Inledning
MH Konsult Väst AB och MH Konsult i Kungälv AB värnar om våra kunders personliga integritet och eftersträvar därför alltid en hög nivå av skydd och säkerhet för våra kunders personuppgifter.
Nedan framgår hur vi samlar in och använder information och personuppgifter för att utföra våra uppdrag. Vi använder bara personuppgifter för de ändamål som framgår av våra uppdrag och lämnar inte heller ut personuppgifter till andra än vad som är överenskommet med kunderna eller följer av lagstiftningen. Radering av personuppgifter sker efter avslutad användning i enlighet med överenskommen tid eller den tidsperiod som lagring krävs enligt lagar och regelverk.
1. Verksamhet
Vi bedriver verksamhet inom Sverige som faller under GDPR och regelverk för att skydda fysiska personers personuppgifter samt står under tillsyn av Datainspektionen.
Vi följer de grundläggande principerna inom GDPR för att uppnå ett integritetsskydd för personuppgifter. Det innebär att vi inte kommer att samla in mer information än vad som behövs, inte ha kvar informationen längre än nödvändigt och inte använda uppgifterna till något annat än vad som var syftet när de samlades in.
Vår kärnverksamhet består inte i att samla in och systematiskt behandla personuppgifter i stor omfattning och vi har därför inte något behov av att utse något särskilt dataskyddsombud.
Samtliga anställda i vår verksamhet har genomgått grundläggande utbildning inom reglerna för skydd av personuppgifter, samt håller sig uppdaterade i sådan omfattning som krävs för att fortlöpande kunna uppfylla kraven i gällande regelverk.
2. Kategorier av registrerade
De personuppgifter som förekommer i vår verksamhet utgör endast identifikation av vilken funktion den aktuella personen innehar, t ex:
– Uppdragsgivare till byrån (kontaktpersoner)
– Leverantör till byrån (kontaktpersoner)
– Anställd på byrån
– Anställd hos uppdragsgivare
– Affärspartners till byråns uppdragsgivare (kontaktpersoner)
– Samarbetspartners (kontaktpersoner)
Personuppgifter om minderåriga (under 13 år) registreras inte. Det sker heller ingen registrering eller kategorisering baserat på etniskt ursprung, politiska åsikter, religiös tillhörighet, sexuell läggning eller hälsotillstånd eller liknande.
3. Ändamål med behandlingen
Den behandling av personuppgifter som sker i vår verksamhet baseras helt på den överenskommelse om arbetsuppgifter som framgår av uppdragsavtalen och som har bekräftats av uppdragsgivaren. Exempel på sådana arbetsuppgifter för uppdragsgivaren är:
– Tjänster inom redovisning som upprättande av bokföring och bokslut
– Tjänster inom lönehantering och betalningstjänster
– Tjänster inom beskattning som upprättande av skatte- och inkomstdeklarationer
– Tjänster inom ekonomisk rådgivning
I dessa uppdrag utförs arbetsuppgifter där personuppgifter förekommer och dessa personuppgifter behandlas enbart som underlag för att kunna utföra de arbetsuppgifter som framgår av uppdrags-avtalen. Någon övrig behandling av personuppgifter sker inte.
4. Datakällor och rapportering
Byrån samlar inte själva in några personuppgifter utan behandlar enbart sådan information som tillhandahålls av den registrerade själv eller från uppdragsgivaren för utförande av uppdraget. De personuppgifter som byrån behandlar rapporteras eller delas inte till någon utomstående utöver vad som följer av lagstiftning, t ex kontrolluppgifter för anställda, eller instruktioner från uppdragsgivaren enligt uppdragsavtalen.
Vi strävar alltid efter att dina personuppgifter ska behandlas inom EU/EES och alla våra egna IT-system finns inom EU/EES.
5. Rättslig grund för behandling av personuppgifter
All verksamhet sker baserat på rättsliga grunder för behandling av personuppgifter enligt GDPR artikel 6.1. Detta innebär följande underlag för behandlingen av personuppgifter:
– Samtycke för behandling för ett eller flera specifika ändamål
– Behandlingen är nödvändig för att fullgöra ett avtal
– Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse (annat regelverk)
– Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse
– Behandlingen är nödvändig för att uppfylla ett berättigat intresse
I den del behandlingen är baserad på samtycke ska det vara möjligt att återkalla samtycket, vilket då medför att behandlingen upphör om inte annan rättslig grund föreligger.
