INFÖRANDET

Denna dataskyddspolicy anger hur Titan Data Solutions Limited ("vi", "vår", "oss", " Company") hanterar de personuppgifter som vi behandlar inom ramen för vår verksamhet.

Denna dataskyddspolicy gäller för alla personuppgifter som vi behandlar, oavsett på vilket medium uppgifterna lagras eller om de avser tidigare eller nuvarande anställda, arbetstagare, konsulter, lärlingar, volontärer, kunder, klienter, leverantörer, aktieägare, affärspartners och professionella kontakter, webbplatsanvändare eller någon annan registrerad.

All personal på företaget måste läsa, förstå och följa denna dataskyddspolicy när de behandlar personuppgifter för vår räkning och delta i utbildning om dess krav. Denna dataskyddspolicy

Dataskyddspolicyn anger vad vi är skyldiga att göra enligt gällande dataskyddslagar och vad vi förväntar oss av vår personal för att företaget ska följa sådana lagar. När personalen utför sina arbetsuppgifter för företaget måste de alltid följa denna dataskyddspolicy och de policyer och förfaranden på som det hänvisas till i den, och agera på ett sätt som säkerställer att företaget följer de regler och krav som anges.

Varje överträdelse av denna dataskyddspolicy, eller åtgärd som leder till att företaget inte uppfyller kraven i denna policy, kan leda till disciplinära åtgärder upp till och inklusive uppsägning.

Denna dataskyddspolicy (tillsammans med tillhörande policyer och rutiner) är ett internt dokument och får inte delas med tredje part, kunder eller tillsynsmyndigheter utan föregående godkännande från dataskyddschefen, Lula Cunningham ([email protected] ) och tel: 0203 870 2136 ("dataskyddschefen").

I slutet av denna policy finns en ordlista som förklarar innebörden av vissa nyckelbegrepp.

2. OMFATTNING

Vi är medvetna om att en korrekt och laglig behandling av personuppgifter kommer att upprätthålla förtroendet förorganisationen och möjliggöra en framgångsrik affärsverksamhet. Attskydda personuppgifternas konfidentialitet och integritet är ett ansvar som vi alltid tar på allvar.

Data Privacy Manager ansvarar för att övervaka denna dataskyddspolicy och, i enlighet med , för att utveckla relaterade policyer och förfaranden.

Personalen ska kontakta Data Privacy Manager om de har några frågor om hur denna dataskyddspolicy fungerar eller om de har några farhågor om dataskydd eller om att denna dataskyddspolicy inte följs eller inte har följts. I synnerhet ska personalen alltid kontakta Data Privacy Manager under följande omständigheter:

A) Om de är osäkra på den lagliga grund som de förlitar sig på för att behandla personuppgifter (inklusive de legitima intressen som används av företaget) (se avsnitt 4:1 nedan)

B) Om de behöver förlita sig på samtycke och/eller behöver inhämta uttryckligt samtycke (se avsnitt 4:2) nedan)

C) Om de behöver utarbeta sekretessmeddelanden (se avsnitt 4:3)

D) Om de är osäkra på lagringstiden för de personuppgifter som behandlas (se avsnitt 8);

E) Om de är osäkra på vilka säkerhetsåtgärder eller andra åtgärder de behöver vidta för att skydda personuppgifter (se avsnitt 9.1 nedan)

F) Om det har skett en personuppgiftsincident (se avsnitt 9.2 nedan);

G) Om de är osäkra på på vilken grund de ska överföra personuppgifter utanför EES (se avsnitt 10 nedan);

H) Om de behöver hjälp med att hantera eventuella rättigheter som åberopas av en registrerad (se avsnitt 11 nedan);

I) När de deltar i en betydande ny eller förändrad behandlingsaktivitet som sannolikt kommer att kräva en konsekvensbedömning avseende dataskydd (se avsnitt 12.5 nedan) eller planerar att använda personuppgifter för andra ändamål än de som de samlades in för;

J) Om de planerar att utföra någon verksamhet som innefattar automatiserad behandling, inklusive profilering eller automatiserat beslutsfattande (se avsnitt 12.5 nedan);

K ) Om de behöver hjälp med att följa tillämplig lag när de utför direktmarknadsföring aktiviteter (se avsnitt 12.6 nedan); eller

L) Om de behöver hjälp med avtal eller andra områden i samband med delning av personuppgifter med tredje part (inklusive våra leverantörer) (se avsnitt 12.7 nedan).

