Ekologigruppen Ekoplan AB, 556342-2285, Åsögatan 121, 5 tr, 116 24 Stockholm, nedan kallat Ekologigruppen, tillämpar i sin verksamhet följande Policy för behandling av personuppgifter.
INNEHÅLL
1. Personuppgiftspolicyns bakgrund, syfte och omfattning
2. Allmänna krav på behandling av personuppgifter hos EKOLOGIGRUPPEN
3. Närmare om ändamål och laglig grund för behandlingen
3.1 – 3.3. Vissa slags personuppgifter
4. Dataskyddsombud
5. Mottagande av personuppgifter, behörigheter
6. Lagringstid, tid för behandling
7. Gallring
8. Säkerhet
9. Personuppgiftsbiträde
10. Information
1. Personuppgiftspolicyns bakgrund, syfte och omfattning
Ekologigruppen är ett medarbetarägt konsultföretag som ger stöd i den hållbara samhällsplaneringen utifrån en stark och ständigt levande värdegrund baserad i ekologisk, social och ekonomisk hållbarhet. Företaget verkar tvärvetenskapligt och är drivande i kunskaps- och metodutveckling inom grön samhällsplanering och naturvård med en organisation som utvecklas och anpassas efter behov, och som ger stora möjligheter till medinflytande.
Ekologigruppens vision är att göra världen bättre genom att vara en självklar och dedikerad partner i den hållbara samhällsplaneringens alla skalnivåer. Företaget bistår med kunskap och processtöd i den kritiska uppgiften att få samhällsplaneringen att förhålla sig inom ekosystemens gränser och i relation till människors behov. Genom interdisciplinärt arbete vill företaget få samhällsplaneringen att bli hållbar på riktigt, genom att vara kunniga, engagerade konsulter och rådgivare som alltid levererar med högsta kvalitet.
De olika tjänster som Ekologigruppen erbjuder består i att tillhandahålla strategier och utbildning inom kompetensområdet, men även att göra analyser och ta fram underlag. Därtill bistår Ekologigruppen i samband med planering och miljöbedömning, vid framtagande av miljökonsekvensbeskrivningar, hållbarhetsanalyser och tillståndsprocesser. Därutöver bistår Ekologigruppen vid framtagande av gestaltning eller annan utformning av olika områden där miljöfrågor är aktuella och vid genomförande därav. Dessutom bistår Ekologigruppen vid skötsel och utveckling av olika områden.
I samband med att Ekologigruppen bedriver verksamheten blir det aktuellt att behandla personuppgifter och detta ska ske i enlighet med de tillämpliga författningar som gäller för behandlingen av personuppgifter.
2. Allmänna krav på behandling av personuppgifter
Denna Personuppgiftspolicy ska gälla och utgöra vägledning för Ekologigruppen vad gäller behandling av personuppgifter, där Ekologigruppen är personuppgiftsansvarig för de olika slags personuppgifter som behandlas i verksamheten och där Ekologigruppen bestämmer ändamålen och medlen för behandlingen.
För verksamheten är det av största vikt att all behandling av personuppgifter utförs på ett lagligt och korrekt sätt som minimerar risken för intrång i de registrerades personliga integritet och så att behandlingen uppfyller de krav som gäller enligt tillämpliga regelverk, såsom Europaparlamentets och Rådets förordning (EU) 20916/679 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (GDPR) och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen, DSL).
En utgångspunkt ska vara att personuppgifter endast behandlas i den mån och under den tid som behövs för att Ekologigruppen ska kunna fullgöra sina åtaganden mot de registrerade och för att uppfylla skyldigheter eller tillvarata rättigheter som Ekologigruppen har enligt lag eller annan författning. Detta innebär att Ekologigruppens behandling av personuppgifter har som ledstjärna att ”så få som möjligt ska ha tillgång till så lite som möjligt om så få som möjligt under så kort tid som möjligt”.
På detta sätt avser Ekologigruppen att uppfylla de grundläggande principer som gäller enligt GDPR för personuppgiftsbehandlingen. Detta innebär bland annat att personuppgifterna endast får samlas in och på annat sätt behandlas endast för särskilda, uttryckliga och berättigade ändamål, att uppgifterna är adekvata, relevanta och inte alltför omfattande, att uppgifterna är korrekta och uppdaterade, att uppgifterna inte förvaras längre än nödvändigt, att uppgifterna behandlas på ett säkert sätt, samt att uppgifterna behandlas på ett sätt som är öppet och transparent gentemot de registrerade. Därtill ska det alltid finnas en laglig grund enligt GDPR för behandlingen.
