Plan Digital integritetspolicy
Relaterade dokument
Plan Digital behandlar personuppgifter konfidentiellt och med största omsorg. Genom behandling av personuppgifter kan vi säkra en bättre, mer personanpassad synkronisering mellan våra produkter och tjänster och vår användares behov. Behandlingen av personuppgifter medför ett ansvar att det sker på ett noggrant och säkert sätt. Rätten till personlig integritet är en grundläggande rättighet och vi gör således vårt yttersta för att behandla personuppgifter konfidentiellt och med största omsorg.
- Introduktion
- Både biträde och ansvarig
- Användaren kan blotta sina egna uppgifter via valfria externa aktiviteter
- Plan Digital som personuppgiftsbiträde
- Plan Digital som personuppgiftsansvarig
- Personuppgifters säkerhet
Introduktion
Plan Digital tar integritet på mycket stort allvar och kontrollerar kontinuerligt de tekniska och organisatoriska säkerhetsåtgärder som vi vidtar. Vi garanterar att endast behöriga anställda kan få åtkomst till personuppgifter och bara till uppgifter som är absolut nödvändigt för deras arbetsuppgifter.
Skolor och företag som använder våra tjänster har och behåller i sin egenskap av personuppgiftsansvarig kontrollen över de data som behandlas i sina respektive digitala plattformar. Plan Digital kan använda era data i form av anonym statistik.
Information på den här webbplatsen
Under säkerhet hittar du en beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som vidtas av Plan Digital för att skydda personuppgifter.
Integritetsrelaterad information på den här webbplatsen uppdateras vid behov. Vid större ändringar informerar vi användarna via webbplatsen samt genom nyhetsbrev och andra kanaler om så erfordras. På de här sidorna hittar du alltid aktuell information.
Dataskyddsombud
Plan Digital är ett helägt dotterbolag till Deserve It AB. På Plan Digital finns ett dataskyddsombud som svarar på all korrespondens om integritetsrelaterade frågor och som du kan kontakta på privacy@plandigital.se.
Via post
Plan Digital Sverige AB Barkenvägen 112 771 90 LudvikaBåde biträde och ansvarig
I vissa fall är vi endast biträde genom att vi får personuppgifterna levererad av en arbetsgivare som vi importerar i verktyget. I andra fall bygger vår medlemsdatabas på personuppgifter som medlemmen själv har matat in via frivillig registrering. Ibland kan det till och med vara blandat inom samma kund.
Användaren kan blotta sina egna uppgifter via valfria externa aktiviteter
Våra plattformar innehåller funktioner där användaren själv kan mata in information. Det kan vara enkäter, kommentarer, inlägg i forum, chattgrupper, tävlingar eller andra aktiviteter. Dessa aktiviteter kan vara inom arbetsgivarens skyddade miljö, men kan också vara externa. Dessa funktioner är alltid valfria och användaren kan själv välja om hen vill delta.
Plan Digital som personuppgiftsbiträde
I allmänhet behandlas personuppgifter när Plan Digitals digitala digitala verktyg används. Detta medför till exempel att en rektor kan se sina lärares arbetssituationer. Behandlingen av personuppgifter medför ett ansvar för att det sker på ett noggrant och säkert sätt. Plan Digital respekterar uttryckligen sina användares integritet.
I personuppgiftsbiträdesavtalet redovisas vilken anvisning som den personuppgiftsansvarige utfärdar till Plan Digital för att behandla personuppgifter.
Personuppgiftsbiträdesavtalet tillämpas för relationen med Plan Digital. I detta avtal ger en utbildningsinstitution, kommun eller företag Plan Digital en anvisning för att behandla uppgifter. Personuppgiftsbiträdesavtalet innehåller information om våra tjänster, produktegenskaper, vilka kategorier av personuppgifter som behandlas och för vilka ändamål de behandlas.
Om er verksamhet använder Plan Digitals digitala tjänster ska ni teckna personuppgiftsbiträdesavtal med oss. Våra kunder vill oftast använda det avtal som SKR tagit fram, men vi godtar i regel era avtalsförslag.
Under Personuppgifters säkerhet nedan hittar du en beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som vidtas av Plan Digital för att skydda personuppgifter.
Licensvillkoren för användning av våra splattformar tar vi fram individuellt för varje köp.
I våra digitala plattformar behandlas inga personuppgifter för reklamändamål eller för att tillhandahålla oönskade erbjudanden.
Plan Digital som personuppgiftsansvarig
För behandling av personuppgifter i digitala plattformar, agerar Plan Digital i allmänhet som personuppgiftsbiträde och genomför en anvisning från de personuppgiftsansvariga. För annan specifik behandling fastställer Plan Digital ändamålet med, och resurserna för, behandlingen av personuppgifter. Detta gäller till exempel när du beställer ett aktuellt utvärderingsexemplar eller annan publikation via vår webbshop eller när du använder våra tjänster (online) direkt (utan inblandning av en utbildningsinstitution).
