GDPR - Behandling av personuppgifter
Dataskyddsförordningen (GDPR) ställer höga krav på den som behandlar personuppgifter. Denna skrivelse syftar till att informera om vilka personuppgifter som Stokab behandlar, varför vi behandlar personuppgifterna, vilka rättigheter du har som registrerad och hur du tillvaratar dina rättigheter.
Stokab är ett kommunalt bolag som ägs av Stockholms stad via koncernbolaget Stockholms stadshus AB. Stokab omfattas därför av offentlighetsprincipen och är skyldig att bevara personuppgifter som ingår i allmänna handlingar enligt arkivlagen (1990:782) och andra regelverk med anknytning till arkivering. Bolaget får endast gallra handlingar utifrån stadens arkivregler och arkivmyndighetens beslut. Detta innebär i vissa fall inskränkningar i de rättigheter du har som registrerad enligt GDPR.
Vilka personuppgifter behandlar vi
Vissa personuppgifter som Stokab behandlar inhämtar Stokab direkt från dig som registrerad. Informationen i detta avsnitt anger vilka personuppgifter Stokab behandlar som inte har inhämtats direkt från den registrerade. Detta innebär inte att vi nödvändigtvis behandlar all denna information om just dig.
Personuppgifter som Stokab behandlar, inhämtade från annan än den registrerade är: namn, personnummer, befattning, företagstillhörighet, ID-nummer, användarnamn, kontonummer, CV-uppgifter, löneuppgifter, cookies och kontaktuppgifter så som e-postadress, telefonnummer och adress till bostad. I förekommande fall, när Stokab har en skyldighet att behandla detta, registreras nationalitet, partitillhörighet, facktillhörighet, kostavvikelser och andra känsliga personuppgifter.
Hur samlas personuppgifterna in?
Stokab behandlar i stor omfattning personuppgifter som erhållits från någon annan än den registrerade. Det gäller främst för kontaktpersoner som företräder våra kunder och leverantörer. Deras personuppgifter erhålls som regel från kunderna och leverantörerna, det vill säga de registrerades arbetsgivare. Vi får även personuppgifter från fastighetsägare som vi har avtal med. I vissa fall samlas uppgifterna in direkt från kontaktpersonerna exempelvis när dessa anmäler kontaktuppgifter för att få nyhetsbrev eller undertecknar ett avtal. Personuppgifter rörande bolagets styrelse och revisorer erhålls vidare från Stockholms stad. Uppgifter samlas även in från offentliga register, till exempel från Bolagsverket, vid ändring av styrelseledamots namn, firmatecknare i företag som Stokab har en affärsrelation med och liknande. Anställdas och konsulters personuppgifter inhämtas antingen direkt från den anställde/konsulten eller från rekryteringsbolag, konsultfirmor med mera. Anställda lämnar även uppgifter om deras anhöriga som kan behöva användas vid en nödsituation eller olycka.
Vad används uppgifterna till?
Enligt GDPR ska varje personuppgiftsbehandling stödjas på endast en rättslig grund och ska vidare vara kopplad till ett berättigat ändamål. Nedan följer en redogörelse av vilka ändamål Stokab behandlar personuppgifter för och på vilken rättslig grund behandlingen stödjer sig.
När vi tecknar avtal med dig
Stokab behandlar personuppgifter för att kunna fullfölja åtaganden i avtal som bolaget har med de registrerade. Detta rör främst anställningsavtal med anställda inom Stokab-koncernen. Uppgifterna behandlas bland anant för att hantera lön och andra förmåner. Stokab behöver inom ramen för anställningen även behandla känsliga uppgifter bland annat för att beräkna sjuklön.
Rättslig grund: "Fullgörande av avtal"
När vi har en rättslig skyldighet
Stokab behöver behandla personuppgifter för att uppfylla rättsliga skyldigheter som exempelvis betala skatt och arbetsgivaravgift samt för att upprätta och lämna kontrolluppgifter för anställda inom koncernen. För Stokab-koncernen behandlas vidare personuppgifter i bokföringsunderlag samt när vi hanterar och antar anbud vid upphandlingar och när vi upprättar års- och hållbarhetsredovisningen. Vi behandlar även personuppgifter för Stokabs styrelse och revisorer i samband med att vi anmäler dem till Bolagsverket och när vi betalar ut deras arvoden.
Rättslig grund: "Rättslig förpliktelse"
När vi utför en uppgift av allmänt intresse
Stokab har några uppgifter av allmänt intresse som medför en skyldighet att behandla personuppgifter enligt lag och särskild rättsordning. Stokab är enligt lag skyldig att bevara allmänna handlingar och behöver behandla personuppgifter när en allmän handling begärs ut och det ingår personuppgifter i handlingen. Stokab har vidare tecknat kollektivavtal och behöver behandla personuppgifter för att fullgöra åtaganden enligt detta avtal.
