Integritetspolicy
Policy för skydd av personuppgifter
1.02 version från 2018-06-29
1. Omfattning och mål
Unipartner, som är ett företag som tillhandahåller tjänster inom informationssystem och teknik med säte i Portugal och som i första hand riktar sig till de europeiska marknaderna, ser skyddet av personuppgifter som en viktig aspekt av sin nuvarande och framtida verksamhet och identifierar det som en differentieringsfaktor och en affärsmekanism, inte bara på grund av den betydelse som förtroendet för anställda, partner och kunder har för verksamheten, utan också för att denna praxis utgör ett erbjudandeområde, en del av dess produkt- och tjänsteportfölj.
Denna policy för skydd av personuppgifter har utarbetats i syfte att göra Unipartners kunder, anställda, underleverantörer och kontakter medvetna om de principer, rättigheter och skyldigheter som ska uppfyllas när det gäller skydd av personuppgifter och hur de ska följas i samband med all affärsverksamhet där behandling av personuppgifter äger rum och oavsett Unipartners roll (ansvarig, medansvarig eller underleverantör) i en sådan behandling.
Policyn bygger på de ovannämnda rättsliga och tekniska standarderna, av vilka GDRP är särskilt framträdande, på grund av dess särdrag när det gäller skydd av personuppgifter och dess tvärgående tillämpning, både materiellt och territoriellt.
Vid antagandet av bestämmelserna i dessa standarder beaktas deras tillämplighet på den verksamhet som Unipartner bedriver, de riskbedömningar som gjorts och de strategiska alternativ som vidtagits för att skydda innehavarnas rättigheter, Unipartners och dess kunders hållbarhet och differentiering på en alltmer krävande, global och teknisk marknad. När det gäller de tekniska standarder som identifierats kommer Unipartner att fortsätta att formalisera certifiering i de fall där de marknader där företaget är verksamt kräver det eller där denna faktor uppfattas som en differentieringsfaktor, och naturligtvis inte underlåta att anta de goda rutiner som företaget anser vara relevanta och lämpliga för skyddet av personuppgifter.
Policyn är ett resultat av en diagnos som omfattar alla interna områden, de mest relevanta externa partnerna och underleverantörerna, och som har fastställt en uppsättning särskilda bestämmelser, som är en integrerad del av denna policy och syftar till att standardisera operationaliseringen av de allmänna bestämmelserna i de rättsliga examensbevisen och de tekniska standarderna, och en genomförandeplan för de åtgärder som identifierats, ett operativt instrument som ska upprätthållas oberoende av denna policy. Det stegvisa genomförandet av de identifierade åtgärderna påverkar inte uppfyllandet av Unipartners skyldigheter, men det bidrar till operationaliseringen av åtgärderna och utvecklingen av mognaden hos de metoder som ska göras mer effektiva.
1.1.Vad är skydd av personuppgifter?
Skyddet av fysiska personer vid behandling av personuppgifter är en grundläggande rättighet. I artikel 8.1 i Europeiska unionens stadga om de grundläggande rättigheterna (stadgan) och artikel 16.1 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget) fastställs att var och en har rätt till skydd av personuppgifter som rör honom eller henne.
Principerna och reglerna på detta område syftar till att respektera fysiska personers grundläggande rättigheter och friheter oavsett nationalitet eller bosättningsort och bidrar till frihet, säkerhet och rättvisa, till ekonomiska och sociala framsteg, till konsolidering och konvergens av ekonomierna på den europeiska inre marknaden och till fysiska personers välbefinnande.
Unipartner är ansvarig för att uppfylla alla rättsliga skyldigheter avseende behandling av personuppgifter som Unipartner deltar i, i den utsträckning som detta deltagande omfattar (ansvarsnivån fastställs individuellt för varje behandling av personuppgifter).
Unipartner lägger ut verksamhet för behandling av personuppgifter på partnerföretag. Dessa företag kan också agera som medansvariga om de deltar i fastställandet av ändamålen och/eller metoderna för behandling av personuppgifter.
