EPM:s integritetspolicy2018-08-14T21:28:26+00:00

EPM:s integritetspolicy

Behandling av personuppgifter

EPM Data behandlar personuppgifter inom ramen för sin verksamhet för att leverera tjänster till befintliga och potentiella kunder. För behandling av medarbetares personuppgifter så finns information tillgänglig för berörda parter i interna policyer.
För personuppgifter som hanteras i samband med kunduppdrag för att leverera tjänster inom tjänsteavtalet, är EPM Data att betrakta som personuppgiftsbiträde. All personuppgiftsbehandling utförs enligt instruktioner från kunden och specificeras i Tjänsteavtalet. EPM Data kan även använda personuppgifter för befintliga kunder för information och försäljning och är i det fallet att betrakta som personuppgiftsansvarig.

Registrering av ärenden

I samband med att du kontaktar oss via mail eller telefon i din roll som företrädare för en organisation så kommer vi spara dina personuppgifter för att kunna arbeta vidare med ärendet och ge en optimal service. Vi sparar ditt namn, e-postadress och telefonnummer om du angivit ett sådant. Vi sparar även eventuella personuppgifter som du själv lämnar i ärendet. All behandling följer gällande personuppgiftslagstiftning och dina uppgifter lämnas inte ut till någon extern part. Vi sparar dina uppgifter med stöd i det avtal så EPM tecknat med din arbetsgivare och kommer spara uppgifterna under avtalstiden och rensas inom ett (1) år från det att uppdraget är avslutat. Har ni idag inget avtal med EPM så sparas informationen med stöd av EPM:s berättigade intresse i upp till ett (1) år. Har du invändningar mot denna behandling vänligen kontakta din arbetsgivare i första hand eller integrity@epm.se för mer information.

Försäljning och Marknadsföring

Med stöd av ett berättigat intresse kan EPM Data komma att bearbeta befintliga och potentiella kunder med erbjudanden och uppföljningar av pågående inköpsprocesser. I dessa fall behandlar vi enbart kontaktinformation tex: Namn, e-postadress, telefonnummer, arbetsgivare och eventuell titel. Då behandlingen rör dig som inte är befintlig kund hos EPM Data kan detta endast ske om;
• Det finns en pågående diskussion av ett potentiellt avtal med EPM Data
• Du innehar en publik roll i bolaget du representerar
• Du har på annat sätt lämnat samtycke till att dina kontaktuppgifter skall göras publika via externa söktjänster

 

Säkerhetsföreskrifter

Dessa tekniska och organisatoriska åtgärder för att säkerställa en adekvat säkerhetsnivå utgör en integrerad del av EPM Datas verksamhet och ska följas vid utförande av personuppgiftsbehandlingar.

