Nya dataskyddsförordningen, internationellt förkortat GDPR (General Data Protection Regulation) träder i kraft 25 maj 2018. Nedan finner du hur Study Abroad Sweden AB hanterar personuppgifter samt hur de gallras.
Personuppgiftspolicy och personuppgiftsförteckning
I följande policyskrift och förteckning redogör Study Abroad för vilka personuppgifter som bolaget registrerar avseende av sina intressenter, kunder, samarbetspartners, leverantörer och anställda. Registreringen ses som ett lån av personuppgifterna och gallras enligt fastlagd rutin.
Ansvarig för hanteringen av personuppgifter är Study Abroad Sweden AB, org. nr. 559045-6249, Box 16, 791 21 Falun, telefon: 031-151090, mail: info@studyabroad.
Den person, vars uppgifter Study Abroad Sweden AB registrerar, har rätt att begära ett registerutdrag för att kunna kontrollera vilken information som finns registrerad om hen.
Study Abroad Sweden AB är skyldigt att rätta uppgifter som är felaktiga, ofullständiga eller missvisande.
Definitioner:
Känsliga uppgifter
I dataskyddsförordningen skiljer man mellan vanliga personuppgifter och känsliga personuppgifter. Med känsliga personuppgifter menas bland annat uppgifter som avslöjar personens etniska ursprung, politiska åsikter, religionsåskådning eller sexuella läggning. Även uppgifter om personens hälsa och om personen tillhör en fackförening klassas som känsliga.
Det ställs krav på företag som registrerar och hanterar känsliga personuppgifter. Företaget måste kunna visa att det har övertygande skäl för att få registrera sådana uppgifter och uppgifterna måste skyddas extra väl så att inga obehöriga kan komma åt dem.
Uppgifter om att en person misstänkts för brott eller har begått brott klassas inte som känsliga i lagens mening. Men även sådana uppgifter får bara registreras om företaget kan visa att det har starka skäl för det, som exempelvis att det behöver registrera uppgifterna för att kunna göra en brottsanmälan till polisen.
Personuppgifter får bara samlas in för ”särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål”. Alltså, uppgifter som samlas in för ett visst syfte, får inte sedan användas för helt andra syften.
Man måste ha stöd i dataskyddsförordningen för att få hantera personuppgifter. Det kallas för att ha en rättslig grund. Det finns olika rättsliga grunder som företag kan använda. De viktigaste är:
Rättslig förpliktelse
I vissa fall är företag skyldiga att registrera personuppgifter, som exempelvis för att uppfylla bokföringsskyldigheten i bokföringslagen.
Avtal
Anställningsavtal, kundavtal och leverantörsavtal är exempel på avtal som innebär att företag måste registrera och hantera personuppgifter. Företaget får dock bara registrera de uppgifter som behövs för att uppfylla avtalet.
Samtycke
En annan rättslig grund är samtycke, som innebär att du ber personen ifråga att få registrera uppgifter om hen. Ett samtycke är enligt dataskyddsförordningen ”varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne”.
Ska ditt företag samla in uppgifter så måste personen först få tydlig information om vilka uppgifter som samlas in och vad de ska användas till, för att sedan kunna ge sitt godkännande.
Intresseavvägning
Det är också möjligt att hantera personuppgifter efter en så kallad intresseavvägning om företaget kan visa att man har ett berättigat behov av att hantera uppgifterna och att detta behov väger tyngre än den enskildas rätt till skydd för uppgifterna.
Personuppgiftsförteckning Study Abroad
Utgångspunkten är att Study Abroad endast lånar personuppgifter från de sina intressenter, kunder, samarbetspartners samt anställda. Nedan definieras även de olika kategorierna
- Intressenter
Intressenter är de som på något sätt kommit i kontakt med Study Abroad och som aktivt delget Study Abroad sina kontaktuppgifter. Dessa intressenter är potentiella kunder i nästkommande steg. Gällande intressenter så sparas deras data i Study Abroads egna IT-system. Följande uppgifter sparas:
- Namn
- Eventuellt adress
- Telefonnummer
- Mailadress
- Utbildningsintresse
- Kontakthistorik
Gallring av uppgifter - se Personuppgifter och gallringsrutin
- Kunder
Kunder är studenter som anlitat Study Abroad för att vi ska hjälpa dem med deras ansökan till ett universitet/college/skola som Study Abroad samarbetar med utanför landets gränser. Kunden ingår avtal med Study Abroad som tydligt visar vilken data som samlas in och hur den används samt när den gallras.
Följande data samlas in:
- Namn
- Personnummer
- Adress
- Telefonnummer
- E-postadress
- Passkopia
- Betygskopia
- CV (i vissa fall)
- Utbildningsintressen och grundläggande data angående tidigare studier och planerade studier.
- . Hälsotillstånd noteras enbart om personen ansöker om dispens för sitt hälsotillstånd vid det utländska lärosätet. Detta sker på kundens initiativ och med kundens samtycke.
Inga uppgifter som avslöjar personens etniska ursprung, politiska åsikter, religionsåskådning eller sexuella läggning noteras. Inte heller eventuella medlemskap i fackförening.
Ansökningshandlingar gallras två år efter studentens beräknade avslutande av studierna.
Gallring av uppgifter - se Personuppgifter och gallringsrutin
- Samarbetspartners
Study Abroads primära samarbetspartners är universitet som har sitt säte utanför Sveriges gränser. Study Abroad har närmre hundra samarbetspartners och affärsrelationen är reglerad i avtal. I det flesta fall är det samarbetspartnern som upprättar avtalet.
Study Abroad samlar in nödvändig data för att kunna kommunicera med och fakturera respektive universitet.
- Universitetets kontaktuppgifter
- Universitetets fastställda kontaktperson/er
- Bankuppgifter samt faktureringsrutin
- Vid bilder som universitetet förser Study Abroad med förutsätts att samarbetsparten uppfyller kraven för GDPR.
Gallring av uppgifter - se Personuppgifter och gallringsrutin
- Anställda
Study Abroad lagrar följande data för att kunna möjliggöra sin lagstadgade plikt som arbetsgivare.
- Personuppgifter, namn, adress
- Personnummer
- ICE-person samt dess kontaktuppgifter
- Skattetabell
- Study Abroad publicerar bilder på sina anställda i sina sociala kanaler. Web och sociala medier.
- Study Abroad publicerar kontaktuppgifter till sina anställda på sin hemsida. Här anges bild, titel samt jobbmail och jobbtelefonnummer.
Gallring av uppgifter - se Personuppgifter och gallringsrutin
- Arbetssökande
Vid arbetsansökan till Study Abroad sparas handlingarna endast under rekryteringsprocessen. Vid tillsatt tjänst alternativt tillbakadragen tjänst gallras samtliga handlingar och ansökningar som den arbetssökande inkommit med. Ansökans sparas inte i något kundsystem, utan sparas temporärt i den webbaserade mailsystemet (jobb@studyabroad.se)
Gallring av uppgifter - se Personuppgifter och gallringsrutin
Säkerhet
Study Abroad Sweden AB skyddar dina personuppgifter genom en kombination av tekniska och organisatoriska lösningar. Åtkomstsystem krävs för tillgång till Study Abroad Swedens AB kunddatabas som hanterar personuppgifter.
Samtliga fysiska handlingar förvaras i låsta arkivskåp.
Tredje part
Study Abroad Sweden AB säljer aldrig personuppgifter till tredje part.
Läs mer Study Abroads rutiner kring personuppgifter här.