Unipartner behandlar personuppgifter som underleverantör till kundföretag. Unipartnern kan också agera som medansvarig om den deltar i fastställandet av ändamålen och/eller metoderna för behandling av personuppgifter. Unipartner är ansvarig för eventuella överträdelser av de bindande regler som gäller för företag och som begås av inblandade enheter som inte är etablerade i EU, utom när det faktum som orsakat skadan inte kan tillskrivas Unipartner.
1.2.Karaktärisering och huvudsaklig behandling av personuppgifter
1.2.1. External Perspective
Unipartner får inom ramen för de tjänster som tillhandahålls och de projekt som utvecklas med sina partner och för sina kunder behandla personuppgifter om alla kategorier av innehavare, av alla typer (inklusive särskilda kategorier och domar/brott) och för alla ändamål, under förutsättning att alla rättsliga krav uppfylls, i strikt överensstämmelse med upprättade avtal och med den ansvarsnivå som ålagts (i allmänhet som underleverantör).
1.2.2. Verksamhet som inte omfattas av GDRP
Unipartner bedriver inte, ur ett internt perspektiv, någon verksamhet som ligger utanför GDRP:s materiella räckvidd, dvs. verksamhet som inte omfattas av EU-lagstiftning, gemensam utrikes- och säkerhetspolitik eller utredning, upptäckt och lagföring av överträdelser och verkställighet av straffrättsliga påföljder.
På grund av arten av de tjänster som företaget tillhandahåller kan det dock ingripa i behandlingen av personuppgifter som omfattas av dessa undantag, inom ramen för affärsverksamheten hos dess partners och kunder. Bestämmelserna i denna policy gäller även i dessa fall, så länge de inte strider mot de särskilda system som denna behandling av personuppgifter omfattas av.
1.2.3. Ändamål för behandling av personuppgifter
Med tanke på hur viktigt det är att definiera syftet med behandlingen för att alla system ska kunna följa bestämmelserna på ett effektivt sätt, särskilt när det gäller universell tolkning och tillämpning i de olika kontexterna av partner/klienters och ägares verksamhet och liv, antar Unipartner ett tillvägagångssätt som bygger på följande principer:
-
Funktionellt: ändamålen med behandlingen av personuppgifter motsvarar ändamålen med de affärsprocesser inom ramen för vilka dessa behandlingar äger rum; för analys- och kommunikationsändamål kan dessa (specifika) ändamål aggregeras till (generiska) ändamål som motsvarar de affärsfunktioner som processerna passar in i (en process passar in i en enda funktion);
-
Organisatoriskt överordnat: syftena ses på samma sätt oavsett vilken typ av inblandning organisationen har i processerna (t.ex. klient eller leverantör); samma organisation kan spela olika roller i olika fall/tillfällen av samma process och definierar i alla dessa fall syftena på samma sätt.
Eftersom Unipartner följer alla dessa principer antar Unipartner den konsoliderade listan över affärsprocesser (LC), integrerad i den funktionella makrostrukturen (MEF), som fastställts av den portugisiska staten, som referens för att definiera ändamålen för behandling av personuppgifter. I denna mening kommer varje process/ändamål att motsvara en enda affärsprocess i LC.
1.2.4. Överföring och tillhandahållande av personuppgifter till tredjeländer och internationella organisationer
Unipartner respekterar och tillämpar de rättsliga bestämmelserna om skydd av personuppgifter vid överföring av uppgifter till tredjeländer och internationella organisationer, nämligen med avseende på Europeiska kommissionens beslut om huruvida det eller de länderna är lämpliga för dataskydd eller, om de inte är lämpliga, huruvida garantierna för utövande av verkställbara rättigheter och effektiva rättsliga korrigerande åtgärder är tillräckliga i det eller de länderna.
-
Kommissionens beslut om adekvat skyddsnivå (rättsstatsprincipen, oberoende tillsynsmyndigheter, internationella åtaganden);
-
Tillräckliga garantier (utan tillstånd: rättsligt bindande instrument, bindande regler, standardklausuler, uppförandekod, certifiering; med tillstånd: avtalsklausuler, bestämmelser i administrativa avtal).
