Legal Services

Privacy Policy

Dataskyddspolicy

Policy för IARUs behandling av personuppgifter

Bakgrund och syfte 

IARU, Institutet för Affärsjuridisk Rådgivning i Uppsala AB (”IARU”) värnar om kunders, samarbetspartners och anställdas integritet och är alltid mån om att följa gällande dataskyddsregelverk, innefattande EU:s dataskyddsförordning (GDPR). Var och en har rätt till skydd av de personuppgifter som rör honom eller henne.

IARU har därför antagit denna Policy för behandling av personuppgifter för att säkerställa att efterlevnad av dataskyddsreglerna. 


Om en behandling av personuppgifter skulle strida mot bestämmelserna i GDPR finns risk för intrång i den personliga integriteten för de registrerade, men även risk för skadat anseende för IARU. Vidare kan IARU dessutom bli skyldig att utge skadestånd eller påföras en administrativ sanktionsavgift. För att undvika sådana konsekvenser skall dessa riktlinjer tillämpas av IARU. 


Tillämpningsområde och omfattning

Policyn gäller för IARU på alla marknader och vid var tid. I dagsläget har IARU endast en anställd, som dessutom är ensam styrelseledamot och 100% ägare av IARU.

IARU ska se till att denna Policy efterlevs, vilket bland annat innefattar utbildning för alla eventuella framtida anställda. Informationen till sådana eventuella framtida anställda ska även innefatta information om att överträdelse av policyn kan komma att medföra t ex arbetsrättsliga konsekvenser. 


Grundläggande principer 

De grundläggande principer som beskrivs nedan ska alltid iakttas när personuppgifter behandlas. IARU ansvarar för och ska kunna visa att principerna efterlevs. 

Laglighet, skälighet, transparens. Personuppgifter ska behandlas lagligt, korrekt och, i den mån det är förenligt med IARUs uppdrag för klienten och rättsliga för-pliktelser i samband därmed, transparent i förhållande till den registrerade. Det innebär att varje typ av behandling ska baseras på en giltig s k laglig grund, t ex fullgörande av avtal, fullgörande av rättslig förpliktelse, legitimt intresse eller samtycke (se nedan). Kan någon laglig grund som är tillämplig för behandlingen inte identifieras får behandlingen inte utföras. Kommunikation med kunder och eventuella registrerade ska vara tydlig om bl a för vilka ändamål personuppgifterna behandlas, vilken typ av behandling som utförs, om och hur personuppgifterna delas med andra, hur länge personuppgifterna lagras och hur man kommer i kontakt med IARU. 


IARU tillhandahåller affärsjuridisk rådgivning åt sina kunder och skall alltid tillämpa sina allmänna villkor, innebärande bl.a. åtagande om iakttagande av strikt sekretess för all information som mottagits av kunderna, samt även detaljerade regler om hantering av personuppgifter. Formatet för dessa regler, med närmare detaljer om IARUs behandling av personuppgifter, finns i IARUs ”Villkor Gällande Behandling av Personuppgifter” (bilaga till IARUs Allmänna Villkor). 

Personuppgifter som IARU mottar från IARUs kunder, eller som IARU samlar in på uppdrag av kunden, behandlas strikt i enlighet med kundens instruktioner och enbart för fullgörande av rättsliga förpliktelser vid tillhandahållande av de tjänster som IARU åtagit sig att tillhandahålla enligt uppdragsavtalet. För sådana av kunden erhållna eller på kundens uppdrag insamlade personuppgifter är IARU att anse som personuppgiftsbiträde till kunden och kunden är att anses om personuppgiftsansvarig. 

Utöver personuppgifter för vilka kunden enligt ovan är att anse som personuppgiftsansvarig är IARU personuppgiftsansvarig för personuppgifter som IARU samlar in, behandlar och lagrar för vilka ändamål och behandlingen bestäms av IARU. IARUs insamlande, behandling och lagring av personuppgifter skall alltid vila på laglig grund och endast lagras så länge som det erfordras för att fullgörande och uppföljning av rättsliga förpliktelser i samband med IARUs uppdrag för kunder och/eller annars med stöd av de lagar och regler som från tid till annan är tillämpliga på IARUs verksamhet. 

Ändamålsbegränsning. Personuppgifter får endast samlas in och på annat sätt behandlas för särskilda, uttryckligt angivna och berättigade ändamål och de får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål, allt enligt vad som framgår av denna policy, Villkor Gällande Behandling av Personuppgifter, annan eventuell med kunden särskilt och skriftligen träffad överenskommelse eller enligt tillämpliga lagar och regler. 