  1. Fysisk säkerhet. Personuppgiftsbärande system skall skyddas mot elavbrott och andra störningar orsakade i tekniska försörjningsystem. Utrymmen där personuppgifter förvaras, såsom serverhallar, skall skyddas genom lämpliga tillträdeskontroller för att säkerställa att endast behörig personal får tillträde. Det ska också finnas ett tillfredställande skydd mot stöld och händelser som kan förstöra IT-system och lagringsmedia.
  2. Åtkomstkontroll. När datorutrustning och löstagbara datamedier hos Personuppgiftsbiträdet som innehåller eller kan ge tillgång till personuppgifter som Personuppgiftsbiträdet behandlar för Personuppgiftsansvarigs räkning, inte står under uppsikt ska utrustningen och medierna låsas in för att skyddas mot obehörig användning, påverkan och stöld. I annat fall skall personuppgifterna krypteras. För det fall eventuella bärbara datorer används vid behandlingar skall personuppgifterna på fasta och löstagbara lagringsmedier alltid vara krypterade.
  3. Skydd mot skadlig kod. Personuppgiftsbärande system skall vara skyddade mot virus, trojaner och andra former av digitala intrång.
  4. Säkerhetskopia. Personuppgifterna skall regelbundet överföras till säkerhetskopior. Kopiorna ska förvaras avskilt och väl skyddade så att personuppgifterna kan återskapas efter en störning. Personuppgiftsbiträdet skall ha en dokumenterad rutin för säkerhetskopiering och återläsning av säkerhetskopior, samt för test av återläsning.
  5. Behörighetskontroll. Ett tekniskt system för behörighetskontroll skall styra åtkomsten till personuppgifterna för EPM Data. Behörigheten skall begränsas till dem som behöver uppgifterna för sitt arbete. Användaridentitet och lösenord skall vara personliga och får inte överlåtas på någon annan. Det skall finnas rutiner för tilldelning och borttagande av behörigheter.
  6. Åtkomst till personuppgifter skall kunna följas upp i efterhand genom loggar eller liknande underlag.
  7. Anslutning för extern datakommunikation skall skyddas med sådan teknisk funktion som säkerställer att uppkopplingen är behörig. Personuppgifter som överförs via datorkommunikation utanför lokaler som kontrolleras av EPM Data skall skyddas med kryptering.
  8. Gallring av personuppgifter under och efter avtalstiden när användningen inte längre är nödvändig för det ursprungliga ändamålet 1) Under avtalstiden efter begäran från Kunden sker radering snarast möjligt och senast tre månader efter begäran. 2) Efter att avtalet har upphört att gälla enligt punk 8.2 i IT & Telekomföretagens Särskilda bestämmelser vid behandling av personuppgifter i samband med IT-Infrastrukturtjänster.
  9. Förändringskontroll. Åtgärder utförs för att säkerställa att det i efterhand går att granska och avgöra om personuppgifter har matats in, ändrats eller raderats i systemet och vem som vidtagit åtgärden för de uppgifter där EPM Data är Personuppgiftsansvarig. För data där kunden är Personuppgiftsansvarig ansvarar kunden själv för att personuppgifterna är korrekta och uppdaterade.
  10. Särskiljningskontroll. EPM Data ansvarar för att data som samlats in för olika ändamål behandlas separat i det fall EPM Data är Personuppgiftsansvarig. För data där kunden är Personuppgiftsansvarig ansvarar kunden själv för att personuppgifter endast används för det specifika ändamålet för vilket de samlats in.
  11. Reparation och service. När reparation och service av datorutrustning, vilken används för att lagra Kundens personuppgifter, utförs av annan än EPM Data, skall kontrakt som reglerar säkerhet och sekretess träffas med serviceföretaget. Vid servicebesök skall servicen ske under Personuppgiftsbiträdets överinseende. Service via fjärrstyrd datakommunikation får endast ske efter säker elektronisk identifiering av den som utför servicen. Servicepersonal skall ges åtkomst i systemet endast vid servicetillfället. Finns separat kommunikationsingång för service skall den vara stängd när service inte pågår.
  12. Personuppgiftsbiträdet skall ha rutiner för att omgående underrätta Personuppgiftsansvarig vid upptäckt av obehörig åtkomst, förstörelse, ändring av personuppgifter eller liknande integritetsincidenter, samt försök därtill. Det skall finnas lämpliga och adekvata processer för att kunna säkerställa tillgängligheten och åtkomsten till personuppgifterna vid personuppgiftsincidenter. Därutöver skall Personuppgiftsbiträdet ha rutiner för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.
  13. Personuppgifterna skall i de fall det är tillämpligt i möjligaste mån anonymiseras.

 

Den registrerades rättigheter

Du som registrerad individ har långt gående rättigheter när det gäller den behandlingen som EPM Data utför. Du har rätt att veta vilka uppgifter som EPM registrerat i sin roll som personuppgiftsansvarig. Utöver detta kan du begära rättelse av felaktiga uppgifter och vi vissa fall även kräva att bli raderad ur våra register. För att utöva dina rättigheter vänligen kontakta intergrity@epm.se och beskriv där ditt ärende så återkommer vi inom kort. Det går även bra att sända begäran via post till EPM Data, St. Eriksgatan 117, 11343 Stockholm.