INTEGRITETSPOLICY Halfen AB

Denna integritetspolicy ("integritetspolicyn") innehåller information om hur Halfen AB bearbetar personuppgifter när du arbetar för företaget eller när du gör affärer med företaget.

Personuppgifter bearbetas enligt den allmänna dataskyddsförordningen (förordning (EU) 2016/679) och andra gällande nationella och europeiska lagar och bestämmelser om integritet (tillsammans kallade "dataskyddslagar").

1. TILLÄMPNINGSOMRÅDE
Denna integritetspolicy gäller alla personuppgifter som vi bearbetar i egenskap av registeransvarig.

Företaget utgör registeransvarig för personuppgifter när företaget bestämmer varför och hur personuppgifter bearbetas. Företaget kan bearbeta personuppgifter om till exempel anställda, tidigare anställda,
deras familjemedlemmar, tillfälliga anställda, småföretagare, arbetssökande, underleverantörer, leverantörskontakter, kunder och besökare.

2. SYFTE
Syftet med denna integritetspolicy är att förklara vilka personuppgifter vi bearbetar samt hur och varför vi bearbetar dem. l denna integritetspolicy beskrivs dessutom våra skyldigheter och vårt ansvar beträffande detta skydd.

Denna integritetspolicy utgör inte en uttömmande beskrivning av våra
dataskyddsrutiner. Vi beskriver variationer i den omfattning detta är möjligt.

1. TYPER AV PERSONUPPGIFTER
1. 1 Anställda och underleverantörer
Företaget samlar in och bearbetar personuppgifter som rör anställda, arbetssökande och underleverantörer samt tidigare anställda och underleverantörer. Dessa personuppgifter omfattar personlig information såsom namn, födelsedatum, personnummer, bankkontouppgifter, närmaste anhöriga, information om konton på sociala medier, visum- eller passuppgifter, kontaktuppgifter såsom adresser och telefonnummer, personalfiler såsom anställningsvillkor, utbildning, utvecklingssamtal, befordringar, personliga utvecklingsprogram, information om uppförande och disciplinära åtgärder, arbetsplats, löneinformation, bankkontouppgifter, skatteinformation, personnummer och säkerhetstillstånd, anställningshistorik/ansökningsuppgifter såsom utbildning och arbetshistorik, redaktionsinnehåll och journalistiskt arbete såsom länkar till video- eller Ijudfiler, medicinsk information såsom lakar- och sjukintyg, familjeinformation såsom namn och födelseår på barn (till exempel relevant om en individ är föräldraledig), pensionsinformation, information om fackföreningsmedlemska samt prestationsrelaterad information såsom betyg vid resultatutvärderingar för chefer, årliga ackumulerade lönesamtal för anställda och psykometriska tester. Ovanstående förteckning är inte uttömmande, men omfattar de vanligaste personuppgifterna som samlas in, används och på annat vis bearbetas.

1.2 Leverantörer och kunder
Företaget samlar in och bearbetar personuppgifter i förhållande till individer som utgör och/eller arbetar med våra leverantörer och kunder. Dessa personuppgifter kan omfatta personlig information som namn, titel, befattning, arbetstagarnummer, avdelning, affärsenhet (inbegripet kontaktuppgifter insamlade för utbildning/verifiering), kontaktuppgifter som e-postadress, telefonnummer och arbetsplats samt skatteinformation som moms- eller skattenummer.

1.3 Särskilda kategorier av personuppgifter
De typer av särskilda kategorier av personuppgifter som företaget kan bearbeta omfattar, utan begränsningar, hälsoinformation, information om brottmålsdomar och biometriska data. Företaget bearbetar alla personuppgifter, och i synnerhet särskilda kategorier av personuppgifter, enligt dataskyddslagen.

2. BEARBETNINGENS SYFTE
Företaget bearbetar personuppgifter för de syften i vilka personuppgifterna har insamlats.

Vanliga exempel på orsaker till att företaget bearbetar personuppgifter: administration av löner och förmåner, HR-, resultat- och talanghantering, marknadsföring och reklam, förbättring av företagets produkter och tjänster, forskning och statistisk analys, affärsstrategi, interna revisioner eller utredningar samt för att förhindra och upptäcka olagliga och/eller brottsliga handlingar gentemot oss eller våra kunder och anställda och/eller uppfylla våra skyldigheter enligt lag. Vi kan från tid till annan bearbeta personuppgifter av andra orsaker. Företaget försöker se till att individer känner till varför deras personuppgifter bearbetas när företaget inhämtar samtycket. När detta inte är möjligt eller praktiskt försöker företaget informera dig så snart som möjligt efter att personuppgifterna har bearbetats. Individer har rätt att dra tillbaka samtycket när som helst.

3. PROFILERING
Företaget kan bearbeta personuppgifter om olika individer (till exempel anställda, underleverantörer och arbetssökande) för utvärdering av talanger och arbetskraft (vilket potentiellt inbegriper närvaro- och resultatanalys).

Företaget tillämpar sådan bearbetning när (a) detta uttryckligen är tillåtet enligt nationell lag (inbegripet för övervakning av bedrägerier och skattesmitning), (b) det är nödvändigt för att ingå eller verkställa ett avtal eller (c) individen har gett ett lämpligt samtycke.

