POLICY FÖR INGEGRITETSSKYDD
GDPR - DATASKYDDSFÖRORDNINGEN

Syftet med Dataskyddspolicy är att informera dig, som anställd på Stiftelsen Linden, om hur Stiftelsen Linden behandlar dina personuppgifter.

Personuppgifter är varje upplysning som avser en identifierad eller identifierbar fysisk person; varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till bl.a. ett namn, ett personnummer, eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet (såsom namn och förnamn, födelsedatum, biometriska data, fingeravtryck, DNA…).
Medarbetare betyder en anställd som arbetar deltid eller heltid enligt anställningsavtal eller en praktikant enligt praktikavtal (denna lista är inte uttömmande).
Digitala resurser omfattar alla medel för elektronisk kommunikation, IT och digitala verktyg och lösningar som görs tillgängliga för Stiftelsen Lindens medarbetare.
Behandling betyder en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

Kategorier av personuppgifter
Stiftelsen Linden kan vara skyldig att inhämta följande kategorier av personuppgifter: 

(1) Uppgifter avseende ditt civilstånd och din identitet, inklusive ditt för- och efternamn, fotografi, hemadress, personliga telefonnummer, personnummer (endast i lönesyfte), uppehållstillstånd, arbetstillstånd (för utländska medarbetare), födelsedatum, kön etc. 
(2) Uppgifter avseende dina examensbevis och/eller diplom: CV, uppgifter avseende din utbildning, din yrkeserfarenhet, utmärkelser, examensbevis, diplom, certifieringar, språkkunskaper etc.
(3) Uppgifter avseende din familj: familj och civilstånd, närmaste anhörigas telefonnummer, för- och efternamn på dina barn, make/maka eller partner etc.
(4) Uppgifter om ditt arbetsliv, inklusive din arbetstelefon, e-postadress, position hos Stiftelsen Linden och din ansvarsnivå, din tidigare position hos Stiftelsen Linden, ditt startdatum och anställningsvillkor, din ansökningsakt, din titel, din socio-professionella kategori, din lön, enheten och/eller avdelningen där du arbetar, namn och titel på din chef, datum för dina utvecklingssamtal och allmän information om dina utvärderingssamtal (uppnådda resultat, uppskattning av dina yrkeskunskaper, dina observationer, dina önskemål…), din anställningsform, den geografiska platsen där du arbetar, din ledighet, arbetstid, din karriär och mobilitetsplaner och dina chefers kommentarer när det gäller dessa planer, uppföljningen av dina yrkesutbildningskrav, genomförda utbildningsperioder, anordnande av utbildningssessioner, kunskapsbedömningar etc.
(5) Uppgifter avseende arbetsorganisation: interna kataloger och organisationskartor (för- och efternamn, fotografi, position, kontaktuppgifter …), arbetskalender (mötesdatum, plats och tid), datum för rekrytering eller läkarundersökningar i samband med återgång till arbete, arbetsförmåga, körkortsnummer, utgivningsdatum och -plats, fackligt medlemskap (endast för organisation av personalval).

Stiftelsen Linden kan komma att hämta personuppgifter under följande omständigheter: 

• Huvudsakligen genom direkt personuppgiftsinsamling från dig, särskilt i samband med behandling av din ansökan, eller formulär eller information som inlämnas till Stiftelsen Lindens personalavdelning i syfte att upprätta, genomföra och hantera ditt anställningsavtal eller information som skickas av din chef och/eller någon annan direkt handledare, särskilt i samband med din utvärdering.
• I övrigt kan dina personuppgifter också samlas in i samband med utförandet av dina arbetsuppgifter eller samspel med:
   (1) andra medarbetare under din arbetstid, (2) befintliga eller potentiella kunder, leverantörer, underleverantörer, handelspartners eller andra personer och/eller (3) via tredje part, såsom externa tjänsteleverantörer och offentliga myndigheter, med beaktande av eventuella tillämpliga lagkrav.