3. PRINCIPER FÖR UPPGIFTSSKYDD

Vi följer de principer för behandling av personuppgifter som anges i den allmänna dataskyddsförordningen (GDPR) som kräver att personuppgifter ska vara:

A) Behandlas på ett lagligt, rättvist och öppet sätt (laglighet, rättvisa och öppenhet).

B) Insamlas endast för särskilda, uttryckligt angivna och berättigade ändamål (ändamålsbegränsning).

C) Adekvata, relevanta och begränsade till vad som är nödvändigt med hänsyn till de ändamål för vilka de behandlas (uppgiftsminimering).

D) Korrekta och vid behov uppdaterade (Korrekthet).

E) inte förvaras i en form som gör det möjligt att identifiera de registrerade under längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna behandlas (lagringsbegränsning).

F) Behandlas på ett sätt som säkerställer dess säkerhet med hjälp av lämpliga tekniska och organisatoriska åtgärder för att skydda mot obehörig eller otillåten behandling och mot förlust genom olyckshändelse, förstörelse eller skada (säkerhet, integritet och konfidentialitet).

G) Får inte överföras till ett annat land utan att lämpliga skyddsåtgärder har vidtagits (begränsning av överföring).

H) Görs tillgänglig för registrerade och registrerade får utöva vissa rättigheter med avseende på sina personuppgifter (registrerades rättigheter och begäranden).

Vi är ansvariga för och måste kunna visa att vi följer de principer för dataskydd som anges ovan (Accountability).

4. LAGLIGHET, RÄTTVISA, ÖPPENHET

4.1 Laglighet och rättvisa

Personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade.

Vi får endast samla in, behandla och dela personuppgifter på ett rättvist och lagligt sätt och för angivna ändamål. GDPR begränsar våra åtgärder avseende personuppgifter till specificerade lagliga ändamål. Dessa begränsningar är inte avsedda att förhindra behandling, utan säkerställer att vi behandlar personuppgifter på ett rättvist sätt och utan att det påverkar den registrerade negativt.

GDPR tillåter behandling för specifika ändamål, varav några anges nedan:

A) Den registrerade har gett sitt samtycke;

B) Behandlingen är nödvändig för att fullgöra ett avtal med den registrerade;

C) För att uppfylla våra skyldigheter enligt lag;

D) För att skydda den registrerades vitala intressen; eller

E) För att tillgodose våra berättigade intressen för ändamål där de inte åsidosätts på grund av att behandlingen skadar de registrerades intressen eller grundläggande rättigheter och friheter. De syften för vilka vi behandlar personuppgifter för berättigade intressen måste anges i tillämpliga integritetsmeddelanden.

Vi ska identifiera och dokumentera den rättsliga grund som åberopas för varje behandlingsaktivitet.

4.2 Samtycke

En personuppgiftsansvarig får endast behandla personuppgifter på grundval av en eller flera av de lagliga grunder som anges i GDPR, vilket inkluderar samtycke. Samtycke är inte den enda grund på vilken vi kan behandla personuppgifter, och i de flesta fall kommer vi att försöka förlita oss på andra grunder (till exempel att vi har ett berättigat intresse av att behandla uppgifterna).

En registrerad samtycker till behandling av sina personuppgifter om han eller hon tydligt visar sitt samtycke till behandlingen antingen genom ett uttalande eller en positiv handling. Samtycke kräver en bekräftande handling, så tystnad, förkryssade rutor eller inaktivitet är sannolikt inte tillräckligt. Om samtycke ges i ett dokument som behandlar andra frågor, måste samtycket hållas åtskilt från dessa andra frågor.

Den registrerade måste enkelt kunna återkalla sitt samtycke till behandling när som helst och återkallandet måste omedelbart respekteras. Samtycket kan behöva förnyas om vi avser att behandla personuppgifter för ett annat och oförenligt ändamål som inte framgick när den registrerade först gav sitt samtycke.