4. INDIVIDERS RÄTTIGHETER
Individer har vissa rättigheter enligt dataskyddslagen.

4.1 Granskning och tillgång: du kan be oss om en sammanfattning och kopia av dina personuppgifter som bearbetas av oss eller för vår räkning.

4.2 Korrigering/tillägg/borttagning: om du anser att dina personuppgifter är felaktiga eller ofullständiga har du rätt att begära att vi korrigerar, ändrar eller raderar dina personuppgifter.

4.3 Invändning: du kan invända mot att vi bearbetar dina personuppgifter utifrån vår legitima grund för bearbetning (se avsnitt Bearbetningens syfte ovan).

4.4 Begränsning: du kan begära att vi begränsar bearbetningen av dina personuppgifter om du bestrider riktigheten i personuppgifterna, vår bearbetning är olaglig, du anser att vi inte längre behöver personuppgifterna eller du har motsatt dig bearbetning.

4.5 Automatiserat beslutsfattande: om företaget använder sig av automatiserat beslutsfattande (inbegripet profilering) som väsentligt påverkar dig, har du rätt att invända mot beslutsfattandet.

l företagets rutiner m rör individers rättigheter beskrivs hur du gör förfrågningar om ovanstående och hur företaget hanterar sådana.

5. SÄKERHET
5. 1 Säkerhetsåtgärder
Företaget har tekniska och organisatoriska åtgärder som skyddar personuppgifter från olaglig eller obehörig förstörelse, förlust, ändring, utlämning, anskaffning eller åtkomst. Personuppgifter lagras säkert med en rad säkerhetsåtgärder som, enligt vad som är lämpligt, inbegriper fysiska åtgärder som låsta arkivskåp och olika IT-åtgärder. Mer information om företagets informationssäkerhetspolicyn.

5.2 Överträdelse i fråga om personuppgifter
Företaget hanterar dataöverträdelser enligt rutinerna för rapportering av överträdelser i fråga om personuppgifter. Information om hur dataöverträdelser upptäcks och rapporteras finns i våra rutiner för överträdelser i fråga om personuppgifter.

6. UTLÄMNING AV PERSONUPPGIFTER
Företaget kan från tid till annan lämna ut personuppgifter till tredje parter eller ge tredje parter åtkomst till personuppgifter som vi bearbetar (till exempel om en brottsbekämpnings- eller tillsynsmyndighet lämnar in en giltig begäran om åtkomst till
personuppgifter).

Företaget kan också dela personuppgifter (a) med andra medlemmar i CRHkoncernen (inbegripet våra dotterbolag samt vårt slutliga holdingbolag och dess dotterbolag), (b) med utvalda tredje parter, inbegripet affärspartner, leverantörer och underleverantörer, (c) med tredje parter när vi säljer eller köper verksamheter eller tillgångar eller (d) om företaget är skyldigt enligt lag att lämna ut personuppgifterna. Detta omfattar utbyte av information med andra företag och organisationer i syfte att förebygga bedrägeri.

När företaget ingår avtal med tredje parter om bearbetning av personuppgifter för vår räkning säkerställer vi att det finns lämpligt avtalsskydd som håller dem säkra. Exempel kan vara kommunikationsleverantörer, leverantörer av lönerelaterade tjänster, leverantörer av företagshälsovård eller operatörer av datacenter som företaget anlitar.

7. DATALAGRING
Företaget behåller personuppgifter endast så länge lagring av personuppgifterna bedöms vara nödvändig för de syften för vilka personuppgifterna bearbetas. Personuppgifter lagras enligt relevanta lagar och företagsriktlinjer.

8. DATAÖVERFÖRING UTANFÖR EES
Företaget kan från tid till annan behöva överföra personuppgifter utanför EES. Överföringen sker enligt gällande dataskyddslag. Företaget vidtar rimliga åtgärder för att säkerställa att personuppgifterna hanteras på ett säkert sätt och enligt denna integritetspolicy när de överförs till länder utanför EES.

9. ROLLER OCH ANSVAR
Företaget ansvarar för bearbetning av personuppgifter. Företagets verkställande direktör har det övergripande ansvaret för företagets efterlevnad av denna integritetspolicy och utser en huvudsaklig kontaktpunkt beträffande (i) bearbetning av personuppgifter som tillhör företagets aktuella och tidigare anställda och underleverantörer, (ii) bearbetning av personuppgifter som tillhör affärskontakter och (iii) bevarande av säkerhet och integritet för de personuppgifter som företaget bearbetar.

Juridik- och efterlevnadsfunktionen stöder företaget genom att ge juridisk rådgivning och vägledning beträffande tolkning av dataskyddslagen och denna integritetspolicy lokalt.

Alla anställda i företaget måste följa den senaste versionen av denna integritetspolicy, som publiceras från tid till annan. Om det upptäcks att anställda avsiktligen har brutit mot denna integritetspolicy kan de bli föremål för disciplinära åtgärder, upp till och inbegripet avsked.

10. RUTINER VID KLAGOMÅL
Du kan ställa en fråga eller lämna in ett klagomål som rör denna integritetspolicy och/eller bearbetning av dina personuppgifter genom att kontakta [HR-chefen/CCM] på [ . ]. Du kan lämna in ett klagomål som rör vår efterlevnad av dataskyddslagen till relevant dataskyddsmyndighet, men vi ber dig att i första hand kontakta [infoga befattning] för att ge oss en möjlighet att åtgärda de problem du upplever.

Status 25.05.2018