Personuppgiftspolicy
Kommunernas socialtjänst k.f. (nedan KST) som personuppgiftsansvarig tar ansvar för den personliga information som du förser oss med.
Vi hanterar dina personuppgifter i enlighet med vad som föreskrivs i Europaparlamentets och rådets förordning (2016/679) om skydd för fysiska personer med avseende på behandling av personuppgifter och det fria flödet av sådana uppgifter. Dataskyddsförordningen, GDPR, är en förkortning av General Data Protection Regulation och har tillämpats i alla EU-länder från och med 25.5.2018.
För att du ska känna dig trygg i KSTs behandling av personuppgifter beskriver denna personuppgiftspolicy hur KST samlar in, lagrar och hanterar dina personuppgifter. Den beskriver också dina rättigheter och hur du kan göra dem gällande. Det är viktigt att du tar del av och förstår personuppgiftspolicyn.
1. Definitioner
Personuppgifter
All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Personuppgifter är all information som enskilt eller i kombination med andra uppgifter kan användas för att identifiera dig.
Behandling av personuppgifter
Åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, inhämtande eller användning.
Personuppgiftsansvarig
Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter.
Personuppgiftsbiträde
Den som behandlar personuppgifter för den personuppgiftsansvariges räkning och enligt dennes instruktioner.
Förordningen
Europaparlamentets och rådets förordning (2016/679) om skydd för fysiska personer med avseende på behandling av personuppgifter och det fria flödet av sådana uppgifter.
Tredje land
En stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet.
Klient
Du som använder KSTs tjänster benämns klient.
Anställd
Du som har ett anställningsförhållande på KST benämns anställd.
2. Tillämpningsområde för personuppgiftspolicyn
Denna personuppgiftspolicy gäller för klienter, anhöriga, intressebevakare samt övriga personer som tar del av KSTs service.
3. KST som ansvarig för dina personuppgifter
KST är personuppgiftsansvarig och ansvarar således för samtliga personuppgifter som du lämnar i kontakten med oss.
4. Syfte med behandlingen
Vårt främsta syfte för att behandla dina personuppgifter är för att KST ska kunna fullfölja åtaganden mot dig som registrerad. KST samlar framförallt in sådana personuppgifter som behövs för att ge den service till dig som registrerad som du enligt lag har rätt till. I de flesta fall är insamlingen av personuppgifter alltså till för att KST ska kunna ge lagstadgad service.
Vi behandlar alltid dina personuppgifter med stöd i de legala grunder som ställs upp enligt Dataskyddsförordningen samt vad som annars stadgas i den åländska och finska lagstiftningen.
5. Vilka data samlar KST in om dig och för vilket ändamål?
Som personuppgiftsansvarig har KST ansvaret för att dina personuppgifter behandlas på ett säkert sätt och att Förordningen följs. För att du ska kunna få lagstadgad service behöver du lämna dina personuppgifter. Vi inhämtar dock inte fler personuppgifter än vad vi behöver för att handlägga ditt ärende. Om du inte vill lämna de personuppgifter vi behöver kommer du inte kunna få ta del av vår service. Det är nödvändigt för oss att hantera personuppgifter avseende KSTs anställda.
Hanteringen av personaluppgifterna är strikt begränsade till vad som är nödvändigt för att hantera anställningar i enlighet med lag. Hanteringen omfattar bland annat journalanteckningar, utbetalning av lön, hälsovård, pension och annan personaladministration relevant för anställningsförhållandet.
KST tillämpar inget automatiserat beslutsfattande utan alla beslut görs manuellt av en tjänsteman eller behörigt organ. KST kan använda dina personuppgifter för att besvara dina förfrågningar och sända e-post till dig för att informera om KST verksamhet till den e-postadress du uppgett för oss. Du kan när som helst begära att inte få e-post från oss.
