Personuppgiftspolicy för Nordiska Plaströrsgruppen, utbildningsverksamhet

Föreningen Nordiska Plaströrsgruppen, org. nr. 802014-7891, nedan NPG, behandlar personuppgifter enligt GDPR. Här redogör NPG för behandling och personuppgiftsinnehavarens rättigheter.

Personlig integritet är viktigt för oss. Därför eftersträvar NPG alltid en hög nivå av dataskydd.

  1. Inledning
    1. NPG är en branschorganisation som bedriver medlemsservice och bland annat utbildningsverksamhet inom plastsvetsning. NPG är åtagen att skydda integriteten och säkerheten för personuppgifter. Denna policy beskriver hur NPG samlar in, använder, lagrar och skyddar personuppgifter.
  1. Omfattning
    1. Denna policy gäller alla personuppgifter som hanteras av NPG i samband med utbildning och certifiering av deltagare.
    2. NPG behandlar alltid personuppgifter i enlighet med tillämplig lagstiftning. Vissa personuppgifter kan vara obligatoriska att tillhandahålla, till exempel för att NPG ska kunna tillhandahålla en utbildning eller fullgöra en begäran. Detta kommer då att anges eller framgå i samband med att uppgifterna samlas in. NPG behandlar personuppgifter då det är nödvändigt för att fullgöra ett avtal avseende tex. kursdeltagande eller då NPG har ett annat legitimt och berättigat intresse av att behandla personuppgifter.
    3. Om NPG skulle behandla personuppgifter för något ändamål som kräver samtycke kommer detta inhämtas i förväg. 
    4. Insamling av personuppgifter sker exempelvis då dessa anges i samband med anmälan till kurser, seminarier och andra event, vid beställning av tjänster och/eller produkter från oss eller tar kontakt med oss. Även när det företag personuppgiftsinnehavaren arbetar för har kontakt med oss och/eller ingår i en marknadskampanj kan uppgifter samlas in om personer i ledande roller på företaget. NPG kan komma att inhämta uppgifter från tredje part.
  1. Rättslig grund för behandling av personuppgifter
    1. NPG behandlar personuppgifter på grundval av att behandlingen är nödvändig för att uppfylla vårt åtagande gentemot deltagarna och deras arbetsgivare. Inget särskilt samtycke inhämtas från deltagarna om så inte krävs.
  1. Insamling av personuppgifter
    1. NPG begränsar insamlade personuppgifter till vad som bedöms som nödvändigt för uppdragets genomförande, såsom namn, kontaktinformation, fotografi, arbetsgivarinformation och annan relevant information.
  1. Användning av personuppgifter
    1. Personuppgifter används för:
      • Genomförande av utbildningsprogrammet.
      • Utfärdande av certifiering.
      • Kommunikation med deltagare och arbetsgivare.
    1. Personuppgiftsinnehavaren har rätt att begära att vår behandling av personuppgifter begränsas. Om uppgifterna ska uppdateras eller är felaktiga kan personuppgiftsinnehavaren begära en begränsad behandling under den tid NPG behöver för att kontrollera huruvida personuppgifterna är korrekta.

