Inledning
Sekretesspolicyn fastställer de principer, rutiner, ansvar och den övervakning som iakttas i genomförandet och utvecklingen av Botniarosk Ab:s dataskydd. Denna sekretesspolicy gäller behandling av personuppgifter där Botniarosk är personuppgiftsansvarig.
I denna policy fastställs de dataskyddsprinciper som hänför sig till verksamheten med beaktande av de dataskyddskrav som EU:s allmänna dataskyddsförordning medför. Policyn gäller hela personalen och de intressentgrupper som inom ramen för sina uppgifter behandlar uppgifter som ägs eller administreras av Botniarosk Ab.
Policyn finns på intranätet och på hemsidan.
Policyn bifogas vid behov till uppdragsavtalen.

Definition av dataskydd
Rätten till skydd av personuppgifter är var och ens grundläggande rättighet. Det innebär att behandlingen av personuppgifter å ena sidan ska vara ändamålsenlig och å andra sidan alltid ha ett visst ändamål och ske med samtycke av den berörda personen eller med stöd av någon annan legitim grund som har fastställts i lag. Med skydd av personuppgifter avses även var och ens rätt att få tillgång till de uppgifter som har samlats in om honom eller henne och att vid behov även få de uppgifter som har samlats in om honom eller henne ändrade eller raderade om rättelsen av uppgifterna är nödvändig och övrig lagstiftning inte hindrar det.

Målen och principerna för dataskyddet
I Botniarosk Ab:s verksamhet genomförs principen om inbyggt dataskydd och dataskydd som standard. De registrerades rättigheter tillgodoses genom dokumentation och instruktioner om vilken praxis som tillämpas vid behandling av personuppgifter. Personuppgifterna behandlas lagligt och korrekt, och i verksamheten insamlas och används endast personuppgifter som är nödvändiga för skötseln av de uppgifter som ålagts bolaget. I behandlingen av personuppgifter genomförs en högkvalitativ och laglig behandling av personuppgifterna.

Genomförande av dataskyddet
Botniarosk Ab vill genomföra principen om inbyggt dataskydd och dataskydd som standard och integrera dataskyddsprinciperna och -kraven redan i ett tidigt skede av behandlingen av personuppgifter.
På så vis säkerställs att behandlingen uppfyller kraven i dataskyddsförordningen. Dataskydd som standard innebär att endast sådana personuppgifter samlas in i verksamheten som är nödvändiga för skötseln av de uppgifter som ålagts bolaget. Personuppgifterna förstörs när den lagringstid som anges i registret över behandlingen har löpt ut. Personuppgifter får endast behandlas av dem som behöver personuppgifterna i sina arbetsuppgifter. De registrerades rättigheter säkerställs, och personuppgifterna skyddas genom nödvändiga datasäkerhetsåtgärder.
Behandlingen av personuppgifter sker på en grund som har fastställts i lag eller med samtycke av den berörda personen. Man försöker säkerställa att de uppgifter som används är korrekta, och uppgifterna uppdateras av personen själv eller utifrån tillförlitliga källor. Uppgifterna lämnas inte ut för andra ändamål.
Botniarosk Ab kan som personuppgiftsansvarig anlita externa personuppgiftsbiträden. Som avtalspart väljs endast personuppgiftsbiträden som följer god praxis vid behandlingen av personuppgifter med hjälp av lämpliga tekniska och organisatoriska åtgärder och som uppfyller kraven i dataskyddsförordningen. Vid upphandlingar som innefattar behandling av personuppgifter beaktas dataskyddsaspekterna redan i upphandlingens planeringsskede, och de inkluderas i anbudsförfrågan. Externa personuppgiftsbiträden får instruktioner om behandlingen av personuppgifter.

Process som följs när en registrerad begär att få uppgifter
Botniarosk Ab följer en fastställd process och anvisningar för förfarandet när registrerade utövar sin rätt att få tillgång till sina personuppgifter. Ett förfarande enligt denna process tillämpas i de situationer där de registrerade vill få tillgång till sina personuppgifter i registren. Bland annat registerbeskrivningarna innehåller anvisningar till kunderna om hur den registrerade själv kan få tillgång till sina uppgifter.

Personalens dataskyddsutbildning
Man ser till att personalen har tillräcklig dataskyddskompetens genom personalmöten, utbildning och information.
Även nyanställda i organisationen får systematisk introduktion i dataskyddsfrågor. Detta understryks särskilt i arbetsuppgifter som innefattar behandling av personuppgifter och genomförande av processer som tillgodoser de registrerades rättigheter. Personalen informeras om sekretesspolicyn, och den uppdateras efter behov. Alla är bundna av den tystnadsplikt som fastställs i arbetsavtalet.