Rättslig grund: "Uppgift av allmänt intresse"
När vi har ett berättigat intresse
Stokabs uppdrag är att bygga, hyra ut och underhålla ett passivt konkurrensneutralt fibernät i stockholmsregionen med avsikt att stimulera konkurrensen inom IT och telekom. För att kunna tillhandahålla fiberförbindelser och upprätthålla fibernätets funktion har Stokab ett berättigat intresse att behandla nödvändiga personuppgifter. Om fibernätet inte skulle fungera som utlovat riskeras inte bara allvarliga konsekvenser för Stokab och våra kunder utan även för samhällskritiska funktioner. Som en del i nät- och informationssäkerhetsarbetet ingår bland annat kamerabevakning av ingångarna till Stokabs huvudkontor, noder och knutpunkter. Stokab har även ett berättigat intresse att behandla personuppgifter i marknadsföringssyfte i avsikt att generera intäkter till bolaget. Stokab är vidare moderbolag i Stokab-koncernen och har även ett berättigat intresse att behandla personuppgifter för anställda och kunder inom hela koncernen.
Rättslig grund: "Berättigat intresse"
När du lämnar samtycke till behandlingen
I vissa fall kan Stokab inte stödja sin behandling på någon av de rättsliga grunderna som är angivna ovan. Samtycke används i dessa undantagsfall för personuppgiftsbehandlingen. Stokab använder sig dock aldrig av samtycke som rättslig grund för behandling av anställdas personuppgifter.
Rättslig grund: "Samtycke"
Till vem lämnas uppgifterna ut?
Upphandling och inköp utgör en strategisk del i Stokabs effektiviseringsarbete, vi lämnar därför ut personuppgifter till företag som vi tecknat avtal med bland annat för att utföra tjänster som rör anställda såsom lönehantering och för att utföra tjänster som rör nätet och försäljning av fiberförbindelser. Stokab har, när vi uppdrar åt annan att behandla personuppgifter för vår räkning, ansvar för att säkerställa att personuppgifterna skyddas och att du som registreras kan utöva dina rättigheter i praktiken.
Vi anlitar endast personuppgiftsbiträden som garanterar att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att de uppfyller GDPR:s krav på behandlingen. Vi lämnar bara ut de personuppgifter som är nödvändiga för att våra leverantörer ska kunna utföra sina uppdrag och vi ingår biträdesavtal med alla våra personuppgiftsbiträden. Biträdena måste i biträdesavtalen ge tillräckliga garantier att de kan säkerställa att dina rättigheter som registrerad skyddas i enlighet med GDPR:s krav.
Vi lämnar även ut personuppgifter till myndigheter och tillsynsorgan som exempelvis skattemyndigheten och datainspektionen. Likaså till revisorer och rättsvårdande instanser när vi är skyldiga att göra det enligt gällande rättsordning.
Hur länge sparas uppgifterna?
Med beaktande av bestämmelserna i arkivlagen behöver Stokab behandla dina personuppgifter som ingår i allmän handling för arkivändamål trots att det ändamål för vilket personuppgifterna ursprungligen samlades in inte längre föreligger. En sådan uppgift sparas under den tid som arkivmyndigheten beslutat om. En personuppgift som inte ingår i en allmän handling sparas bara så länge den är aktuell och behövs för sitt ändamål.
Hur skyddas uppgifterna?
Personuppgifter som Stokab behandlar är aldrig tillgängliga för fler personer än vad som behövs för att utföra det arbete som är nödvändigt för att uppnå ändamålet med behandlingen. Med hänsyn till behandlingens karaktär, omfattning, sammanhang och ändamål vidtar vi lämpliga tekniska och organisatoriska säkerhetsåtgärder för att säkerställa att dina rättigheter och friheter som registrerad skyddas från obehöriga. Vi arbetar efter Stockholms stads Riktlinje för Informationssäkerhet. Denna utgår från ISO 27001 och 27002 och anger bland annat att alla informationstillgångar ska klassificeras (värderas) för att få rätt skyddsnivå. Vi klassificerar därför alla personuppgifter för att fastställa rätt skyddsnivå för uppgifterna och begränsar behörigheter så att endast personer som behöver åtkomst till uppgifterna tilldelas behörighet.
I de fall vi bedömer att personuppgiftsbehandlingen medför hög risk för att den registrerades rättigheter och personliga integritet kränks, genomför vi konsekvensbedömning för att säkerställa att bolaget har ett lämpligt dataskydd.