3. Närmare om ändamål och laglig grund för behandlingen
De personuppgifter som behandlas består i förekommande fall av personuppgifter om anställda, uppdragstagare, funktionärer eller förtroendevalda, samt företrädare och kontaktpersoner för Ekologigruppens kunder, leverantörer, samarbetspartners, myndigheter eller andra organisationer. Behandlingen ska vara begränsad till vad som behövs för att Ekologigruppen ska kunna ingå, administrera, fullgöra och avsluta anställningsavtal, uppdragsavtal och avtal med funktionärer eller förtroendevalda, för fullgörande av skyldigheter och tillvaratagande av rättigheter inom arbetsrätten, vad gäller redovisning och bokföring och i övrigt på det skatterättsliga området, samt för att upprätthålla nödvändig säkerhet i lokaler, utrymmen, eller anläggning, informationssystem och information som behandlas i sådana system som Ekologigruppen äger eller disponerar.
3.1. Aktuellt slags personuppgifter
I de allra flesta fall kommer Ekologigruppen endast att behandla kontaktuppgifter, bestående i uppgifter om personnamn, adress och postadress, telefonnummer och e-postadress. Kontouppgifter, såsom uppgifter om bankkonton och andra konton behandlas i vissa fall för att kunna genomföra, mottaga och administrera betalningar, såsom löner, arvoden, eller ersättningar till kunder, leverantörer, samarbetspartners, myndigheter eller andra organisationer.
3.2. Särskilda kategorier av personuppgifter, känsliga personuppgifter, brottsdata och personnummer
Uppgifter om hälsa och sjukdom ska endast förekomma när detta är nödvändigt för att fullgöra skyldigheter på personalhälsoområdet. Andra känsliga personuppgifter behövs inte i Ekologigruppens verksamhet och ska inte förekomma. Uppgifter som angår fällande domar i brottmål eller överträdelser behövs inte heller i Ekologigruppens verksamhet och ska inte heller förekomma. Behandling av personnummer ska endast förekomma när det är nödvändigt för Ekologigruppen att kunna säkert identifiera personen eller när det behövs för att Ekologigruppen ska kunna uppfylla en rättslig skyldighet som föreligger enligt lag eller annan författning eller till följd av beslut av domstol eller annan myndighet.
3.3. Marknadsföring och anställningsansökningar
Personuppgifter får behandlas för marknadsföringsändamål, såsom att informera om tjänster, produkter eller annat som kan vara av intresse för den registrerade eller den organisation denne företräder. Detta kan ske genom tillsändande av nyhetsbrev eller andra utskick. Den registrerade ska när som helst kunna avregistrera sig från sådan behandling. Sådana personuppgifter som avses i punkt 3.2 ovan ska inte användas för marknadsföringsändamål, men kan lagras och behandlas hos Ekologigruppen till dess att den registrerade avregistrerar sig eller att skyldighet att gallra sådana slags personuppgifter föreligger enligt lag eller annan författning (se även punkt 6 nedan).
Personuppgifter som inhämtats från anställningsansökningar och som behandlats i samband med anställningsförfaranden ska gallras när förfarandet avslutats, om inte den registrerade har anställts och personuppgifterna behövs i anställningsförhållandet eller om Ekologigruppen och den registrerade särskilt har överenskommit om att uppgifterna får sparas inför eventuell framtida anställningsansökning (se även punkt 6 nedan).
4. Dataskyddsombud
Ekologigruppen behandlar för närvarande inte personuppgifter av sådan art eller omfattning eller i sådan slags verksamhet att det föreligger skyldighet eller behov att utse och anmäla något dataskyddsombud till Datainspektionen. Om det senare skulle visa sig att skyldighet eller behov av att utse ett dataskyddsombud kommer Ekologigruppen att utse ett sådant och att anmäla denne till Datainspektionen. Ekologigruppen kommer i så fall även att tillse att denne har den kompetens och intar den ställning som krävs.
5. Mottagare av personuppgifter, behörigheter
Ekologigruppen ska inte lämna ut personuppgifter till någon utomstående utöver vad som följer av skyldighet enligt lag eller annan författning eller när det krävs för att Ekologigruppen ska kunna tillvarata sina rättigheter eller uppfylla sina åtaganden mot de registrerade. Inom Ekologigruppen ska personuppgifter endast vara tillgängliga för sådan personal som behöver dem för utförandet av sina arbetsuppgifter och för de ändamål som anges ovan. I vissa fall kan Ekologigruppen komma att anlita annan som personuppgiftsbiträde för att sköta företagets behandling av personuppgifter eller annan informationshantering (se närmare härom under punkt 9 nedan).
