Skip to main content
search
 

Dataskyddspolicy för Time Cares kunder

Information om behandling av personuppgifter i rollen som personuppgiftsbiträde

Personuppgiftspolicy

Obs! Policyn finns på andra språk, se bifogade filer.

Inledning

RLDatix-koncernen (”bolaget”) samlar in, använder och skyddar personuppgifter för sina anställda, kunder och andra intressenter i enlighet med gällande lagar och förordningar om dataskydd.

Bolaget åtar sig att skydda personuppgifternas integritet och säkerhet och att uppfylla sina skyldigheter i fråga om dataskydd, inklusive de registrerades rättigheter.

Bolaget har utsett dataskyddsombud (DPO) som ansvarar för att övervaka genomförandet och efterlevnaden av denna policy. Frågor, synpunkter eller förfrågningar som rör denna policy eller behandlingen av personuppgifter ska ställas till det ansvariga dataskyddsombudet:

 

Omfattning

Denna policy gäller för alla bolagets anställda (inklusive underleverantörer och praktikanter), oavsett var de befinner sig, vilken roll de har, hur länge de har varit anställda eller hur många år de har arbetat. Den fungerar som en basstandard som alla bolagets medarbetare och leverantörer är skyldiga att följa.

Denna policy omfattar alla kategorier av personuppgifter som för närvarande lagras, underhålls och hanteras av företaget. Specifikt handlar det om personuppgifter om våra kunder, leverantörer, konsulter och implementeringspartners som för närvarande är engagerade i avtalsförhållanden med företaget.

För hantering av anställdas personuppgifter, se Integritetspolicy för anställda och för arbetssökande , se Integritetsmeddelande för jobbsökande.

Mål

De primära målen för denna policy är följande:

  • Beskriva bolagets efterlevnadsskyldigheter och fastställa ansvarsåtgärder för att skydda personuppgifter och registrerade;
  • Uttrycka bolagets fasta åtagande att skydda de personuppgifter som bolaget behandlar, vilket innefattar förebyggande av personuppgiftsincidenter och upprätthållande av de registrerades rättigheter;
  • Respektera de registrerades rättigheter och preferenser;
  • Genomföra lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter;
  • Följa relevanta standarder för dataskydd, uppförandekoder och avtalsenliga skyldigheter.

 

Denna policy har anpassats till de tillämpliga ”dataskyddslagarna”, inklusive men inte begränsat till:

  • UK Data Protection Act 2018 (”DPA”) som införlivar den allmänna dataskyddsförordningen (”UKGDPR”);
  • EU:s allmänna dataskyddsförordning (GDPR);
  • Health Insurance Probability and Accountability Act 1996 (HIPPA), USA;
  • Personal Information Protection and Electronic Documents Act (PIPEDA), Kanada;
  • Privacy Act 1988 (Australien) eller lagar i delstater/territorier enligt vad som är tillämpligt;
  • Personal Data Protection Law (PDPL), Konungariket Saudiarabien;
  • Health Information Technology for Economic and Clinical Health (HITECH) Act 2009, USA;
  • Lag om skydd av personuppgifter 2020 (LSP), Nordmakedonien.

Denna policy innehåller grundläggande principer och standarder för skydd av personuppgifter. Bolaget strävar efter att säkerställa att alla nya juridiska och andra faktorer beaktas när de uppkommer.

Alla nyanställda måste genomgå en dataskyddsutbildning som omfattar ämnen som dataskyddslagen, GDPR, HIPAA och eventuella regions-/landsspecifika dataskyddslagar.

Definitioner

Personuppgiftsansvarig: person, antingen ensam eller tillsammans med andra personer eller organisationer, som bestämmer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till.

Personuppgiftsbiträde: person (annan än en anställd hos den personuppgiftsansvarige) eller organisation som behandlar personuppgifter för den personuppgiftsansvariges räkning.

Registrerad: personen som personuppgifterna avser.

Personuppgifter (inklusive PII): all slags information eller uppgifter som kan knytas till en fysisk person som är identifierad eller kan identifieras (”den registrerade”), direkt eller indirekt, genom hänvisning till ett identifikationsnummer eller till en eller flera faktorer som är specifika för deras fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet. Personuppgifter omfattar namn, adress, affärsreferenser och plats.

