Navid Gerayeli (enskild firma)
Fastställd den 14-06-2023
Gerayeli värnar om att skydda den personliga integriteten och åtar sig att behandla personuppgifter i enlighet med den allmänna dataskyddsförordningen (EU) 2016/679 (”Dataskyddsförordningen”), andra tillämpliga lagar, förordningar och föreskrifter, samt IMYs riktlinjer och föreskrifter.
Gerayeli har därför utformat denna policy för hantering och skydd av personuppgifter (”Policyn”). Samtliga anställda och andra personer som hanterar personuppgifter på uppdrag av Gerayeli omfattas av denna Policy.
I denna Policy används samma begrepp som i Dataskyddsförordningen och de ska således ha samma innebörd som i Dataskyddsförordningen om inget annat uttryckligen anges nedan.
Personuppgifter ska endast samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Vidare ska endast personuppgifter som är nödvändiga med hänsyn till dessa ändamål samlas in och behandlas, dvs. inte fler personuppgifter än vad som är nödvändigt för att uppnå det aktuella ändamålet med behandling ska samlas in. För det fall det går att uppnå ändamålet med den tilltänkta behandlingen utan att samla in information som direkt eller indirekt går att hänföra till en individ ska i sådant fall behandlingen genomföras utan sådan information. Endast fiktiva uppgifter, vilka inte utgör personuppgifter, får användas i utvecklingsmiljön för teständamål.
De personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Det innebär att ovidkommande personuppgifter inte får behandlas och att behandlingen inte får gå längre än vad som krävs för att ändamålen med behandlingen ska uppfyllas.
Personuppgifterna som behandlas ska vidare vara riktiga och, om nödvändigt, aktuella. Det ankommer på samtliga individer som hanterar personuppgifter för Gerayelis räkning att tillse att de personuppgifter som samlas in och behandlas är korrekta, samt att rätta personuppgifter som är felaktiga eller ofullständiga.
Redan insamlade personuppgifter får inte behandlas för något nytt ändamål som är oförenligt med de ändamål som personuppgifterna ursprungligen samlades in för, utan individens uttryckliga informerade samtycke eller om det i övrigt är tillåtet enligt tillämplig lag eller förordning.
Insamlade personuppgifter ska inte bevaras längre tid än vad som är nödvändigt för att uppfylla ändamålen med behandlingen, om inget annat följer av lag eller förordning. Om personuppgifterna inte längre är nödvändiga och Gerayeli inte är skyldigt att spara uppgifterna enligt lag eller förordning ska personuppgifterna således gallras. Personuppgifter gallras genom att personuppgifterna avidentifieras, varefter det är omöjligt, direkt eller indirekt, att hänföra informationen till någon individ.
Personuppgifter får endast behandlas om det finns en laglig grund för behandlingen, exempelvis den registrerades samtycke eller om behandlingen är nödvändig för att exempelvis fullgöra ett avtal, för att Gerayeli ska kunna fullgöra en rättslig skyldighet, eller med stöd av en intresseavvägning, där Gerayelis berättigade intresse av att utföra behandlingen överväger de registrerades integritetsintresse.
Vid utövande av registrerades rättigheter ska Gerayeli vidta lämpliga åtgärder för att kontrollera att personen som utövar en registrerads rättigheter verkligen är den som den utger sig för att vara. Kontaktuppgifter till Gerayelis dataskyddsombud (”DSO”) ska enligt Dataskyddsförordningen vara tillgängliga för den registrerade så att denne kan kontakta DSO för utövandet av dennes rättigheter.
När så krävs enligt Dataskyddsförordningen eller annan lag eller förordning ska Gerayeli tillhandahålla registrerade information om den behandling av personuppgifter som Gerayeli är personuppgiftsansvarig för. Gerayeli ska också bistå handlare i att bemöta registrerade när Gerayeli är personuppgiftsbiträde, innebärande att Gerayeli ska kommunicera med sina egna personuppgiftsbiträden i dessa fall för att sammanställa den relevanta informationen.
En första kontakt från registrerade ska bemötas på lämpligt sätt av kundsupport. Riktlinjer ska tas fram för hur kundsupport ska arbeta med sådana ärenden.
