top of page

Policy – GDPR Dataskyddspolicy

 

Du måste läsa denna policy eftersom den ger viktig information om:

 

  • de dataskyddsprinciper som företaget måste följa;

  • vad som menas med personlig information (eller data) och känslig personlig information (eller data);

  • hur vi samlar in, använder och (i slutändan) raderar personlig information och känslig personlig information i enlighet med dataskyddsprinciperna;

  • där mer detaljerad integritetsinformation kan hittas, t.ex. om den personliga information vi samlar in och använder om dig, hur den används, lagras och överförs, för vilka ändamål, de åtgärder som vidtagits för att hålla den informationen säker och hur länge den sparas;

  • dina rättigheter och skyldigheter i förhållande till dataskydd; och

  • konsekvenserna av att inte följa denna policy.

 

  1. Introduktion

 

  1. Företaget inhämtar, behåller och använder personlig information (även kallad data) om arbetssökande och om nuvarande och tidigare anställda, bemannings- och bemanningsanställda, entreprenörer, praktikanter, volontärer och lärlingar för ett antal specifika lagliga ändamål, som anges i Företagets dataskyddsmeddelanden avseende rekrytering och anställning.

 

  1. Den här policyn anger hur vi följer våra dataskyddsförpliktelser och försöker skydda personlig information om vår personal. Syftet är också att säkerställa att personalen förstår och följer reglerna för insamling, användning och radering av personlig information som de kan ha tillgång till under sitt arbete.

 

  1. Vi har åtagit oss att följa våra dataskyddsförpliktelser och att vara kortfattade, tydliga och transparenta om hur vi skaffar och använder personlig information om vår personal, och hur (och när) vi raderar den informationen när den inte längre behövs.

 

  1. Företagets dataskyddsombud är ansvarig för att informera och ge råd till företaget och dess personal om dess dataskyddsförpliktelser och för att övervaka efterlevnaden av dessa skyldigheter och med företagets policyer. Om du har några frågor eller kommentarer om innehållet i denna policy eller om du behöver ytterligare information ska du kontakta dataskyddsombudets e-post:dpo@confirmsend.co.

 

  1. Omfattning

 

  1. Denna policy gäller personlig information om arbetssökande och nuvarande och tidigare personal, inklusive anställda, tillfälligt anställda och bemanningsanställda, praktikanter, volontärer och lärlingar.

 

  1. Personalen bör hänvisa till företagets integritetsmeddelande om dataskydd och, där så är lämpligt, till dess andra relevanta policyer, inklusive i relation till internet, e-post och kommunikation, övervakning, sociala medier, informationssäkerhet, datalagring och kriminalregisterinformation, som innehåller ytterligare information om skyddet av personuppgifter i dessa sammanhang.

 

  1. Vi kommer att granska och uppdatera denna policy regelbundet i enlighet med våra skyldigheter om dataskydd. Det utgör inte en del av någon anställds anställningsavtal och vi kan komma att ändra, uppdatera eller komplettera det från tid till annan. Vi kommer att cirkulera alla nya eller ändrade policyer till personalen innan den antas.

 

  1. Definitioner

 

  1. Information om brottsregister

betyder personlig information relaterade till brottsdomar och brott, anklagelser, förfaranden och relaterade säkerhetsåtgärder;

 

  1. Dataintrång

betyder ett säkerhetsbrott som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt avslöjande av eller tillgång till personlig information;

 

  1. Registrerad

betyder den individ som personuppgifterna avser;

 

  1. Personlig information

(ibland känt som personuppgifter) betyder information om en individ som kan identifieras (direkt eller indirekt) från den informationen;

 

  1. Bearbetar information

betyder att erhålla, registrera, organisera, lagra, ändra, hämta, avslöja och/eller förstöra information, eller använda eller göra något med den;

 

  1. Pseudonymiserad

betyder den process genom vilken personuppgifter behandlas på ett sådant sätt att de inte kan användas för att identifiera en individ utan användning av ytterligare information, som hålls separat och föremål för tekniska och organisatoriska åtgärder för att säkerställa att personuppgifterna inte kan hänföras till en identifierbar individ;

 

  1. Känslig personlig information

(ibland känd som "särskilda kategorier av personuppgifter" eller "känsliga personuppgifter") betyder personlig information om en individs ras, etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelser, medlemskap i fackförening (eller icke-medlemskap), genetisk information, biometrisk information (där den används för att identifiera en individ) och information om en individs hälsa, sexliv eller sexuella läggning.

