Förtroendet som våra användare gett oss att förvalta data och personuppgifter är en av Wingr's viktigaste tillgångar. I denna dataskyddspolicy kan du läsa hur vi hanterar våra kunders personuppgifter och varför våra användare kan känna sig trygga med att lagra data och personuppgifter i Wingr.
1. Inledning
Wingr's främsta prioritet är att värna säkerheten för hantering av såväl personuppgifter som övrig data. Detta sker på flera plan, från den tekniska implementationen av tjänsten till de regelverk som styr det interna arbetet. Wingr's Dataskyddspolicy sammanfattar Wingr's regelverk för hantering av personuppgifter. Dokumentet innehåller således Wingr's rutiner och policies för att uppfylla både interna och legala krav för att hantera personuppgifter både när vi själva gör det och när våra kunder gör det i vår tjänst. Alla policies är förankrade hos styrelse, ledning och anställda. Wingr har fördelat ett internt ansvar för att implementera och säkerställa efterlevnad av denna samt övriga policies. Detta och övriga policies uppdateras löpande i enlighet med att gällande lagstiftning eller branschstandarder förändras. Kontakta peter@wingr.se om du har några frågor kring detta dokument.
2. Roller
- Personuppgiftsansvarig: Den som hanterar personuppgifter, i Wingr's fall de organisationer som använder Wingr's digitala tjänster.
-
Personsonuppgiftsbiträde: Den som biträder hanteringen, i Wingr's fall, Wingr tillsammans med våra tjänsteleverantörer.
3. Varför finns denna policy?
Denna dataskyddspolicy säkerställer att Wingr:
- Följer gällande lagstiftning och branschstandard för personuppgiftsskydd
- Värnar rättigheter för anställda, kunder och samarbetspartners
- Är transparent med hur vi arbetar med personuppgiftsskydd
- Har tydliga rutiner för att skydda personuppgifter
3. LagstiftningDataskyddsförordningen (på engelska General Data Protection Regulation, GDPR) gäller som lag i Sverige och övriga EU från och med 25 maj 2018. Förordningen ersätter Personuppgiftslagen (PuL).
Enligt Dataskyddsförordningen ska ett personuppgiftsbiträde:
- Enbart hantera personuppgifter på instruktion av den personuppgiftsansvarige
- Enbart anlita andra biträden (tjänster) med godkännande från den personuppgiftsansvarige
- Föra register över vilken typ av personuppgiftsbehandling som utförs
- Säkerställa en lämplig säkerhetsnivå
-Upprätta ett personuppgiftsbiträdesavtal med den personuppgiftsansvarige
- Ha rutiner för personuppgiftsincidenter
- Bistå personuppgiftsansvariga att fullgöra sina skyldigheter
Dessa skyldigheter uppfyller Wingr dels genom avtalen med våra kunder, dels genom interna regelverk. Mer information finns på
4. Internt regelverk
Utöver Användarvillkoren och Tjänstevillkoren har Wingr implementerat ett internt regelverk. Dessa rutiner och policies säkerställer att Wingr uppfyller gällande krav både som personuppgiftsansvarig och personuppgiftsbiträde:
- Dataskyddspolicy (detta dokument)
- Rutin för att bistå begäran av personuppgiftRutin för begäran av personuppgift
- Rutin för rapportering av personuppgiftsincident
- Rutin för uppdatering av policies och avtal
- Integritetspolicy
- Informationssäkerhetspolicy*
- IT-Säkerhetspolicy*
- Sekretessavtal*
**Separata dokument
5. Rutiner
Rutin för att bistå begäran av personuppgift
I det fall tredje man begär utdrag av personuppgiftsutdrag har Wingr en skyldighet att bistå våra kunder (som är personuppgiftsansvariga) i ärendet.I första hand hänvisar vi till den sökfunktion som finns implementerad i tjänsten tillsammans med vår mall för standardsvar för begäran av personuppgift som Wingr tillhandahåller på begäran.
Rutin för begäran av personuppgift
I det fall Wingr kontaktas angående begäran av personuppgift i rollen som personuppgiftsansvarig ska det handläggas skyndsamt.
Rutin för rapportering av personuppgiftsincident
Wingr övervakar kontinuerligt den egna tjänsten såväl som andra biträdens tjänster i fråga om eventuella incidenter. Utöver det ska eventuella misstänkta incidenter rapporteras av användare till peter@wingr.se enligt vad som framgår av villkoren för tjänsten.
Kan en personuppgiftsincident konstateras och Wingr är personuppgiftsbiträde så ska detta meddelas personuppgiftsansvariga omgående. Personuppgiftsansvariga anmälas till Datainspektionen inom 72 timmar förutsatt att det är sannolikt att incidenten kan leda till att enskildas fri- och rättigheter kränkts.
Kan en incident konstateras där Wingr är personuppgiftsansvarig så ska Wingr kontakta Datainspektionen inom 72 timmar.
Rutin för uppdatering av policies och avtal
Ovan listade dokument ska revideras i Maj varannat år med början år 2021 eller så fort det finns uppenbar anledning att göra det.