Personalens behörighet att få tillgång till personuppgifter ska vara begränsad till vad som faktiskt behövs för utförandet av arbetsuppgifterna och fler behörigheter att få åtkomst till personuppgifter än vad som är nödvändigt ska inte tilldelas.
6. Lagringstid, tid för behandling
Inga personuppgifter ska sparas, lagras eller på annat sätt behandlas hos Ekologigruppen under längre tid än nödvändigt för uppfyllandet av de ändamål som anges ovan. Ekologigruppen måste dock uppfylla skyldigheter att spara vissa uppgifter för beskattnings-, bokförings- och redovisningsändamål enligt lag eller annan författning. Till följd av skattelagstiftningen måste Ekologigruppen därför spara sådana personuppgifter som behövs för beskattning i fem år och enligt bokföringslagstiftningen för bokföring i sju år. Om personuppgifterna behövs i samband med rättsligt förfarande, t.ex. i en tvist eller i ett diskrimineringsärende, kan Ekologigruppen behöva behandla uppgifterna i ett sådant ärende under viss längre tid.
7. Gallring
När Ekologigruppen inte har något berättigat behov av personuppgifter för ovan angivet ändamål finns heller ingen anledning för Ekologigruppen att ha kvar uppgifterna. Därför avser Ekologigruppen att gallra personuppgifter snarast möjligt. Detta kan medföra att registrerade som vill ställa frågor till Ekologigruppen om historiska förhållanden inte kan få svar på frågorna till följd av att personuppgifterna inte längre finns kvar, eftersom Ekologigruppen prioriterar skyddet av den personliga integriteten framför att ha kvar uppgifter för att kunna föra historik.
8. Säkerhet
När Ekologigruppen behandlar personuppgifter ska dessa skyddas genom sådana tekniska åtgärder som behövs med hänsyn till personuppgifternas art, behandlingens omfattning och de risker för de registrerades integritet som behandlingen innebär.
Så långt det är möjligt och rimligt ska säkerhetsåtgärderna hos Ekologigruppen vara inbyggda i system eller andra slags register (privacy by design, privacy by default) så att behovet av personella åtgärder hålls nere. På detta sätt vill Ekologigruppen eftersträva att bygga bort risker till följd av den mänskliga faktorn.
Genom att åtgärder med personuppgifter loggas ska Ekologigruppen förebygga incidenter och otillåtna åtgärder med personuppgifterna, men samtidigt tillse att det genom loggningen finns ett underlag för att utreda uppkomna incidenter.
Hos Ekologigruppen ska finnas särskild personal med uppgift att kontrollera behandlingen av personuppgifter hos Ekologigruppen och som samtidigt ska kunna utgöra kontaktpersoner i frågor rörande personuppgifter. Sådan personal ska även svara för att det finns en förteckning över Ekologigruppens behandling av personuppgifter och att säkerhetsrelaterade händelser dokumenteras jämte att personuppgiftsincidenter rapporteras till Datainspektionen och meddelas de registrerade när detta krävs enligt lag eller annan författning.
9. Personuppgiftsbiträde
Om Ekologigruppen anlitar någon utomstående för att som personuppgiftsbiträde bistå Ekologigruppen med behandlingen av personuppgifter ska det alltid finnas ett personuppgiftsbiträdesavtal med denne som uppfyller vad som krävs enligt lag eller annan författning. Endast pålitliga och lämpliga personuppgiftsbiträden ska anlitas. Om av Ekologigruppen anlitat personuppgiftsbiträde ska behandla känsliga eller annars särskilt integritetskänsliga eller skyddsvärda personuppgifter avser Ekologigruppen att i första hand anlita personuppgiftsbiträden inom Sverige och att undvika att anlita personuppgiftsbiträden i tredje land.
10. Information
Information om Ekologigruppens behandling av personuppgifter ska alltid finnas lätt tillgänglig för de registrerade, t.ex. på Ekologigruppens hemsida. Av denna information ska särskilt framgå vilka rättigheter den registrerade har och att denne kan vända sig till Datainspektionen med klagomål på Ekologigruppens behandling av personuppgifter.
Vid besök på Ekologigruppens hemsida förekommer även s.k. cookies. Närmare information om användandet av cookies finns tillgänglig på Ekologigruppens hemsida (se https://www.ekologigruppen.se/cookies/).
Ansvarig på Ekologigruppen är Ludovic Malmberg. Tel: 08 525 20 116, E-post: ludovic.malmberg@ekologigruppen.se