 

  1. Dataskyddsprinciper

 

  1. Företaget kommer att följa följande dataskyddsprinciper vid behandling av personuppgifter:

 

  1. vi kommer att behandla personuppgifter lagligt, rättvist och på ett öppet sätt;

 

  1. vi samlar in personlig information endast för specificerade, explicita och legitima ändamål och kommer inte att behandla den på ett sätt som är oförenligt med dessa legitima ändamål;

 

  1. vi kommer endast att behandla den personliga information som är adekvat, relevant och nödvändig för de relevanta ändamålen;

 

  1. vi kommer att hålla korrekt och uppdaterad personlig information och vidta rimliga åtgärder för att säkerställa att felaktig personlig information raderas eller korrigeras utan dröjsmål;

 

  1. vi kommer att bevara personuppgifter i en form som tillåter identifiering av registrerade inte längre än vad som är nödvändigt för de ändamål för vilka informationen behandlas; och

 

  1. vi kommer att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att personlig information hålls säker och skyddad mot obehörig eller olaglig behandling och mot oavsiktlig förlust, förstörelse eller skada.

 

  1. Grund för behandling av personuppgifter

 

  1. I samband med eventuell bearbetningsaktivitet kommer vi, innan behandlingen startar för första gången, och sedan regelbundet medan den fortsätter:

 

  1. granska syftena med den specifika behandlingsaktiviteten och välj den lämpligaste lagliga grunden (eller grunderna) för den behandlingen, dvs.

 

  1. att den registrerade har samtyckt till behandlingen;

 

  1. att behandlingen är nödvändig för att fullgöra ett avtal som den registrerade är part i eller för att vidta åtgärder på begäran av den registrerade innan ett avtal ingås;

 

  1. att behandlingen är nödvändig för att uppfylla en rättslig skyldighet som företaget är föremål för;

 

  1. att behandlingen är nödvändig för att skydda den registrerades eller annan fysisk persons vitala intressen;

 

  1. att behandlingen är nödvändig för att utföra en uppgift som utförs i det allmännas intresse

 

  1. att behandlingen är nödvändig för ändamålen för företagets eller en tredje parts legitima intressen, utom där dessa intressen åsidosätts av den registrerades grundläggande rättigheter och friheter – se punkt 5.2 nedan.

 

  1. utom där behandlingen är baserad på samtycke, försäkra oss om att behandlingen är nödvändig för ändamålet med den relevanta lagliga grunden (dvs. att det inte finns något annat rimligt sätt att uppnå det syftet);

 

  1. dokumentera vårt beslut om vilken laglig grund som gäller, för att visa att vi följer dataskyddsprinciperna;

 

 

  1. inkludera information om både syftet med behandlingen och den lagliga grunden för den i våra relevanta integritetsmeddelanden;

 

  1. där känslig personlig information behandlas, även identifiera ett lagligt särskilt villkor för att behandla den informationen (se punkt 6.2.2 nedan) och dokumentera det; och

 

  1. där brottslig information behandlas, även identifiera ett lagligt villkor för behandlingen av den informationen och dokumentera den.