Personlig hälsoinformation (PHI): alla individuellt identifierbara hälsodata, inklusive medicinska journaler, behandlingsuppgifter och personliga identifierare, som lagras, överförs eller underhålls i någon form. De måste skyddas för att garantera integritet och säkerhet och får inte lämnas ut utan personens samtycke, utom under särskilda omständigheter.

Behandling av personuppgifter: varje åtgärd eller serie av åtgärder som vidtas avseende sådana uppgifter, vare sig det sker manuellt eller automatiserat. Medel eller mekanismer som används: insamling, inhämtande, registrering, organisering, strukturering, lagring, förvaring, anpassning eller ändring, återvinning, läsning, användning, utlämnande genom överföring, spridning eller annat tillgängliggörande, justering eller sammanställning, blockering, radering eller förstörelse.

Kommersiella åtaganden

RLDatix har ingått avtal, inklusive databehandlingsavtal, med våra kunder, tjänsteleverantörer och partner som fastställer dataskyddsförpliktelser som är specifika för de databehandlingsaktiviteter som utförs med dem eller för deras räkning. Dessa avtal kräver att åtgärder vidtas för att skydda data, lämna ut och på annat sätt hantera data på ett sätt som är i linje med kundens eller våra direkta krav.

Principer för dataskydd

Bolaget behandlar personuppgifter i enlighet med följande dataskyddsprinciper:

  • Behandla på ett rimligt och lagligt sätt och på ett öppet sätt i förhållande till enskilda personer; de registrerade måste informeras om hur deras uppgifter hanteras, syftet med databehandlingen och kategorier av tredje parter till vilka uppgifterna kan komma att överföras;
  • Inhämta och samla in uppgifter på ett lagligt och rimligt sätt, och endast för angivna och lagliga ändamål och inte vidare behandlas på ett sätt som är oförenligt med dessa ändamål;
  • Säkerställa att de uppgifter som samlas in är adekvata, relevanta och inte överdrivet omfattande i förhållande till det avsedda ändamålet (”uppgiftsminimering”);
  • Uppgifterna ska vara korrekta och uppdaterade;
  • Personuppgifter får inte lagras under längre tid än vad som är nödvändigt för ändamålet. Efter denna tidpunkt måste personuppgifterna raderas eller anonymiseras (”lagringsbegränsning”);
  • Skydda och säkra uppgifterna mot obehörig eller olaglig behandling, förlust, förstörelse eller skada (”integritet och konfidentialitet”).

 

Vanliga syften för insamling och behandling av uppgifter

Vi samlar in och behandlar personuppgifter av följande skäl eller för följande ändamål:

  • För att tillhandahålla produkter och tjänster till våra kunder;
  • För att marknadsföra våra produkter och tjänster. Affärskontakter har rätt att hindra att deras uppgifter används för marknadsföringsändamål;
  • Användning av uppgifter för fakturerings- och bokföringsändamål;
  • Verifiering av identiteter av säkerhetsskäl;
  • Administrering av register, publikationer, kvalifikationer och samverkan för leverantörer, försäljare och tjänsteleverantörer för analys, budgetering, kampanjer, stöd och rapporteringsändamål;
  • För att svara på förfrågningar och klagomål från affärskontakter;
  • Användning av information på ett kollektivt sätt som inte kan hänföras till någon specifik individ, för kvalitetskontroll och förbättring av våra webbplatser;
  • För att följa tillämplig lag.

Information som inte identifierar någon enskild person kan användas på ett generellt sätt av oss eller tredje part för att tillhandahålla klassificeringsinformation, t.ex. demografi eller användning av en viss sida eller tjänst.

