Dataskyddspolicy

Inledning

Top of Hearts främsta prioritet är att värna säkerheten för hantering av såväl personuppgifter som övrig data. Detta sker på flera plan, från den tekniska implementationen av tjänsten till de regelverk som styr det interna arbetet och som sammantaget säkerställer att den personliga integriteten skyddas.

Top of Hearts Dataskyddspolicy (Data Protection Policy) sammanfattar Top of Heart ABs regelverk för hantering av personuppgifter i rollen som personuppgiftsbiträde. Dokumentet innehåller således Top of Hearts rutiner och policies för att uppfylla både interna och legala krav för att hantera personuppgifter för våra kunders räkning.

Alla policies är förankrade hos styrelse, ledning och anställda. Top of Heart har fördelat ett internt ansvar för att implementera och säkerställa efterlevnad av denna och övriga policies. Detta och övriga policies uppdateras löpande i enlighet med att gällande lagstiftning eller branschstandarder förändras.

Kontakta info@topofheart.se om du har några frågor kring detta dokument.

Roller

Personuppgiftsansvarig: Den som hanterar personuppgifter, i Top of Hearts fall de organisationer som använder Top of Hearts digitala tjänster.

Personsonuppgiftsbiträde: Den som biträder hanteringen, i Top of Hearts fall Top of Heart AB tillsammans med andra tjänsteleverantörer.

Varför finns denna policy?

Denna dataskyddspolicy säkerställer att Top of Heart AB:

  •     Följer gällande lagstiftning och branschstandard för personuppgiftsskydd
  •     Värnar rättigheter för anställda, kunder och samarbetspartners
  •     Är transparent med hur vi arbetar med personuppgiftsskydd
  •     Har tydliga rutiner för att skydda personuppgifter

Lagstiftning

Dataskyddsförordningen (på engelska General Data Protection Regulation, GDPR) gäller som lag i Sverige och övriga EU från och med 25 maj 2018. Förordningen ersätter Personuppgiftslagen (PUL).

Enligt Dataskyddsförordningen ska ett personuppgiftsbiträde:

  • Enbart hantera personuppgifter på instruktion av den personuppgiftsansvarige
  • Enbart anlita andra biträden (tjänster) med godkännande från den personuppgiftsansvarige
  • Föra register över vilken typ av personuppgiftsbehandling som utförs
  • Säkerställa en lämplig säkerhetsnivå
  • Upprätta ett personuppgiftsbiträdesavtal med den personuppgiftsansvarige
  • Ha rutiner för personuppgiftsincidenter
  • Bistå personuppgiftsansvariga att fullgöra sina skyldigheter

Dessa skyldigheter uppfyller Top of Heart dels genom avtal med våra kunder, dels genom interna regelverk och avtal.

Mer information finns på datainspektionen.se

Internt regelverk

Top of Heart har upprättat och implementerat följande rutiner och policies som säkerställer att Top of Heart uppfyller krav både som personuppgiftsansvarig och personuppgiftsbiträde:

  • Dataskyddspolicy (detta dokument)
  • Rutin för att bistå begäran av personuppgift
  • Rutin för begäran av personuppgift
  • Rutin för rapportering av personuppgiftsincident
  • Rutin för uppdatering av policies och avtal
  • Informationssäkerhetspolicy *
  • IT-Säkerhetspolicy *
  • Sekretessavtal *
  • Integritetspolicy *

* Separat dokument

Rutiner

Rutin för att bistå begäran av personuppgift

I det fall tredje man begär utdrag av personuppgiftsutdrag har Top of Heart en skyldighet att bistå den personuppgiftsansvariga kunden.

I första hand hänvisar vi till den sökfunktion som finns implementerad i tjänsten tillsammans med vår mall för standardsvar för begäran av personuppgift som skickas vid begäran.

Rutin för begäran av personuppgift

I det fall Top of Heart kontaktas angående begäran av personuppgift i rollen som personuppgiftsansvarig ska det handläggas skyndsamt.

Rutin för rapportering av personuppgiftsincident

Top of Heart övervakar kontinuerligt den egna tjänsten såväl som andra biträdens tjänster i fråga om eventuella incidenter. Utöver det ska eventuella misstänkta incidenter rapporteras av användare till info@topofheart.se enligt vad som framgår av villkoren för tjänsten.

Kan en personuppgiftsincident konstateras och Top of Heart är personuppgiftsbiträde så ska detta meddelas personuppgiftsansvariga omgående. Personuppgiftsansvariga anmälas till Datainspektionen inom 72 timmar förutsatt att det är sannolikt att incidenten kan leda till att enskildas fri- och rättigheter kränkts.

Kan en incident konstateras där Top of Heart är personuppgiftsansvarig så ska Top of Heart kontakta Datainspektionen inom 72 timmar.

Rutin för uppdatering av policies och avtal

Ovan listade dokument ska revideras i januari varannat år med början år 2020 eller så fort det finns anledning att göra det.