 

  1. När vi avgör om företagets legitima intressen är den lämpligaste grunden för laglig behandling kommer vi att:

 

  1. genomföra en bedömning av legitima intressen (LIA) och föra ett register över det, för att säkerställa att vi kan motivera vårt beslut;

 

  1. om LIA identifierar en betydande integritetspåverkan, överväg om vi också behöver genomföra en dataskyddskonsekvensbedömning (DPIA)

 

  1. hålla LIA under översyn och upprepa den om omständigheterna ändras; och

 

  1. inkludera information om våra legitima intressen i våra relevanta sekretessmeddelanden.

 

  1. Känslig personlig information

 

  1. Känslig personlig information kallas ibland för "särskilda kategorier av personuppgifter" eller "känsliga personuppgifter".

 

  1. Företaget kan då och då behöva behandla känsliga personuppgifter. Vi kommer endast att behandla känsliga personuppgifter om:

 

  1. vi har en laglig grund för att göra det som anges i punkt 5.1.1 ovan, t.ex. är det nödvändigt för att fullgöra anställningsavtalet, för att uppfylla företagets rättsliga skyldigheter eller för syftet med företagets legitima intressen; och

 

  1. ett av de särskilda villkoren för behandling av känsliga personuppgifter gäller, t.ex.

 

  1. den registrerade har gett ett uttryckligt samtycke;

 

  1. behandlingen är nödvändig för att utöva företagets eller den registrerades arbetsrättsliga rättigheter eller skyldigheter;

 

  1. behandlingen är nödvändig för att skydda den registrerades vitala intressen, och den registrerade är fysiskt oförmögen att ge samtycke;

 

  1. behandling avser personuppgifter som är uppenbart offentliga av den registrerade;

 

  1. behandlingen är nödvändig för att fastställa, utöva eller försvara rättsliga anspråk; eller

 

  1. behandlingen är nödvändig av skäl av väsentligt allmänintresse.

 

  1. Innan känsliga personuppgifter behandlas ska personalen meddela dataskyddsombudet om den föreslagna behandlingen, så att dataskyddsombudet kan bedöma om behandlingen uppfyller ovan angivna kriterier.

 

  1. Känsliga personuppgifter kommer inte att behandlas förrän:

 

  1. den bedömning som avses i punkt 6.3 har ägt rum; och

 

  1. individen har blivit ordentligt informerad (genom ett integritetsmeddelande eller på annat sätt) om behandlingens art, syftena för vilka den utförs och den rättsliga grunden för den.

 

  1. Företaget kommer inte att utföra automatiserat beslutsfattande (inklusive profilering) baserat på någon individs känsliga personliga information.

 

  1. Byråns dataskyddspolicy anger vilka typer av känsliga personuppgifter som företaget behandlar, vad de används till och den lagliga grunden för behandlingen.

 

  1. När det gäller känslig personlig information kommer företaget att följa de förfaranden som anges i punkterna 6.8 och 6.9 nedan för att säkerställa att de följer dataskyddsprinciperna som anges i punkt 4 ovan.

 

  1. Under rekryteringsprocessen: Officer Manager, med vägledning från dataskyddsombudet, kommer att säkerställa att (om inte lagen tillåter annat):

 

  1. under kortlistnings-, intervju- och beslutsfaserna ställs inga frågor om känslig personlig information, t.ex. ras eller etniskt ursprung, fackföreningsmedlemskap eller hälsa;

 

  1. om känsliga personuppgifter tas emot, t.ex. sökanden lämnar dem utan att bli ombedd att göra det i sitt CV eller under intervjun, förs ingen journal över den och eventuell hänvisning till den raderas eller redigeras omedelbart.

 

  1. alla ifyllda formulär för övervakning av lika möjligheter hålls åtskilda från individens ansökningsformulär och kan inte ses av den person som nominerar, intervjuar eller fattar rekryteringsbeslutet;

 

  1. "Rätten till arbete"-kontroller utförs innan ett erbjudande om anställning görs ovillkorligt, och inte under de tidigare urvals-, intervju- eller beslutsfaserna;

 

  1. vi kommer inte att ställa hälsofrågor i samband med rekrytering eller bara ställa hälsofrågor när ett anställningserbjudande har lämnats.

