2020-11-16
DRAMATENS INTERNA INTEGRITETSPOLICY
Inledning
Denna policy avseende integritet och marknadsföring beskriver hur Kungliga Dramatiska Teatern AB, org.nr 556190-4201, (”Dramaten, ”vi”) behandlar personuppgifter enligt EU:s allmänna dataskyddsförordning (”Dataskyddsförordningen”), medarbetaren tilltalas i text nedan som ”du”.
Dataskyddsförordningen gäller som lag i alla EU:s medlemsländer från och med den 25 maj 2018. Förordningen stärker rätten till personlig integritet för enskilda individer vars personuppgifter behandlas.
Dramaten värnar om sina kunder, publik, partners och anställdas integritet och är mån om att alltid följa gällande dataskyddsregelverk. Var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Dramaten behandlar enbart personuppgifter när det finns laglig grund för behandlingen och använder dina personuppgifter enbart för dess avsedda syften.
Dramaten har därför antagit denna policy för behandling av personuppgifter för att säkerställa att alla inom organisationen följer dataskyddsreglerna. Det här dokumentet avser att ge medarbetare och partners närmare insyn om hur Dramaten behandlar personuppgifter.
Det är viktigt att du förstår Dramatens integritetspolicy och att du känner dig trygg i behandlingen av dina personuppgifter.
Ansvarig för de personuppgifter Dramaten samlar in
Personuppgiftsansvarig är Kungliga Dramatiska Teatern AB med adress Dramaten, Box 5037, 102 41 Stockholm. Organisationsnummer: 556190–4201.
Tillämpningsområde och omfattning
Policyn gäller för Dramatens alla anställda och konsulter, på alla marknader och vid var tid. Dramatens ledning och VD har ansvaret för att denna policy efterlevs. Informationen till de anställda ska även innefatta information om att överträdelse av policyn kan komma att medföra t.ex. arbetsrättsliga konsekvenser.
Grundläggande principer
De grundläggande principer som beskrivs nedan ska alltid iakttas när personuppgifter behandlas. Dramaten ansvarar för och är berett att visa att principerna efterlevs.
Laglighet, skälighet, transparens – Personuppgifter ska behandlas lagligt, korrekt och transparent i förhållande till den registrerade. Det innebär att varje typ av behandling ska baseras på en giltig s.k. laglig grund, såsom exempelvis fullgörande av avtal, fullgörande av en rättslig förpliktelse, utförande av en uppgift av allmänt intresse, berättigat intresse eller samtycke. Kan man inte identifiera någon laglig grund som är tillämplig för behandlingen får behandlingen således inte utföras. Utgångspunkten för denna princip är tydlig kommunikation med den registrerade om bl.a. för vilka ändamål personuppgifterna behandlas, vilken typ av behandling som utförs, om och hur personuppgifterna delas med andra, hur länge personuppgifterna lagras och hur man kommer i kontakt med Dramaten.
De registrerade ska alltså ges tydlig och transparent information om behandlingen av deras personuppgifter.
Ändamålsbegränsning – Personuppgifter får endast samlas in och på annat sätt behandlas för särskilda, uttryckligt angivna och berättigade ändamål och de får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.
Uppgiftsminimering – Personuppgifter som behandlas ska vara adekvata, relevanta och inte för omfattande i förhållande till ändamålen. Dramaten ska säkerställa att uppgifter som samlas in verkligen behövs och inte samlas in bara för att de kanske kan vara bra att ha.
Riktighet – Personuppgifter som behandlas ska vara korrekta och om nödvändigt uppdaterade. Vidta lämpliga åtgärder för att se till att felaktiga eller ofullständiga uppgifter rättas, exempelvis rutiner för ändring av adress vid flytt med en sammanställning av system och register där adressen lagras. Undvik dock att lagra kopior av uppgifterna i många system i syfte att undvika felkällor och att icke uppdaterad information sparas.
Lagringsbegränsning – Personuppgifter får inte lagras under längre tid än nödvändigt med hänsyn till ändamålen med behandlingen. När uppgifterna inte längre behövs måste dessa gallras, vilket innebär att de antingen måste raderas eller avidentifieras.
