Dataskyddspolicy Event Logic


Bakgrund och översikt

Introduktion

Event Logic Sweden AB (i förtsättningen benämnd “EL”) behöver insamla och använda vissa uppgifter om enskilda personer.

Dessa personer inkluderar, men är inte begränsade till, kunder, leverantörer, affärskontakter, anställda och andra personer som är kopplade till organisationen eller som kan bli kontaktade.

Denna policy beskriver hur en enskild persons uppgifter samlas in, hanteras och lagras för att möta bolagets dataskyddsstandarder – och för att följa lagen. Vidare ger den här policyn de meddelanden till individer vars uppgifter EL behandlar som krävs enligt lag.


Varför denna policy existerar

Denna dataskyddspolicy säkerställer att EL:

  • Uppfyller de lagstadgade villkoren för personuppgiftsskydd och dataskydd, och att man använder goda metoder.
  • Skyddar och säkerställer rättigheterna hos personal, kunder och partners.
  • Är öppen om hur man lagrar och behandlar varje individs uppgifter.
  • Skyddar sig själv från brott mot datasäkerheten.

Dataskyddslagen

EL lyder under EUs allmäna uppgiftsskyddsförordning General Data Protection Regulation (“GDPR”), vilken reglerar hur EL samlar in, hanterar och lagrar personuppgifter. Då EL är ett internationellt bolag kan lokala variationer förekomma. Dock har EL sitt huvudsakliga verksamhetsställe i Sverige.

Dessa regler gäller oavsett om uppgifter lagras elektroniskt eller på papper eller på annat material.

För att följa lagen måste insamlade personuppgifter användas korrekt, lagras säkert och inte rättsstridigt röjas.

GPDR grundas på sju viktiga principer. Enligt dessa principer måste personuppgift:

  1. Behandlas korrekt och lagligt.
  2. Insamlas endast för speciella, lagliga ändamål.
  3. Vara adekvat, relevant och inte orimligt omfattande.
  4. Vara korrekt och hållas uppdaterad.
  5. Inte lagras längre än nödvändigt.
  6. Behandlas på ett sätt som garanterar att GDPR följs.
  7. Skyddas på lämpliga sätt.



Meddelanden om integritetsskydd

Vilka uppgifter samlas in

Denna policy gäller för alla uppgifter som bolaget lagrar som berör identifierade eller identifierbara personer. Detta kan innefatta:

  • Individnamn
  • Postadresser
  • E-postadresser
  • Telefonnummer
  • Hälsouppgifter beträffande matallergier eller handikapp
  • Uppgifter avseende persons yrke
  • Elektroniskt identifierbara uppgifter såsom IP-adresser, cookies, information om historik för anslutningar osv.
  • …plus andra personuppgifter

Hur EL använder insamlade uppgifter.

EL samlar in uppgifter avseende individer av flera anledningar, dessa anledning kan inkludera:

  • Administration av evenemangsregistrering.
  • Administration avseende partners och tjänsteleverantörer.
  • För statistikändamål och vidare utveckling av EL.
  • Marknadsföringsändamål för framtida evenemang.

Överföring av personuppgifter till tredje part

Uppgifterna kan, förutom av EL och arrangören, komma att överföras till och behandlas av leverantörer av tjänster för evenemang och resor (såsom företag inom rese-, turist-, hotell och fritidsartikelbranschen). Tjänsteleverantörer (såsom IT-leverantörer) till antingen EL, arrangören eller leverantörerna kan också komma att behandla personuppgifterna. Dessa tjänsteleverantörer kan befinna sig i tredjeland (utanför EES). EL ska tillse att dess tjänsteleverantörer uppfyller kraven för överföring till tredjeland som ställs i artikel 44-50 i dataskyddsförordningen. Detta kan innebära att landet till vilken överföringen sker anses ha en adekvat skyddsnivå eller att tjänsteleverantören är Privacy Shield-certifierad. Uppgifterna kan också komma att överföras till andra om det är nödvändigt för att vi skall fullgöra en lagstadgad skyldighet, efterkomma myndighetsbeslut eller beslut av domstol.