 

  1. Under anställning: Office Manager kommer, med vägledning från dataskyddsombudet, att behandla:

 

  1. hälsoinformation i syfte att administrera sjuklön, föra sjukfrånvaroregister, övervaka personalnärvaro och underlätta sysselsättningsrelaterade hälso- och sjukförmåner;

 

  1. känslig personlig information i syfte att övervaka lika möjligheter och rapportering om lönejämställdhet. Om möjligt kommer denna information att anonymiseras; och

 

  1. information om fackföreningsmedlemskap för personaladministration och administrering av "check off".

 

 

  1. Brottsregisteruppgifter

 

  1. Brottsregisterinformation kommer att behandlas i enlighet med företagets kriminalregisterinformationspolicy.

 

  1. Dataskyddskonsekvensbedömningar (DPIA)

 

  1. Där behandling sannolikt kommer att resultera i en hög risk för en individs dataskyddsrättigheter (t.ex. när företaget planerar att använda en ny form av teknik), kommer vi, innan vi påbörjar behandlingen, att utföra en DPIA för att bedöma:

 

  1. om behandlingen är nödvändig och proportionerlig i förhållande till dess syfte;

 

  1. riskerna för individer; och

 

  1. vilka åtgärder som kan vidtas för att hantera dessa risker och skydda personlig information.

 

  1. Innan någon ny form av teknik introduceras bör därför ansvarig chef kontakta dataskyddsombudet för att en DPIA ska kunna genomföras.

 

  1. Under loppet av en DPIA kommer partnern att söka råd från dataskyddsombudet och synpunkter från och alla andra relevanta intressenter.

 

  1. Dokumentation och register

 

  1. Vi kommer att föra skriftliga register över bearbetningsaktiviteter med hög risk, dvs. som kan leda till en risk för individers rättigheter och friheter eller involvera känslig personlig information eller kriminalregisterinformation, inklusive:

 

  1. namn och uppgifter om arbetsgivarorganisationen (och i tillämpliga fall andra registeransvariga, arbetsgivarens representant och DPO)

 

  1. ändamålen med behandlingen;

 

  1. en beskrivning av kategorierna av individer och kategorier av personuppgifter;

 

  1. kategorier av mottagare av personuppgifter;

 

  1. I tillämpliga fall, uppgifter om överföringar till tredjeländer, inklusive dokumentation av de säkerhetsåtgärder som finns på plats för överföringsmekanismen.

 

  1. om möjligt, lagringsscheman; och

 

  1. om möjligt en beskrivning av tekniska och organisatoriska säkerhetsåtgärder.

 

  1. Som en del av vårt register över bearbetningsaktiviteter dokumenterar vi, eller länkar till dokumentation, på:

 

  1. information som krävs för sekretessmeddelanden;

 

  1. register över samtycke;

 

  1. avtal om registeransvariga och processorer;

 

  1. platsen för personlig information;

 

  1. DPIA:er; och

 

  1. register över dataintrång.

 

  1. Om vi behandlar känslig personlig information eller kriminalregisterinformation kommer vi att föra skriftliga register över:

 

  1. det eller de relevanta ändamålen för vilka behandlingen äger rum, inklusive (om så krävs varför det är nödvändigt för det ändamålet;

 

  1. den lagliga grunden för vår behandling; och

 

  1. om vi behåller och raderar personuppgifterna i enlighet med vårt policydokument och, om inte, skälen till att vi inte följer vår policy.

 

  1. Vi kommer att genomföra regelbundna granskningar av de personuppgifter vi behandlar och uppdatera vår dokumentation därefter. Detta kan inkludera:

 

  1. utföra informationsrevisioner för att ta reda på vilken personlig information företaget har;

 

  1. distribuera frågeformulär och prata med personal över hela företaget för att få en mer komplett bild av våra bearbetningsaktiviteter; och

 

  1. granska våra policyer, procedurer, kontrakt och avtal för att ta itu med områden som lagring, säkerhet och datadelning.