KST kommer att behandla ditt personnummer när det är klart motiverat med hänsyn till ändamålet, nödvändigt för säker identifiering eller om det finns något beaktansvärt skäl. Vi minimerar alltid användandet av dina personuppgifter i så stor utsträckning som det är möjligt och till exempel i de fall det är tillräckligt, istället använda ditt födelsedatum. För de fall att du har lämnat ditt samtycke till behandling av dina personuppgifter så har du rätt att när som helst återkalla ditt samtycke, utan att detta påverkar lagligheten av behandlingen.
Vi är skyldiga att meddela dig om vi vill använda oss av personuppgifterna på något annat sätt än det vi inhämtat dem för. I vissa fall kan vi fråga dig om vi får använda tidigare inlämnade personuppgifter för att förenkla handläggningen av ditt ärende. Vi kan även komma att samla in personuppgifter om dig från tredje part som exempelvis, Skattebyrån, eller andra tillgängliga källor.
6. Hur behandlar KST dina personuppgifter?
Dina personuppgifter behandlas bara av den personal inom KST som behöver den för att ge dig den lagstadgade servicen eller hantera ärenden i anslutning till din anställning.
I KSTs register lagras sådana uppgifter om dig som du själv angett i samband med att du blev registrerad samt eventuella uppgifter som framkommer vid ett senare skede. Senare behandling av dina personuppgifter kommer hanteras efter samma ändamål som när de samlades in.
KST kan i vissa fall inhämta personuppgifter som rör dig från någon annan än dig själv. I dessa fall kan det handla om att få tag på dina kontaktuppgifter för att kunna delge dig ett beslut som KST tagit som berör dig eller i övrigt för att kunna fullfölja den serviceskyldighet som stadgas enligt lag. I samband med att vi använder eventuella uppgifter som vi har hämtat från någon annan än dig själv kan vi komma att informera dig om varifrån vi har hämtat uppgifterna och vilka uppgifter vi har hämtat, förutsatt att det inte finns undantag från informationsplikten enligt artikel 14.5 Dataskyddsförordningen. Informationen kan till exempel ges i samband med att vi skickar hem ett beslut till dig.
7. Hur skyddas dina personuppgifter?
KST tar det förtroende, som du som klient och anställd, givit oss på allvar. För att skydda personuppgifter mot obehörig åtkomst, missbruk, avslöjande eller ändring vidtar vi lämpliga fysiska, tekniska och administrativa åtgärder.
Den fysiska säkerheten är utformad för att förebygga obehörig åtkomst till databasutrustning. Anställda på KST samt personuppgiftsbiträden och underbiträden följer gällande informationssäkerhetsföreskrifter.
Om KST trots vidtagna åtgärder skulle drabbas av en personuppgiftsincident informerar vi våra registerförda personer om det inträffade. Vi anmäler även incidenten till dataskyddsombudet inom 72 timmar utifall vi ser att incidenten utgör en risk mot eventuella fri- och rättigheter för den registrerade. Anmälan sker enligt de regler för rapportering som dataskyddsombudet tillhandahåller. I vissa fall kontaktar vi även berörda individer som drabbats av personuppgiftsincidenten.
8. Personuppgiftsbiträden
KST kan använda sig av personuppgiftsbiträden för sina tjänster. KST förbinder sig att ha personuppgiftsbiträdesavtal med samtliga personuppgiftsbiträden. Personuppgiftsbiträdet agerar i enlighet med de instruktioner som anges i personuppgiftsbiträdesavtalet. Om ett personuppgiftsbiträde i sin tur skulle anlita ett biträde kallas denna för underbiträde. Ett underbiträde kan aldrig anlitas utan vårt medgivande.
9. Med vem delar vi dina personuppgifter
KST använder sig av personuppgiftsbiträden som tillhandahåller mjukvara såsom bokföringsprogram, löneprogram m.m. När personuppgifter delas med personuppgiftsbiträden till KST, sker det endast för ändamål som är förenliga med de ändamål för vilka vi har samlat in informationen.
KST har skriftliga avtal med personuppgiftsbiträden, genom vilka de garanterar säkerheten för de personuppgifter som behandlas och åtar sig att följa våra krav.
