och på det sätt och i den omfattning som krävs för att AD-plast ska kunna fullfölja sina åtaganden gentemot dig som kandidat. Beroende på typ av tjänst kan dina personuppgifter komma att delas med rekryteringsföretag som anlitats av oss.
Överföringar till tredje land
AD-plast strävar efter att inte överföra uppgifter till ett land eller bolag placerat utanför EU/EES. Om det ändå skulle uppstå ett behov av en sådan överföring kommer vi vidta lämpliga skyddsåtgärder för att på bästa sätt skydda dina personuppgifter.
Lagring och gallring
Dina personuppgifter sparas så länge rekryteringen pågår och om du inte får anställningen bevars din ansökan i 2 år med hänvisning till diskrimineringslagens preskriptionstid.
Om du har skickat in en spontanansökan bevarar vi din ansökan under 3 månader innan vi raderar den.
Om dina personuppgifter finns i fakturaunderlag kommer de att bevaras i vår bokföring sju år enligt bokföringslagen.
Dina rättigheter
Som registrerad har du vissa rättigheter. Dessa framgår under avsnitt 3.

 

 

2.4 Besökare till vår webbplats
AD-plast kan komma att behandla dina personuppgifter om du besöker vår webbplats. AD-plasts webbplats använder kakor (cookies) som är små textfiler som samlar olika typer av information om hur du som besökare använder vår webbplats. Om och i så fall vilka personuppgifter vi behandlar om dig beror dels på vilka inställningar du har i din egen webbläsare dels på vilka inställningar du gjort när du landade på vår webbplats.
Du kan läsa om vilka kakor vi använder och hur vi använder dem i vår [länk till Cookiepolicy].

 

 

2.5 Besökare till våra sociala mediekanaler
AD-plast är personuppgiftsansvarig för de personuppgifter vi publicerar i våra sociala mediekanaler LinkedIn och Facebook. AD-plast har ett ansvar för att inte olämpliga eller kränkande inlägg publiceras i våra kanaler. Vi kommer i så fall att ta bort sådana inlägg omgående.
Ändamål med behandlingen och rättslig grund
Ändamålet med våra kanaler är att sprida information om vår verksamhet och våra tjänster till befintliga kunder och till potentiella nya kunder. Om du interagerar med någon av våra sociala mediekanaler kan vi utifrån en intresseavvägning använda dessa för att kontakta det företag eller organisation du företräder och informera om våra tjänster.
Mottagare av personuppgifter
Uppgifterna kan komma att lämnas ut till samarbetspartners som på uppdrag av oss levererar stödtjänster till företaget, såsom marknadsföringstjänster.
Överföringar till tredje land
AD-plast strävar efter att inte överföra uppgifter till ett land eller bolag placerat utanför EU/EES. Om det ändå skulle uppstå ett behov av en sådan överföring kommer vi vidta lämpliga skyddsåtgärder för att på bästa sätt skydda dina personuppgifter.
Lagring och gallring
Dina personuppgifter som du lämnar i form av interaktioner eller kommentarer där det framgår att du som individ är avsändare kommer att bevaras tills vidare eller tills det att du själv tar bort interaktionen eller kommentaren. Oönskade kommentarer kommer vi i förekommande fall att ta bort löpande.
Dina rättigheter
Som registrerad har du vissa rättigheter. Dessa framgår under avsnitt 3.

 

 

2.6 Deltagare på våra utbildningar, webinar & arrangemang
När du deltar i våra utbildningar, webinars eller andra arrangemang kommer vi att behandla dina personuppgifter som du lämnar till i oss i samband med anmälan.
Ändamål med behandlingen och rättslig grund
Ändamålet med behandlingen är att tillhandahålla utbildning, sprida information eller på annat sätt interagera med anställda hos våra befintliga eller blivande kunder och leverantörer. Vi stöder oss på den rättsliga grunden berättigat intresse.
Mottagare av personuppgifter
Uppgifterna kan komma att lämnas ut till samarbetspartners som levererar stödtjänster till oss framför allt ekonomi-, IT- och marknadsföringstjänster.
Överföringar till tredje land
AD-plast strävar efter att inte överföra uppgifter till ett land eller bolag placerat utanför EU/EES. Om det ändå skulle uppstå ett behov av en sådan överföring kommer vi vidta lämpliga skyddsåtgärder för att på bästa sätt skydda dina personuppgifter.
Lagring och gallring
Vi kommer att spara dina personuppgifter under 6 månader efter avslutat evenemang.
Om dina personuppgifter finns i fakturaunderlag kommer de att bevaras i vår bokföring sju år enligt bokföringslagen.
Dina rättigheter
Som registrerad har du vissa rättigheter. Dessa framgår under avsnitt 3.

 

 

2.7 Externa konsulter
Ändamål med behandlingen och rättslig grund
AD-plast kommer att behandla dina personuppgifter för att hantera konsultförhållandet. Det innebär att vi behandlar dina personuppgifter för att vid behov ge dig tillgång till AD-plasts IT-system och till våra lokaler. Vi kan kontrollera loggar från IT-system och inpasseringssystem i enlighet med vår informationssäkerhetspolicy.
Behandlingen grundas antingen på företagets berättigade intresse av att kunna leva upp till det avtal som är upprättat mellan AD-plast och din arbetsgivare eller på det konsultavtal som är upprättat mellan AD-plast och dig.
Mottagare av personuppgifter
Uppgifterna kan komma att lämnas ut till myndigheter i enlighet med vad som föreskrivs i lag, till eventuella samarbetspartners som levererar stödtjänster till företaget till exempel ekonomi och IT-tjänster och på det sätt och i den omfattning som krävs för att vi ska kunna fullfölja våra åtaganden gentemot vårt konsultförhållande.
Överföringar till tredje land
AD-plast strävar efter att inte överföra uppgifter till ett land eller bolag placerat utanför EU/EES. Om det ändå skulle uppstå ett behov av en sådan överföring kommer vi vidta lämpliga skyddsåtgärder för att på bästa sätt skydda dina personuppgifter.
Lagring och gallring
Dina personuppgifter sparas så länge konsultförhållandet kvarstår och därefter den tid som krävs eller är tillåten enligt vid var tid gällande lagstiftning och praxis.
Dina personuppgifter kan också ingå i projektdokumentation som kommer att bevaras under projekttiden och därefter den tid som krävs eller är tillåten enligt vid var tid gällande lagstiftning och praxis.
Dina personuppgifter som finns i fakturaunderlag kommer att bevaras i sju år enligt bokföringslagen.
Dina rättigheter
Som registrerad har du vissa rättigheter. Dessa framgår under avsnitt 3.

