General Data Protection Regulation (GDPR)

Dataskyddspolicy inom koncernen HKF Group enligt Europaparlamentets och Rådets förordning 2016/679

Företag som ingår i koncernen och omfattas av denna policy:

Höörs Konsult och Finans Bengt Andersson AB Smart Buy i Lödde AB Borett.se i Sverige AB HKF Development AB HKF Rebuilding AB HKF Logistic AB Höörsgård 50 AB Höörsgård 60 AB HKF Recreation AB
Inledning

Information om den nya EU-lagstiftningen – General Data Protektion Regulation (GDPR) som träder i kraft 2018-05-25 och de krav som ställs på den som behandlar personuppgifter har presenterats till samtliga företagsledare i HKF Group på ledningsmöte 2018-05-04. Företagsledningen har beslutat om att:

  1. Upprätta denna policy.
  2. Genomföra intern revision över de personuppgiftsregister som finns och se till att behandlingen av personuppgifter sker enligt denna policy.
  3. Informera de berörda vars personuppgifter hanteras i koncernen hur behandlingen av deras personuppgifter sker enligt GDPR.

HKF Group använder av grundläggande principer inom integritetsskydd är att inte samla in mer

information än vad som behövs, inte ha kvar informationen längre än nödvändigt och inte använda uppgifterna till något annat än vad som var syftet när de samlades in.

HKF Group’s företagsledning bestämmer att undvika att ha annat stöd för att hantera personuppgifter än en rättslig grund. Det får samlas och hanteras bara de uppgifter som är nödvändiga för att uppfylla våra skyldigheter enligt lagar och/eller avtal. Det ska starkt övervägas och i huvudregel ej registreras personuppgifter där det krävs ett samtycke eller en intresseavvägning; alla sådana fall skall speciellt dokumenteras med angivet skäll till varför de uppgifterna behövs och kontrolleras att ett skriftligt samtycke är inkommen förrän uppgiften kan registreras.

Omfattning av personuppgiftshanteringen inom HKF Group bedöms som liten eftersom de flesta kunder och leverantörer i registerna är juridiska personer. Anställdas personuppgifter begränsas till de uppgifter som kan användas enligt avtal och rättslig förpliktelse. Med denna grund beslutar företagsledningen att inte ha dataskyddsombud utan att utnämna kontaktpersoner ansvariga för hantering av personuppgifterna. Till de kontaktpersonerna tilldelas särskild behörighet för att registrera personuppgifter i företags ERP-system och föra övriga elektroniska register i lösenordskyddad mapp på företags server.  De som har den behörigheten är anställda på koncernens ekonomiavdelning.  

Typ av personuppgifter som registreras på företaget bedöms att inte vara särskild känsliga enligt vas som anges i §51 GDPR. Företagen inom koncern bedriver verksamheter som av sin karaktär inte behöver samla in känsliga personuppgifter därför förbjuder företagsledningen att registrera känsliga personuppgifter i företagets databaser och spara i företags e-post meddelade som innehåller känslig information om fysiska personer. 

De anställda och företagsledare som använder företagets e-post har personligt ansvar för att kontrollera att information med personuppgifter inte sparas i deras e-brevlådor utan snarast möjligt registreras i företagets databas och raderas. 

Känsliga personuppgifter (ras, etniskt ursprung, hälsa, sexuell läggning, personliga bedömningar) får varken skickas via mail, sparas eller registreras i företagets databas. Registrering av sådana personuppgifter i företags databas skall vara av extraordinär karaktär och speciellt dokumenteras som ett undantagsfall. 

Alla nuvarande och nya användare av företagets nätverk och e-post skall informeras om sitt ansvar med följande utkiks:

Tänk på det här när du skickar e-post!