Typer av information som behandlas

Vi lagrar och behandlar information som är relevant för ovanstående skäl/ändamål. Detta kan omfatta:

  • Identifieringsuppgifter (som utan begränsning kan omfatta namn, adress, tidigare adresser, handelsnamn och adress för enskilda näringsidkare, telefonnummer, e-postadress, domännamn och IP-adress);
  • Produktrelaterad information som lagras i våra produkter, inklusive personal- och patientdemografi, kostnader och yrkeskvalifikationer etc;
  • Publikationer och samverkan;
  • Fakturerings- och betalningsinformation;
  • Uppgifter/historik om köp och betalning av produkt/tjänst;
  • Information som tillhandahålls från eller i samband med förfrågningar och undersökningar;
  • Visuella bilder, ljud, personligt utseende och beteende kan fångas på ett fotografi, en digital video eller en CCTV-film;
  • Sådan annan personlig information tillhandahålls frivilligt av leverantörer, kunder, säljare och tjänsteleverantörer, enligt överenskommelse mellan parterna från tid till annan.

 

Ändring av syfte

Personuppgifter kommer endast att användas för de ändamål för vilka vi samlade in dem, såvida vi inte rimligen anser att det finns ett behov av att använda dem för ett annat ändamål och att detta ändamål är förenligt med det ursprungliga ändamålet. Om vi måste använda dina personuppgifter för ett orelaterat ändamål kommer vi att meddela dig och förklara den rättsliga grund som tillåter oss att göra det.

Observera att vi kan komma att behandla dina personuppgifter utan din vetskap eller ditt samtycke, i enlighet med ovanstående regler, om detta krävs eller tillåts enligt lag.

Delning av information

Vi kan behöva dela dina uppgifter med tredje part, inklusive tredjepartsleverantörer av tjänster och andra enheter i bolaget. Där detta är nödvändigt måste vi följa alla aspekter av de regionala dataskyddslagarna. De delade personuppgifterna får endast lämnas ut till följande mottagare eller kategorier av mottagare på grundval av need-to-know.

När det är nödvändigt eller krävs delar vi information med:

  • Leverantörer och serviceföretag;
  • Finansiella organisationer, pensionsinstitut och försäkringsbolag;
  • Kreditupplysningsföretag;
  • Inkasso- och spårningsbyråer;
  • Statliga, rättsliga eller reglerande myndigheter eller organ;
  • Polisen;
  • Säkerhetsorganisationer;
  • Personer som gör en förfrågan eller lämnar ett klagomål.

 

Överföringar

RLDatix bedriver global verksamhet, vilket innebär att personuppgifter kan komma att överföras till utlandet eller till en annan region. Personuppgifter ska inte överföras till en annan enhet, ett annat land eller territorium om inte rimliga och lämpliga åtgärder har vidtagits för att upprätta och upprätthålla den nödvändiga nivån av datasäkerhet och i full överensstämmelse med dataskyddslagarna. Personuppgifter kan överföras på följande villkor:

  • Överföringen eller utlämnandet får inte skada den nationella säkerheten eller vitala intressen i det land eller det territorium från vilket den överförs;
  • Lämpliga skyddsåtgärder måste finnas för att bevara och upprätthålla konfidentialiteten för de personuppgifter som överförs och säkerställa att normerna för skydd av personuppgifter inte är lägre än de som anges i dataskyddslagarna;
  • Personuppgifter får endast lämnas ut till tredje part av skäl som är förenliga med de syften för vilka uppgifterna ursprungligen samlades in eller andra syften som är tillåtna enligt lag;
  • Personuppgifterna är nödvändiga för att utföra uppgifter som omfattas av mottagarens verksamhet;
  • Endast de personuppgifter som är nödvändiga för att utföra dessa uppgifter ska överföras;
  • Mottagarna får endast behandla personuppgifterna för de ändamål för vilka de överförs;
  • Alla överföringar av personuppgifter till tredje part för vidare behandling ska omfattas av skriftliga avtal, införlivade i avtalen, och av en rättslig grund för överföringen.

 

Hantering av incidenter

Om det skulle ske ett dataintrång har RLDatix dokumenterat och testat processer för incidenthantering och anmälan av överträdelser.

Rättigheter enligt lagen/förordningarna

Registrerade personer kan begära att få utöva sina rättigheter enligt dataskyddslagstiftningen. Om denna begäran avser uppgifter som finns i de system eller tjänster som vi tillhandahåller, kommer vi att meddela kunden om denna begäran så snart det är praktiskt möjligt. Kunderna är ansvariga för att verkställa den registrerades begäran som gäller system för vilka de är personuppgiftsansvariga.

