GDPR – Sammanfattning

Vi på PQM Systems har rutiner och processer för hur vi hanterar personuppgifter, för vår egen personal givetvis, men kanske främst avseende våra kunder, samarbetspartners och andra kontakter vi har.

  • ALDRIG kommer att sälja, byta eller överföra några personuppgifter till en tredje part som inte är behörig att ta del av era personuppgifter.
  • ALLTID säkerställer att endast behörig personal, dvs de som krävs för att kunna fullgöra våra uppdrag, har tillgång till era personuppgifter. Exempelvis genom att ha åtkomstkontroll av såväl lokaler som tillgången till utrustning och access/inloggning i våra olika system.

Dataskyddsombud

PQM Systems har inte tillsatt ett dataskyddsombud då företaget inte har som kärnverksamhet att regelbundet, systematiskt och i stor omfattning övervaka enskilda personer och vi behandlar inte heller känsliga personuppgifter eller uppgifter om brott i stor omfattning.

Vår kontaktperson avseende GDPR är Markus Sulkupuro, markus@pqmsystems.com tel 070-270 57 66

Fysisk åtkomstkontroll

Alla lokaler är ständigt låsta och endast behörig personal ges tillgång till dessa. Besökare vistas aldrig i dessa lokaler utan att behörig personal är med.

Åtkomstkontroll avseende system

Endast de personer som behöver det för att kunna fullgöra sitt uppdrag gentemot kunden ges tillgång till utrustning och access/inloggning i systemet.

Åtkomstkontroll avseende personuppgifter

I systemet ges via användarbehörighet endast tillgång till de personuppgifter som krävs för att personen ska kunna utföra uppdraget.

Åtkomstkontroll vid överföringar

Vid dataöverföringar är all data krypterad för att säkerställa att personuppgifter inte obehörigen kan läsas, kopieras, ändras eller raderas vid elektronisk överföring eller vid överföring eller lagring på lagringsenheter.

Lagringsregler

Personuppgifter kan gallras såväl under som efter avtalstiden när användningen inte längre är nödvändig för det ursprungliga ändamålet. Kunden ansvarar själv för att meddela PQM Systems då gallring önskas.

Under avtalstiden: Så snart som möjligt från det att kunden begärde att personuppgifterna skulle raderas.

Efter att avtalstiden har upphört, gäller bestämmelserna i vårt biträdesavtal med kunden för vad och när uppgifterna ska gallras eller raderas. Grundregeln är att data raderas efter att avtalet löpt ut med kunden.

Personuppgiftsincident

I händelse av en personuppgiftsincident, dvs att personuppgifter kan ha förstörts, förlorats, ändrats eller spridits till någon obehörig – oavsiktligt eller olagligt kommer PQM Systems att underrätta kunden (PuA) utan onödigt dröjsmål efter att ha fått vetskap om en personuppgiftsincident.

Underrättelsen beskriver:

  • Incidentens art och omfattning
  • Sannolika konsekvenser
  • Vidtagna åtgärder

Kunden ansvarar därefter själv för att informera den registrerade om incidenten.

Vid eventuell incident gäller följande rutiner:

  • Upptäckt incident hanteras av utsedd person/grupp
  • Utredning av incidenten görs: art och omfattning, konsekvenser, etc
  • Åtgärdsbehov bedöms och åtgärder planeras/genomförs
  • Informationsbehov bedöms (kunden/personuppgiftsansvarige meddelas alltid, ev även Datainspektionen, ev även den registrerade)
  • Anmälan till Datainspektionen i de fall detta ska göras (dock ej för incidenter för vilka PQM Systems endast är personuppgiftsbiträde, ansvaret ligger då hos den personuppgiftsansvarige att göra anmälan).
  • Dokumentation av incidenten och genomförda åtgärder (oavsett om anmälan har gjorts eller ej)