Om vi inte kan förlita oss på en annan rättslig grund för behandling krävs vanligtvis uttryckligt samtycke (som måste vara ett mycket tydligt och specifikt uttalande) för behandling av känsliga personuppgifter, för automatiserat beslutsfattande och för gränsöverskridande dataöverföringar. Vanligtvis kommer vi att förlita oss på en annan rättslig grund (och inte kräva uttryckligt samtycke) för att behandla de flesta typer av känsliga uppgifter. Om uttryckligt samtycke krävs måste vi utfärda ett integritetsmeddelande till den registrerade för att inhämta uttryckligt samtycke.

Vi kommer att behöva bevisa att samtycke har inhämtats och föra register över alla samtycken så att företaget kan visa att det uppfyller kraven på samtycke.

4.3 Öppenhet (underrättelse till registrerade)

Enligt GDPR ska personuppgiftsansvariga tillhandahålla detaljerad och specifik information till de registrerade beroende på om informationen samlats in direkt från de registrerade eller från annat håll. Sådan information måste tillhandahållas genom lämpliga integritetsmeddelanden som måste vara kortfattade, transparenta, begripliga, lättillgängliga och skrivna på ett klart och tydligt språk så att den registrerade lätt kan förstå dem.

När vi samlar in personuppgifter direkt från registrerade, inklusive för personal- eller anställningsändamål, måste vi förse den registrerade med all information som krävs enligt GDPR, inklusive den personuppgiftsansvariges identitet, hur och varför vi kommer att använda, behandla, lämna ut, skydda och behålla personuppgifterna genom ett integritetsmeddelande som måste presenteras när den registrerade först lämnar personuppgifterna.

När personuppgifter samlas in indirekt (t.ex. från en tredje part eller en allmänt tillgänglig källa) måste vi förse den registrerade med all information som krävs enligt GDPR så snart som möjligt

så snart som möjligt efter att vi samlat in/tagit emot uppgifterna. Vi måste också kontrollera att personuppgifterna har samlats in av tredje part i enlighet med GDPR och på en grund som möjliggör vår föreslagna behandling av personuppgifterna.

5. BEGRÄNSNING AV SYFTE

Personuppgifter får endast samlas in för särskilda, uttryckligt angivna och berättigade ändamål. De får inte behandlas vidare på ett sätt som är oförenligt med dessa syften.

Vi kommer inte att använda personuppgifter för nya, andra eller oförenliga syften än de som angavs när de först inhämtades, såvida vi inte har informerat den registrerade om de nya syftena och denne har samtyckt där så krävs.

6. MINIMERING AV UPPGIFTER

Personuppgifter måste vara adekvata, relevanta och begränsade till vad som är nödvändigt i förhållande till de ändamål för vilka de behandlas.

Personalen får endast behandla personuppgifter när det krävs för att de ska kunna utföra sina arbetsuppgifter. Personalen får inte behandla personuppgifter av skäl som inte har samband med deras arbetsuppgifter.

Vi får endast samla in personuppgifter som vi behöver för vår affärsverksamhet, och vi ska inte samla in överdrivet många uppgifter. Vi måste säkerställa att alla personuppgifter som samlas in är adekvata och relevanta för de avsedda ändamålen.

Vi måste säkerställa att när personuppgifter inte längre behövs för angivna ändamål, raderas eller anonymiseras de i enlighet med bolagets riktlinjer för datalagring.

7. RÄCKLIGHET

Personuppgifterna ska vara korrekta och vid behov hållas uppdaterade. De måste korrigeras eller raderas utan dröjsmål när de är felaktiga.

Vi kommer att se till att de personuppgifter vi använder och lagrar är korrekta, fullständiga, uppdaterade och relevanta för det syfte för vilket de samlades in. Vi måste kontrollera att personuppgifterna är korrekta vid insamlingstillfället och därefter med regelbundna intervall. Vi måste vidta alla rimliga åtgärder för att förstöra eller ändra felaktiga eller inaktuella personuppgifter.

8. LAGRINGSBEGRÄNSNING

Personuppgifter får inte lagras i identifierbar form under längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna behandlas.

Vi ska inte behålla personuppgifter i en form som gör det möjligt att identifiera den registrerade under längre tid än vad som krävs för det legitima affärsändamål eller de ändamål för vilka vi ursprungligen samlade in dem, inklusive för att uppfylla rättsliga krav,redovisningskrav eller rapporteringskrav.

