Argus Analytics policy för dataskydd och rutiner vid hanteringen av personuppgifter

Dessa policy och rutiner syftar till att uppfylla Dataskyddsförordningen (GPDR) som gäller sedan 25 maj 2018.

Rättslig grund – Registrering av personuppgifter grundas på 7 kap. Bokföringslagen och individens eventuella frivilliga önskan att erhålla information.
Information baseras på individens samtycke. Detta sker genom att individen (1) själv registrerar sina uppgifter och (2) inte kan göra detta förrän han/hon två gånger aktivt accepterat att personuppgifter lagras och i samband med detta fått information om Dataskyddsförordningen. Personer under 18 år registreras ej av Argus Analytics.

Systemdokumentation – Personuppgifterna hanteras i mySQL-databas med CRYPT_BLOWFISH algoritm-kryptering på virituell Linux-server. Access till server kan endast ske via skyddad SSL-förbindelse. Inga kopplingar till externa system förekommer. Behörighet till server, databaser och personuppgifter kräver säkerhetsklassificering.

Lagrad personinformation – Personuppgifterna är namn, epost, adress, telefon, påbörjade inköp, avslutade inköp, betalningar av inköp samt returer. Information lagras enligt 7 kap. Bokföringslagen i sju år.

Grund för lagring av personuppgifter – Personuppgifter för kunder lagras för att kunder skall kunna logga in och se skyddad information, samt för att dokumentera kunders köp i syfte att uppfylla bokföringslagen, att kunna hantera leveranser, garantier, betalningar och returer, samt kunna ge kunder erbjudande om framtida köp.
Personuppgifter för utförande av uppdrag lagras endast under den tid uppdraget utförs och raderas därefter.

Externa kopplingar – Inga externa kopplingar som medför insyn eller överföring av personuppgifter förekommer, med undantag för koppling till banksystem för betalning, då endast belopp för inköp överförs

Riskanalys – Identifikation och minimering av risker i privacy-by-design med personuppgiftshantering enligt privacy-impact-assessment och GAP-analyser genomförs regelbundet.

Individens rätt till information och korrigeringar – Individer som finns i register med personuppgifter har rätt att:
• få tillgång till sina personuppgifter
• få felaktiga personuppgifter rättade
• få sina personuppgifter raderade
• invända mot att personuppgifterna används för direktmarknadsföring
• invända mot att personuppgifterna används för automatiserat beslutsfattande och profilering
• flytta personuppgifterna (dataportabilitet)
Rutiner finns för att på begäran från individen lämna ut personuppgifter, samt radera dessa uppgifter vid begäran. Sådan begäran skall vara skriftlig och åtföljas av identifikationskontroll.
Utlämnad information skall vara kortfattad samt lättbegriplig och tydligt och enkelt utformad.
Alla korrigeringar av uppgifter dokumenteras med CRYPT_BLOWFISH algoritm-kryptering på virituell Linux-server.

Dataintrång eller annan förlorad information – Databaser med personinformation övervakas IRL. Alla störningar dokumenteras. Om det inte är osannolikt att en inträffad incident medför risker för enskildas fri- och rättigheter anmäls händelsen till Datainspektionen inom 72 timmar. Om incidenten kan leda till att individer utsätts för allvarliga risker såsom diskriminering, id-stölder, bedrägerier eller finansiella stölder skall de omgående informeras om händelsen så att de kan vidta nödvändiga åtgärder.

Ansvarig – Ansvarig för rutiner, kontroller och hantering av Dataskyddsförordningen är företagets IT-chef. Mejladress: info@argus-security-analytics.com

Klagomål – Klagomål om hantering av persondata kan riktas till Datainspektionen.