1.2.5. Registrering av behandling av personuppgifter
Unipartner har register över de verksamheter för behandling av personuppgifter som Unipartner deltar i och som innehåller följande uppgifter:
-
Syftet med behandlingen av personuppgifter (affärsprocess);
-
Bevaringstid, form av räkning och slutdestination för informationen;
-
Kategorier av innehavare, personuppgifter och mottagare (i förekommande fall);
-
Gemensamt ansvarig/ansvarig och eventuella underleverantörer [underleverantörer];
-
Överföring av personuppgifter och lämpliga skyddsåtgärder (i tillämpliga fall);
-
Förhandsriskbedömning och hänvisning till konsekvensbedömning och förhandssamråd med kontrollmyndigheten (i förekommande fall);
-
Tekniska och organisatoriska åtgärder som är anpassade till riskerna.
1.2.6. Internt perspektiv
Från ett internt perspektiv har Unipartner uppgifter om:
-
Arbetare: Personer som har ett kontrakt direkt med Unipartner;
-
Underleverantörer: enskilda personer som är underleverantörer till Unipartners partner och som huvudsakligen är involverade i leveransen av projekt och tjänster, men som också kan stödja andra verksamheter inom organisationen;
-
Partners: personer som utför funktioner i partnerföretag med en direkt relation till Unipartner;
-
Kunder: enskilda personer som utför funktioner i kundföretag och som har ett direkt förhållande till Unipartner;
-
Kontakter: enskilda personer som inte passar in i de tidigare kategorierna, men som i framtiden kan falla in i någon av dessa kategorier (t.ex. kandidat, potentiell kund).
Unipartner tillhandahåller för närvarande inga tjänster direkt till enskilda kunder och tillhandahåller följaktligen inte heller informationssamhällets tjänster till barn (under 16 år).
Den behandling av personuppgifter som utförs i detta perspektiv är huvudsakligen resultatet av:
-
Rättslig skyldighet: efterlevnad av rättsliga bestämmelser med offentliga organ och tjänster;
-
Genomförande av avtal: utformning och genomförande av avtal med arbetstagare, underleverantörer, partner och kunder;
-
Legitimt intresse: institutionell kommunikation, marknadsföring av produkter och tjänster.
Det finns också behandlingar som grundar sig på vitala intressen och samtycke.
Unipartner upprätthåller och behandlar endast personuppgifter som är adekvata, relevanta och begränsade till vad som är nödvändigt för ändamålet. Unipartner behandlar inte uppgifter från särskilda kategorier eller fällande domar/förseelser, utom i följande fall:
-
Ras eller etniskt ursprung, i den mån detta kan identifieras genom innehavarens bild (t.ex. fotografi);
-
Biometriska uppgifter (identifiering), som uteslutande används för att kontrollera tillträdet till anläggningen och för att kontrollera Unipartners och/eller dess partners/kunders närvaro (i förekommande fall);
-
Hälsouppgifter, när det krävs enligt rättslig förpliktelse, när ägarens eller tredje parters vitala intresse föreligger eller när de behandlas med samtycke;
-
Brottmål/förseelser, när det krävs enligt rättslig förpliktelse eller behandlas med samtycke.
Unipartner utvecklar verksamhet med partners och kunder som är etablerade utanför EU och respekterar och tillämpar de bestämmelser som gäller för varje enskilt fall.
