Enköping Hotell & Konferens AB
GALLRINGSPOLICY
Följande policy upprättats för Enköping Hotell & Konferens AB nedan kallat ”företaget” den 2018-04-30.
Bakgrund
All behandling av personuppgifter måste uppfylla de grundläggande principer som anges i dataskyddsförordningen. Principerna innebär bland annat att personuppgifter bara får samlas in för berättigade ändamål som inte är alltför allmänt hållna och att mängden uppgifter ska begränsas till vad som är nödvändigt för ändamålen. Uppgifterna får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål och inte heller sparas längre än nödvändigt eller enligt vad som har kommunicerats.
Syfte
Denna policy gäller för anställda inom företaget och syftar till att skapa en tydlig struktur hur gallring av personuppgifter som behandlas inom företaget ska tillgodoses i organisationens olika delar.
Grundprinciper
Grundprinciperna för gallring rörande personuppgifter är att aldrig vare sig behandla eller lagra uppgifter längre än vad som är nödvändigt. När det inte längre behövs för det syfte de ursprungligen samlades in ska de raderas eller anonymiseras. En gallringsrutin för de olika personuppgifter som behandlas ska finnas på plats inom företaget och ske med automatik. IT-systemen ska vara anpassade så att det tekniskt går att genomföra gallring av personuppgifter.
Gallringsrutinen förutsätter att de personuppgifter som behandlas görs så med en laglig grund. En behandling som saknar laglig grund ska omedelbart upphöra och personuppgifterna raderas, förutsatt att uppgifterna inte behandlas på annat sätt med en korrekt grund och därmed måste behållas.
Företaget genomför kontinuerlig granskning samt värdering över huruvida personuppgifter som behandlas bör gallras eller anonymiseras för att behandla så lite uppgifter som möjligt och inte mer än företaget absolut behöver.
Vilka personuppgifter behandlas inom företaget?
Nedan följer en genomgång av de olika kategorier av berörda vars personuppgifter behandlas i företaget. [bör justeras utefter företagets behandling]
Anställda
Anställdas personuppgifter behandlas för att företaget ska kunna hantera anställningen och fullgöra förpliktelserna mot den anställde. För viss behandling krävs ett särskilt samtycke från den anställde.
Vid en anställnings upphörande sparas endast rena faktauppgifter, såsom anledningen till anställningens upphörande. Även betyg och tjänstgöringsintyg får sparas, samtliga uppgifter som sparas lagras för administrativa ändamål och för att kunna ge referenser. Samtliga uppgifter sparas under tiden för eventuell företrädesrätt. Vid en begäran om att bli raderad sparas endast de uppgifter företaget har rätt till, eller krav på sig, enligt tvingande lagstiftning.
Under anställningsförhållandet behandlas många olika uppgifter. Dessa sparas och behandlas på olika grunder, t.ex. anställningsavtalet, samtycke eller intresseavvägning. Behandling som grundas på samtycke upphör om samtycket dras tillbaka, t.ex. lagring av personlighetstester eller annan subjektiv information i kompetensdatabaser. Behandling som grundas på anställningsavtalet upphör när anställningen avslutas, i enlighet med stycket ovan. Behandling som grundas på en intresseavvägning måste regelbundet ses över för att kontrollera om företagets intresse fortsatt anses väga tyngre än den registrerades rätt till skydd, t.ex. företagets intresse av att samla in kontaktuppgifter till de anställdas anhöriga att användas vid eventuella olyckor. Om en bedömning görs att så inte är fallet ska behandlingen upphöra och uppgifterna som inte längre behövs ska gallras.
Rekrytering
Vid rekrytering sparas inkomna ansökningar endast i den mån den sökande har gett sitt samtycke, i annat fall raderas uppgifterna när rekryteringen är avslutad och tiden för överklagan har gått ut. Om handlingarna innefattar känsliga uppgifter ska dessa gallras så snart som möjligt.
Vänligen notera att om utdrag ur belastningsregistret görs ska det alltid lämnas tillbaka till den sökande, det får aldrig sparas hos företaget.
Kunder
Kunduppgifter innehållande personuppgifter gallras när kundförhållandet har tagit slut och eventuell tid för reklamationsrätt, ångerrätt eller dylikt har gått ut. Kontaktuppgifter kan komma att behållas för marknadsföringssyften grundat på en intresseavvägning. Mottagaren av marknadsföringen har dock alltid rätt att frånsäga sig utskick vilket då självklart respekteras.
I det fall företaget agerar personuppgiftsbiträde för en kunds räkning gallras uppgifter i enlighet med instruktioner från Kunden.
Leverantörer
Personuppgifter från leverantörer sparas så länge företaget använder den aktuella leverantören. Detta för att kunna hantera, mottaga, reklamera eller ångra t.ex. ett köp. Även i syfte att hantera avtalsrelationen. Därutöver sparas uppgifterna endast i den mån det krävs av tvingande lagstiftning.
Allmänt
Undantag från gallring ovan är Personuppgifter som företaget enligt speciallag behöver behandla tex för redovisning och myndighetskrav och rapportering. Uppgifter som behövs för bokföringssyften måste t.ex. sparas i 7 år.
Gallringsrutin
Förutom ovan nämnda exempel på gallring så gallrar företaget bort mailkorrespondens, eventuella ej nödvändiga personuppgifter i pappersformat eller digitalt format. Gallringsfrekvens: minst en gång per år.