Lagring och Säkerhet

  1. Personuppgiftsbiträden
    1. I en del situationer är det nödvändigt för oss att anlita andra parter för att kunna utföra vårt arbete. Det handlar exempelvis aktörer som genomför kurser, certifierar deltagare och aktörer som tillhandahåller IT-tjänster. De är att betrakta som personuppgiftsbiträden till oss.
    2. NPG har ansvar för att skriva avtal med samtliga personuppgiftsbiträden och lämna instruktioner om hur dessa får behandla personuppgifterna. NPG verkar för att alla personuppgiftsbiträden ska säkerställa att de kan lämna tillräckliga garantier avseende säkerheten och sekretessen för personuppgifterna.
    3. När personuppgiftsbiträden anlitas sker det bara för de ändamål som är förenliga med de ändamål NPG själva har för behandlingen.
  1. Aktörer som är självständigt personuppgiftsansvariga
    1. NPG kan även komma att dela personuppgifter med vissa andra aktörer som är självständigt personuppgiftsansvariga. Det handlar exempelvis aktörer som genomför kurser, certifierar deltagare och aktörer som myndigheter och andra avtalsparter.
    2. När personuppgifter delas med en aktör som är självständigt personuppgiftsansvarig gäller den organisationens integritetspolicy och personuppgiftshantering.
    3. Vidare kan NPG komma att anlita leverantörer och partners att utföra uppgifter för NPGs räkning, till exempel för att tillhandahålla IT-tjänster eller hjälpa till med marknadsföring, ett evenemang, analyser eller statistik. Utförandet av dessa tjänster kan innebära att dessa mottagare får tillgång till personuppgifter i enlighet med punkt 6.
    4. NPG kan även komma att lämna ut personuppgifter till tredje part om NPG är skyldiga att lämna ut sådan uppgift med stöd av lag eller myndighetsbeslut.
  1. Lagring av personuppgifter
    1. NPG strävar alltid efter att personuppgifter ska behandlas inom EU/EES men ibland är det inte möjligt. För visst IT-stöd kan uppgifterna föras till ett land utanför EU/EES. Det gäller till exempel om NPG delar personuppgifter med ett personuppgiftsbiträde som, antingen själv eller genom en underleverantör, är etablerad eller lagrar information i ett land utanför EU/EES. Som personuppgiftsansvariga är NPG ansvariga för att vidta alla rimliga legala, tekniska och organisatoriska åtgärder för att säkerställa att dessa behandlingar sker i enlighet med bestämmelser inom EU/EES.
    2. När personuppgifter behandlas utanför EU/EES garanteras skyddsnivån antingen genom ett beslut från EU-kommissionen om att landet i fråga säkerställer en adekvat skyddsnivå eller genom användandet av så kallade lämpliga skyddsåtgärder. Om personuppgiftsinnehavaren vill ha ytterligare information om dessa skyddsåtgärder ska personuppgiftsansvarige kontaktas. Standardiserade modellklausuler för dataöverföring, som antagits av EU-kommissionen, finns även tillgängliga på EU-kommissionens webbplats.
    3. NPG har implementerat adekvata tekniska och organisatoriska åtgärder för att skydda personuppgifter mot obehörig åtkomst och förlust.
  1. Delning av personuppgifter
    1. Personuppgifter kan delas med tredje parter, såsom certifieringsorgan, endast när det är lagligt och nödvändigt för uppdraget.
  1. Personuppgiftsinnehavarens rättigheter
    1. Personuppgiftinnehavaren har rätt att begära att få tillgång till uppgifterna. När en sådan begäran lämnas kan NPG komma att ställa en del frågor för att se till att det blir en effektiv hantering av begäran. NPG kommer också vidta åtgärder för att säkerställa att uppgifterna begärs av och lämnas till rätt person.
  1. Rätt till rättelse
    1. Om fel upptäcks har personuppgiftsinnehavaren rätt att begära att personuppgifter rättas. Begäran kan också avse komplettering av eventuellt ofullständiga personuppgifter.
  1. Rätt till radering
    1. Personuppgiftinnehavaren kan begära att NPG raderar de personuppgifter NPG behandlar om bland annat om:
      • Uppgifterna inte längre är nödvändiga för de ändamål som de behandlas för.
      • personuppgiftsinnehavaren invänder mot en intresseavvägning NPG gjort baserat på vårt berättigade intresse, där personuppgiftsinnehavarens skäl för invändning väger tyngre än vårt berättigade intresse.