 

  1. Sekretessmeddelande

 

  1. Företaget kommer då och då att utfärda sekretessmeddelanden, informera dig om den personliga information som vi samlar in och behåller om dig, hur du kan förvänta dig att din personliga information kommer att användas och för vilka ändamål.

 

  1. Vi kommer att vidta lämpliga åtgärder för att tillhandahålla information i integritetsmeddelanden i en kortfattad, transparent, begriplig och lättillgänglig form, med ett tydligt och enkelt språk.

 

  1. Individuella rättigheter

 

  1. Du (i likhet med andra registrerade) har följande rättigheter i förhållande till dina personuppgifter:

 

  1. att få information om hur, varför och på vilken grund den informationen behandlas – se företagets integritetsmeddelande om dataskydd;

 

  1. för att erhålla bekräftelse på att din information behandlas och för att få tillgång till den och viss annan information, genom att göra en begäran om tillgång till föremål – se företagets policy för begäran om tillgång till föremål;

 

  1. att få data korrigerade om de är felaktiga eller ofullständiga;

 

  1. att få uppgifter raderade om de inte längre är nödvändiga för ändamålet för vilka de ursprungligen samlades in/bearbetades, eller om det inte finns några tvingande legitima skäl för behandlingen (detta kallas ibland "rätten att bli glömd");

 

  1. att begränsa behandlingen av personuppgifter där riktigheten av uppgifterna ifrågasätts, eller behandlingen är olaglig (men du inte vill att uppgifterna ska raderas), eller där arbetsgivaren inte längre behöver personuppgifterna men du kräver att uppgifterna ska upprätta, utöva eller försvara ett rättsligt anspråk; och

 

  1. att tillfälligt begränsa behandlingen av personuppgifter där du inte anser att den är korrekt (och arbetsgivaren kontrollerar om den är korrekt), eller där du har invänt mot behandlingen (och arbetsgivaren överväger om organisationens legitima grunder åsidosätter dina intressen ).

 

  1. Om du vill utöva någon av rättigheterna i punkterna 11.1.3 till 11.1.6, vänligen kontakta dataskyddsombudet.

 

  1. Individuella skyldigheter

 

  1. Individer är ansvariga för att hjälpa företaget att hålla sin personliga information uppdaterad. Du bör meddela Office Manager om informationen du har lämnat till Byrån ändras, till exempel om du flyttar eller ändrar uppgifter om bank- eller byggföreningskontot som du får betalt till.

 

  1. Du kan ha tillgång till personlig information från andra anställda, leverantörer och kunder hos företaget under din anställning eller ditt engagemang. Om så är fallet förväntar sig företaget att du hjälper till att uppfylla sina skyldigheter om dataskydd gentemot dessa individer. Du bör till exempel vara medveten om att de också kan åtnjuta de rättigheter som anges i punkt 11.1 ovan

 

 

  1. Om du har tillgång till personlig information måste du:

 

  1. endast få tillgång till den personliga information som du har behörighet att komma åt, och endast för auktoriserade ändamål;

 

  1. endast tillåta annan firmapersonal att få tillgång till personlig information om de har lämplig behörighet;

 

  1. Tillåt endast individer som inte är anställda på företaget att få tillgång till personlig information om du har specifik behörighet att göra det från dataskyddsombudet;

 

  1. hålla personlig information säker (t.ex. genom att följa regler om åtkomst till lokaler, datoråtkomst, lösenordsskydd och säker fillagring och förstörelse och andra försiktighetsåtgärder som anges i företagets informationssäkerhetspolicy;

 

  1. inte ta bort personlig information, eller enheter som innehåller personlig information (eller som kan användas för att komma åt den), från företagets lokaler om inte lämpliga säkerhetsåtgärder finns på plats (såsom pseudonymisering, kryptering eller lösenordsskydd) för att säkra informationen och enheten; och

