InsureEd SFM AB (nedan kallat InsureEd) är ett företag inom utbildningssektorn med kunder bland annat inom försäkringsbranschen och övrig finansbransch.
InsureEd behandlar personuppgifter och annan data med största försiktighet och respekt. InsureEd har i sin verksamhet implementerat reglerna i Dataskyddsförordningen. InsureEd skall följa Dataskyddsförordningen, andra regler och sedvänja samt praxis som kan anses gälla för ett bolag med dylik verksamhet.
Denna policy innehåller inställningen InsureEd har angående skyddet av personuppgifter och annan data samt diverse handlingsregler för verksamheten.
Policyn riktar sig främst till anställda, bolagets styrelse samt till andra personer och företag som utför uppdrag åt InsureEd. Policyn fungerar också som information till kunder, leverantörer och samarbetspartners om hur InsureEd sköter dataskyddsfrågor. Policyn skall finnas tillgänglig på bolagets hemsida.
Policyn skall löpande uppdateras efter behov beroende på hur InsureEd och dess kunders verksamheter utvecklas och beroende på hur lagar, föreskrifter, andra regler, sedvänja samt praxis ändras. Denna policy är antagen av InsureEds styrelse.
Hedda Hök, VD
Stockholm januari 2020
De personuppgifter InsureEd behandlar rör i huvudsak personer som skall gå, går eller gått någon eller några av InsureEds kurser genom egen anmälan/registrering eller via företag eller organisation. Det kan också vara fråga om uppgifter om personal på bolaget, externa personer som medverkar i framtagande av kurser, kontaktpersoner och firmatecknare hos kundföretag och samarbetspartners. Det kan även vara personuppgifter om personer som anmält sig och deltagit vid informationsmöten eller som önskar få tillsänt sig löpande information från bolaget.
InsureEd har inget behov av att hämta in något som enligt lag kan betraktas som en känslig personuppgift. Om InsureEd av någon anledning behöver behandla känslig personuppgift, som då i varje fall skall redogöras skäl för, skall InsureEd begära samtycke från personen.
I de fall InsureEd är personuppgiftsansvarig bestämmer InsureEd ändamål och medel för behandlingen samt är i övrigt ansvarigt för att personuppgifterna behandlas på rätt sätt.
I de fall InsureEd är personuppgiftsansvarigt skall bolaget också lämna information till de personer som berörs i enlighet vad som krävs enligt Dataskyddsförordningen.
Denna information, kallad ”Information om personuppgifter hos InsureEd”, ligger med i de allmänna villkor som samtliga kunder får del av. Informationen ligger även i anslutning till de kurser som respektive kursdeltagare skall genomföra. Informationen nämner bland annat de rättigheter registrerade har.
InsureEd skall ha förteckning över samtliga register med personuppgifter och var de finns.
Varje register har regler för varför uppgiften behöver sparas innehållande en förklaring av ändamålet med behandlingar, hur länge uppgifter i registret skall sparas och att uppgift därefter skall förstöras.
InsureEd använder inte själva, och låter inte utomstående använda, personuppgifter till marknadsföring för sådant som ligger utanför den verksamhet som bolaget bedriver.
Inga personuppgifter lagras i annat land än Sverige.
Personuppgifter sparas så länge det behövs för de ändamål som beskrivs för respektive personuppgift i information till den berörda personen. I normala fall sparas inte personuppgifter kring genomförda kurser, informationsmöten och dylikt längre än vad som krävs enligt lag för ekonomisk redovisning, tex Bokföringslagen.
De personuppgifter på affärskontakter, vänner och anhöriga med mera som InsureEds personal har i bolagets datorer, mobiler, andra tekniska hjälpmedel, i utskrifter, andra papper och anteckningar skall förstöras när de inte längre behövs.
För viss administration och tekniska lösningar kring utbildningar kan InsureEd använda en eller flera andra bolag. InsureEd avtalar då med tydliga instruktioner om efterlevnad av dataskydd, sekretess mm och det föreligger alltid ett personuppgiftsbiträdesavtal om annat bolag tar del av personuppgifter som InsureEd ansvarar för.
InsureEd behandlar även annan viktig information än personuppgifter. Det kan röra sig om egna affärshemligheter, avtal med andra parter och även viktig icke-offentlig information om annan part och dennes verksamhet. InsureEd förbinder sig att i tillämpliga delar följa denna policy även för sådana uppgifter och att skydda uppgifter av detta slag på samma sätt som InsureEd skyddar personuppgifter.
Inköp av IT-varor och IT-tjänster skall göras med stor omsorg. InsureEd skall vid behov ta hjälp av extern expertis för att kunna avgöra vad för slags inköp som är lämpliga. Vid köp av annat än enklare utrustning skall kontroll göras av att leverantören har god vandel och att leverantören har en dataskydds- och IT-policy som uppfyller alla gällande regler för dennes verksamhet.
InsureEd använder extern leverantör för vissa IT-stöd. Externt stöd kan få insyn i personuppgifter som InsureEd behandlar både som ansvarig och som biträde.
