Norrlarm värnar om din personliga integritet och strävar efter att alltid skydda dina personuppgifter på bästa sätt. Vi behöver samla in och använda personuppgifter om t.ex. kunder, leverantörer, affärskontakter, anställda samt andra människor som Norrlarm har en relation till eller behöver kontakta. Lagen kräver att vi vidtar rimliga åtgärder för att hålla denna information uppdaterad och riktig.

Denna policy beskriver hur sådana personuppgifter ska samlas in, hanteras och lagras. Policyn gäller oavsett om personuppgifterna lagras elektroniskt, på papper eller i annan form. Denna policy ska säkerställa att Norrlarm:

• Följer lagar och praxis
• Skyddar personalens, kunders och partners rätt
• Är öppet med hur vi lagrar och hanterar personuppgifter
• Skyddas från riskerna med personuppgiftsincident

Personuppgiftsansvarig
Norrlarm AB
Spantgatan 5
973 46 LULEÅ

Grundläggande principer
Personuppgifter ska:

• Hanteras rättvist och lagligt
• Bara finnas av specifika, lagliga anledningar
• Vara adekvat, relevant och måttlig
• Vara korrekt och uppdaterad
• Inte sparas längre än nödvändigt
• Vara skyddad på lämpligt sätt

Policyn gäller för alla som hanterar personuppgifter i hela företaget, inkl. styrelse, ledning, all personal och andra som arbetar åt företaget, både gällande ansvar och rättigheter.

Generella riktlinjer

• Anställda ska hålla personuppgifter säkra genom att vidta rimliga säkerhetsåtgärder och följa våra riktlinjer.
• De enda som ska komma åt personuppgifter är de som behöver det för sitt arbete.
• Personuppgifter ska inte delas informellt. Personuppgifter får inte delas ut till icke-behöriga personer, varken inom eller utanför företaget.
• Personuppgifterna ska gås igenom regelbundet så att den vid behov uppdateras eller kastas.

Lagring av personuppgifter
Norrlarm kommer att lagra personuppgifter av icke-känslig karaktär och som har grunder till laglig behandling (fullgöra avtal, rättsliga förpliktelser, samtycke samt berättigade intressen). Vi kommer att lagra vissa känsliga uppgifter men bara de som behövs för att leva upp till lagen och fullgöra rättigheter och skyldigheter på arbetsplatsen.

Personuppgifter på papper

• Papper med personuppgifter ska förvaras på en säker plats där icke-behöriga personer inte kan se den.
• När de inte behövs ska papper förvaras i ett låst skåp eller motsvarande. Tänk på att inte lämna papper med personuppgifter på publika platser, t.ex. i skrivaren.
• Papper med personuppgifter ska köras i dokumentförstörare och kastas när de inte längre behövs.

Elektroniskt lagrade personuppgifter

• Personuppgifter ska skyddas av starka lösenord som byts ut regelbundet och aldrig delas mellan anställda.
• Personuppgifter ska bara lagras på avsedda enheter/servrar eller i vår molntjänst. Servrar ska skyddas av godkänd säkerhetsmjukvara och brandvägg.
• Servrar med personuppgifter ska placeras på en säker plats, skild från det vanliga kontoret.
• Det ska tas backup ofta på personuppgifter. Backup ska testas regelbundet.
• Personuppgifter ska aldrig sparas direkt på laptop eller andra mobila enheter som surfplattor och telefoner.

Datoranvändning

• Vid arbete med personuppgifter ska skärmen låsas då den lämnas obevakad.
• Personuppgifter ska inte skickas med e-post då denna form av kommunikation inte är säker.
• Personuppgifter ska krypteras innan de skickas elektroniskt.

Rätt att begära ut, korrigera och invända mot information

Varje person som omfattas av vårt bevarande av personuppgifter har rätt att:

• Fråga vilka personuppgifter företaget har om denne och varför.
• Fråga hur man kommer åt personuppgifterna.
• Få veta hur den uppdateras.
• Få information om hur vi lever upp till våra åtaganden om skydd av personuppgifter.

Begäran ska skickas via e-post till info@norrlarm.se. Svar ska levereras inom 30 kalenderdagar. Den registrerades identitet ska säkerställas innan uppgifterna överlämnas.

Övrig delgivning av personuppgifter

I vissa fall måste personuppgifter lämnas ut till myndigheter o.d. vilket kommer att ske utan godkännande från personen ifråga. Även detta ska kontrolleras internt så att förfrågan är legitim.

Rätten att bli bortglömd

Den registrerade har rätten att få sina personuppgifter borttagna om ändamålet med behandlingen inte är nödvändig längre eller om den registrerade har återkallat sitt samtycke. Vissa uppgifter kan inte raderas, om det t.ex. föreligger rättsliga krav på bevarande eller om den behövs för statistik.

Incidenter – hantering och rapportering

Incidenter och avvikelser från denna policy ska omgående rapporteras till VD. Enligt GDPR måste varje incident som leder till dataintrång eller oavsiktlig förstöring/förlust av personuppgifter även anmälas till Datainspektionen inom 72 timmar, om det inte är osannolikt att incidenten medför risker. Finns det risk för id-stöld eller bedrägeri ska även enskilda personer som drabbats av incidenten informeras.