1.3. Innehavarnas rättigheter
Innehavarnas rättigheter som ska skyddas inom ramen för skyddet av personuppgifter är följande:
-
Information: informera innehavaren om ansvariga, ändamål, kategorier, mottagare, garantier, tidsfrister, rättigheter, automatiserade beslut och källor, om innehavaren ännu inte har fått kännedom om detta och spara en oproportionerligt stor insats;
-
Tillgång: ange om det finns uppgifter som ska behandlas; om så är fallet, ge tillgång till de uppgifter som behandlas och informera om ändamål, kategorier, mottagare, garantier, tidsfrister, rättigheter, automatiserade beslut; om så begärs, lämna andra kopior (kan vara avgiftsbelagt);
-
Rättelse: rätta felaktiga eller ofullständiga uppgifter som behandlas utan onödigt dröjsmål;
-
Radering: radera uppgifter utan onödigt dröjsmål, när de inte är nödvändiga, utan samtycke, invändning, skadestånd, rättslig förpliktelse och informationssamhällets tjänster, med undantag för yttrande- och informationsfrihet, rättslig förpliktelse, folkhälsa, handlingar i allmänhetens intresse, vetenskapliga/historiska, statistiska utredningar eller förklaringar, utövande eller försvar av rättigheter i rättsliga förfaranden; informera de ansvariga om uppgifter överförs eller offentliggörs, genom att vidta rimliga åtgärder, med undantag för oproportionerligt stora ansträngningar;
-
Överförbarhet: lämna till innehavaren eller annan ansvarig person uppgifter som innehavaren har lämnat i ett strukturerat format, som används för närvarande och som kan läsas automatiskt, om behandlingen är automatiserad och med samtycke; gäller inte behandling av allmänt intresse eller av en myndighet;
-
Samtycke: behandla eller avbryta behandling; samtycket måste vara fritt, informerat, specifikt och uttryckligt; om ett barn och en tjänst i informationssamhället kräver det samtycke eller godkännande från föräldrarnas innehavare av föräldrarättigheter, med hänsyn till tillgänglig teknik;
-
Begränsning: begränsa behandlingarna till bevarande, samtycke, deklaration, utövande eller försvar av rättigheter i rättsliga förfaranden eller i allmänhetens intresse i händelse av felaktigheter, olagliga, onödiga eller invändningar; meddela mottagarna om uppgifter överförs, för att undvika oproportionerliga ansträngningar;
-
Invändning: upphörande av behandlingar på grund av innehavarens särskilda situation när det är motiverat av allmänintresse eller myndighet, legitimt intresse eller förenlighet, inklusive direkt marknadsföring, utom av tvingande skäl eller förklaring, utövande eller försvar i ett rättsligt förfarande; om vetenskaplig/historisk eller statistisk undersökning, är allmänintresset fortfarande förbehållet;
-
Icke-exklusivt underkastande: säkerställa mänskligt ingripande i ett automatiserat beslut med effekter inom innehavarens rättsliga eller liknande sfär, utom för fullgörande av ett avtal, med tillstånd enligt medlemsstatens eller unionens lagstiftning eller med samtycke; om det rör sig om särskilda kategorier, utom samtycke och allmänintresse;
-
Klagomål: Gör anspråk på tillsynsmyndigheten över den ansvariga personen/underleverantören;
-
Rättsliga åtgärder: vidta rättsliga åtgärder mot tillsynsmyndigheten eller den ansvariga/underleverantören.
1.4. Bevarande av uppgifter och kompletterande behandling
Bevarandet av personuppgifter och de ytterligare behandlingar som sådana uppgifter kan bli föremål för är ett resultat av specifika aspekter av det affärssammanhang i vilket de huvudsakligen behandlades. Skyddet av personuppgifter i dessa skeden kräver ett systematiskt tillvägagångssätt som kan tillämpas konsekvent av alla enheter som har deltagit i dessa huvudprocesser eller som har haft tillgång till dem som mottagare.
1.4.1. Strategi för informationsförvaltning
Den information som samlas in/produceras i samband med Unipartners och partners/kunders affärsverksamhet, där Unipartner är inblandad, hanteras enligt gemensamma regler som definieras utifrån kriterier:
-
Funktionella, enligt den affärsprocess i vilken informationen samlas in/produceras, samt det sammanhang i vilket denna affärsprocess är integrerad; därför utesluts tematiska, typologiska och/eller organiska kriterier som, trots att de är vanligt förekommande, baseras på specifika synpunkter eller är mer flyktiga än de processer som utförs av organisationen;
-
Supra organisatoriska, i den mån de gäller lika mycket oavsett vilken typ av inblandning organisationen har i processerna (t.ex. klient eller leverantör);
-
Värden, där man för varje fas i informationslivscykeln (kontinuum) fastställer primära och sekundära värden. Syftet är att se till att värdefull information bevaras medan information som inte är värdefull elimineras, vilket garanterar en effektiv användning av resurser och större effektivitet i hanteringen av de underliggande riskerna.
