SKYDD AV PERSONUPPGIFTER
Denna information är avsedd att beskriva hur Akvedukten och Trimport® förhåller sig till behandling av personuppgifter. Vår ambition är att våra system och rutiner ska vara utformade på ett sätt som skyddar enskildas personuppgifter. Detta regleras vidare i Dataskyddsförordningen eller vad som kanske är mer känt som GDPR (General Data Protection Regulation). Trimport® förekommer som denna webbplats och som en applikation (app).
APPEN
I Trimport®-appen lagras information om samtliga användare som en abonnemangsinnehavare registrerat. Exempel på uppgifter som registreras är namn, titlar/roller, organisationstillhörigheter, adresser, telefonnummer, mejladresser, behörigheter, användarnamn och lösenord. Sådan registrering kan även omfatta personer som hör till abonnemangsinnehavarens organisation samt till avtalsparters organisationer, men som inte är upplagda som användare i systemet.
För det fall abonnemangsinnehavaren registrerar anställningsavtal kan även registrering av personnummer, anställningsnummer, hemadress och privata kontaktuppgifter förekomma. Sådan registrering kan även omfatta personer som hör till abonnemangsinnehavarens organisation, men som inte är upplagda som användare i systemet.
Syftet med denna registrering och lagring av data är att möjliggöra nyttan med applikationen, d v s:
- att möjliggöra åtkomst till applikationen,
- att tillgängliggöra information om avtal och andra liknande dokument,
- att tillgängliggöra information om uppföljningar kopplade till avtal och andra liknande dokument,
- att tillgängliggöra information om vem som ansvarar för vilka avtal och andra liknande dokument samt
- att generera påminnelser om planerade åtgärder kopplade till avtal och andra liknande dokument.
Abonnemangsinnehavaren styr i vilken utsträckning som användarna i systemet har behörighet att få tillgång till registrerad data avseende personuppgifter. För att bibehålla historiken kring hanteringen av ett avtal eller liknande dokument sparas kopplingen i systemet mellan namn, ansvar, åtgärder och anteckningar å ena sidan och ett visst avtal eller annat liknande dokument å andra sidan, så länge avtalet eller annat liknande dokument finns registrerat i systemet. I syfte att säkerställa en hög datakvalitet loggas också vilka ändringar som gjorts i systemet och vilken användare som gjort dessa. Däremot raderas personuppgifter utöver namn i samband med att en användare avregistreras. Säkerhetskopiering medför dock att personuppgifterna lagras under så lång tid som en säkerhetskopia sparas. Se mer om detta under Trimport® och säkerhet.
För att underlätta för användaren att registrera data är systemet utformat så att det i vissa fall kontrollerar om annan data associerad till data som användaren är i färd med att registrera, finns lagrad. Om sådan data upptäcks kan systemet föreslå data i de fält som ska fyllas i. I normalfallet rör sig detta om annan data än persondata, men det kan inte uteslutas att systemet även utnyttjas för att föreslå persondata. I användarens dator lagras även s k kakor. Läs mer om kakor här.
Abonnemangsinnehavaren är i lagens mening personuppgiftsansvarig och Akvedukten agerar som dess personuppgiftsbiträde. Akvedukten i sin tur har underbiträden i form av leverantörer av virtuella servrar.
Akveduktens tillgång till uppgifter om användare är begränsad till namn, användarnamn och kontaktuppgifter. Denna information behövs för att kunna lämna support till användarna av Trimport®-tjänsten och för att kunna skicka ut information och nyheter om tjänsten. Persondata som Akvedukten har tillgång till raderas i samband med att en användare avregistreras. Se dock kommentaren ovan om säkerhetskopiering.
En förutsättning för en abonnents nyttjande av Trimport®-tjänsten är att denne också är beredd att ikläda sig ansvaret som personuppgiftsansvarig. Akvedukten biträder personuppgiftsansvarig i egenskap av personuppgiftsbiträde och nyttjar även underbiträden för att kunna leverera tjänsten.
Akvedukten garanterar att data inte kommer att göras tillgänglig för tredje part annat än i den utsträckning som krävs för att kunna leverera tjänsten. All data lagras inom EU-/EES-området, d v s i länder som följer GDPR. Akveduktens anställda samt konsulter, samarbetspartners och leverantörer som kan tänkas få åtkomst till databaser har i avtal förbundit sig att iakttaga sekretess.
Vem är egentligen personuppgiftsansvarig? Akvedukten eller kunden? Det står i Bineros papper att personuppgiftsansvarig är ansvarig för var data lagras, men vad har då vår kund för ansvar för vilka data som lagras respektive raderas?
WEBBPLATSEN
Utöver data som registreras och lagras i appen kan webbplatsen generera mejl. Dessa sparas under max tio år eller till dess avsändaren begär att de ska raderas.