Uppgiftsminimering. Personuppgifter som behandlas ska vara adekvata, relevanta och inte alltför omfattande i förhållande till ändamålen. IARU ska säkerställa att uppgifterna som samlas in verkligen behövs för ändamålet och sker i enlighet med kundens instruktioner (där kunden är personuppgiftsansvarig), tillämpliga Villkor Gällande Behandling av Person-uppgifter, annan eventuell med kunden särskilt och skriftligen träffad överenskommelse samt från tid till annan tillämpliga lagar och regler.

Riktighet. Personuppgifter som behandlas ska vara korrekta och om nödvändigt uppdaterade. IARU ska i tillämpliga fall vidta lämpliga åtgärder för att se till att felaktiga eller ofullständiga uppgifter rättas i enlighet med tillämpliga Villkor Gällande Behandling av Personuppgifter, annan eventuell med kund särskilt träffad och skriftlig överenskommelse samt enligt från tid till annan tillämpliga lagar och regler. IARU ska i möjligaste mån undvika att lagra kopior av uppgifterna i många system och att icke uppdaterad information sparas. Ovanstående skall dock inte hindra att IARU, i kundens och/eller IARUs intresse, sparar arbetsmaterial och utkast av dokumentation innehållande person-uppgifter, även icke uppdaterad sådan, för att säkerställa att ett ärendes utveckling kan följas. Sparande av sådan information kan vara avgörande för att kunna fullgöra rättslig förpliktelse, exempelvis vid tvist om tolkningen av ett avtal.

Lagringsbegränsning. Personuppgifter får inte lagras under längre tid än nödvändigt med hänsyn till ändamålen med behandlingen. När uppgifterna inte längre behövs måste dessa gallras, vilket innebär att de antingen måste raderas eller avidentifieras. 


Principen om ansvarsskyldighet innebär att IARU måste kunna visa att dataskyddsförordningen efterlevs. IARU måste därför dokumentera implementerade och planerade processer och åtgärder som avser data-skyddsfrågor. 


Personuppgifter 

Personuppgifter är alla uppgifter som avser en identifierad eller identifierbar fysisk person och som direkt eller indirekt kan identifiera en person. Exempel på personuppgifter är namn, kontaktuppgifter, lokaliseringsuppgifter eller faktorer som är specifika för en persons fysiska, ekonomiska, kulturella eller sociala identitet. Uppgifter som enskilt inte når upp till kraven kan tillsammans ändå utgöra personuppgifter. 


All behandling av personuppgifter omfattas av dataskyddsförordningen och dess regler. Med behandling menas en åtgärd eller kombination av åtgärder avseende personuppgifter, som utförs helt eller delvis automatiserat. Även personuppgifter i e-post och i dokument på servrar, i en enkel lista, på webbplatser och i annat ostrukturerat material omfattas. 


Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter, uppgifter om hälsa eller uppgifter om en persons sexualliv eller sexuella läggning (s k särskilda kategorier av personuppgifter) är som huvudregel förbjuden. För att sådan behandling ska vara tillåten krävs ett giltigt undantag från förbudet. De vanligaste undantagen är att den registrerade lämnat samtycke eller själv offentliggjort uppgifterna, för att utöva rättigheter eller fullgöra skyldigheter inom arbetsrätten, för att kunna fastställa, göra gällande eller försvara rättsliga anspråk eller för hälso- och sjukvårdsändamål. I IARUs fall sker endast behandling av sådana uppgifter i den mån det är nödvändigt för utförandet av uppdraget för klienten och för fullgörande av rättsliga förpliktelser i samband därmed eller rättsliga förpliktelser gällande IARUs verksamhet i övrigt.


Behandling av personnummer får bara utföras om det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

IARUs behandling av personuppgifter som mottas av kund, eller samlas in enligt kundens instruktioner, skall alltid ske på sätt som anges i Villkor Gällande Behandling av Personuppgifter eller annan separat och skriftlig överenskommelse med kunden samt enligt från tid till annan gällande lagar och regler.

Laglig grund för behandlingen av personuppgifter 

En behandling av personuppgifter är endast laglig om och i den mån någon av följande grunder är tillämplig. 

Den registrerade har lämnat sitt samtycke till att personuppgifterna behandlas för ett eller flera specifika ändamål. Särskilda krav finns som måste vara uppfyllda för att samtycket ska vara giltigt.

Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås. 


Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar IARU. Som exempel kan nämnas kontrolluppgifter som lämnas till Skatteverket. 


Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person (t ex när det är fara för livet).

Behandlingen är nödvändig för ändamål som rör IARU:s eller tredje parts intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, (intresseavvägning). Vid intresseavvägning tillkommer särskilda krav på dokumentation avseende den bedömning som gjorts.