KST säljer inte någon information vidare.
KST kommer att enligt gällande lagar och regleringar att dela personuppgifter med självständigt personuppgiftsansvariga, såsom statliga myndigheter, om vi är skyldiga att göra det enligt lag.
10. Var behandlar vi dina personuppgifter?
KST strävar efter att personuppgifterna alltid ska behandlas inom EU/EES och att alla våra egna IT-system finns inom EU/EES.
I de fall personuppgifter behandlas utanför EU/EES garanteras skyddsnivån antingen genom ett beslut från EU-kommissionen om att landet ifråga säkerställer en adekvat skyddsnivå eller genom användandet av så kallade lämpliga skyddsåtgärder.
11. Hur länge lagrar vi dina personuppgifter?
KST lagrar dina personuppgifter så länge som det är rimligen nödvändigt för att uppfylla det syfte/de syften för vilket de samlades in och för att efterleva förordningen eller tillämpliga lagar. Så snart personuppgifterna inte längre är nödvändiga för de syften för vilka de samlats in eller på annat sätt behandlats kommer de att raderas.
Vid arkivering, av personuppgifter måste KST dock följa arkivlagar och andra föreskrifter. KST har i många fall krav på sig att lagra personuppgifter under väldigt lång tid för att man långt fram i tiden ska kunna se hur man arbetade förr. Allt detta bestäms i enlighet med gällande lagar och andra föreskrifter som reglerar hur uppgifter ska hanteras. Du har även möjlighet att fråga hur länge olika typer av personuppgifter kommer att lagras i vårt arkiv.
12. Vilka rättigheter har du?
Som registrerad användare och anställd hos KST har du följande rättigheter:
- Du har rätt att kontrollera vilka personuppgifter som finns lagrade hos oss.
- Du har rätt att begära ett registerutdrag där du kan se vilka personuppgifter som finns om dig i våra register.
- Du har rätt att skriftligen begära rättning om du upptäcker att vi har felaktigheter registrerade om dig.
- Du har rätt att bli raderad under dessa förutsättningar:
- Uppgifterna behövs inte längre för det ändamål de samlades in.
- Uppgifterna sparas med ditt samtycke och du återkallar samtycket.
- Behandlingen grundar sig på en intressevägning och det inte finns berättigade skäl som väger tyngre än ditt intresse.
- Personuppgifterna har behandlats olagligt.
- Personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse som vi omfattas av.
- Rätten att bli raderad gäller inte om KST är skyldig enligt lag (t.ex. bokföringslagen) att behålla uppgifterna. Det kan också hända att behandling är nödvändig för att vi ska kunna fastställa, göra gällande eller försvara rättsliga anspråk.
- Du har rätt till dataportabilitet (rätt att få dina personuppgifter flyttade) under förutsättning att den rättsliga grunden är samtycke eller avtal och det du kan få ut är personuppgifter som rör dig, som du själv tillhandahållit eller som genererats av dina handlingar/aktiviteter. En förutsättning för dataportabilitet är att överföringen är teknisk möjlig och kan ske automatiserat.
- Du har rätt att begära en begränsning i behandlingen, men inte få begäran uppfylld om det är ett krav att behandlingen sker för att tjänsten ska fungera.
- Du har rätt att invända mot en personuppgiftsbehandling och ÅOF kommer då att upphöra med behandlingen under tiden frågan utreds.
Om du vill åberopa någon av dina rättigheter så kontaktar du oss via e-post till info@kst.ax
13. Dataskyddsombud
KST anlitar dataskyddsombud via Åda Ab.
14. Datainspektionen
Datainspektionen på Åland är ansvarig för att övervaka tillämpningen av förordningen på Åland inom offentlig sektor. Om du anser att KST har behandlat dina personuppgifter på ett sätt som strider mot förordningen har du rätt att lämna in ett klagomål till Datainspektionen.
15. Ändringar av denna personuppgiftspolicy
Eventuella uppdaterade versioner av policyn publiceras här på vår webbplats.