I de fall det krävs enligt Dataskyddsförordningen skall InsureEd se till att det finns ett personuppgiftsbiträdesavtal mellan InsureEd som personuppgiftsansvarig och extern IT-firma. Avtal med externt företag angående IT skall löpande utvärderas i syfte att utröna om det finns nya eller ändrade risker i samband med att externt stöd får del av personuppgifter hos InsureEd.
InsureEd skall för register innehållande personuppgifter ha säkra IT-system/program.
För tillträde till system, datorer mm skall var och en av de som använder dessa behöva säkra lösenord för tillträde. Bolaget skall i sina system ha uppdaterade skydd mot virus och andra säkerhetshot. VD skall tillse att det finns rutiner för säker lagring och back-up. VD har ansvar för att personal får instruktioner om vad som är lämpligt i fråga om uttalanden, ur ett data- och IT-skyddsperspektiv, om InsureEd och dess verksamhet i sociala medier eller andra medier.
En anställd får använda bolagets dator och mobil även i privata angelägenheter så länge det inte påverkar den anställdes utförande av arbetet, så länge inga personuppgifter som InsureEd ansvarar för, eller i övrigt behandlar, används i privata sammanhang. Bolagets utrustning får inte användas vid brottslig verksamhet eller sådan aktivitet som kan anses vara oförenlig med god etik samt som enligt arbetsrättslig praxis skulle kunna leda till varning, uppsägning eller avsked.
En anställd får inte inneha några uppgifter om InsureEds verksamhet på någon privatägd dator, privat mobil eller annan privat elektronisk utrustning.
När en anställd avslutar sin anställning skall dator, mobil och annan teknisk utrustning som ägs av InsureEd återlämnas. Alla privata personuppgifter och andra eventuella personuppgifter som inte har med InsureEds verksamhet i denna utrustning skall kastas innan den återlämnas till InsureEd.
Datorer och annan teknisk utrustning samt personuppgifter som finns i pappersform skall utanför kontorstid förvaras inom InsureEds låsta och larmade lokaler och inte förvaras i anställds bostad eller på annat ställe annat än då det behövs vid tillfälligt arbete utanför InsureEds lokal.
Om dator, mobil eller annan teknisk utrustning, innehållande personuppgifter som InsureEd ansvarar för eller är biträde för, tappas bort skall InsureEd omedelbart vidtaga åtgärder för att minska risken för spridning av personuppgifter.
InsureEd skall ha ett avtal om tillgång till omedelbar hjälp av expertis/kvalificerad IT-support om det kommer till InsureEds kännedom om att intrång sker eller har skett från utomstående i InsureEds register eller om det finns risk för läckage av personuppgifter på annat sätt.
Personal skall informera VD så snart ett brott mot Dataskyddsförordningen upptäcks, eller så snart det finns risk för att något sådant skulle kunna ske. VD skall skyndsamt behandla ärendet.
Om personuppgifter inte behandlats på rätt sätt skall berörda registrerade personer informeras snarast när så krävs enligt Dataskyddsförordningen. Eventuellt berörd personuppgiftsansvarig som InsureEd behandlar uppgifter åt skall också underrättas omedelbart. VD skall snarast informera styrelsen och all den personal som kan beröras. VD skall i övrigt vidtaga alla nödvändiga åtgärder som behövs för att begränsa skadan och för att återställa verksamheten så att Dataskyddsförordningen och denna dataskydds- och IT-policy följs. VD skall, om så krävs enligt Dataskyddsförordningen, informera relevant myndighet på det sätt och inom de tider som krävs.
VD skall dokumentera vad som hänt, orsaken, hur det upptäcktes, hur det åtgärdades och vilka övriga åtgärder som vidtogs i saken. Förutom den första inledande informationen som VD skall lämna till styrelsen skall VD sedan presentera hela ärendet för styrelsen och redogöra för hur det kan undvikas i framtiden. VD skall i alla beslut och åtgärder av vikt som vidtas i samband med ett brott mot Dataskyddsförordningen förankra dessa med jurist.
Om inte VD finns tillgänglig för att vidtaga ovan nämnda åtgärder skall VD se till att annan person på InsureEd har instruktion om att vid dylika händelser snarast informera styrelsen. Styrelsen skall sedan utse person som för InsureEds räkning snarast vidtar de åtgärder VD skall vidtaga enligt ovan.
Efter genomgång av de regler som gäller för om en personuppgiftsansvarig skall utse en DPO eller ej så har InsureEd kommit fram till att bolaget inte behöver utse en sådan.
InsureEd behandlar inte personuppgifter av sådant slag och i sådan utsträckning som gör att en DPO behöver utses.
VD skall minst en gång per år utvärdera om denna dataskydds- och IT-policy
behöver ändras. VD skall utreda och ändra text i policyn när så behövs beroende på hur
bolagets verksamhet utvecklas, förändringar i registrerades och personuppgiftsansvarigas intressen och beroende på hur lagar, föreskrifter, andra regler, sedvänja samt praxis ändras.
Styrelsen skall antaga nya versioner av denna policy.
InsureEd SFM AB (InsureEd)
Org nr: 559193-1521
Adress: Apelbergsgatan 36, 111 37 Stockholm
Ansvarig för dataskyddsfrågor: Hedda Hök, VD
E-post: hedda.hok@insureedsfm.se
Tel: 073 069 61 61