Vi kommer att upprätthålla policyer och förfaranden för lagring för att säkerställa att personuppgifter raderas efter en rimlig tid för de ändamål för vilka de sparades, såvida inte en lag kräver att sådana uppgifter sparas under en minimitid. Personalen måste se till att våra riktlinjer för lagring av uppgifter följs.

Vi kommer att vidta alla rimliga åtgärder för att förstöra eller radera alla personuppgifter från våra system som vi inte längre behöver i enlighet med alla företagets tillämpliga scheman för bevarande av register och policyer. Detta inkluderar att kräva att tredje part raderar sådana uppgifter där så är tillämpligt.

9. SÄKERHET INTEGRITET OCH KONFIDENTIALITET

9.1. Skydd av personuppgifter

Personuppgifter måste skyddas genom lämpliga tekniska och organisatoriska åtgärder mot obehörig eller olaglig behandling och mot oavsiktlig förlust, förstörelse eller skada.

Vi kommer att utveckla, implementera och upprätthålla skyddsåtgärder som är lämpliga för vår storlek, omfattning och verksamhet, våra tillgängliga resurser, mängden personuppgifter som vi äger eller upprätthåller för andras räkning och identifierade risker. Vi kommer regelbundet att utvärdera och testa hur effektiva dessa skyddsåtgärder är för att säkerställa säkerheten i vår behandling av personuppgifter. Vi kommer att vidta rimliga och lämpliga säkerhetsåtgärder mot olaglig eller obehörig behandling av personuppgifter och mot oavsiktlig förlust av eller skada på personuppgifter. Vi kommer att vara särskilt noga med att skydda känsliga personuppgifter från förlust och obehörig åtkomst, användning eller utlämnande.

Personalen måste följa alla rutiner och all teknik som vi inför för att upprätthålla säkerheten för alla personuppgifter från insamlingstillfället till förstöringstillfället. Vi får endast överföra personuppgifter till tredjepartsleverantörer som samtycker till att följa erforderliga policyer och förfaranden och som samtycker till att vidta lämpliga åtgärder, enligt begäran.

Vi måste upprätthålla datasäkerheten genom att skydda sekretessen, integriteten och tillgängligheten för personuppgifter, som definieras enligt följande:

A) Konfidentialitet innebär att endast personer som har behov av att känna till och är behöriga att använda personuppgifterna får tillgång till dem.

B) Integritet innebär att personuppgifterna är korrekta och lämpliga för det ändamål för vilket de behandlas .

C) Tillgänglighet innebär att behöriga användare kan få tillgång till personuppgifterna när de behöver dem för behöriga ändamål.

Personalen måste följa alla tillämpliga aspekter av vår informationssäkerhetspolicy och följa och inte försöka kringgå de administrativa, fysiska och tekniska skyddsåtgärder som vi inför och upprätthåller i enlighet med GDPR och relevanta standarder för att skydda personuppgifter.

9.2. Rapportering av en personuppgiftsincident

Vi har infört rutiner för att hantera alla misstänkta personuppgiftsincidenter och kommer att meddela registrerade personer eller någon tillämplig tillsynsmyndighet om vi är skyldiga att göra det enligt lag.

Om personalen vet eller misstänker att en personuppgiftsincident har inträffat ska de inte själva försöka utreda ärendet eller försöka åtgärda det. Personalen måste omedelbart kontakta dataskyddsansvarig och följa de instruktioner som denne ger. Personalen måste bevara alla bevis som rör den potentiella personuppgiftsincidenten.

Under vissa omständigheter kan vi vara skyldiga att meddela Information Commissioner's Office om en personuppgiftsincident inom 72 timmar efter incidenten. Det är därför viktigt att personalen meddelar Data Privacy Manager så snart de får kännedom om en personuppgiftsincident.

10 BEGRÄNSNING AV ÖVERFÖRING

GDPR begränsar dataöverföringar till länder utanför Europeiska ekonomiska samarbetsområdet (EES)

(som består av de 28 EU-länderna samt Island, Liechtenstein och Norge) för att säkerställa att den nivå av dataskydd som GDPR ger enskilda personer inte undergrävs. Vi överför personuppgifter som härrör från ett land över gränserna när du överför, skickar, visar eller får tillgång till dessa uppgifter i eller till ett annat land.