Personuppgiftbehandling – ändamål
Stiftelsen Linden kan komma att behandla personuppgifter för följande ändamål (denna lista är ej uttömmande)

Administrativ och social förvaltning och medarbetares arbetsorganisation:

• hantering av medarbetares anställningsakt o förvaltning av löne- och ersättningselement och tillhörande hjälpmedel.
• hantering av interna kataloger och organisationsscheman.
• hantering av förvaltningsdeklarationer.
• hantering av individuella tilldelningar av leveranser, digitala resurser, utrustning av alla slag, fordon och betalkort.
• hantering av tvister avseende återkrav av böter för brott mot trafikregler o hantering av arbetskalendrar o förvaltning av personalval.
• hantering av arbetstagarrepresentanters möten.
• hantering av arbetsrelaterade varningsmekanismer.
• hantering av läkarundersökningar.
• hantering av arbetsolycksdeklarationer och arbetsrelaterade sjukdomar

Digitala resurser och andra IT och digitala lösningar som används av medarbetare

• hantering, spårning och underhåll av digitala resurs-banken.
• hantering av IT-kataloger och implementering av enheter som är avsedda att förebygga och upptäcka säkerhetsöverträdelser och säkerställa säkerhet och korrekt funktion av digitala resurser.
• hantering av arbetsutrymme för samarbete.

Karriär- och mobilitetsförvaltning

• utvärdering.
• medarbetares professionella utvärdering, hantering av intern professionell expertis.
• utveckling och hantering av karriärer, hantering av arbetsrelaterad mobilitet.
• hantering av ersättningspolicys.
• hantering av talanger.

Förvaltning av utbildning

• förvaltning och spårning av förfrågningar avseende utbildning.
• organisation av utbildningssessioner.
• utvärdering av kunskapskrav. 

Förvaltning av arbetsuppgifter

• hantering av kundrelationer och uppnående av professionella uppdrag.
• redovisning och ekonomisk förvaltning.
• hantering av evenemang och intern kommunikation.
• förvaltning av affärsresor och kostnadsförvaltning. 

Säkerhet för människor och egendom

• hantering av åtkomstkontroll.
• krishantering.

Harmonisering och standardisering av affärsprocesser och relaterade IT-lösningar 

Optimering av arbetsplatsutrymme

• bearbetning och anonymisering av uppgifter för att optimera arbetsplatsutrymme.

Rättslig grund för behandling av personuppgifter
Som arbetsgivare och i samband med behandlingsändamålen som uppges ovan behandlar Stiftelsen Linden dina personuppgifter i enlighet med följande rättsliga grunder:

• berättigat intresse, intresseavvägning.
• fullgörandet av ditt anställningsavtal.
• för att fullfölja Stiftelsen Lindens rättsliga och lagstadgade skyldigheter.
• behandling av personuppgifter för att kunna fullgöra avtalet med dig som kund.

Varje personuppgiftsbehandling ska ske enligt följande principer:

• Laglighet
• Ändamålsbegränsning
• Uppgiftsminimering
• Korrekthet
• Lagringsminimering
• Integritet och konfidentialitet

För behandlingar av Epost gäller särskilt följande:
Undvik e-post för känsliga eller integritetskänsliga uppgifter. Om ni måste använda e-post för integritetskänsliga uppgifter, använd e-post som är skyddad med kryptering så att endast den avsedda mottagaren kan ta del av uppgifterna. 
Försök att i möjligaste mån styra bort från att enskilda skickar in känsliga personuppgifter via oskyddad e-post. Om ni får in känsliga uppgifter via e-post, se till att de tas bort från e-postsystemet så snart som möjligt. Om ni får lagra den typen av uppgifter bör ni så snart som möjligt överföra dem till det system där de hör hemma. Be aldrig en sökande att skicka CV via mail utan hänvisa till vår externa webbplats.
När e-posten väl är mottagen beror det på innehållet om och hur länge det får sparas. När ni läst e-posten måste ni därför bedöma hur personuppgifterna ska behandlas och vilket rättsligt stöd ni har för den fortsatta behandlingen. Personuppgifter som ni får fortsätta att behandla i exempelvis personalsystemet bör ni överföra dit och sedan ska e-postmeddelandet raderas.

Uppföljning och utvärdering av vår hantering av personuppgifter ska ske minst årligen. Enbart personuppgifter med laglig grund som tillhör en avslutad medarbetare får sparas. Det betyder att så snart alla betyg, intyg och kontrolluppgifter är skrivna ska alla uppgifter förutom personnummer, namn, och anställningsinformation raderas. 

Eventuella incidenter rörande personuppgifter som vi behandlar ska utan dröjsmål rapporteras till HR-avdelningen. HR ska utan onödigt dröjsmål och senast inom 72 timmar anmäla incidenten till Integritetsskyddsmyndigheten (www.imy.se) samt i övrigt vidta nödvändiga åtgärder med anledning av incidenten. 

