Register- och sekretesspolicy

1. Personuppgiftsansvarig

NYAB AB
Varvsgatan 39
972 32 Luleå
info(at)nyabgroup.com

2. Registrets namn

Whistleblowing- alltså anonym rapporteringskanal.

3. Syfte och rättslig grund för behandling av personuppgifter

Syftet med behandlingen av personuppgifter är:

Behandling och utredning av rapporter som inkommit till rapporteringskanalen.

Den rättsliga grunden för behandlingen är den personuppgiftsansvariges rättsliga förpliktelse. Tillhandahållandet av en rapporteringskanal och behandlingen av rapporter regleras c) om skydd för personer som rapporterar om missförhållanden.

Om det inte är en fråga som omfattas av en lagstadgad rapporteringskanal är grunden för behandlingen den personuppgiftsansvariges berättigade intresse för att förhindra och utreda missbruk. Följande grunder omfattas också av den personuppgiftsansvariges berättigade intressen:

  • rätt att försäkra att personalens verksamhet är i enlighet med lagstiftningen och NYAB AB:s instruktioner,
  • rätt att förhindra ekonomiska förluster och undvika ryktesrisker, och
  • rätt att försäkra personalens rättsliga skydd.

I dessa situationer bedöms den personuppgiftsansvariges berättigade intresse väga tyngre än den registrerades, särskilt personens som är föremål för rapporten, rätt att bestämma om behandlingen av sina personuppgifter.

4. Registrets datainnehåll

En rapport kan innehålla följande personuppgifter:

  • Personuppgifter om personen som är föremål för rapporten, så som namn och/eller kontaktuppgifter och annan möjlig information
  • Personuppgifter om den rapporterande personen, så som namn och/eller kontaktuppgifter
  • Uppgifter om någon annan person (t.ex. ett vittne) som tagits upp i rapporterings- eller utredningsprocessen

I princip behandlas inte uppgifter som tillhör särskilda kategorier av personuppgifter

Det är möjligt att lämna en anonym rapport. Då behandlas inte den rapporterande personens personuppgifter, om inte personuppgifter ges senare. Identifiering av personen kan vara möjligt genom att kombinera de uppgifter som personen lämnat i sin rapport.

5. Regelbundna informationskällor

Personuppgifterna erhålls genom rapporten som gjorts till rapporteringskanalen och genom den möjliga utredningsprocessen som hänger samman med rapporten.

6. Regelbundna utlämnanden av uppgifterna och överföringar av uppgifter utanför EU eller EES

Uppgifterna lämnas inte regelbundet ut till andra parter. Om det är nödvändigt att använda experttjänster (t.ex. juridiska tjänster) i utredningsprocessen, kan personuppgifter ges åt aktörer som agerar på NYAB AB:s vägnar. I dessa fall försäkras det att det finns databehandlingsavtal med tjänsteleverantören i enlighet med dataskyddslagstiftningen.

Uppgifter som erhållits via rapporteringskanalen kan lämnas ut till behöriga myndigheter. Exempelvis brottsmisstankar med sitt utredningsmaterial kan lämnas ut till förundersökningsmyndigheten.

Utgångspunkten är att personuppgifter inte överförs utanför Europeiska unionen eller Europeiska ekonomiska samarbetsområdet. Om uppgifter ändå behöver överföras utanför Europeiska unionen eller Europeiska ekonomiska samarbetsområdet ska NYAB säkerställa en adekvat skyddsnivå för personuppgifterna genom att bland annat komma överens om frågor som rör behandling av personuppgifter i enlighet med dataskyddslagstiftningen, så som genom att använda standardavtalsklausuler som godkänts av Europeiska kommissionen.

7. Principerna för skydd av registret

Datasäkerhet och skydd av personuppgifter är av största vikt för oss. Vi använder lämpliga tekniska och organisatoriska skyddsåtgärder för att skydda personuppgifter. Vi säkerställer även feltoleransen och möjligheterna att återställa uppgifterna i våra system. Tillgång till personuppgifter begränsas endast till skilt berättigade aktörer. Aktörer som behandlar personuppgifter har tystnadsplikt i frågor som rör behandling av personuppgifter.