Gallring

EL lagrar personuppgifter enligt EL:s interna gallringspolicy. Personuppgifter lagras inte längre än nödvändigt.


Rätt att få tillgång till uppgifter

En person har rätt att begära information från EL eller, när EL agerar som personuppgiftsbiträde, från respektive arrangör, avseende hur personuppgifter används. EL kommer, på individs begäran eller på eget initiativ, att rätta eller radera felaktiga uppgifter, eller begränsa sin behandling av dessa uppgifter. En individ har också rätt att begära att personuppgift inte behandlas för direktmarknadsföringsändamål. Vidare är en individ berättigad att begära att personuppgifterna överförs till dem eller till en annan dataregistreringsansvarig i ett maskinläsbart format. En fullständig lista på individs rätt att få tillgång till uppgifter kan hittas under rubriken “Registrerads begäran att få tillgång tillgång till uppgifter” nedan.

Om en individ är missnöjd med EL:s behandling av personuppgift kan ett klagomål lämnas till en tillsynsmyndighet, vilken i Sverige är Datainspektionen (www.datainspektionen.se). En individ kan också kontakta tillsynsmyndigheten i det land individen bor eller arbetar i.

En begäran kan sändas med e-post till support@eventlogic.se eller till EventLogic Sweden AB, Drakegatan 4, 412 50 Göteborg.




Folk, risker och ansvar

Omfattning

Denna policy gäller för:

  • EL:s högkvarter
  • Alla EL:S filialer
  • All personal och frivilliga hos EL
  • Alla entrepenörer, under-entrepenörer, leverantörer och andra personer som arbetar på EL:s vägnar

Dataskyddsrisk

Denna policy hjälper till att skydda EL från mycket konkreta datasäkerhetsrisker, inklusive:

  • Konfidentialitetsbrott. Exempelvis om information lämnas ut på ett olämpligt sätt.
  • Valmöjlighet inte erbjuds. Exempelvis att alla individer ska fritt få välja hur bolaget använder deras personuppgifter.
  • Skada på persons anseende. Exempelvis att bolaget kan lida skada om hackare fått tillgång till känsliga uppgifter.

Ansvar

Alla som arbetar för eller med EL är ansvariga för att se till att alla uppgifter som samlats in lagras och hanteras korrekt.

Varje team som hanterar personuppgifter måste se till att dessa hanteras och behandlas i linje med denna policy och de 8 dataskyddsprinciperna.

Dessa personer har dock nyckelansvarsområden:

  • Styrelsen är ytterst ansvarig för att se till att EL följer lagen.
  • VD, Erik Windzer, är ansvarig för att:
    • Hålla styrelsen uppdaterad avseende ansvar för, risker och problem med dataskydd.
    • Granska alla dataskyddsprocedurer och tillhörande policies, så att de följer ett överenskommet schema.
    • Hålla dataskyddsutbildning och -råd för personer som omfattas av denna policy.
    • Hantera dataskyddsfrågor från personal och de som för övrigt omfattas av denna policy.
    • Hantera frågor från individer vad beträffar tillgång till och insyn i uppgifter som EL lagrat om dem (även kallat ‘Registrerads begäran att få tillgång till uppgifter’).
    • Kontrollera och godkänna kontrakt eller avtal med tredjepart som kan komma att hantera bolagets känsliga data.
    • Godkänna eventuella dataskyddspåståenden som lagts till kommunikation som till exempel e-post och brev.
    • Hantera eventuella dataskyddsfrågor från journalister eller medier som till exempel tidningar.
    • När så är nödvändigt arbeta med annan personal för att se till att marknadsföringsinitiativ följer dataskyddsprinciperna.
  • CTO, Johan Windzer, är ansvarig för att:
    • Se till att alla system, tjänster och all utrustning som används för att lagra uppgifter följer acceptabla säkersstandarder
    • Utföra regelbundna kontroller och skannrar för att säkerställa att all säkerhetshårdvara och -mjukvara fungerar korrekt.
    • Utvärdera eventuell tredjepartstjänst som bolaget funderar på att utnyttja för att lagra eller behandla uppgifter. Till exempel molntjänstleverantörer.

