GDPR-Policy

1. INLEDNING OCH SYFTE

Syftet med denna policy är att säkerställa att 2BK arkitekter hanterar personuppgifter i enlighet med EU:s dataskyddsförordning (General Data Protection Regulation – GDPR). Policyn omfattar alla behandlingar där personuppgifter hanteras och omfattar såväl strukturerad som ostrukturerad data. Denna policy är förankrad hos alla våra medarbetare.

2. TILLÄMPNING, UPPFÖLJNING OCH REVISION

Styrelsen ansvarar för att behandlingen av personuppgifter följer denna policy. Policyn ska fastställas av styrelsen minst en gång per år och uppdateras vid behov. Dataskyddsombud är ansvarig för att hålla i processen kring årlig uppdatering av policyn till följd av nya och förändrade Denna policy är tillämplig för alla företagets anställda samt uppdragstagare som berörs av vår verksamhet.

3. ORGANISATION OCH ANSVAR

2BK Arkitekter har det övergripande ansvaret för innehållet i denna policy samt att den implementeras och efterlevs av verksamheten. Företagsledningen får delegera ansvaret och implementationen till lämplig person på företaget. 2BK Arkitekter har delegerat implementering av denna policy till internt dataskyddsombud. Alla medarbetare ansvarar för att de agerar i enlighet med denna policy och vad den vill säkerställa.

4. BEGREPP OCH FÖRKORTNINGAR

PERSONUPPGIFT (PU): En personuppgift är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. REGISTRERAD: Den som en personuppgift avser, det vill säga den fysiska person som direkt eller indirekt kan identifieras genom personuppgifterna i ett register. PERSONUPPGIFTSBEHANDLING (PUB): En åtgärd eller kombination av åtgärder beträffande personuppgifter – oberoende av om de utförs automatiserat eller ej – såsom insamling, registrering, organisering och strukturering.

5. PERSONUPPGIFTSBEHANDLING

5.1 2BK Arkitekter behandlar i första hand PU för att uppfylla förpliktelser motbeställare, samarbetspartners, leverantörer och anställda. I andra hand behandlas PU för marknadsföring och ackvisition av nya uppdrag. Alla personuppgifter handhas med försiktighet och endast där vi har laglig grund genom rättslig förpliktelse, avtal, samtycke eller intresseavvägning. Endast de som behövs för nämnda ändamål hanteras och bara så länge de är relevanta. De uppgifter det handlar om är i de allra flesta fall endast kontaktuppgifter. Uppgifter om etnicitet, sexualliv, politiska åsikter, religiös eller filosofisk övertygelse hanteras aldrig av 2BK Arkitekter. 5.2 Företaget har en registerförteckning över de platser personuppgifter sparas, vilka typer av personuppgifter som finns var, vad de har för syfte, rättslig grund samt hur länge de sparas. Förteckningen hålls aktuell av dataskyddsombud. 5.4 I vissa fall måste personuppgifter distribueras vidare för att vi ska kunna fullfölja våra uppdrag. Det kan handla om mötesprotokoll, beställningar av produkter för kunds räkning, bygglovsansökningar, etc. I dessa fall finns rutiner och loggfiler för att dokumentera vilken typ av uppgift det rör sig om, till vem den distribuerats och i vilket syfte. I samtliga fall upprättas ett personuppgiftsbiträdesavtal med den tredje parten. 5.5 Våra krav på att personuppgifter hanteras enligt GDPR ska alltid säkerställas vid upphandling och utveckling av IT-lösningar och tjänster, och ska vara en del i kravspecifikationen och eventuella avtal.

7. ARKIVERINGSTIDER

7.1 Enligt ABK09 (kapitel 5, §2), som gäller för samtliga våra uppdrag om ingen annat anges, specificerar att vi är ansvariga för fel som kan uppkomma 10 år från att projektet avslutats. Därför sparas projektanknutna PU i 10 år. 7.2 PU på fakturor och bokföring sparas enligt bokföringslagen i 7 år. 7.3 Inkomna jobbansökningar sparas i sex månader.

8. INCIDENTER

Eventuella incidenter rörande PU som vi behandlar ska utan dröjsmål rapporteras till dataskyddsombud. Dataskyddsombud ska utan onödigt dröjsmål och senast inom 72 timmar anmäla incidenten till Datainspektionen samt i övrigt vidta nödvändiga åtgärder med anledning av incidenten.

9. RÄTTIGHETER

Alla registrerade har rätt att få besked om vilka PU vi behandlar om dem. Registrerad har också rätt att begära rättelse i fråga om de PU vi behandlar om vederbörande samt rätt att bli glömd, d.v.s. begära att vi raderar de PU vi behandlar om vederbörande. Om en registrerad begär att bli glömd raderar vi alla PU vi har om vederbörande utom de vi är skyldiga att behålla av lagkrav, t.ex. bokföring. För att åberopa någon av ovan nämnda rättigheter ombeds man kontakta oss via mail eller telefon.

DATASÄKERHET

Vårt säkerhetssystem är utarbetat med fokus på integritet och skyddar i hög grad mot intrång, förstöring samt andra risker. Vi har rutiner för IT-säkerhet som garanterar att PU behandlas säkert.

VEM HAR TILLGÅNG?

Utgångpunkten är att bara de personer inom företaget som behöver personuppgifterna för att utföra sina arbetsuppgifter ska ha tillgång till dem.

INSAMLING

2BK Arkitekter får tillgång till PU på följande sätt: - Avtal, uppdragsbekräftelser med kunder och samarbetspartners - Anbud tillsammans med samarbetspartners - Fysiska och digitala visitkort som skickas/ges till våra medarbetare - Offerter från leverantörer