Tillvägagångssätt i undantagssituationer samt anmälningsskyldighet
Botniarosk Ab:s tillvägagångssätt i krissituationer grundar sig på en lagstadgad beredskapsplan. Verkställande direktören leder beredskapsarbetet. Verkställande direktören har huvudansvaret för dataskyddet, men var och en i personalen deltar i upprätthållandet av dataskyddet som en del av det egna allmänna verksamhetsansvaret. Var och en sörjer för dataskyddet för sin samarbetspartners del, även när behandlingen av personuppgifter läggs ut på underleverantörer.
Med en situation som äventyrar dataskyddet avses verksamhet som strider mot den lagstiftning som rör behandling av personuppgifter, denna sekretesspolicy eller de anvisningar som har utfärdats på basis av den. Om den verksamhet som äventyrar dataskyddet uppfyller det rekvisit för straffbar verksamhet som beskrivs i lagstiftningen överlämnas ärendet till myndigheterna för utredning. Om verksamheten inte uppfyller ovanstående rekvisit men äventyrar dataskyddet kan påföljden vara en anmärkning, varning eller uppsägning.
Om en personuppgiftsincident inträffar har Botniarosk Ab som personuppgiftsansvarig en anmälningsskyldighet gentemot tillsynsmyndigheten och den registrerade. Enligt dataskyddsförordningen ska en anmälan till tillsynsmyndigheten göras inom 72 timmar efter att en personuppgiftsincident har uppdagats. Den registrerade underrättas om personuppgiftsincidenten utan onödigt dröjsmål.

Fastställande av sekretesspolicyn
Botniarosk Ab:s styrelse fastställde sekretesspolicyn den 24 maj 2018.

 


Centrala begrepp

Dataskydd
Med dataskydd avses åtgärder som syftar till att skydda en persons integritet vid behandling av personuppgifter.

Datasäkerhet
Arrangemang genom vilka man försöker säkerställa uppgifternas tillgänglighet, integritet och konfidentialitet.

Sekretesspolicy
Sekretesspolicyn har fastställts av ledningen och är ledningens syn på målet och principerna för dataskyddet samt på hur det ska genomföras.

Personuppgift
All information som berör en identifierad eller identifierbar fysisk person (t.ex. namn, personbeteckning eller foto). En identifierbar person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, en lokaliseringsuppgift, onlineidentifikatorer eller en eller flera faktorer som är specifika för personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

Personuppgiftsbiträde
En fysisk eller juridisk person, myndighet, institution eller annat organ som behandlar personuppgifter på uppdrag av den personuppgiftsansvarige.

Behandling av personuppgifter
Alla typer av åtgärder beträffande personuppgifter som utförs antingen med hjälp av automatisk databehandling eller manuellt. Behandling är till exempel insamling, registrering, organisering, strukturering, lagring, bearbetning, framtagning, användning, utlämning, spridning eller tillhandahållande på annat sätt, justering, sammanförande, begränsning, radering eller förstöring av personuppgifter.

Personuppgiftsincident
En säkerhetsincident som leder till olaglig behandling av personuppgifter. Incidenten leder till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande av eller obehörig åtkomst till de personuppgifter som har överförts, lagrats eller på annat sätt behandlats.

Personuppgiftsansvarig
En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller i samarbete med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter.

Registrerad
Person vars personuppgifter behandlas.

Registerbeskrivning, dataskyddsbeskrivning
Ett dokument som den personuppgiftsansvarige kan upprätta och göra allmänt tillgängligt. Det ska beskriva behandlingen av personuppgifter i en kortfattad, öppen och lättbegriplig form.

Register över behandling
Organisationens interna dokument som syftar till att åskådliggöra behandlingen av personuppgifter och visa att personuppgifter behandlas i enlighet med dataskyddslagstiftningen. På begäran ska dokumentet göras tillgängligt för tillsynsmyndigheten.

Konsekvensbedömning
En bedömning av vilka konsekvenser den planerade behandlingen av personuppgifter har för dataskyddet och individens friheter. Om behandlingen sannolikt innebär en stor risk för individens rättigheter och friheter ska den personuppgiftsansvarige innan behandlingen inleds göra en bedömning av konsekvenserna för dataskyddet och fastställa vilka åtgärder som ska vidtas för att risken ska kunna hanteras.

Inbyggt dataskydd och dataskydd som standard
Att i ett tidigt skede integrera dataskyddsprinciper i behandlingen av personuppgifter. Att beakta principerna i samband med fastställandet av medlen för behandlingen samt vid själva behandlingen för att säkerställa att behandlingen uppfyller kraven i dataskyddsförordningen. Den personuppgiftsansvarige ska genomföra nödvändiga tekniska och organisatoriska åtgärder och förfaranden för att bland annat
• i standardfallet samla in endast personuppgifter som är oumbärliga och nödvändiga för ändamålet med behandlingen
• uppgifter inte ska samlas in eller lagras i större mängd eller under längre tid än vad som är nödvändigt för ändamålet
• personuppgifter i standardfallet inte ska göras tillgängliga för ett obegränsat antal fysiska personer
• säkerställa att de registrerades rättigheter tillgodoses
Det ska säkerställas att kraven i dataskyddsförordningen uppfylls för de personuppgifter som behandlas från definitionsfasen och ända fram till slutet av livscykeln