 

  1. inte lagra personlig information på lokala enheter eller på personliga enheter som används i arbetssyfte;

 

  1. Du bör kontakta dataskyddsombudet om du är orolig eller misstänker att något av följande har ägt rum (eller äger rum eller sannolikt kommer att äga rum):

 

  1. behandling av personuppgifter utan laglig grund för dess behandling eller, när det gäller känsliga personuppgifter, utan att något av villkoren i punkt 6.2.2 är uppfyllt;

 

  1. alla dataintrång enligt punkt 15.1 nedan;

 

  1. tillgång till personlig information utan rätt tillstånd;

 

  1. personlig information som inte förvaras eller raderas på ett säkert sätt;

 

  1. borttagning av personlig information, eller enheter som innehåller personlig information (eller som kan användas för att komma åt den), från företagets lokaler utan att lämpliga säkerhetsåtgärder är på plats;

 

  1. något annat brott mot denna policy eller mot någon av dataskyddsprinciperna som anges i punkt 4.1 ovan.

 

  1. Informationssäkerhet

 

  1. Företaget kommer att använda lämpliga tekniska och organisatoriska åtgärder i enlighet med företagets informationssäkerhetspolicy för att hålla personlig information säker, och i synnerhet för att skydda mot otillåten eller olaglig behandling och mot oavsiktlig förlust, förstörelse eller skada. Dessa kan inkludera:

 

  1. se till att, där det är möjligt, personlig information pseudonymiseras eller krypteras;

 

  1. säkerställa den pågående konfidentialitet, integritet, tillgänglighet och motståndskraft för bearbetningssystem och tjänster;

 

  1. säkerställa att tillgänglighet och åtkomst till personlig information kan återställas i rätt tid i händelse av en fysisk eller teknisk incident; och

 

  1. en process för att regelbundet testa, bedöma och utvärdera effektiviteten av tekniska och organisatoriska åtgärder för att säkerställa säkerheten i behandlingen.

 

  1. Om företaget använder externa organisationer för att behandla personuppgifter för företagets räkning, måste ytterligare säkerhetsarrangemang implementeras i kontrakt med dessa organisationer för att skydda personuppgifternas säkerhet. I synnerhet måste kontrakt med externa organisationer innehålla följande bestämmelser:

 

  1. Organisationen får endast agera efter skriftliga instruktioner från företaget;

 

  1. de som behandlar uppgifterna omfattas av en förtroendeplikt;

 

  1. lämpliga åtgärder vidtas för att säkerställa behandlingens säkerhet;

 

  1. Underleverantörer anlitas endast med företagets förhandsgodkännande och under ett skriftligt avtal;

 

  1. Organisationen kommer att bistå företaget med att ge subjekt åtkomst och låta individer utöva sina rättigheter i samband med dataskydd;

 

  1. Organisationen kommer att bistå företaget med att uppfylla sina skyldigheter när det gäller behandlingssäkerhet, anmälan om dataintrång och konsekvensbedömningar av dataskydd;

 

  1. organisationen kommer att radera eller returnera all personlig information till företaget enligt begäran i slutet av kontraktet; och

 

  1. Organisationen kommer att underkasta sig revisioner och inspektioner, förse företaget med all information som det behöver för att säkerställa att de båda uppfyller sina dataskyddsskyldigheter och omedelbart informera företaget om det ombeds att göra något som bryter mot dataskyddslagstiftningen.

 

  1. Innan något nytt avtal som involverar behandling av personuppgifter av en extern organisation ingås, eller ett befintligt avtal ändras, måste relevant personal söka godkännande av dess villkor av dataskyddsombudet;

 

  1. Lagring och lagring av personlig information

 

  1. Personlig information (och känslig personlig information) kommer att förvaras säkert i enlighet med företagets informationssäkerhetspolicy.