Denna policy gäller uttryckligen inte för behandling av personuppgifter i digitala plattformar som sker efter anvisning av av våra kunder.
Behandlingsändamål och rättslig grund för behandling
När Plan Digital behandlar dina personuppgifter gör vi det för att du har fyllt i ett formulär på vår webbplats, kontaktat vår kundservice eller när du beställt produkter eller tjänster i din egenskap av slutanvändare eller arbetsgivare. I dessa fall behandlas dina personuppgifter för nedanstående ändamål. Under våra förfaranden anger vi vilka uppgifter vi behöver för att kunna ingå ett avtal.
Personuppgifter behandlas för följande ändamål:
- för att ge åtkomst till, tillhandahålla och använda våra produkter och tjänster (behandling som krävs för att ett avtal ska kunna verkställas),
- för att lagra och bedöma uppgifter för att kunna erbjuda tjänster som är anpassade efter dina önskemål (behandling som krävs för att ett avtal ska kunna verkställas),
- för att kunna sköta våra räkenskaper (behandling som krävs för att ett avtal ska kunna verkställas),
- för att kunna skydda sig från, övervaka och förebygga missbruk av och inkonsekvens i, samt otillförlitlighet hos uppgifter vid till exempel genomförande av granskningar (krävs för att tillvarata den personuppgiftsansvariges berättigade intressen),
- kontinuitet och korrekt funktion för produkter och tjänster, inklusive underhåll, säkerhetskopiering under begränsad tid, förbättringar efter fel och support (behandling som krävs för att ett avtal ska kunna verkställas),
- för att förbättra våra tjänster (krävs för att tillvarata den personuppgiftsansvariges berättigade intressen (under vilket uppgifter anonymiseras och aggregeras och aldrig kan spåras tillbaka till enskilda individer)),
- för att ge information om relevanta produkter och tjänster från Plan Digital (vi kommer att be om ditt samtycke till detta och du kan när som helst återkalla detta samtycke),
- för att uppfylla lagstadgade skyldigheter som Plan Digital omfattas av.
Cookies
Cookies är små textfiler som kan användas av webbplatser för att göra en användares upplevelse mer effektiv.
Lagen säger att vi får lagra cookies på din enhet om de är absolut nödvändiga för att kunna använda den här webbplatsen. För alla andra ändamål krävs ditt medgivande.
I våra digitala plattformar behandlas inga personuppgifter för reklamändamål eller för att tillhandahålla oönskade erbjudanden. Vi använder oss där endast av funktionella eller integritetsvänliga cookies för analys.
Lagringsperiod
När behandling är nödvändig för verkställandet av ett avtal, behandlas dina personuppgifter av oss under högst två år efter uppsägningen av avtalet. Längre lagringsperioder kan förekomma, till exempel relaterat till företags administrativa lagringsskyldighet enligt lag.
Inspektion
Som registrerad har du rätt att be oss att kontrollera, korrigera eller radera dina personuppgifter, att begränsa behandling, att invända mot behandling och få dina uppgifter överförda i enlighet med gällande lagstiftning. Kontakta Kundservice om du vill utöva någon av dessa rättigheter.
Klagomål
Kontakta oss gärna när du har ett integritetsrelaterat klagomål eller problem relaterade till Plan Digitals webbplatser och produkter. Du har också rätt att lämna in ett klagomål till Datainspektionen.
Personuppgifters säkerhet
Plan Digital vidtar tekniska och organisatoriska åtgärder i både sin egenskap av personuppgiftsansvarig och i sin kapacitet som personuppgiftsbiträde, för att försäkra sig om en säkerhetsnivå som är anpassad efter riskerna. De säkerhetsåtgärder som vidtas av Plan Digital redovisas nedan.
Åtgärder för att säkerställa att endast behörig personal har åtkomst till personuppgifter
Plan Digital tillämpar en behörighetspolicy för att fastställa vem som behöver åtkomst till vilka uppgifter. Med detta system får de anställda inte åtkomst till mer uppgifter än vad som är absolut nödvändigt för deras arbetsuppgifter.