  • Skicka aldrig känsliga personuppgifter via e-post, till exempel uppgifter om någons hälsa, religiösa åskådning eller politiska åsikter.
  • Undvik även att skicka andra integritetskänsliga uppgifter som exempelvis lönebesked via e-post.
  • För över personuppgifter till andra system och radera mejlet. Mejlar en anställd/kund/leverantör in personlig information registrera det som behövs i skyddade systemet och radera mejlet.
  • Spara aldrig mejl med personuppgifter ”för att det kan vara bra att ha”.
Kunder

Typer av kunder och register

De flesta kunder till bolag inom HKF Group är juridiska personer. Privata personer och enskilda näringsidkare förekommer sällan. 

Kassakunder: Lödde och Returkompaniet. Ingen kundregister.

Fakturakunder. Kundregister förs i Visma Administration. Om kunden är en privat person finns det i registret information som är nödvändig för att kunna uppfylla avtalsvillkor för att leverera produkt/tjänst, skicka fakturan, hantera eventuella reklamationer och ge efterservice, göra kreditupplysning, besvara eventuella förfrågningar från myndigheter: namn, personnummer, adress, telefon, e-postadress, bankkontonummer.

Inga omdömen, preferenser eller annan känslig information registreras.

 

Uppgifter om kunderna i pappersform finns på hyres-/ och -köpeavtal, nyckelkvittens. 

Hur länge sparas informationen

Avtalen förvaras i pärmar i kronologisk ordning i ett kassaskåp. Aktuella hyresavtal finns inskannade på server (Ekonomi). Tillgång till inskannade hyresavtal har personal som har speciell behörighet. Behörigheten ges av företagsledningen.

Hyresavtal som har upphört bevaras i 7 år (härrör bokföringsändamål) och sedan förstörs i dokumentförstörare. 

Gallring i Visma Administration över kunder och hyresavtal utförs en gång per år under oktober månaden. Det görs utvärdering och registervård av följande uppgifter:

  • Kunder som det finns ingen pågående kundrelation med raderas från kundregister i Visma Adminstration. 
  • Inskannade hyresavtal som har upphör under föregående år raderas från server. 

Vem som får se informationen

I vissa fall anlitar vi underleverantörer och i vissa fall bolag inom vår egen koncern för att kunna leverera våra tjänster och utföra våra uppdrag. Det innebär att även de behöver viss information om dig som kund. Dessa parter får dock inte använda dina personuppgifter för något annat ändamål än för att tillhandahålla tjänsten eller produkten, utföra våra uppdrag eller på de villkor som vi anger det kan även vara när det behövs för att agera i enlighet med dina anvisningar.  

Uppgifter kan lämnas andra mottagare där vi enligt lag eller myndighetsbeslut är skyldiga att lämna ut uppgifter.

Information om kundernas rättigheter 

De nya kunderna informeras om hur deras uppgifter behandlas i bilaga till hyresavtal. De befintliga kunderna per 25/5 får kortfattat information om vilken typ av uppgifter sparas och hur de används i tillsammans med första fakturan de får efter 25/5. 

Bolagen genom koncernen utgår ifrån att undvika registrera fler uppgifter än vad som behövs för att uppfylla avtalet och vad som behövs för att kunna rapportera till myndigheterna enligt lagen. Vid eventuell registrering av fler uppgifter om kunden än vad som behövs för att uppfylla avtalet skall ett skriftligt samtycke lämnas förrän uppgiften kan registreras. Samtycke bevaras tillsammans med de uppgifter som det avses att ge stöd till för att behandla.  

Kunder informeras om sin rätt att begära ut information från oss om de av personuppgifter som vi behandlar. Begäran till oss ska vara skriftlig och undertecknad och ska göras på papper. Om någon uppgift om kunden är felaktig eller ofullständig kan det begäras att vi rättar, ändrar eller tar bort den. Det lämnade samtycket för behandling personuppgifter där rättslig grund saknas kan närsomhelst återkallas.

Kontaktpersoner ansvariga för dataskydd kan nås på: ekonomi@hkfgroup.se.

Är du inte nöjd med hanteringen av dina personuppgifter så kan du vända dig till datainspektionen.