 

  1. Personuppgifter (och känsliga personuppgifter) bör inte sparas längre än nödvändigt. Hur lång tid data ska lagras beror på omständigheterna, inklusive skälen till varför personuppgifterna erhölls. Personalen bör följa företagets arkiveringspolicy som anger den relevanta lagringsperioden, eller de kriterier som ska användas för att fastställa lagringsperioden. Om det finns någon osäkerhet bör personalen rådfråga [Dataskyddsombudet;

 

  1. Personlig information (och känslig personlig information) som inte längre behövs kommer att raderas permanent från våra informationssystem och eventuella papperskopior kommer att förstöras på ett säkert sätt.

 

  1. Dataintrång

 

  1. Ett dataintrång kan ta många olika former, till exempel:

 

  1. förlust eller stöld av data eller utrustning på vilken personlig information lagras;

 

  1. obehörig åtkomst till eller användning av personlig information antingen av en anställd eller tredje part;

 

  1. förlust av data till följd av fel på utrustning eller system (inklusive hårdvara och mjukvara);

 

  1. mänskliga fel, såsom oavsiktlig radering eller ändring av data;

 

  1. oförutsedda omständigheter, såsom brand eller översvämning;

 

  1. avsiktliga attacker på IT-system, såsom hackning, virus eller nätfiske; och

 

  1. "blagging"-brott, där information erhålls genom att vilseleda den organisation som innehar den.

 

  1. Företaget kommer att:

 

  1. göra den erforderliga rapporten om ett dataintrång till informationskommissionärens kontor utan onödigt dröjsmål och, om möjligt inom 72 timmar efter att ha blivit medveten om det, om det sannolikt kommer att leda till en risk för enskildas rättigheter och friheter; och

 

  1. meddela de drabbade individerna om ett dataintrång sannolikt kommer att leda till en hög risk för deras rättigheter och friheter och anmälan krävs enligt lag.

 

  1. Internationella överföringar

 

  1. Företaget kan överföra personlig information utanför Europeiska ekonomiska samarbetsområdet (EES) (som omfattar länderna i Europeiska unionen och Island, Liechtenstein och Norge) på grundval av att landet, territoriet eller organisationen har utsetts ha en adekvat skyddsnivå eller att organisationen som tar emot informationen har tillhandahållit adekvata skyddsåtgärder genom bindande företagsregler eller standardklausuler för dataskydd eller efterlevnad av en godkänd uppförandekod eller med kundens uttryckliga medgivande.

 

  1. Träning

 

  1. Företaget kommer att se till att personalen är adekvat utbildad angående deras dataskyddsansvar. Individer vars roller kräver regelbunden åtkomst till personlig information, eller som är ansvariga för att implementera denna policy eller svara på begäranden om tillgång till personer enligt denna policy, kommer att få ytterligare utbildning för att hjälpa dem att förstå sina skyldigheter och hur de ska uppfylla dem.

 

  1. Konsekvenser av att inte följa

 

  1. Företaget tar efterlevnaden av denna policy på största allvar. Underlåtenhet att följa policyn:

 

  1. riskerar de individer vars personuppgifter behandlas; och

 

  1. bär risken för betydande civilrättsliga och straffrättsliga påföljder för individen och företaget; och

 

  1. kan under vissa omständigheter utgöra ett brott av den enskilde.

 

  1. På grund av vikten av denna policy kan en anställds underlåtenhet att uppfylla kraven i den leda till disciplinära åtgärder enligt våra rutiner, och denna åtgärd kan resultera i uppsägning på grund av grovt tjänstefel. Om en icke-anställd bryter mot denna policy kan de få sitt kontrakt uppsagt med omedelbar verkan.

 

  1. Om du har några frågor eller funderingar om något i denna policy, tveka inte att kontakta dataskyddsombudet;

 

 

 

Jag har läst och förstått denna policy och samtycker till att följa dess villkor.

 

Signerad................................................. ................................................................ .

bottom of page