Dataskyddspolicy

Gäller från och med: 25 Maj 2018

1 SYFTE

The Global Leisure Group värnar om våra motparters, partners och anställdas integritet och följer gällande dataskyddsregelverk. Det här dokumentet ger en övergripande vägledning om hur Global Leisure Group behandlar personuppgifter.


2 TILLÄMPNINGSOMRÅDE
All behandling av personuppgifter ska ske i enlighet med gällande dataskyddsbestämmelser. Gällande dataskyddsbestämmelser omfattar bland annat dataskyddsförordningen (Europaparlamentets och Rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. Dessa Interna Regler gäller för alla anställda och konsulter.


3 GRUNDLÄGGANDE PRINCIPER

3.1 Laglig grund
Varje personuppgiftsbehandling av The Global Leisure Group ska behandlas enligt laglig grund. Laglig grund är bland annat att utföra en uppgift av allmänt intresse eller samtycke. Tillämplig laglig grund kommuniceras till den registrerade, exempelvis genom hänvisning till information på SPI Global Plays hemsida. Kan laglig grund inte identifieras ska personuppgiftsbehandling inte utföras.

3.2 Ändamålsbegränsning
Om The Global Leisure Group överväger att behandla personuppgifterna för andra ändamål än det ändamål för vilket personuppgifterna samlades in, måste det senare påkomna ändamålet vara förenligt med det ursprungliga.

3.3 Uppgiftsminimering
Personuppgifter som behandlas ska vara adekvata, relevanta och inte alltför omfattande i förhållande till ändamålen. Säkerställande att uppgifterna som samlas in verkligen behövs ska ske och personuppgifter ska inte efterfrågas bara för att det kan vara bra att ha. Kopior av uppgifter och lagring i flera system ska undvikas för att minimera felkällor och för att underlätta rättelse.

3.4 Riktighet
Personuppgifter som behandlas ska vara korrekta och om nödvändigt uppdaterade. Vidta lämpliga åtgärder för att se till att felaktiga eller ofullständiga uppgifter rättas.

3.5 Lagringsbegränsning
Personuppgifter får inte lagras i en form som möjliggör identifiering av den registrerade under längre tid än nödvändigt med hänsyn till ändamålen med behandlingen.

3.6 Överföring till tredjeland
The Global Leisure Groups utgångspunkt är att behandling av personuppgifter om möjligt ska ske inom EU:s gränser. Dataskyddsförordningen innebär att alla EUs medlemsstater samt EES-länderna har ett likvärdigt skydd för personuppgifter och personlig integritet och därför kan personuppgifter föras fritt inom det området. Personuppgifter får endast i undantagsfall och om det är motiverat överföras till tredjeland (utanför EU och EES). Innan tredjelandsöverföring ska ske behövs utredning om det finns en adekvat skyddsnivå i mottagarlandet eller om det finns särskilda garantier för att personuppgifterna och de registrerades rättigheter skyddas. Kontakta vår säkerhetssamordnare för vägledning om utredning av tredjelandsöverföring.

3.7 Konsekvensbedömning
The Global Leisure Group har en särskild rutin på plats för att kunna identifiera och hantera särskilda integritetsrisker inom verksamheten och strukturerad uppföljning. Särskilda risker för fysiska personers rättigheter och friheter kan exempelvis förekomma i samband med en viss typ av behandling av uppgifter, särskilt känsliga uppgifter, behandling i särskilt stor omfattning, användning av ny teknik eller liknande.

Innan sådan personuppgiftsbehandling påbörjas ska vår säkerhetssamordnare kontaktas för utredning om en konsekvensbedömning krävs och vid behov utförs konsekvensbedömning av den ansvarige med hjälp av rådgivning från Dataskyddsombudet.


4 REGISTER
Det ska finnas ett register över de behandlingar av personuppgifter som The Global Leisure Group utför under sitt ansvar. Registret ska innehålla lagstadgade uppgifter och hållas uppdaterat.


5 BEGÄRAN OM TILLGÅNG
Enskilda har rätt att fråga om The Global Leisure Group behandlar de enskildas personuppgifter. The Global Leisure Group ska vid begäran från den registrerade lämna bekräftelse på om personuppgifterna som rör den registrerade behandlas samt lämna tillgång till personuppgifterna och den information som krävs enligt dataskyddsförordningen. Lämpliga och rimliga identifikationsåtgärder ska vidtas för att säkerställa att informationen lämnas till rätt person.


6 BEGÄRAN OM RÄTTELSE OCH REGISTRERING
En begäran om rättelse och radering av personuppgifter ska hanteras i enlighet med författningskrav. Om en felaktig personuppgift har registrerats ska, utan onödigt dröjsmål, alla rimliga åtgärder vidtas för att uppgiften rättas eller raderas.


7 PERSONUPPGIFTSBITRÄDESAVTAL
Om extern part får i uppdrag att behandla personuppgifter för myndighetens räkning ska personuppgiftsbiträdesavtal ingås. The Global Leisure Groups instruktioner till personuppgiftsbiträde rörande personuppgiftsbehandling ska framgå av personuppgiftsbiträdesavtal. Ett personuppgiftsbiträde får endast anlitas om det kan lämna tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska säkerhetsåtgärder för att säkerställa att registrerades rättigheter skyddas. The Global Leisure Group ska om möjligt föra in i personuppgiftsbiträdesavtal att personuppgiftsbiträden står för eventuella kostnader i samband med en kontroll per år avseende efterlevnaden av gällande dataskyddslagstiftning, personuppgiftsbiträdesavtal och The Global Leisure Group instruktioner.


8 SÄKERHETSÅTGÄRDER OCH ÅTKOMST
Personuppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna med användning av tekniska och organisatoriska åtgärder. The Global Leisure Groups säkerhetssamordnare ska kontaktas när utredning om lämpliga tekniska och organisatoriska åtgärder utvärderas.


9 PERSONUPPGIFTSINCIDENTER
The Global Leisure Group dokumenterar alla personuppgiftsincidenter, The Global Leisure Groups säkerhetssamordnare ska alltid meddelas när personuppgiftsincidenter inträffat. Dessutom ska ett e-post meddelande skickas till GDPRincident@spiglobalplay.com. Om det är sannolikt att det föreligger en risk för fysiska personers rättigheter och friheter ska anmälan ske till tillsynsmyndigheten inom 72 timmar. The Global Leisure Group kan behöva underrätta berörda registrerade om inträffade incidenter.