Principen om ansvarsskyldighet innebär att Dramaten måste kunna visa att Dataskyddsförordningen efterlevs. Dramaten måste därför exempelvis dokumentera och implementera processer och åtgärder som avser dataskyddsfrågor.
Vidare ska det finnas ett register över alla typer av behandlingar av personuppgifter som utförs och Dramaten ska kunna redovisa ett sådant register för tillsynsmyndigheten när så krävs.
Vad är personuppgifter och vad är behandling av personuppgifter?
En personuppgift är all slags information som direkt eller indirekt kan kopplas till en fysisk person som är vid liv. Det innebär att tex följande är personuppgifter: namn, adress, telefonnummer, lokaliseringsuppgifter eller faktorer som är specifika för en persons fysiska, ekonomiska, kulturella eller sociala identitet. Uppgifter som enskilt inte når upp till kraven kan tillsammans ändå utgöra personuppgifter.
All behandling av personuppgifter omfattas av Dataskyddsförordningen och dess regler. En behandling av personuppgifter är den åtgärd som görs med dina uppgifter oberoende om den görs automatiskt eller manuellt. Även personuppgifter i e-post och i dokument på servrar, i en enkel lista, på webbplatser och i annat ostrukturerat material omfattas. En vanlig behandling är bl.a. registrering, strukturering, bearbetning samt radering.
Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter, uppgifter om hälsa eller uppgifter om en persons sexualliv eller sexuella läggning (s.k. särskilda kategorier av personuppgifter) är som huvudregel förbjuden. För att sådan behandling ska vara tillåten krävs ett giltigt undantag från förbudet.
De vanligaste undantagen är att den registrerade lämnat samtycke eller själv offentliggjort uppgifterna, för att utöva rättigheter eller fullgöra skyldigheter inom arbetsrätten, för att kunna fastställa, göra gällande eller försvara rättsliga anspråk eller för hälso- och sjukvårdsändamål.
Behandling av personnummer får bara utföras om det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.
Behandling av uppgifter om lagöverträdelser (fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder) får endast behandlas i vissa särskilda fall.
Laglig grund för behandling av personuppgifter
En behandling av personuppgifter är endast laglig om och i den mån någon av följande grunder är tillämplig. Den registrerade har lämnat sitt samtycke till att personuppgifterna behandlas för ett eller flera specifika ändamål. Särskilda krav finns som måste vara uppfyllda för att samtycket ska vara giltigt.
Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.
Behandlingen är nödvändig för att fullgöra en rättslig
förpliktelse som åvilar Dramaten. Som exempel kan här nämnas kontrolluppgifter som lämnas till Skatteverket.
Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person (t.ex. när det är fara för livet).
Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse (t.ex. med anledning av myndighetsutövning).
Behandlingen är nödvändig för ändamål som rör Dramaten eller tredje parts intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter (intresseavvägning). Vid intresseavvägning tillkommer särskilda krav på dokumentation avseende den bedömning som gjorts.
Personuppgiftsbehandling hos Dramaten
Dramaten kan samla in personuppgifter för olika ändamål:
Uppgifter som samlas in vid utfärdandet av personalbiljetter
När kund genomför köp genom vår biljettkassa hos Dramaten eller via vår webbplats www.dramaten.se, godkänner/samtycker kunden att Dramaten samlar in följande personuppgifter:
- Förnamn och efternamn
- E-postadress
- Postadress
- Mobilnummer/Telefonnummer
- Födelsedatum
Dessa personuppgifter samlar Dramaten in från kund för att på ett smidigt sätt kunna genomföra köpeavtalet. Denna insamling är för att kunna fullgöra köpeavtalet. På Mina sidor på Dramaten.se kan kunden sedan själv välja att lämna kompletterande personuppgifter samt få en översikt över tidigare köp och kommande föreställningar. Informationen används till att genomföra köpet. Om det är problem med ett köp, eller om det exempelvis sker en annullering eller liknande, används uppgifterna till att kontakta dig. Dramaten lagrar denna information i 24 månader efter besöket.