Personuppgifterna är en integrerad del av denna information och bevaras (i allmänhet) under de perioder som fastställts för de processer som de avser, eftersom de anses nödvändiga med hänsyn till de respektive huvudsakliga behandlingsändamålen, som motiverade insamlingen av dem, och kompletterande, när de rättigheter, friheter, skyldigheter och/eller ansvar som följer av de huvudsakliga behandlingarna är överhängande (omfattar förklaring, utövande eller försvar av rättigheter i rättsliga förfaranden).
Personuppgifter kan sparas under längre perioder om det krävs för arkivändamål av allmänt intresse, vetenskaplig eller historisk forskning eller statistiska ändamål.
1.4.2. Informationens livscykel
Därför beaktas följande faser i informationens livscykel:
1.4.3. Kriterier för fastställande av tidsfrister för bevarande och slutdestinationer
De tidsfrister för administrativt bevarande och den slutliga destinationen (t.ex. bortskaffande, bevarande) som ska tillämpas på informationen fastställs i LC, med följande anpassningar:
-
Tidsfrister som fastställts på grundval av direkta eller indirekta rättsliga kriterier (t.ex. förverkande av rättigheter, begränsning av ansvar) gäller direkt, utan att rätten till radering av personuppgifter iakttas inom denna period;
-
Eventuella förlängningar av dessa tidsfrister som fastställts på grundval av kriterier för administrativ eller administrativ nytta påverkar inte utövandet av rätten till radering av personuppgifter, om innehavaren uttryckligen begär det;
-
Information som inte har något sekundärt värde och som är avsedd för slutligt bortskaffande kommer att raderas efter den fastställda administrativa lagringsperioden;
-
Information med sekundärt värde, med slutdestination för bevarande, kommer att bevaras, och i så fall kan ytterligare åtgärder vidtas.
1.4.4. Tillämpning av åtgärder
I de fall då behovet av att bevara personuppgifter är verifierat och om innehavaren uttryckligen begär att få utöva sin rätt att begränsa behandlingen eller radera personuppgifter, kan följande åtgärder tillämpas:
-
Begränsning av behandlingen till bevarande för att förklara, utöva eller försvara rättigheter i rättsliga förfaranden och/eller arkivändamål av allmänt intresse, vetenskaplig eller historisk forskning eller statistiska ändamål;
-
Pseudonymisering: Behandling av personuppgifter på ett sådant sätt att de inte längre kan hänföras till en specifik innehavare utan att använda sig av ytterligare information, genom att denna ytterligare information hålls separat och omfattas av lämpliga tekniska och organisatoriska åtgärder.
I de fall där behovet av att bevara personuppgifter inte kan verifieras kan följande åtgärder tillämpas:
-
Anonymisering: Behandling av personuppgifter på ett sådant sätt att de inte längre definitivt kan hänföras till en specifik ägare;
-
Radering: permanent radering av personuppgifter.
Med tanke på behovet av att bevara bevis för genomförandet av dessa åtgärder, inklusive för att förklara, utöva eller försvara rättigheter i administrativa eller rättsliga förfaranden, kan anonymisering och radering ge upphov till eller kräva att innehavarens personuppgifter bevaras.
1.4.5. Bevarande av digital information
Digital information som ska bevaras under en period som överstiger sju år (tröskel för föråldrande), liksom de informationssystem som upprätthåller den, kommer att analyseras inom ramen för en plan för digitalt bevarande, som ska genomföras i enlighet med:
-
DGLAB:s rekommendationer i denna fråga;
-
ISO 16363-standarden för betrodda digitala arkiv (i förekommande fall).