Vi får endast överföra personuppgifter utanför EES om något av följande villkor är tillämpligt:

A) Europeiska kommissionen har fattat ett beslut som bekräftar att det land som vi

överföringen av personuppgifterna säkerställer en adekvat skyddsnivå för de registrerades rättigheter och friheter;

B) Lämpliga skyddsåtgärder finns på plats, t.ex. bindande företagsregler (BCR), standard avtalsklausuler som godkänts av Europeiska kommissionen, en godkänd uppförandekod eller en certifieringsmekanism, varav en kopia kan erhållas från Data Privacy Manager;

C) Den registrerade har lämnat sitt uttryckliga samtycke till den föreslagna överföringen efter att ha informerats om eventuella potentiella risker, eller

D) Överföringen är nödvändig av något av de andra skäl som anges i GDPR, inklusive

fullgörande av ett avtal mellan oss och den registrerade, skäl av allmänt intresse, för att fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda den registrerades vitala intressen om den registrerade är fysiskt eller juridiskt oförmögen att ge sitt samtycke och, i vissa begränsade fall, för vårt berättigade intresse.

Du måste följa alla riktlinjer som implementeras av företaget om gränsöverskridande dataöverföringar.

11. DEN REGISTRERADES RÄTTIGHETER OCH BEGÄRAN

Registrerade personer har rättigheter när det gäller hur vi hanterar deras personuppgifter. Dessa inkluderar rättigheter till:

A) Återkalla samtycke till behandling när som helst;

B) Få viss information om den personuppgiftsansvariges behandlingsaktiviteter;

C) Begära tillgång till sina personuppgifter som vi innehar;

D) Förhindra att vi använder deras personuppgifter för direktmarknadsföring;

E) Be oss att radera personuppgifter om de inte längre är nödvändiga i förhållande till de syften för vilka de samlades in eller behandlades eller att rätta felaktiga uppgifter eller komplettera ofullständiga uppgifter;

F) Begränsa behandlingen under särskilda omständigheter;

G) Utmaningsbehandling som har motiverats på grundval av våra legitima intressen eller i allmänhetens intresse;

H) Begära en kopia av ett avtal enligt vilket personuppgifter överförs utanför EES;

I) Invändning mot beslut som enbart grundas på automatiserad behandling, inbegripet profilering (ADM);

förhindra behandling som sannolikt kommer att orsaka skada eller lidande för den registrerade eller någon annan;

J) förhindra behandling som sannolikt kommer att orsaka skada eller lidande för den registrerade eller någon annan;

K) underrättas om en personuppgiftsincident som sannolikt leder till en hög risk för deras rättigheter och friheter;

L) lämna in ett klagomål till tillsynsmyndigheten; och

M) under begränsade omständigheter få eller begära att deras personuppgifter överförs till en tredje part i ett strukturerat, allmänt använt och maskinläsbart format.

Vi måste kontrollera identiteten på en person som begär ut uppgifter med stöd av någon av de rättigheter som anges ovan (låt inte tredje part övertala dig att lämna ut personuppgifter utan vederbörligt tillstånd).

Personalen måste omedelbart vidarebefordra alla förfrågningar från registrerade som du får till din chef och dataskyddschefen och följa företagets svarsprocess för registrerade.

12. ANSVARSFÖRPLIKTELSE

12.1 Vi måste genomföra lämpliga tekniska och organisatoriska åtgärder på ett effektivt sätt för att säkerställa efterlevnad av dataskyddsprinciperna. Den personuppgiftsansvarige ansvarar för och måste kunna visa att principerna för dataskydd efterlevs.

Vi ska införa lämpliga resurser och kontroller för att säkerställa och dokumentera efterlevnad av GDPR, inklusive:

A) Utnämna en chef med ansvar för datasekretess;

B) Tillämpa inbyggd integritet vid behandling av personuppgifter och genomföra konsekvensbedömningar avseende dataskydd (DPIA) om behandlingen innebär en hög risk för de registrerades rättigheter och friheter;

C) Integrera dataskydd i interna dokument, inklusive denna dataskyddspolicy, relaterade policyer, policy för datalagring, sekretessmeddelanden;

D) Regelbundet utbilda företagets personal om GDPR, denna dataskyddspolicy, relaterade policyer och dataskyddsfrågor, inklusive till exempel den registrerades rättigheter, samtycke, rättslig grund, DPIA och personuppgiftsincidenter. Företaget måste föra ett register över utbildningsdeltagande av

Företagets personal; och

E) Regelbundet testa de sekretessåtgärder som införts och genomföra regelbundna granskningar och revisioner för att bedöma efterlevnaden, inklusive att använda resultaten av testerna för att visa att efterlevnaden förbättras.

l2.2 Journalföring

Enligt GDPR måste vi föra fullständiga och korrekta register över alla våra databehandlingsaktiviteter.