Uppgifter som samlas in vid personlig kontakt i kundserviceärenden för personalbiljetter
Dramaten kan även behöva samla in personuppgifter från kunden när denne kontaktar oss, till exempel via vårt biljettkontor, på e-post eller genom telefon. I första hand samlar
Dramaten in de personuppgifter som behövs för att kunna besvara kundens fråga eller hantera kundens ärende och eventuellt boka biljetter. Det är uppgifter som exempelvis, beroende på ärende:
- Bokningsnummer
- Namn
- Adress
- E-postadress
- Telefonnummer/Mobilnummer
- Födelsedatum
Vid personlig kontakt samlar Dramaten också in övriga personuppgifter som kunden själv väljer att lämna. Det kan t.ex. vara uppgifter om hälsotillstånd eller andra uppgifter om kunden eller andra personer i kundens biljettbokning som hjälper till att hantera ditt besök och göra det bästa möjligt. Dramaten lagrar denna information i 24 månader efter besöket.
Uppgifter som samlas in när en medarbetare väljer att prenumerera på Dramatens nyhetsbrev
Om du väljer att prenumerera på vårt nyhetsbrev samlar Dramaten in kundens namn, e-postadress och eventuellt mobilnummer för att kunna skicka nyhetsbrev, erbjudanden och inbjudningar och information via e-post och/eller SMS.
Så här behandlar Dramaten medarbetarnas personuppgifter
När vi administrerar din ansökan om anställning
För att kunna hantera och administrera din ansökan om tjänst hos Dramaten behandlar vi dina personuppgifter.
Behandling sker av följande kategorier av personuppgifter:
-Identifierande personuppgifter samt kontaktuppgifter
Laglig grund för behandlingen av personuppgifterna ovan:
-Fullgöra avtal
-Rättslig förpliktelse
När vi administrerar din anställning hos Dramaten
För att hantera det avtal om anställning du har med Dramaten så behandlar vi dina personuppgifter. Behandling sker av följande kategorier av personuppgifter:
-Anställningsuppgifter och uppgift om arbetad tid
Behandling av anställningsuppgifter sker i anställningsavtalet i syfte att reglera och dokumentera överenskomna ramar för din anställning. Uppgift om arbetad tid används för uppföljning av genomfört arbete inom projekt/linje genom analys av inrapporterad tid.
-Uppgift om lön och förmåner
Uppgift om lön och bankkonto behandlas främst i syfte att kunna hantera utbetalning av lön till dig som anställd. Dramaten behandlar även ditt personnummer och namn för att administrera din möjlighet att nyttja förmåner.
-Uppgifter om utmätning
I det fall du som anställd blivit föremål för införsel så sker löneavdrag baserat på beslut från Kronofogdemyndigheten.
-Uppgifter om barn under 12 år
För att administrera rättigheter kopplade till föräldraförsäkring (vård av barn och föräldraledighet) så behandlas uppgift om anställds barns namn, födelseår och månad.
Laglig grund för behandlingen av personuppgifterna ovan:
-Fullgöra avtal
-Rättslig förpliktelse
Uppgift vid kameraövervakning
För att hantera och följa upp eventuell incident sker kameraövervakning [delar av Dramatens lokaler].
Laglig grund för behandlingen av personuppgifterna ovan:
-Rättslig förpliktelse
Uppgifter om svar från medarbetarundersökning
I syfte att utveckla Dramatens verksamhet och medarbetare så inhämtas din uppfattning om frågor relaterade till anställningen, ditt arbete och Dramatens verksamhet och styrning alla svar är anonyma och levereras till Dramaten från samarbetspartner som är godkänt personuppgiftsbiträde.
Laglig grund för behandlingen av personuppgifterna ovan:
-Intresseavvägning
Foto och film och intern dokumentation
I syfte att informera om aktuella händelser men även för att lagra information för dokumentation av Dramatens utveckling och historia så kan det förekomma fotografering och filmning av dig som anställd. Foto och film läggs upp på Dramatens hemsida och lagas till dess att du begär radering.
