1. Principer för dataskydd
Dedalus Healthcare Limited är lägger stor vikt vid att bearbeta data enligt företagets skyldigheter under GDPR.
Artikel 5 i GDPR kräver att personlig information ska:
a. Bearbetas lagenligt, ärligt och på ett transparent sätt i relation till individer.
b. Samlas in för specificerade, uttryckliga och lagenliga ändamål och inte ytterligare bearbetas på ett sätt som är inkompatibelt med dessa ändamål. Ytterligare bearbetning för arkiveringssyften i allmänhetens intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska inte anses vara inkompatibla med de initiala ändamålen.
c. Vara adekvat, relevant och begränsad till vad som är nödvändigt i relation till de ändamål för vilka den bearbetas.
d. Vara korrekt och, där så är nödvändigt, hållas uppdaterad. Varje rimlig åtgärd måste vidtas för att säkerställa att personlig information som är felaktig, vad gäller ändamålen för vilka den bearbetas, omedelbart raderas eller korrigeras.
e. Förvaras i en form som inte medger identifiering av dataobjekt under längre tid än nödvändigt för de ändamål för vilka den personliga informationen bearbetas.
f. Personlig information kan lagras under längre perioder i den utsträckning som personlig information kommer att bearbetas uteslutande för arkiveringsändamål i allmänhetens intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål underkastade implementering av de lämpliga tekniska och organisatoriska åtgärder som krävs enligt GDPR för att skydda individers rättigheter och friheter, och bearbetas på ett sätt som garanterar adekvat säkerhet för personlig information, inklusive skydd mot obehörig eller olaglig bearbetning och skydd mot oavsiktlig förlust, förstörelse eller skada med lämpliga tekniska eller organisatoriska åtgärder.
2. Allmänna förutsättningar
a. Denna policy gäller all personlig information som bearbetas av Dedalus Healthcare Limited.
b. En utsedd person ska ha ansvaret för att företaget följer denna policy.
c. Denna policy ska granskas åtminstone en gång om året.
d. Företaget ska registreras vid informationschefens kontor som en organisation som bearbetar personlig informarion.
3. Lagenlig, rättvis och transparent bearbetning
a. För att säkerställa att företagets bearbetning av data är lagenlig, rättvis och transparent ska företaget upprätthålla ett systemregister.
b. Systemregistret ska granskas åtminstone en gång om året.
c. Individer har rätt att komma åt sin personliga information och varje sådan begäran som ställs till företaget ska hanteras inom en rimlig tidsperiod.
4. Lagenliga ändamål
a. Alla data som bearbetas av företaget måste utföras på någon av följande lagenliga grunder: samtycke, avtal, laglig skyldighet, vitala intressen, offentlig uppgift eller legitima intressen (se ICO-vägledning för mer information).
b. Företaget ska följa den lämpliga lagenliga basen i systemregistret.
c. När samtycke utgör en lagenlig bas för bearbetning av data ska formuläret för samtycke förvaras tillsammans med den personliga informationen.
d. När meddelanden skickas till individer baserat på deras samtycke ska individens möjlighet att återkalla sitt samtycke vara klart och tydligt tillgängligt och system ska vara på plats för att säkerställa att ett sådant återkallande återspeglas på rätt sätt i företagets system.
5. Minimering av data
a. Företaget ska säkerställa att all personlig information är korrekt, relevant och begränsad till vad som är nödvändigt för de syften för vilka informationen bearbetas.
6. Noggrannhet
a. Företaget ska vidta rimliga åtgärder för att säkerställa att all personlig information är korrekt.
b. När så är nödvändigt enligt lagstiftningen för bearbetning av data ska åtgärder vidtas för att säkerställa att all personlig information är uppdaterad.
7. Arkivering / borttagning
a. För att säkerställa att personlig information inte lagras längre än nödvändigt ska företaget ha en arkiveringspolicy för varje område där personlig information bearbetas och årligen granska denna procedur.
b. Arkiveringspolicyn ska ha en bedömning av vilka data som bör/måste behållas, hur länge och varför.
8. Säkerhet
a. Företaget ska säkerställa att personlig information lagras på ett säkert sätt med modern och uppdaterad programvara.
b. Åtkomst till personlig information ska begränsas till personal som behöver denna åtkomst och lämplig säkerhet ska vara på plats för att förhindra obehörig delning av information.
c. När personlig information tas bort ska detta göras på ett säkert sätt så att informationen inte kan återhämtas.
d. Lämpliga lösningar för säkerhetskopiering och återhämtning från krascher ska finnas på plats.
9. Brott
I händelse av ett säkerhetsbrott som leder till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt avslöjande av eller åtkomst till personlig information ska företaget snarast bedöma risken vad gäller människors rättigheter och friheter och om lämpligt rapportera detta brott till ICO (mer information finns på ICO-webbplatsen).