Generella riktlinjer för anställda

  • De enda personer som ska ha tillgång till uppgifter som omfattas av denna policy ska vara de som behöver det för sitt arbete.
  • Uppgifter ska inte delas ut informellt. När tillgång till konfidentiell information behövs kan anställd begära detta från sina linjechefer.
  • EL kommer att utbilda alla anställda för att hjälpa dem förstå sitt ansvar när de hanterar uppgifter.
  • Anställd ska hålla alla uppgifter säkra genom att vidta vettiga åtgärder och följa nedanstående riktlinjer.
  • Framför allt måste starka lösenord användas och dessa ska aldrig avslöjas.
  • Personuppgift ska inte avslöjas för obehöriga personer, antingen inom bolaget eller utanför.
  • Uppgifter ska regelbundet kontrolleras och uppdateras om de visar sig vara inaktuella. Om uppgifterna inte längre behövs ska de raderas permanent.
  • Personal ska begära hjälp från sin linjechef eller dataskyddsombudet om de är osäkra på någon aspekt av uppgiftsskydd.



Uppgiftslagring

Dessa regler beskriver hur och när uppgifter ska lagras på ett säkert sätt. Frågor avseende säker uppgiftslagring kan ställas till IT-chefen eller dataregistreringsansvarig.

Om uppgifter behövs lagras på papper ska dessa förvaras på ett säkert ställe där obehöriga personer inte kan se dem.

Dessa riktlinjer gäller även för uppgifter som normal lagras elektroniskt men som av olika anledningar har skrivits ut:

  • När de inte behövs ska papper eller mapp placeras i en låst låda eller dokumentskåp.
  • Anställda ska säkerställa att papper och utskrifter inte lämnas där obehöriga personer kan se dem, till exempel på en skrivare.
  • Uppgiftsutskrifter ska strimlas och bortskaffas på ett säkert sätt när de inte behövs längre.

När uppgifter lagras elektroniskt måste de skyddas från obehörig åtkomst, radering av misstag och hackningsförsök i skadligt syfte:

  • Uppgifter ska vara skyddade av starka lösenord som byts regelbundet och som aldrig avslöjas för andra medarbetare.
  • Om uppgifter lagras på löstagbara medier (typ en CD eller DVD) ska dessa hållas i säkert låst förvar när de inte utnyttjas.
  • Uppgifter ska bara lagras på angivna hårddiskar och servrar och bara överföras till godkända molntjänster.
  • Servrar som innehåller persondata ska vara lokaliserade på ett säkert ställe borta från generella kontorsytor.
  • Uppgifter ska säkerhetskopieras ofta. Dessa säkerhetskopior ska testas regelbundet i linje med bolagets standardprocedurer för säkerhetskopior.
  • Uppgifter ska aldrig sparas direkt på bärbar dator eller andra mobila enheter typ surfplattor och smarta telefoner.
  • Alla servers och datorer som innehåller uppgifter ska vara krypterade och skyddade av godkänd säkerhetsmjukvara och en brandvägg (se Säkerhetspolicy för system)



Användning av uppgifter

Personuppgifter har inget värde för EL om inte bolaget kan använda dem. Dock är det när man ges tillgång till och använder personuppgifter som de löper störst risk för förlust, förvanskning av data eller stöld:

  • När man arbetar med personuppgifter ska anställda säkerställa att skärmen på deras dator alltid är låst när den lämnas obemannad.
  • Personuppgift ska inte delas informellt. Speciellt ska den aldrig sändas med e-post då denna typ av kommunikation inte är säker.
  • Uppgift måste krypteras innan den överförs elektroniskt (se nedan). IT-chefen kan förklara hur man sänder uppgifter till godkända externa kontakter.
  • Anställda ska aldrig spara kopior på personaluppgifter på deras egna datorer eller elektroniska enheter.Se till att alltid få tillgång till och uppdatera den huvudsakliga kopian av någon uppgift.
  • Anställda ska inte aktivt söka någon information som de inte använder för att sköta sitt jobb.