Den lagliga grunden för IARUs behandling av uppgifter som erhålls från kund, eller som samlas in enligt kundens instruktioner, framgår av Villkor Gällande Behandling av Personuppgifter eller annan separat och skriftlig överenskommelse med kunden.

Behandling av personuppgifter om IARU’s enda ägare, styrelseledamot och anställd, eller andra personuppgifter för vilka IARU är personuppgiftsansvarig, sker för att uppfylla IARUs rättslig förpliktelser eller, efter en intresseavvägning, i IARUs legitima intresse. Det senare omfattar information rörande tidigare, befintliga eller potentiella kunder eller samarbetspartners, innefattande närstående bolag, ägare, företrädare eller andra anställda och/eller konsulter som har en företagsledande position eller av kunden eller samarbetspartnern anvisats som kontaktperson(er) gällande ärenden där IARU har varit, är eller kan komma att bli verksam. Vad gäller sådan information gör IARU bedömningen att IARUs intresse att kunna informera om IARU och dess tjänster, att genomföra kund- och marknadsanalyser, att utveckla IARUs verksamhet och metoder, att ta fram verksamhetsrelevant statistik och/eller för att bedöma och hantera risker förenade med verksamheten, väger tyngre än relevanta personers intressen, rättigheter och friheter i ljuset av de få negativa konsekvenser för sådana personer som är förenade med sådan behandling. 


Säkerhetsåtgärder, åtkomst, radering 

Personuppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna med användning av tekniska och organisatoriska åtgärder. Organisatoriska säkerhetsåtgärder innebär att behörighetskontroll används för de system som innehåller personuppgifter, registrering av åtkomst till personuppgifter och att datorer och dylikt som innehåller personuppgifter ska förvaras så att obehörig åtkomst försvåras och inte lämnas framme. Exempel på tekniska åtgärder som måste kontrolleras är om IARU har tillräckliga back-up rutiner, tillräckliga brandväggar, lösenordskyddade trådlösa nätverk, uppdaterat virusskydd, lösenordsskydd för mobila enheter såsom mobiltelefoner och surfplattor, skydd mot obehörig intern åtkomst, lösenordskrav, kryptering vid behov, loggning av, åtkomst till och användning av IT-system m.m. 


Personuppgifter får inte bevaras längre än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Även personuppgifter i så kallat ostrukturerat material såsom i dokument på servrar, i en enkel lista, på webbplatser etc. behöver raderas när ändamålet med behandlingen är uppfyllt. 


Överföring till tredje land 

För överföring av personuppgifter till länder utanför EU och EES (så kallad tredjelandsöverföring) gäller särskilda regler. Dataskyddsförordningen innebär att alla EU:s medlemsstater samt EES-länderna har ett likvärdigt skydd för personuppgifter och personlig integritet och därför kan personuppgifter föras över fritt inom det området utan begränsningar. För länder utanför det området finns däremot inte några generella regler som ger motsvarande garantier och därför får tredjelandsöverföring endast ske under särskilda förutsättningar. Det här berör varje form av överföring av information över gränserna, t ex många online IT-tjänster, molnbaserade tjänster, tjänster för extern åtkomst eller globala databaser m m och behöver analyseras särskilt. 

IARUs behandling i detta avseende, gällande uppgifter som erhålls från kund, eller som samlas in enligt kundens instruktioner, regleras i Villkor Gällande Behandling av Personuppgifter eller annan separat och skriftlig överenskommelse som träffas med kunden samt följer av från tid till annan tillämpliga lagar och regler.

Konsekvensbedömning 

IARU har en rutin på plats för att kunna identifiera och hantera särskilda integritetsrisker inom verksamheten och för strukturerad uppföljning. Särskilda risker för fysiska personers rättigheter och friheter kan exempelvis förekomma i samband med en viss typ av behandling av uppgifter, särskilt känsliga uppgifter, behandling i särskilt stor omfattning, användning av ny teknik eller dylikt. 


Om en ny eller ändrad personuppgiftsbehandling i visst avseende sannolikt kan komma att medföra hög risk för fysiska personers rättigheter och friheter ska rutinen följas och en bedömning göras av effekterna av de påtänkta behandlingarna för skyddet av personuppgifter innan behandlingen påbörjas. 

Innan sådan personuppgiftsbehandling påbörjas ska en utredning göras huruvida en konsekvens-bedömning krävs och vid behov utförs en sådan konsekvens-bedömning tillsammans med den som är att anse som personuppgiftsansvarig.


Registerutdrag och utlämnande 

Vad gäller registrerad persons rättigheter avseende information som erhålls från kund, eller som samlas in enligt kundens instruktioner, tillämpar IARU reglerna i Villkor Gällande Behandling av Personuppgifter eller annan särskilt och skriftlig överenskommelse med kund. Kundens information, innefattande personuppgifter, omfattas av ett strikt sekretessåtagande från IARU gentemot kunden inom ramen för affärsjuridisk rådgivning.