Om begäran avser information som RLDatix har samlat in för att tillhandahålla tjänsten, till exempel kontoinformation, ska svar lämnas inom 30 dagar från det att din identitet har verifierats, eller 15 dagar för begäran från Nordmakedonien. Vi kan behöva ytterligare tid (upp till två månader) för komplexa eller flertaliga förfrågningar från dig. Om så sker kommer vi att informera dig inom en månad från det att vi mottagit begäran och förklara varför mer tid krävs.

Rätt till information

Alla registrerade har rätt att få veta om personuppgifter som rör dem behandlas och att få följande information:

  • Vilka uppgifter som behandlas;
  • De ändamål för vilka deras personuppgifter behandlas eller ska behandlas;
  • Från vem de tas emot och till vem de lämnas ut.

Alla registrerade har rätt att:

  • Få en kopia av sådana personuppgifter;
  • Rätta eventuella felaktigheter som finns i uppgifterna om dem.

När en registrerad begär ytterligare uppgifter kan denne informeras om huruvida det är obligatoriskt eller frivilligt att svara på dessa förfrågningar och om de eventuella följderna av att inte svara.

Rätt till åtkomst

Alla registrerade (enskilda personer) ska ha rimlig åtkomst till sina personuppgifter och kompletterande information. Om du gör en begäran ska du få åtkomst till uppgifterna inom trettio (30) dagar från mottagandet av din skriftliga begäran. Om du vill komma åt dina uppgifter kan du skicka din begäran (även kallad Subject Access Request – SAR) till [email protected].

Det är kostnadsfritt att göra en SAR, men bolaget förbehåller sig rätten att ta ut en rimlig administrationsavgift för att tillhandahålla den begärda informationen om begäran är uppenbart ogrundad eller överdriven, eller om en enskild person begär ytterligare kopior av sina uppgifter.

Vi kan begära specifik information från dig för att hjälpa oss att bekräfta din identitet och säkerställa din rätt att få tillgång till informationen (eller att utöva någon av dina andra rättigheter). Detta anses vara en lämplig säkerhetsåtgärd för att säkerställa att personuppgifter inte lämnas ut till oberättigade personer.

Rätt till rättelse/ändring

Du har rätt att göra en rimlig begäran om ändring/rättelse av dina uppgifter av följande skäl:

  • Om du enkelt kan visa att det finns ett identifierbart fel, en nödvändig uppdatering, en väsentlig utelämning, en överflödig uppgift eller;
  • Att det är olagligt att föra ett sådant register.

 

Rätt till upphörande av behandling/rätt till radering

Denna rättighet ger dig möjlighet att be oss radera eller ta bort personuppgifter om det inte finns någon tvingande anledning för oss att fortsätta behandla dem. Du har också rätt att be oss radera eller ta bort dina personuppgifter om du har utövat din rätt att invända mot behandlingen.

Det finns vissa särskilda omständigheter då rätten till radering inte gäller och bolaget kan vägra att behandla begäran. Några fall där detta gäller:

  • Rätten att utöva yttrande- och informationsfrihet;
  • Verkställning av en rättslig skyldighet för att utföra en uppgift av allmänt intresse eller myndighetsutövning;
  • Folkhälsoändamål i allmänhetens intresse;
  • För arkivändamål av allmänt intresse, vetenskaplig forskning, historisk forskning eller statistiska ändamål; eller
  • För utövande eller försvar av rättsliga anspråk.

En registrerad har rätt att när som helst begära att behandlingen av personuppgifter upphör på grund av att den orsakar eller sannolikt kommer att orsaka betydande skada eller lidande för den registrerade själv eller för någon annan. Begäran ska:

  • Vara skriftlig,
  • Ange tydliga skäl för begäran,
  • Ange en rimlig tidsram för när behandlingen ska upphöra.