Vi ska föra och upprätthålla korrekta företagsregister som återspeglar vår behandling, inklusive register över de registrerades samtycken och förfaranden för att inhämta samtycken

l2.3 Utbildning och revision

Vi är skyldiga att se till att all personal på företaget har genomgått lämplig utbildning för att kunna följa lagar om datasekretess. Vi måste också regelbundet testa våra system och processer för att bedöma efterlevnaden.

Personalen måste genomgå utbildning om datasekretess och se till att deras team genomgår liknande obligatorisk utbildning.

Personalen måste regelbundet se över alla system och processer som de kontrollerar för att säkerställa att de överensstämmer med denna dataskyddspolicy och kontrollera att det finns tillräckliga styrningskontroller och resurser för att säkerställa korrekt användning och skydd av personuppgifter.

12.4 Inbyggd integritet och konsekvensbedömning avseende dataskydd (DPIA)

Vi är skyldiga att genomföra Privacy by Design-åtgärder när vi behandlar personuppgifter genom

genomföra lämpliga tekniska och organisatoriska åtgärder (t.ex. pseudonymisering) i en

effektivt sätt, för att säkerställa att principerna för dataskydd efterlevs.

Vi ska bedöma vilka Privacy by Design-åtgärder som kan genomföras i alla program/system/processersom behandlar personuppgifter med beaktande av följande:

A) Det aktuella tekniska läget;

B) Kostnaden för genomförandet;

C) behandlingens art, omfattning, sammanhang och ändamål, och

D) De risker av varierande sannolikhetsgrad och allvar för de registrerades rättigheter och friheter som behandlingen medför.

Vi genomför också DPIA:er för behandlingar med hög risk.

Vi ska genomföra en DPIA när vi implementerar större system- eller affärsförändringsprogram som involverar behandling av personuppgifter, inklusive:

A) Användning av ny teknik (program, system eller processer) eller förändrad teknik (program, system eller processer);

B) Automatiserad behandling, inbegripet profilering och automatiserat beslutsfattande (ADB);

C) Storskalig behandling av känsliga uppgifter, och

D) Storskalig, systematisk övervakning av ett område som är tillgängligt för allmänheten.

En DPIA måste innehålla:

A) Beskrivning av behandlingen, dess syften och den personuppgiftsansvariges berättigade intressen, om så är lämpligt;

B) En bedömning av nödvändigheten och proportionaliteten av behandlingen i förhållande till dess syfte;

C) En bedömning av risken för enskilda personer, och

D) De riskreducerande åtgärder som vidtagits och bevis på att de efterlevs.

Personalen måste följa alla riktlinjer som utfärdats av företaget om DPIA och inbyggd integritet.

12.5. Automatiserad behandling (inklusive profilering) och automatiserat beslutsfattande (ADM)

I allmänhet är ADM förbjudet när ett beslut har en rättslig eller liknande betydande inverkan på en enskild person, såvida inte:

A) Den registrerade har uttryckligen lämnat sitt samtycke;

B) Behandlingen är tillåten enligt lag; eller

C) Behandlingen är nödvändig för att fullgöra eller ingå ett avtal. Om vissa typer av känsliga uppgifter behandlas är skälen b) eller c) inte tillåtna, men sådana känsliga uppgifter kan behandlas om det är nödvändigt (såvida inte mindre ingripande åtgärder kan vidtas) av hänsyn till ett viktigt allmänintresse, t.ex. förebyggande av bedrägeri.

Om ett beslut enbart ska grundas på automatiserad behandling (inbegripet profilering) måste de registrerade informeras om sin rätt att göra invändningar när du först kommunicerar med dem. De måste uttryckligen uppmärksammas på denna rätt och den måste presenteras tydligt och separat från annan information. Vidare måste lämpliga åtgärder vidtas för att skydda den registrerades rättigheter och friheter samt berättigade intressen.