      • Personuppgifterna behandlas på olagligt sätt.
      • Personuppgifterna har samlats in om ett barn (under 13 år).
      • Om uppgiften inhämtats med stöd av ditt samtycke och personuppgiftsinnehavaren vill återkalla samtycket.
    1. NPG kan dock ha rätt att neka begäran om det finns legala skyldigheter som hindrar oss från att omedelbart radera vissa personuppgifter. Det kan också vara så att behandlingen är nödvändig för att vi ska kunna fastställa, göra gällande eller försvara rättsliga anspråk.
    2. Om NPG är förhindrade att radera personuppgifter kommer NPG att blockera personuppgifterna från att kunna användas för andra syften än det syfte som gör att de inte kan raderas.
  1. Rätt till registerutdrag, gallring och begränsning av hantering av personuppgifter
    1. NPG sparar aldrig personuppgifter längre än vad som är nödvändigt för respektive ändamål. NPG har utarbetat rensningsrutiner för att säkerställa att personuppgifter inte sparas längre än vad som behövs för det specifika ändamålet. Hur länge detta är varierar beroende på skälet för behandlingen. Vissa uppgifter i bokföringen behöver p g a lagstiftning till exempel sparas minst sju år medan uppgifter om specialkost raderas inom någon vecka efter att evenemanget är avslutat.
    2. Om, och när, NPG inte lägre behöver personuppgifter för de fastställda ändamålen är vår rutin normalt att uppgifterna raderas. Personuppgiftsinnehavaren har rätt att begära en prövning om begränsad behandling av uppgifterna. 
    3. Om personuppgiftsinnehavaren har invänt mot en intresseavvägning av berättigat intresse som NPG har gjort som laglig grund för ett ändamål kan personuppgiftsinnehavaren begära begränsad behandling under den tid NPG behöver för att kontrollera huruvida våra berättigade intressen väger tyngre än personuppgiftsinnehavarens intressen av att få uppgifterna raderade.
    4. Om behandlingen har begränsats enligt någon av situationerna ovan får NPG bara, utöver själva lagringen, behandla uppgifterna för att fastställa, göra gällande eller försvara rättsliga anspråk, för att skydda någon annans rättigheter eller ifall personuppgiftsinnehavaren lämnat samtycke.
    5. Ansökan om registerutdrag eller åberopande någon av andra rättigheter ska vara skriftligt och egenhändigt undertecknad av den utdraget avser. NPG kommer besvara önskemål utan onödigt dröjsmål och senast inom 30 dagar. Sådan framställan ska skickat till NPG enligt kontaktuppgifter angivna på https://npgnordic.com/sverige/kontakt/. Mejlet ska i möjligaste mån skickas från den mailadress som är registrerad med hos personuppgiftsansvarige. Begäran om bekräftelse på identitet kan komma att framställas på ett sådant sätt som bedöms nödvändigt.
    6. Personuppgiftsinnehavaren har alltid en rätt att invända mot all behandling av personuppgifter som bygger på en intresseavvägning. Personuppgiftsinnehavaren har också alltid rätt att slippa direktmarknadsföring.
    7. Personuppgiftsinnehavaren har, som registrerad rätt till dataportabilitet om vår rätt att behandla personuppgifter grundar sig antingen på samtycke eller fullgörande av ett avtal. En förutsättning för dataportabilitet är att överföringen är tekniskt möjlig och kan ske automatiserat.
  1. Kontaktinformation och tillsyn
    1. Integritetsskyddsmyndigheten är ansvarig myndighet för att övervaka tillämpningen av lagstiftningen kring dataskydd. Om personuppgiftsinnehavaren anser att vi agerar felaktigt kan innehavaren kontakta oss eller tillsynsmyndigheten.
    2. Korrespondens rörande visst ärende ska om möjligt ske från den adressen som finns registrerad hos den personuppgiftsansvarige.
    3. För de behandlingar som sker inom NPG är NPG själva ansvariga. För vissa behandlingar kan samverkan med andra organisationer komma att aktualiseras. I dessa fall är förehavandet reglerat i avtal mellan NPG och andra parten som hanterar personuppgifterna.
    4. NPG kan komma att göra ändringar i denna integritetspolicy. Den senaste versionen av integritetspolicyn finns alltid publicerad på webbplatsen.