| Åtkomst | Handling |
|---|---|
| Personal i kundservice och Plan Digitals integrationspartners beviljas åtkomst till licensinformation på en kunds begäran. Bland annat kan de hjälpa till med att se över lärares summerade arbetstider eller avtal. Endast behörig personal i kundservice har åtkomst till kundernas data. | Administrativt arbete inom ramarna för hur digitala produkter och tjänster, beställningar och licenser fungerar. Support till slutanvändaren. |
| Analytiker/experter inom relevant utveckling har åtkomst till aggregerade resultat från användningen av digitala produkter och tjänster. | Analys av planering med syfte att förbättra tjänster, utveckling och optimering av adaptiva digitala tjänster, undersökning och förbättring av läromedlens kvalitet. |
| Systemadministratörer och utvecklare på IT-avdelningen har åtkomst till databaserna. | Systemadministratörer och utvecklare på it-avdelningen har som mål att säkra kontinuitet och drift. |
Åtgärder för att skydda personuppgifter mot oavsiktlig eller olaglig förstöring, förlust eller ändringar genom olyckshändelse, obehörig eller olaglig lagring, behandling, åtkomst eller röjande
Organisation av informationssäkerhet och kommunikationsförfaranden
Plan Digital har antagit en integritets- och säkerhetspolicy som beskriver de olika rollerna.
Nedanstående roller är av betydelse
- Plan Digital har ett dataskyddsombud som huvudsakligen ansvarar för att informera om företagets skyldigheter enligt dataskyddsförordningen (GDPR) samt se till att vi uppfyller kraven i förordningen. Dataskyddsombudets ansvar redovisas i lämplig policy.
- Koncernens dataskyddsombud (Group Data Protection Officer) ansvarar för Plan Digitals säkerhetspolicy.
- Deserve It har för varje dotterbolag utsett en lokal dataskyddskontakt som instrueras av dotterbolagens styrelser att verkställa och utveckla integritetspolicyn och -förfarandena för enheten i samverkan med dataskyddsombudet.
- Informationssäkerhetsincidenter dokumenteras och används för att optimera informationssäkerhetspolicyn.
- Plan Digital har tagit fram en process och en rutin för att hantera (och förmedla) informationssäkerhetsincidenter (förfarande för personuppgiftsincidenter).
Personal
- Plan Digital vill uppmuntra till medvetenhet och utbildning om informationssäkerhet.
- Tack vare vår lilla personalstyrka är det lätt att hålla isär rättigheter, ansvarsområden och åtkomst.
Fysisk säkerhet och resurskontinuitet
- Personuppgifter behandlas endast i en sluten, fysiskt säker miljö som skyddas mot yttre hot. Ett åtkomstprotokoll finns på plats. Dessutom registreras all åtkomst.
- Personuppgifter behandlas endast på utrustning som är föremål för åtgärder för att fysiskt säkra sådan utrustning och för att garantera tjänsternas kontinuitet.
- Säkerhetskopiering utförs regelbundet för att säkra tjänstekontinuiteten. Dessa säkerhetskopior behandlas konfidentiellt och lagras i en sluten miljö.
- De platser där data behandlas säkras genom lås, larmsystem och videoövervakning och testas, underhålls och utvärderas regelbundet för säkerhetsrisker.
Säkerhet och underhåll för nätverk, servrar och applikationer
- Nätverksmiljön där vi behandlar data har mycket hög säkerhet. Trafikflödena är separerade från varandra och åtgärder mot missbruk och attacker har vidtagits.
- Miljön där personuppgifter behandlas övervakas.
- De digitala produkter och tjänster som används för personuppgiftsbehandling, skapas baserat på systemplanering, säkerhetskontroll och acceptans (DTAP). Ändringar av applikationer testas för sårbarheter innan de tas i produktion.
- Via patchhanteringen installeras de senaste patcharna (för säkerhet) i systemen med jämna mellanrum.
- Uppgifter som behandlas i flera applikationer klassificeras utefter riskerna.
- Penetrationstester och sårbarhetsbedömningar genomförs regelbundet.
- Information som inte används, eller inte längre används, raderas.
- Lösenord envägskrypteras för att dessa uppgifter ska kunna lagras på ett säkert sätt.
- Krypterade anslutningar används för inloggningsförfaranden.
Åtgärder för att identifiera systemsvagheter
Säkerheten hos Plan Digitals system kontrolleras regelbundet. Dessutom tillämpar Plan Digital i enlighet med sin säkerhetspolicy interna förfaranden för att identifiera sårbarheter, inklusive en policy om ansvarsfull sårbarhetsredovisning (se nedan).
Anmälan om personuppgiftsincident
Plan Digital övervakar sina tjänster dygnet runt, alla dagar i veckan och har vidtagit åtgärder för att förhindra och identifiera obehörig och olaglig åtkomst till uppgifter. Signaler som pekar på en personuppgiftsincident bedöms av företagets säkerhetsansvarige och Plan Digitals dataskyddsombud, som analyserar om det kan röra sig om en personuppgiftsincident, typen av incident och om det rör sig om en incident som faller under företagets roll som personuppgiftsbiträde eller dess roll som personuppgiftsansvarig.