Nedan anges exempel på rättslig grund för behandling av personuppgifter inom olika områden.
6.1 Identitetskontroll för personkännedom
Sparas i 5 år. Rättslig förpliktelse genom Lagen om penningtvätt.
6.2 Personuppgifter som ingår i räkenskapsinformation
Sparas i 7 år. Rättslig förpliktelse enligt Bokföringslagen.
6.3 Finansiella rapporter, underlag och kommentarer
Analyser av utfall, underlag för budgets, kommentarer och råd till företagsledningen. Sparas i 10 år enligt rättslig grund i branschstandarden Rex som ingår i uppdragsavtalet.
6.4 Egna anteckningar och frågeställningar i uppdraget
Sparas i 10 år enligt rättslig grund i branschstandarden Rex som ingår i uppdragsavtalet.
6.5 Kundregister över byråns kunder
Rättslig grund att spara enligt intresseavvägning, dvs om värdet för byrån är större än risken och olägenheten för den registrerade, kan sparas i 10 år.
6. Behörighet och tillgång till data
All personal inom byrån har tecknat sekretessavtal som innebär att man inte får röja någon som helst information om byråns uppdragsgivare eller deras affärsrelationer. Alla IT-system kräver behörighetskoder för att få tillgång och sådan behörighet är anpassad till respektive anställds arbetsuppgifter.
Kommunikation med kunder ska ske på ett säkert sätt och med skydd för åtkomst från obehöriga. Det innebär att e-post ska vara lösenordskyddad eller krypterad om personuppgifter ingår, samt att erhållen e-post med personuppgifter snarast ska raderas eller överföras till skyddat arkiv.
Vår IT leverantör ställer en adekvat skyddsnivå genom användandet av så kallade lämpliga skyddsåtgärder.
7. Registerutdrag
Vi är alltid öppna och transparenta med hur vi behandlar dina personuppgifter. Den som är registrerad i något av våra system har rätt att begära ett sk registerutdrag, med information om vad som finns registrerat utan kostnad en gång per år.
8. Rättelse av registrerad uppgift och radering
Om registrerade uppgifter är felaktiga eller ofullständiga kan den som är registrerad begära rättelse eller komplettering. Efter sådan rättelse ska samtliga register som berörs uppdateras med korrekt information. Det är enbart den som är registrerad som kan begära sådan rättelse.
Den som är registrerad kan begära att uppgifterna raderas i de fall:
– Uppgifterna inte längre är nödvändiga för det syfte de samlades in
– Inga andra regelverk eller avtal anger att lagring ska ske
– Uppgifterna har behandlats på ett sätt som strider mot regelverket
– Ditt intresse av radering väger tyngre än byråns värde av registreringen
– Uppgifterna måste raderas pga en rättslig förpliktelse
9. Hur länge sparas personuppgifter?
Vi sparar aldrig personuppgifter längre än nödvändigt för respektive ändamål. Olika lagringstider kan vara tillämpliga beroende på ändamålet samt den rättsliga grunden för behandlingen. Generellt kan dock sägas att om ingen annan information lämnas kommer personuppgifter som omfattas av rättslig grund att lagras i 10 år. Efter avslutad lagringstid kommer de registrerade uppgifterna att raderas.
10. Vilka kan vi komma att dela dina personuppgifter med?
I de fall det är nödvändigt för att vi ska kunna erbjuda våra tjänster delar vi dina personuppgifter med företag som är så kallade personuppgiftsbiträden för oss. Ett personuppgiftsbiträde är ett företag som behandlar informationen för vår räkning och enligt våra instruktioner. Vi har personuppgiftsbiträden som hjälper oss med exempelvis IT tjänster och programvaror.
När dina personuppgifter delas med personuppgiftsbiträden sker det endast för ändamål som är förenliga med de ändamål för vilka vi har samlat in informationen. Vi kontrollerar alla personuppgiftsbiträden för att säkerställa att de kan lämna tillräckliga garantier avseende säkerheten och sekretessen för personuppgifter. Vi har skriftliga avtal med alla personuppgiftsbiträden genom vilka de garanterar säkerheten för de personuppgifter som behandlas och åtar sig att följa våra säkerhetskrav samt begränsningar och krav avseende internationell överföring av personuppgifter.
Vi kan komma att göra ändringar i vår integritetspolicy. Den senaste versionen av integritetspolicyn finns alltid här på webbplatsen.