Dataskyddsförordningen ger de registrerade ett flertal rättigheter vad gäller behandling av personuppgifter. Den som är personuppgiftsansvarig ska se till att uppfylla dessa rättigheter och tillse att tillräckliga processer härför finns för att tillmötesgå de registrerade. Även som personuppgiftsbiträde har IARU särskilda skyldigheter enligt vad som närmare framgår av Villkor Gällande Behandling av Personuppgifter.

Den registrerade har rätt till information när personuppgifterna samlas in. Denna information ska tillhandahållas i en lättillgänglig skriftlig form med ett klart och tydligt språk. I dataskyddsförordningen föreskrivs ett antal tydliga krav som måste vara uppfyllda och kraven varierar beroende på om informationen har samlats in från den registrerade själv eller från tredje man. 


Den registrerade har rätt att få bekräftelse på huruvida personuppgifter som tillhör denne behandlas, och i sådana fall få en kopia av personuppgifterna (registerutdrag). Denna rättighet gäller oberoende av den plats där personuppgifterna behandlas. 


Om personuppgifter som behandlas är felaktiga eller ofullständiga kan den registrerade kräva korrigering. Om den registrerade visar att ändamålet för vilket personuppgifterna behandlas inte längre är tillåtet, nödvändigt eller rimligt under omständigheterna, ska de aktuella person-uppgifterna raderas, om det inte finns några lagbestämmelser som anger annat. 


Den registrerade har rätt att överföra personuppgifter, som denne lämnat till den personuppgifts-ansvarige, till annan personuppgiftsansvarig (rätt till dataportabilitet) om behandlingen stöds på de lagliga grunderna avtal eller samtycke. Personuppgifterna ska tillhandahållas den registrerade i ett strukturerat, allmänt använt och maskinläsbart format. Om det är tekniskt möjligt kan den registrerade begära att uppgifterna överförs direkt till annan personuppgiftsansvarig. Rätten gäller endast för de personuppgifter som den registrerade själv har lämnat till den personuppgifts-ansvarige.

Den registrerade har i vissa fall rätt att kräva att den personuppgiftsansvarige begränsar behandlingen av dennes personuppgifter, d v s begränsar behandlingen till vissa avgränsade syften. Rätten till begränsning gäller bland annat när den registrerade anser att uppgifterna är felaktiga och har begärt att personuppgifterna rättas. Den registrerade kan då begära att behandlingen av personuppgifterna begränsas under tiden uppgifternas korrekthet utreds. När begränsningen upphör ska den enskilde informeras om detta. 


Den registrerade har rätt att invända mot behandling av personuppgifter som stöds på legitimt intresse som rättslig grund. Vid en invändning ska den personuppgiftsansvarige upphöra med behandlingen om man inte kan visa tvingande legitima grunder för behandlingen som överväger den registrerades intressen, rättigheter och friheter eller om behandlingen av personuppgifter utförs för etablering, utövande eller försvar av rättsliga anspråk. 


I vissa fall har den registrerade rätt att begära radering av sina personuppgifter (”rätten att bli bortglömd”). Ett exempel är när samtycke är den lagliga grunden för behandlingen och den registrerade återkallar sitt samtycke. 


Personuppgiftsincidenter 

En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring eller obehörig åtkomst till personuppgifter. Exempel på personuppgiftsincidenter kan vara stöld av kundregister, oavsiktligt avslöjande av löneinformation via e-post till fel mottagare, en anställd tar hem en okrypterad arbetsdator som senare stjäls i ett inbrott och som leder till att information om anställda eller kunder avslöjas, personuppgifter publiceras på webben av misstag, en bärbar dator innehållande personuppgifter tappas bort eller stjäls, m m. 

Personuppgiftsincidenter kan behöva anmälas till tillsynsmyndigheten inom 72 timmar från upptäckten av incidenten om det är sannolikt att det föreligger en risk för fysiska personers rättigheter och friheter. Inträffade incidenter ska dokumenteras och man kan behöva underrätta berörda registrerade. 


Vid en misstänkt personuppgiftsincident ska IARU, i de fall IARU är personuppgiftsbiträde, omedelbart kontakta den personuppgiftsansvarige kunden. 


Övrigt 

För definitioner avseende termer som används i den här policyn hänvisas till dataskyddsförordningen. 


Denna policy ska uppdateras årligen eller vid behov. 


Frågor 

Vid frågor som anknyter till behandling av personuppgifter, vänligen kontakta IARU enligt nedan.

____________________________


Denna version gäller från och med den 1 januari 2025