8. Den registrerades rättigheter

De registrerade har rätt till sina personuppgifter i enlighet med dataskyddslagstiftningen. Tillämpningen av rättigheterna i varje enskild situation beror dock på syftet och situationen för användningen av personuppgifterna.

  • Rätt till tillgång till personuppgifterna. En registrerad har rätt att få en bekräftelse på huruvida den registrerades personuppgifter behandlas samt annan information gällande behandlingen av personuppgifter i enlighet med dataskyddslagstiftningen. En registrerad har rätt att få en kopia av personuppgifterna. Den nämnda rätten till tillgång kan begränsas för personuppgifter som getts under lag (2021:890) om skydd för personer som rapporterar om missförhållanden eller lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning om det är nödvändigt och proportionerligt för att säkerställa rapportens korrekthet eller för att skydda den rapporterande personens identitet. I detta fall kan den registrerade kontakta till Integritetsskyddsmyndigheten.
  • Rätt till rättelse av personuppgifter. Den registrerade har, med vissa begränsningar, rätt att begära rättelse eller radering av felaktiga eller oriktiga uppgifter.
  • Rätt till radering av personuppgifter. Den registrerade har rätt att i enlighet med villkoren i dataskyddslagstiftningen begära radering av sina personuppgifter. Vi raderar personuppgifter på begäran, såvida vi inte är skyldiga att behålla personuppgifterna enligt lag eller något annat tillämpligt undantag enligt dataskyddslagstiftningen.
  • Rätt till begränsning av behandling. I enlighet med villkoren i dataskyddslagstiftningen har den registrerade rätt att begära en begränsning av behandlingen av personuppgifter under vissa omständigheter.
  • Rätt att överföra personuppgifterna. Den registrerade har rätt att begära överföring av sina personuppgifter till en annan personuppgiftsansvarig. Överföringsrätten gäller som utgångspunkt sådana personuppgifter som den registrerade har tillhandahållit den personuppgiftsansvarige i ett strukturerat och maskinläsbart format och vilkas behandling grundar sig på den registrerades samtycke eller på ett avtal och/eller för vilka behandlingen sker automatiserat.
  • Rätt att invända mot behandlingen. I enlighet med villkoren i dataskyddslagstiftningen har den registrerade rätt att göra invändningar mot behandling av personuppgifter som grundar sig på berättigat intresse, inbegripen profilering. Vi kan vägra begäran om behandlingen är nödvändig för att uppfylla den personuppgiftsansvariges eller en tredje parts tvingande och berättigade intressen. Den registrerade har ändå alltid rätt att invända mot användning av personuppgifter för direkt marknadsföring och profilering som har samband med direkt marknadsföring.
  • Rätt att återkalla sitt samtycke. Om behandlingen av personuppgifter grundar sig på den registrerades samtycke har den registrerade rätt att återkalla sitt samtycke till behandlingen av personuppgifter som rör honom eller henne. Återkallande av samtycket påverkar inte behandling som utförts innan återkallandet.

Utövandet av rättigheterna

Vi önskar att du kontaktar NYAB om du har frågor gällande behandlingen av dina personuppgifter.

Du kan skicka en begäran gällande den registrerades rättigheter via brev eller e-post genom att använda kontaktuppgifterna som nämns i denna sekretesspolicy.

Identiteten för personen som gjort begäran kan kontrolleras innan begäran behandlas. Begäran besvaras inom rimlig tid och i princip inom en månad efter begäran och identitetskontrollen. Om begäran inte kan beviljas kommer avslaget att meddelas separat.

8. Rätt att lämna in ett klagomål till tillsynsmyndigheten

Den registrerade har rätt att lämna in ett klagomål till den behöriga tillsynsmyndigheten om den registrerade anser att hans eller hennes personuppgifter har behandlats i strid med dataskyddslagstiftningen.

Du hittar kontaktuppgifterna för Sveriges dataskyddsmyndighet här.

9. Ändringar i sekretesspolicyn

Denna sekretesspolicy kan behöva ändras då och då. Ändringar kan baseras även på ändringar i dataskyddslagstiftningen. Vi rekommenderar därför att du regelbundet granskar sekretesspolicyn för att upptäcka ändringar. Den senaste versionen finns tillgänglig på vår webbplats.

Denna sekretesspolicy har publicerats 29 Juni 2023.