1.5. Uppgifts- och behandlingssäkerhet
Unipartner har vidtagit nödvändiga och lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som Unipartner ansvarar för mot spridning, förlust, missbruk, obehörig åtkomst eller annan olaglig behandling.
När det gäller tredje parter som deltar i behandlingen av personuppgifter under Unipartners ansvar, det vill säga underleverantörer och partner, kontrollerar Unipartner i förhållande till dessa enheter att tillräckliga garantier ges för att tekniska och organisatoriska åtgärder vidtas som är lämpliga med hänsyn till riskerna med sådan behandling.
Denna analys omfattar följande aktiviteter:
-
Definiera ansvaret och koppla den gemensamma ansvariga/underleverantören [underleverantör] till de bestämmelser som gäller för de behandlingar som de deltar i;
-
Ange syfte, varaktighet, art, ändamål, kategorier av uppgifter samt den ansvariga personens innehavare och rättigheter;
-
Dokumentationsinstruktioner för att utföra behandlingen av personuppgifter;
-
Kontrollera sekretessåtaganden eller rättsliga skyldigheter för personer som har rätt att behandla personuppgifter;
-
Kontrollera att lämpliga tekniska och organisatoriska åtgärder har vidtagits.
Denna verksamhet resulterar i ett avtal eller annan normativ handling som, utöver de tidigare punkterna, också anger:
-
Fastställer de regler som ska tillämpas på personuppgifter efter det att tillhandahållandet av tjänsterna har avslutats.
-
Dessutom, om det är en underleverantör [underleverantör]:
-
som behandlar personuppgifter endast efter instruktioner från den ansvariga personen (i förekommande fall);
-
Som endast anlitar en annan underleverantör [underleverantör] med skriftligt tillstånd från den ansvariga personen och som tillämpar samma dataskyddsförpliktelser.
Unipartner förbinder sig att endast anlita underleverantörer som ger tillräckliga garantier för att genomföra tekniska och organisatoriska åtgärder som är tillräckliga för att följa de rättsliga bestämmelserna om skydd av personuppgifter, liksom de som anges i denna sekretesspolicy.
1.6. Länkar, "cookies" och hantering av dem
1.6.1 Policy för länkar
Webbplatsen kan innehålla länkar till andra webbplatser med en annan sekretesspolicy än denna. Unipartner ansvarar inte för innehållet eller praxis på de länkade webbplatserna och användaren rekommenderas att läsa integritetspolicyn för varje webbplats som nås via denna webbplats i detalj.
1.6.2 "Cookies" och deras hantering
De cookies som används på Unipartners webbplats är endast kopplade till anonyma användare och till din dator, utan att de själva kan tillhandahålla personuppgifter. Cookies i sig samlar inte in personlig information som gör det möjligt att identifiera en specifik användare.
Denna fil ger dig större säkerhet, enkelhet och snabbhet när du går in på Unipartners webbplats.
De flesta webbläsare accepterar dessa filer (cookies), men ägaren kan radera dem eller automatiskt blockera dem. Om du inte tillåter användningen av cookies kan det dock finnas vissa funktioner på webbplatsen som du inte kan använda.
1.7. Struktur och kontakter
Unipartner är ett privat företag, etablerat i Portugal, som ägs av enskilda aktieägare och som inte har några innehav eller kontroll över andra företag, och som företräds av sin styrelse.
För frågor eller utövande av rättigheter som är direkt relaterade till skyddet av personuppgifter och/eller Unipartners sekretesspolicy kan du när som helst kontakta oss via e-post gdpr@unipartner.com eller per rekommenderat brev med mottagningsbevis till Rua das Lagoas Pequenas 5B - 5th, 2740 - 245 Porto Salvo.
1.8. Ändringar i sekretesspolicyn
Unipartner förbehåller sig rätten att när som helst ändra denna policy för sekretess och skydd av personuppgifter, och dessa ändringar görs vederbörligen tillgängliga för innehavaren på ett lättillgängligt sätt genom företagets olika kommunikationskanaler, nämligen på dess internetsida.