Vi måste också informera den registrerade om logiken bakom beslutsfattandet eller profileringen, betydelsen och de förväntade konsekvenserna och ge den registrerade rätt att begära mänsklig inblandning, uttrycka sin åsikt eller bestrida beslutet.

En DPIA måste genomföras innan någon automatiserad behandling (inklusive profilering) eller ADM-verksamhet påbörjas.

Om personal är involverad i någon databehandlingsaktivitet som innefattar profilering eller ADM, måste du följa alla riktlinjer som utfärdats av företaget om profilering eller ADM.

l2.6 Direktmarknadsföring

Vi omfattas av vissa regler och sekretesslagar när vi marknadsför oss till våra kunder.

Exempelvis krävs den registrerades förhandsgodkännande för elektronisk direktmarknadsföring (t.ex. via e-post, sms eller automatiserade samtal). Det begränsade undantag för befintliga kunder som kallas "soft opt in" gör det möjligt för organisationer att skicka marknadsföringsmeddelanden via sms eller e-post om de har fått kontaktuppgifter i samband med en försäljning till personen, om de marknadsför liknande produkter eller tjänster och om de gav personen möjlighet att välja bort marknadsföring när de först samlade in uppgifterna och i varje efterföljande meddelande.

Rätten att invända mot direktmarknadsföring måste uttryckligen erbjudas den registrerade på ett begripligt sätt så att den klart kan skiljas från annan information.

En registrerad persons invändning mot direktmarknadsföring måste omedelbart respekteras. Om en kund när som helst väljer att avstå från direktmarknadsföring ska uppgifterna om denne raderas så snart som möjligt. Undertryckning innebär att man behåller tillräckligt med information för att säkerställa att marknadsföringspreferenser respekteras i framtiden.

Personalen måste följa eventuella riktlinjer som företaget utfärdar om direktmarknadsföring till kunder.

12.7 Delning av personuppgifter

I allmänhet får vi inte dela personuppgifter med tredje part om inte vissa skyddsåtgärder och avtalsarrangemang har införts.

Personalen får endast dela de personuppgifter vi har med en annan anställd eller ett ombud om mottagaren har ett arbetsrelaterat behov av att känna till informationen och överföringen överensstämmer med eventuella tillämpliga restriktioner för gränsöverskridande överföringar.

Vi får endast dela de personuppgifter vi har med tredje part, t.ex. våra tjänsteleverantörer, om:

A) De har behov av att känna till informationen för att kunna tillhandahålla de avtalade tjänsterna;

B) Delningen av personuppgifterna sker i enlighet med det integritetsmeddelande som lämnats till den registrerade och, om så krävs, den registrerades samtycke har inhämtats;

C) Den tredje parten har samtyckt till att följa nödvändiga datasäkerhetsstandarder, policyer och förfaranden och att vidta lämpliga säkerhetsåtgärder;

D) Överföringen överensstämmer med alla tillämpliga restriktioner för gränsöverskridande överföringar; och ett fullständigt skriftligt avtal som innehåller GDPR-godkända klausuler för tredje part har erhållits.

Personalen måste följa alla riktlinjer som utfärdats av företaget om datadelning med tredje part.

13 ÄNDRINGAR AV DENNA DATASKYDDSPOLICY

Vi kan när som helst ändra och uppdatera denna dataskyddspolicy. Personalen bör regelbundet kontrollera att de har tillgång till den senaste versionen av denna dataskyddspolicy. Vi reviderade senast denna dataskyddspolicy i januari 2019.

14 ORDLISTA MED NYCKELBEGREPP

Känsliga personuppgifter

Personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter eller religiös eller filosofisk övertygelse, uppgifter om medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter som entydigt kan identifiera en fysisk person, uppgifter om hälsa, uppgifter om en persons sexualliv eller sexuella läggning.

Personuppgifter

Alla uppgifter från vilka en levande individ kan identifieras. Om det råder tvivel om huruvida en viss uppgift utgör en personuppgift, ska vi anta att så är fallet.

Personuppgiftsincident

Ett säkerhetsbrott som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt röjande av eller tillgång till personuppgifter som överförts, lagrats eller på annat sätt behandlats av bolaget