 

Neka åtkomst

Bolaget förbehåller sig följande rätt att neka:

  • Information vid upprepade och orimligt frekventa förfrågningar;
  • Om begäran inte kan tillgodoses utan att information lämnas ut om en annan person som kan identifieras utifrån informationen (inklusive dess källa). Utom när den andra personen har samtyckt till att informationen lämnas ut till den anställde som gör begäran, eller det är rimligt att uppfylla begäran utan den andra personens samtycke;
  • Uppgifter som är undantagna enligt lagstiftning med hänvisning till nationell säkerhet, brott mot etiska regler för reglerade yrken eller som är relevanta för en pågående utredning om eventuella straffrättsliga eller civilrättsliga åtgärder.

Den personuppgiftsansvarige måste svara inom 21 dagar och ange om man avser verkställa eller har verkställt begäran, skälen till att begäran är omotiverad och i vilken utsträckning man avser att verkställa begäran (om alls).

Affärskontakter har rätt att hindra att deras information används för marknadsföringsändamål genom att kontakta [email protected]

Rätt till automatiserat beslutsfattande och profilering

Flera av de lagar som omfattas av denna policy innehåller bestämmelser om automatiserat beslutsfattande (beslutsfattande som sker helt automatiserat utan mänsklig medverkan).

Du kommer inte att bli föremål för beslut som har en betydande inverkan på dig och som enbart grundas på automatiserat beslutsfattande, såvida vi inte har en laglig grund för att göra det och vi har meddelat dig om detta.

För närvarande använder vi inte artificiell intelligens (AI) i behandlingen av personuppgifter. Som en del av vårt pågående arbete med att förbättra våra tjänster kan vi dock komma att integrera AI-teknik i framtiden. Om vi beslutar oss för att integrera AI i vår verksamhet kommer vi att uppdatera vår integritetspolicy för att tydligt förklara hur AI kan användas och hur det kan påverka hanteringen av dina personuppgifter.

Vi kommer alltid att se till att all användning av AI följer tillämpliga lagar och förordningar om dataskydd och att dina integritetsrättigheter respekteras. Om vi introducerar AI-relaterade tjänster kommer vi att tillhandahålla lämpliga upplysningar och inhämta nödvändiga samtycken för att upprätthålla transparens och skydda din information.

 

Efterlevnad av policy

Alla som arbetar för eller med bolaget har ett visst ansvar för att se till att data samlas in, lagras och hanteras på lämpligt sätt. Varje team som hanterar personuppgifter måste säkerställa att de behandlas i enlighet med denna policy och principerna för dataskydd. Den verkställande ledningsgruppen är ytterst ansvarig för att säkerställa att bolaget uppfyller sina rättsliga skyldigheter och detta uppnås genom följande:

  • Bolaget måste visa att det följer dataskyddslagarna, tillsammans med andra relevanta policyer, standarder och uppförandekoder;
  • Bolaget bör vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa och visa att behandlingen är förenlig med principerna, standarderna och lagarna för dataskydd;
  • Utbildning av medarbetare och råd om dataskydd;
  • Utvärdering av alla tjänster och processer från tredje part som RLDatix överväger att använda för att lagra eller bearbeta data genom DPIA och due diligence-granskningar. Alla identifierade risker hanteras via riskhanteringsprocessen;
  • Avtal med tredje part och personuppgiftsbiträden som kan komma att hantera företagets känsliga uppgifter ska kontrolleras och granskas;
  • Se till att alla system, tjänster och utrustning som används för att lagra data uppfyller godtagbara säkerhetsstandarder;
  • Godkänna och uppdatera dataskyddsmeddelanden som bifogas kommunikation, t.ex. e-postmeddelanden, vid behov;
  • Säkerställa att marknadsföringsinitiativ följer GDPR-principerna som ett minimum;
  • Registrera dataintrång och rapportera dem till kunderna, registrerade personer där så krävs eller till dataskyddsmyndigheten där så krävs, med stöd från teamen för juridik och efterlevnad.  Efter eventuella överträdelser bör bolaget se över om dess säkerhetsåtgärder är tillräckliga;
  • Se till att det finns en laglig grund för all behandling av personuppgifter;
  • Tillhandahålla detta policydokument till potentiella och befintliga kunder.
Close Menu