 

 

2.8 Kamerabevakning – besökare i våra fastigheter
Ändamål med behandlingen och rättslig grund
AD-plast bevakar sina fastigheter med kamera med stöd av en intresseavvägning, där vi bedömer att vårt intresse av att skydda våra fastigheter från inbrott och skadegörelse väger tyngre än det intrång i den registrerades integritet bevakningen innebär. Syftet med företagets digitala kamerabevakning är att avvärja inbrott, stölder samt sabotage.
I produktionslokalerna finns kamerabevakning för ändamålet att upptäcka och förhindra produktionsavbrott och behandlingen sker med stöd av en intresseavvägning. Produktionsbevakningen är avgränsad på ett sätt som gör att anställdas uppgifter behandlas i minimal utsträckning.
Mottagare av personuppgifter
Endast behörig inom bolaget har tillgång till materialet. Vid misstanke om brott kommer vi att anmäla händelsen och dela det inspelade materialet med Polismyndigheten.
Överföringar till tredje land
Det sker ingen överföring av personuppgifter till tredje land.
Lagring och gallring
Vi lagrar inspelat material i 3 dagar.
Dina rättigheter
Som registrerad har du vissa rättigheter. Dessa framgår under avsnitt 3.

 

3. DINA RÄTTIGHETER
Som registrerad har du vissa rättigheter. Rättigheterna utgår från dataskyddsförordningen och de framgår nedan. När du vill utnyttja dina rättigheter är du välkommen att kontakta oss.
Svar från oss inom en månad
När du utnyttjar dina rättigheter är vår utgångspunkt att följa din begäran och återkoppla till dig senast inom en månad från det att du kontaktat oss. Vi kommer alltid att besvara din begäran skriftligen.
Generella undantag från rättigheten
Beroende på vilken laglig grund vi stödjer vår behandling på och ändamålet med behandlingen kan det finnas undantag eller begränsningar till din möjlighet att utöva dina rättigheter.
Om begäran är uppenbart orimlig eller ogrundad, särskilt med tanke på om den sker på ett återkommande sätt, får AD-plast antingen ta ut en avgift eller vägra att tillmötesgå begäran. AD-plast ska i så fall kunna visa att begäran är uppenbart ogrundad eller orimlig.

 

 

3.1. Tillgång till dina personuppgifter, registerutdrag
Du har rätt att begära att få en bekräftelse från oss om hur vi behandlar personuppgifter som rör dig, samt i sådant fall begära tillgång till de personuppgifter som vi behandlar om dig, ett så kallat registerutdrag.
Undantag från rättigheten
Det kan finnas bestämmelser i annan lagstiftning eller att ett utlämnande av informationen medför nackdelar för andra.

 

 

3.2. Begära rättelse av felaktiga uppgifter
Du har rätt att begära att få felaktiga uppgifter rättade om de är felaktiga. Du har även rätt att komplettera med relevanta personuppgifter som saknas hos den personuppgiftsansvariga.
Undantag från rättigheten
Inga särskilda undantag.

 

 

3.3. Begära att få sina uppgifter raderade
Du har rätt att begära att få dina uppgifter raderade.
Undantag från rättigheten
Rätten till radering gäller inte om behandlingen är nödvändig för att uppfylla en rättslig förpliktelse enligt unionsrätten eller nationell rätt eller för att vi ska kunna fastställa, göra gällande eller försvara rättsliga anspråk till exempel betalningsanspråk.

 

 

3.4. Begära att behandlingen under vissa omständigheter begränsas
Du har rätt att begära att vår behandling av dina personuppgifter under vissa omständigheter begränsas.
Möjligheten till begränsning gäller om: a) den registrerade bestrider personuppgifternas korrekthet; b) behandlingen är olaglig och den registrerade motsätter sig att uppgifterna raderas i stället begär en begränsning av deras användning; c) den personuppgiftsansvarige behöver inte längre uppgifterna men den registrerade behöver uppgifterna för att kunna fastställa, göra gällande eller försvara rättsliga anspråk; eller d) den registrerade har invänt mot behandlingen enligt artikel 21.1 (GDPR) i vänta n på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl.

 

 

3.5. Begära rätten till dataportabilitet
Du har rätt att begära att få å ut de personuppgifter som rör dig och som du har tillhandahållit oss i ett strukturerat, allmänt använt och maskinläsbart format och ha rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig.
Undantag från rättigheten
Rätten till dataportabilitet gäller endast behandlingar som sker med stöd av samtycke enligt 6.1(a) eller 9.1(a) eller med stöd av ett avtal som tecknats med dig enligt artikel 6.1(b).

 

 

3.6. Begära rättelse av felaktiga uppgifter
Du har rätt att begära att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör dig rättade. Beroende av ändamålet med behandlingen, har du också rätt att komplettera ofullständiga personuppgifter.