Leverantörer

De flesta företagets leverantörer är juridiska personer. Uppgifter om enskilda näringsidkare och uppgifter om kontaktpersoner på företagen är personuppgifter, och sådana personuppgifter är tillåtna att hantera för att hantera avtalet med leverantörerna. 

Det skall speciellt noteras och följas upp i leverantörsregister de fallen om en leverantör är enskild näringsidkare.  

Kontroll skall göras och uppgifterna raderas senast 7 år efter den senast inkomna leverantörsfakturan. 

Uppgifter till kontaktpersoner hos förtegets leverantörer skall raderas på begäran från personen eller senast 7 år efter den senast inkomna leverantörsfakturan.

Anställda

Uppgifter om arbetstagare gallras efter det att ett anställningsförhållande har upphört samt att åtagande i anslutning till anställningsförhållandet, t.ex. arbetsgivarens åtagande att utfärda ett tjänstgöringsintyg eller betyg, har fullgjorts. Gallringstiden för uppgifter i en personalakt sker inom 3 månader efter att anställningen upphör. Dokument i pappersform sparas i Personal-pärm, personalakt, Lön-pärm som bevaras på ekonomiavdelningen i ett kassaskåp med kodlås.

Undantag

Uppgifter som härrör till bokföringsändamål (t.ex. vissa löneuppgifter) måste sparas i 7 år efter det kalenderår då räkenskapsåret avslutades.

Nedan beskrivs exempel på dokument och hur de sparas:

Anställningsavtal
När anställningen upphör gallras avtalet, med undantag för att informationen om anställningstid måste sparas till dess arbetstagare fyllt 67 år (Lagen om anställningskydd).

Om de anställde har rätt till, att under vissa förutsättningar vid anställnings avslutande, återta sin anställning. Sparas anställningsavtal till dess att reglerna inte längre gör sig gällande.

CV och ansökningshandlingar
Dessa kan bli skäl för diskrimineringslagarna bör dessa för anställda sparas under hela anställningstiden, medan det för personer som inte erhöll anställning sparas i 2 år från att de ingivits. Tjänstgöringsintyg och vitsord måste sparas så länge som det kan bli föremål för tvist, i normalfallet innebär det minst 2 år från att de utfärdats.

Sjukdokument
De dokument som härrör till hantering av rehabilitering, läkarintyg och liknande dokument ska gallras ut så snart de inte längre behövs.

Arbetsmiljödokument
Dokument som berör hantering av arbetsmiljöfrågor skall sparas i minst 5 år efter det att de utfärdats (enligt Arbetsmiljöverket). Detta kan t.ex. gälla undersökningar, provning och intyg eller journaler.

Beslut från myndigheter

Beslut från myndigheterna som gäller enskilda anställda sparas i så länge ärende är aktuell samt anställningen pågår. Det sparas i personalakten. Bokföringsverifikationer om tex. utförda löneavdrag, utbetalningar till myndigheterna sparas i 7 år efter bokföringsår avslut.

Övriga Avtal
Dessa dokument ska normalt sparas så länge avtalet pågår och minst 2 år efteråt.

Hur gör vi för att förebygga personuppgiftsincidenter?

Vi har tillämpat organisatoriska, fysiska och tekniska säkerhetsåtgärder utformade för att skydda din information. Vi skyddar personuppgifter genom att tillämpa säkerhetsmetoder och åtgärder för att förhindra olämplig användning, obehörig åtkomst, ändring eller utlämning av informationen. 

Tillgång till personlig information begränsas till de som har ett affärsbehov av den. Inga säkerhetsåtgärder kan vara 100 % säkra. Vi ständig påminner oss om att vidta ytterligare åtgärder för att skydda personlig information. 

Vi skapar rutiner och ständigt jobbar med att förbättra vår behandling av personuppgifter. Installerar de senaste anti-virusprogrammen, stänger webbläsaren efter användning, håller användarnamn och lösenord hemliga och ser till att regelbundet uppdatera programvaror och applikationer för att säkerställa att de senaste säkerhetsfunktionerna finns på våra enheter.