Syftet med denna policy är att säkerställa att UPCOR AB hanterar personuppgifter i enlighet med EU:s dataskyddsförordning. (General Data Protection Regulation - GDPR). Policyn omfattar alla behandlingar där personuppgifter hanteras.
Säkerhetspolicy och företagets ansvarsområden
Ansvariga för datalagring
UPCOR AB är ansvarig för behandlingen av alla berörda personuppgifter. UPCOR AB ansvarar för att behandlingen av personuppgifter följer denna policy.
All lagring av personuppgifter sker för att underlätta en tillsynsmyndighets tillsynsarbete och tillsynsobjektets utförbarhet att följa tobak- och alkohollagen.
Personuppgifter lagras i samband med system för Rökfria Skolgårdar och tillsyn av e-cigaretter, tobak och alkohol (Produkter "Butikspaket" resp. "Serveringspaket").
Tobakslag (1993:581)
Lag om elektroniska cigaretter och påfyllningsbehållare (2017:425)
Alkohollagen (2010:1622):
Lag (2009:730) om handel med vissa receptfria läkemedel
För att hålla hög säkerhet är åtkomsten till databaserna låst till endast lokala utvecklings- och support datorer på UPCORs nätverk. VPS ("virtuella privata server") förbundet som tillhandahåller själva systemet till våra kunder (kommunala handläggare / butikspersonal / skolpersonal) efter inloggning över säkrade förbindelser (t.ex. SSL / SSH / VPN) kommer endast åt information som krävs för att tillhandahålla applikationen. Användarhantering är strikt uppsatt på en "need to know" basis, dvs. åtkomst är reglerat både på våra utvecklare och på.
Då vi använder oss av underleverantörer så sker detta med ett absolut krav att inte använda sig av vidare underleverantörer eller lagra data på system vi inte har godkänt.
All data som sparas på system som kan nås via systemet (via https förbunden webbläsare) lagras i datacenter i Sverige.
Lagring av personuppgifter görs i systemets databaser. Personuppgifter som lagras utgörs av objektdata såsom adressuppgifter och organisationsnummer, personer med namn och e-post. Fem typer av behörighet skiljer åtkomst till data: tillsynsmyndighetens handläggare (t.ex. "Länsstyrelse", "Kommun"); ansvarig(a) för tillsynsobjektet (t.ex. kedjeansvarig, ägare eller chef för "butik", "restaurang", "skola"); personer som behöver utbildning (t.ex. "personal").
För att hålla hög säkerhet finns har endast utvalda medarbetare inom UPCOR rättighet till systemets grundläggande databaser via krypterade nätverksförbindelser. Samtliga andra användare har restriktiv tillgång baserat på "behov av tillgång" / "need to know").
Vid registrering måste lagring av personuppgifter godkännas av registreraren.
Systemet har en ”Mina sidor” funktion där det går att anmäla sig till en ”rätten att bli glömd” funktion. Vid önskan om att ”bli glömd” fastställer vi personens id samt undersöker om borttagning är möjligt enligt tobak- och alkohollagen, är radering möjlig utförs inom 30 dagar en total radering från Tillsyn-systemets databas.
Skulle inte en radering vara möjlig informeras användaren enligt vilken lagparagraf en radering inte är möjlig.
Säkerhetskopior ligger vilande på separata system och är aldrig i drift. Efter varje möjlig radering tas en ny säkerhetskopia för att säkerställa att den raderade personen inte kan återställas. Säkerhetskopior tas efter hand automatisk bort och är en spegling av de senaste ändringarna. Inom en period av 31 dagar har en eventuell raderad person automatiskt även försvunnit från säkerhetskopior.
Samtlig data lagras i säkrade datacenter i Sverige. Närmare information kan utlämnas till intresserade kommuner och butikskedjor från verifierad e-post adress och eller till personligt känd/identifierad person.
All överföring via webbläsare sker via SSL kryptering. SSL-certifikat förnyas var tredje månad.
E-Post skickas med TLS. När information innehåller personnummer skickas detta inte per epost, utan ett meddelande går ut att det finns ny information inom systemet. Detta för att säkerställa att information inte kan delas via epost då epost allmänt inte anses som en säker transportväg.