Vid en begäran från en registrerad om information om vilka personuppgifter som behandlas av oss, s.k. registerutdrag, ska Gerayeli lämna besked om personuppgifter behandlas och om så är fallet lämna skriftlig information om
Personuppgifter som är felaktiga eller ofullständiga ska omedelbart på en registrerads begäran rättas. Gerayeli ska då först vidta rimliga åtgärder för att kontrollera att uppgiften verkligen är felaktig eller ofullständig.
Vid begäran från en registrerad att få sina personuppgifter raderade ska Gerayeli tillmötesgå den registrerades begäran i den utsträckning det inte skulle strida mot EU-rätt eller svensk lag att göra det.
Om den registrerade begär av Gerayeli att radera personuppgifter men Gerayeli inte delar den registrerades uppfattning att rättigheten är tillämplig ska Gerayeli begränsa sin behandling av personuppgifter som rör den registrerade till lagring. Begränsningen ska vara så länge att det kan klarläggas huruvida personuppgifterna ska raderas eller kan fortsätta att behandlas.
Den registrerade kan begära att Gerayelis behandling av personuppgifter begränsas även i andra fall. Om en sådan begäran inkommer till annan än DSO ska DSO rådfrågas i hur begäran ska bemötas.
Gerayelis DSO ska enligt Dataskyddsförordningen artikel 38 p. 4 kunna kontaktas av registrerade för utövande av registrerades rättigheter enligt förordningen. Gerayelis DSO ska arbeta för att uppfylla Gerayelis ansvar gentemot de registrerade.
Gerayeli vidtar lämpliga tekniska och organisatoriska säkerhetsåtgärder för skydda de personuppgifter som behandlas. Säkerhetsåtgärderna ska skydda personuppgifter gentemot säkerhetsincidenter. Med säkerhetsincident avses här försök till eller genomfört obehörigt och/eller otillåtet röjande eller åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Säkerhetsincidenter ska omedelbart rapporteras till Navid Gerayeli.
Vidare ska säkerhetsåtgärderna uppnå den skyddsnivå som följer av lag eller förordning och IMYs riktlinjer och tillämpliga föreskrifter avseende säkerhet, samt vad som i övrigt är lämpligt med hänsyn bland annat till hur pass känsliga de behandlade personuppgifterna är.
Tillgång till personuppgifter ska vara begränsad till de individer som behöver tillgång till personuppgifterna för att kunna uppfylla sina arbetsuppgifter. Det innebär bland annat att personer som har tillgång till Gerayelis IT-system inte ska ha mer omfattande användarrättigheter än vad som är nödvändigt. En rutin för hantering (tillägg, ändring och borttagning) av användarrutiner finns på plats. Inloggning till Gerayelis nätverk kräver användarnamn och lösen- ord.
Vid en personuppgiftsincident ska dokumentet Process personuppgiftsincident följas.
Enligt Dataskyddsförordningens ska DSO fungera som kontaktperson för tillsynsmyndigheten. DSO ska därför i god tid hållas informerad om vad som uppdagas kring en personuppgiftsincident. Om beslut fattas att anmäla eller inte anmäla en personuppgiftsincident till tillsynsmyndigheten ska DSO informeras om beslutet och skälet till detta om DSO inte redan är rådfrågad i hanteringen av incidenten.
Överföring och utlämnande av personuppgifter till tredje parter, såsom tjänsteleverantörer, får endast ske i enlighet med tillämpliga lagar och förordningar.
Överföring av personuppgifter utanför EU/EES-området får endast ske till länder som anses ha en adekvat skyddsnivå eller om den registrerade har lämnat sitt samtycke till överföringen eller om det i övrigt föreligger ett undantag från förbudet mot överföring av personuppgifter till tredje land. Överföring får ske till en mottagare i tredje land om mottagaren har ingått EU- kommissionens standardavtalsklausuler med Gerayeli. Gerayeli ska vid användning av standardavtalsklausuler bedöma om kompletterande skyddsåtgärder av teknisk eller organisatorisk art är nödvändiga i det enskilda fallet.
Vid överföring av personuppgifter till mottagare som behandlar personuppgifter för Gerayelis räkning i egenskap av personuppgiftsbiträde ska det finnas ett personuppgiftsbiträdesavtal på plats mellan parterna i enlighet med bestämmelserna i personuppgiftslagen och IMYs riktlinjer. Personuppgiftsbiträdet ska i personuppgiftsbiträdesavtalet åläggas att följa denna Policy.
