Argus Analytics policy för dataskydd och rutiner vid hanteringen av personuppgifter
Dessa rutiner syftar till att uppfylla Dataskyddsförordningen (GPDR) som gäller sedan 25 maj 2018.
Rättslig grund
Registrering av personuppgifter grundas på 7 kap. Bokföringslagen och individens eventuella frivilliga önskan att erhålla information.
Information baseras på individens samtycke. Detta sker genom att individen (1) själv registrerar sina uppgifter och (2) inte kan göra detta förrän han/hon två gånger aktivt accepterat att personuppgifter lagras och i samband med detta fått information om Dataskyddsförordningen. För barn under 16 år krävs vårdnadshavares samtycke.
Systemdokumentation
Personuppgifterna hanteras i mySQL-databas med CRYPT_BLOWFISH algoritm-kryptering på virituell Linux-server. Access till server kan endast ske via skyddad SSL-förbindelse. Inga kopplingar till externa system förekommer. Behörighet till server, databaser och personuppgifter kräver säkerhetsklassificering.
Lagrad personinformation
Lagrade personuppgifter är namn, epost, adress, telefon, påbörjade inköp, avslutade inköp, betalningar av inköp, samt returer. Information lagras enligt 7 kap. Bokföringslagen i sju år.
Grund för lagring av personuppgifter
Personuppgifter lagras (1) för att kunder skall kunna logga in och se skyddad information, och (2) för att dokumentera kunders köp i syfte att uppfylla bokföringslagen, att kunna hantera leveranser, garantier, betalningar och returer, samt kunna ge kunder erbjudande om framtida köp.
Externa kopplingar
Inga externa kopplingar som medför insyn eller överföring av personuppgifter förekommer, med undantag för koppling till banksystem för betalning, då endast belopp för inköp överförs. Därefter hanteras inköpsprocessen av bankens system.
Riskanalys
Identifiera och minimering av risker i privacy-by-design med personuppgiftshantering enligt privacy-impact-assessment och GAP-analyser genomförs regelbundet.
Individens rätt till information och korrigeringar
Individer som finns i register med personuppgifter har rätt att:
• få tillgång till sina personuppgift
• få felaktiga personuppgift rättade
• få sina personuppgift raderade
• invända mot att personuppgifter används för direktmarknadsföring
• invända mot att personuppgifter används för automatiserat beslutsfattande och profilering
• flytta personuppgifter (dataportabilitet)
Rutiner finns för att på begäran från individen lämna ut personuppgifter, samt radera dessa uppgifter vid begäran. Sådan begäran skall vara skriftlig samt åtföljas av identifikationskontroll.
Utlämnad information skall vara kortfattad, lättbegriplig och utformad med ett tydligt och enkelt språk.
Alla korrigeringar av uppgifter dokumenteras med CRYPT_BLOWFISH algoritm-kryptering på virituell Linux-server.
Dataintrång eller annan förlorad information
Databaser med personinformation övervakas IRL. Alla störningar dokumenteras. Om det inte är osannolikt att en inträffad incident medför risker för enskildas fri- och rättigheter anmäls händelsen till Datainspektionen inom 72 timmar. Om incidenten kan leda till att individer utsätts för allvarliga risker såsom diskriminering, id-stölder, bedrägerier eller finansiella stölder skall de omgående informeras om händelsen så att de kan vidta nödvändiga åtgärder.
Ansvarig
Ansvarig för rutiner, kontroller och hantering av Dataskyddsförordningen är företagets IT-chef. Mejladress: info@argus-security-analytics.com
Klagomål
Klagomål om hantering av persondata kan riktas till Datainspektionen.