Våra krav på att personuppgifter hanteras enligt GDPR ska alltid säkerställas vid upphandling och utveckling av IT-lösningar och tjänster, och ska vara en del i kravspecifikationen och eventuella avtal.

Kategorier av uppgiftsmottagare 
Inom Stiftelsen Linden är åtkomst till dina personuppgifter begränsad till personer vilkas arbetsuppgifter kräver att de har kunskap om dem i samband med behandlingsändamålen som anges ovan och/eller om åtkomst krävs på rättsliga eller lagstadgade grunder.

Datasäkerhet
Vi upprätthåller lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifter från förstörelse, förlust, ändring, obehörigt avslöjande eller åtkomst, oavsiktligt eller olagligt.

Datalagring 
Dina personuppgifter lagras eller arkiveras under den tid som krävs för att genomföra behandlingen som beskrivs i denna policy och/eller, om det är nödvändigt, varaktigheten av gällande lagar eller föreskrifter.

Hur länge sparas dina personuppgifter?
Dina personuppgifter behandlas endast så länge som det är nödvändigt för de ändamål de samlats in för, till exempel så länge det krävs för att vi ska kunna fullfölja de skyldigheter som vi har med anledning av ett avtal, laglig grund eller samtycke från dig. Vi kan komma att spara uppgifterna längre om det krävs enligt lag eller för att bevaka våra rättsliga intressen, till exempel om det pågår en juridisk process.
Dina personuppgifter raderas eller anonymiseras när de inte längre är relevanta för de ändamål som de har samlats in för alternativt om du så begär det och det inte föreligger någon laglig grund för oss att ha kvar dem, det vill säga att det skulle krävas till exempel på grund av bokföringslagen.

Dina rättigheter
Rättelse och tillgång till dina personuppgifter
Som registrerad har du rätt att när som helst begära rättelse av felaktiga uppgifter eller ändra de personuppgifter som du lämnat.
Du har också rätt att ta del av vilka personuppgifter vi har registrerade om dig. Detta gör du genom att begära ett så kallat registerutdrag.

Återkalla samtycke med framtida verkan
Behandlar vi dina personuppgifter på den rättsliga grunden samtycke har du rätt att när som helst återkalla ditt fortsatta samtycke avseende framtida behandling.

Motsättning av behandling
Du har rätt att motsätta dig behandlingar som vi utför med stöd av en intresseavvägning.
Du kan när som helst avsäga dig reklam- och kommunikationsutskick. Du kan avregistrera dig genom att kontakta oss, se kontaktuppgifter i slutet av dokumentet.

Radering
Under vissa omständigheter har du rätt att få dina personuppgifter raderade. Detta gäller dock inte om vi exempelvis är skyldiga enligt lag att bevara uppgifterna.

Begränsning av behandling
Du kan även ha rätt att begära att behandlingen av dina personuppgifter begränsas. Om du begär att behandlingen av dina uppgifter ska begränsas kan det dock medföra att vi inte kan uppfylla våra eventuella skyldigheter gentemot dig under den tid som behandlingen begränsats.

Dataportabilitet 
För det fall att du vill flytta dina uppgifter från oss har du även rätt att få en kopia på de personuppgifter som rör dig samlade i ett strukturerat, maskinläsbart format (rätt till dataportabilitet). Denna rätt omfattar endast uppgifter som du själv har delat med oss.

Kontaktuppgifter 
Stiftelsen Linden org. Nr: 818501-1031, Vretsta Poppelgård 1, 643 91 Vingåker har ansvaret för behandlingen av dina personuppgifter.
Vid frågor om dataskydd eller om du vill utnyttja dina rättigheter enligt ovan når du oss lättast på: anne-elise.soderlund@stiftelsenlinden.se

Klagomål med mera
Klagomål avseende vår behandling av dina personuppgifter:

Skulle du vara missnöjd med vårt sätt att behandla dina personuppgifter ber vi dig att i första hand kontakta oss på: anne-elise.soderlund@stiftelsenlinden.se

Om du inte är nöjd med vårt sätt att hantera ditt klagomål på kan du framföra ditt klagomål till behörig tillsynsmyndighet, för närvarande Datainspektionen.

Ändringar i integritetsskyddspolicyn
Vi förbehåller oss rätten att göra ändringar i vår integritetspolicy. Du hittar alltid den senaste versionen på webbplatsen. Vid uppdateringar som är av avgörande betydelse för vår behandling av personuppgifter (exempelvis ändring av angivna ändamål) kommer detta att kommuniceras till dig.