Vid en personuppgiftsincident som rör personuppgifter som behandlas av Plan Digital i sin egenskap av personuppgiftsbiträde, kommer Plan Digital att underrätta den personuppgiftsansvarige via e-post inom 24 timmar efter att ha bekräftat incidenten. Beroende på situationen kan information också komma att delas via vår webbplats och officiella kanaler för sociala medier och/eller officiella distributörer och/eller kommersiella agenter.
Plan Digital delar följande information med personuppgiftsansvariga i händelse av en personuppgiftsincident
- Incidentens särdrag, såsom datum och tid för upptäckten, en sammanfattning av incidenten, incidentens egenskaper och art (vilken del det gäller, hur det gick till, handlar det om läsning, kopiering, redigering, borttagning/förstöring och/eller stöld av personuppgifter).
- Orsaken till säkerhetsincidenten.
- De åtgärder som vidtas för att förhindra eventuella/ytterligare skador.
- Namnen på de registrerade som kan påverkas av incidenten och i vilken utsträckning de kan påverkas.
- Storleken på gruppen av registrerade.
- Den typ av personuppgifter som berörs av incidenten (särskilt speciella uppgifter eller uppgifter av känslig natur, inklusive åtkomst- eller identifikationsuppgifter, finansiella uppgifter eller studieresultat).
Vid en personuppgiftsincident som rör personuppgifter som behandlas av Plan Digital i sin egenskap som personuppgiftsansvarig
- Vid en personuppgiftsincident som rör personuppgifter som behandlas av Plan Digital i sin egenskap av personuppgiftsansvarig, kommer Plan Digital att underrätta den behöriga myndigheten inom 72 timmar efter att ha fått kännedom om incidenten, såvida inte personuppgiftsincidenten sannolikt inte kommer att utgör en risk för fysiska personers rättigheter och friheter.
- När personuppgiftsincidenten sannolikt kommer att utgöra en hög risk för fysiska personers rättigheter och friheter, kommer Plan Digital att underrätta den registrerade om personuppgiftsincidenten utan otillbörligt dröjsmål.
Ansvarsfull sårbarhetsredovisning
Svagheter i våra system kan rapporteras via privacy@plandigital.se. Tänk på att rapportera sådana sårbarheter till oss innan du delar dem med andra. Detta gör det möjligt för oss att vidta åtgärder först. Det kallas ansvarsfull sårbarhetsredovisning.
Om du rapporterar en svaghet i ett av våra system, ska du tänka på följande:
- Tillhandahåll tillräckligt med information så att problemet kan återskapas. Detta gör det möjligt för oss att lösa problemet snabbt. Vanligtvis räcker det med IP-adressen eller URL-adressen till det drabbade systemet och en beskrivning av sårbarheten.
- Lämna dina kontaktuppgifter (e-postadress eller telefonnummer) så vi kan kontakta dig.
- Rapportera ärendet så snart du har upptäckt sårbarheten.
- Dela inte information om säkerhetsproblemet med andra förrän det är löst.
- Använd din kunskap om säkerhetsproblemet på ett ansvarsfullt sätt. Gör inte något annat än vad som krävs för att demonstrera säkerhetsproblemet.
- Om du upptäcker en sårbarhet får du inte missbruka detta genom att installera skadlig kod, kopiera, redigera eller radera systemdata, göra ändringar i systemet, upprepade gånger bereda dig åtkomst till systemet eller dela åtkomsten med andra, tillämpa systematiskt lösenordsintrång, DDOS-attacker eller social manipulering.
Om din anmälan uppfyller dessa villkor kommer vi inte vidta några rättsliga åtgärder till följd av din anmälan.
Vad händer efter en ansvarsfull sårbarhetsredovisning?
Om du har rapporterat en svaghet i ett system, svarar vi inom tre arbetsdagar. Då du är anmälaren kommer vi att hålla dig uppdaterad om hur lösningen av problemet fortskrider och vi löser säkerhetsproblemet så snart som möjligt. Vi kommer tillsammans att avgöra om, och hur, vi ska anmäla problemet. Ett problem anmäls inte förrän det har lösts. Vi kommer också att ersätta dig för din hjälp och behandla din anmälan i förtroende. Vi delar inte dina uppgifter utan ditt samtycke, förutom när vi är skyldiga att göra så enligt lag. Om du vill kan vi avslöja ditt namn som den person som upptäckte sårbarheten.
Kontaktuppgifter
Plan Digital Sverige AB
Organisationsnummer 559215-9288
771 90 Ludvika
Du kan också kontakta oss via kontakt@frisper.se
Kontaktuppgifter för dataskyddsombudet
Plan Digital är ett helägt dotterbolag till Deserve It AB. På Plan Digital finns ett dataskyddsombud som svarar på all korrespondens om integritetsrelaterade frågor och som du kan kontakta på privacy@plandigital.se.