Noggrannhet i uppgifterna

Lagen kräver att EL vidtar rimliga åtgärder för att säkerställa att uppgifter är korrekta och uppdaterade.

Ju viktigare det är för personuppgifter att vara korrekta desto större ansträngning ska EL lägga på att säkerställa dess korrekthet.

Alla anställda som arbetar med uppgifter har ett ansvar att se till att rimliga åtgärder tas för att säkerställa att uppgifterna hålls så korrekta och uppdaterade som möjligt.

  • Uppgifter ska hållas på så få platser som möjligt. Anställda ska inte skapa onödiga extra datamängder.
  • Anställlda ska ta alla tillfällen i akt för att säkerställa att uppgifter är uppdaterade.Till exempel genom att bekräfta en kunds detaljer när de ringer.
  • EL ska göra det lätt för uppgiftslämnare att uppdatera informationen som EL lagrar om dem. Till exempel uppdatering via bolagets hemsida.
  • Uppgifter ska uppdateras när och då felaktigheter upptäcks. Till exempel om en kund inte längre kan nås på sitt lagrade telefonnummer så ska kunden raderas från databasen.



Kryptering av uppgifter

  • Lokala datalagringsenheter (PC/mobil/platta/osv) som innehåller fungerande kopior av uppgifter från EL måste alltid krypteras på partitionsnivå genom användande av en standard motsvarande eller bättre än AES128. För Windows operativsystem är BitLocker att föredra och för OS X ska vänligen FileVault användas.
  • Uppgifter som överförs externt ska alltid vara krypterade med användning av en standard som är likvärdig med eller bättre än AES128. Partnerkompetenser och förkärlekar kan variera, så 7-zip är den metod som föredras när det gäller muntliga lösenord. För kryptering baserad på öppna nycklar ska vänligen OpenSSL med eller utan GUI användas.



Registrerads begäran att få tillgång till uppgifter

Alla individer som har personuppgifter lagrade hos EL är berättigade till att få bekräftelse om personuppgifter som berör honom eller henne behandlas eller ej, och, när så är fallet, tillgång till personuppgift och följande information:

  • Syftet med behandlingen;
  • Vilka personuppgiftskategorier som berörs;
  • Mottagaren eller kategorierna av mottagare som fått eller ska få tillgång till personuppgifter, speciellt mottagare i tredjeland eller internationella organisationer;
  • När så är möjligt uppskattad period under vilken personuppgifter kommer att vara lagrade, eller, om detta inte är möjligt, kriteria som används för att bestämma perioden;
  • Rätten att av den personuppgiftsansvarige begära korrigering eller radering av personuppgifter eller begränsning av behandling av personuppgift som berör den registrerade eller att motsätta sig sådan behandling;
  • Rätten att lämna in ett klagomål till en tillsynsmyndighet;
  • När personuppgifter inte samlats från den registrerade all tillgänglig information om källan till uppgifterna;
  • Förekomsten av automatiskt beslutsfattande, inklusive profilering, åberopad i Artikel 22(1) och (4) och, åtminstone i dessa fall, meningsfull information om den logik som använts, såväl som betydelsen och antagna konsekvenser av denna behandling för den registrerade.

Om en individ kontaktar bolaget för att begära denna information kallas det Registrerads begäran att få tillgång till uppgifter.

Den personuppgiftsansvarige kommer att sträva efter att tillhandahålla relevanta uppgifter inom 20 bankdagar.

Den personuppgiftsansvarige kommer alltid att verifiera identiteten hos den person som gör en begäran att få tillgång till uppgifter innan någon information överlämnas.