Laglig grund för behandlingen av personuppgifterna ovan:
-Intresseavvägning
När vi administrerar uppgift om anhörig till anställd
För att kunna hantera akutsituation t.ex. sjukdomsfall så behöver Dramaten tillgång till någon närståendes uppgifter.
Behandling sker av följande kategorier av personuppgifter:
-Anhörigs kontaktuppgifter
Laglig grund för behandlingen av personuppgifterna ovan:
-Intresseavvägning
Så här får vi dina personuppgifter
I de flesta fall så inhämtas personuppgifter direkt från dig men vi inhämtar även uppgift från rekryteringsbolag (rekryteringsförfarande) samt offentliga register (jfr behandling vid bakgrundskontroll).
Syftet med varför Dramaten hanterar medarbetares personuppgifter?
Dramatens syfte med att behandla medarbetares personuppgifter vid personalbiljetter är i första hand att fullgöra våra åtaganden gentemot dig, såsom exempelvis tillhandahålla biljetter och/eller andra värdehandlingar (t.ex. presentkort) och per e-post skicka information och uppdateringar om den föreställning denne köpt biljetter till. Utöver detta har Dramaten kompletterande syften, såsom:
- Förbättra och anpassa vår kommunikation och den verksamhet och kundbemötande som Dramaten skapar och levererar till våra besökare. Detta görs bl.a. genom utskick av enkäter och analys av besöksupplevelsen
- Skicka information om uppdateringar av vår integritetspolicys samt köp- och användarvillkor per e-post
- Uppfylla krav på redovisning av anonymiserad besöksstatistik som Dramaten bland annat har från Regeringen och Kulturdepartementet
Vid samtycke till Dramatens nyhetsbrev, om du har valt att prenumerera på Dramatens nyhetsbrev används dina personuppgifter för att skicka nyhetsbrev och för att anpassa innehållet i nyhetsbreven till specifik person. Det är din e-postadress och uppgifter om köp och användarmönster som behandlas. Du har dock alltid möjlighet att välja bort sådan kommunikation genom att klicka på avregistreringslänk i e-postutskick för att avregistrera din prenumeration. Om du återkallar samtycke kommer denne inte kunna ta del av vissa av Dramatens erbjudanden.
Säkerhetsåtgärder, behörighetsstyrning och åtkomst, gallring
Personuppgifterna ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna med användning av tekniska och organisatoriska åtgärder. Organisatoriska säkerhetsåtgärder kan innebära att behörighetskontroll används för de system som innehåller personuppgifter, loggning av åtkomst till personuppgifter eller att datorer och dylikt som innehåller personuppgifter ska förvaras så att obehörig åtkomst försvåras och inte lämnas framme. Exempel på tekniska åtgärder är att ha back-up rutiner, brandväggar, lösenordskyddade trådlösa nätverk, uppdaterat virusskydd, lösenordsskydd för mobila enheter såsom mobiltelefoner och surfplattor, skydd mot obehörig intern åtkomst, lösenordskrav, kryptering vid behov, loggning av, åtkomst till och användning av IT-system m. m.
Personuppgifter får inte bevaras längre än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Genom att upprätta och följa riktlinjer för gallring säkerställer man det strukturerade gallringsarbetet. Även personuppgifter i s.k. ostrukturerat material såsom i dokument på servrar, i en enkel lista, på webbplatser etc. behöver raderas när ändamålet med behandlingen är uppfyllt.
Dramaten har vidtagit särskilda säkerhetsåtgärder för att skydda dina personuppgifter mot olovlig eller obehörig behandling. Endast de personer som faktiskt behöver behandla dina personuppgifter för att Dramaten ska kunna uppfylla angivna ändamål har tillgång till dem.
Överföring till tredje land
För överföring av personuppgifter till länder utanför EU och EES (s.k. tredjelandsöverföring) gäller särskilda regler. Dataskyddsförordningen innebär att alla EU:s medlemsstater samt EES-länderna har ett likvärdigt skydd för personuppgifter och personlig integritet och därför kan personuppgifter föras över fritt inom det området utan begränsningar. För länder utanför det området finns däremot inte några generella regler som ger motsvarande garantier och därför får tredjelandsöverföring endast ske under särskilda förutsättningar. Det här berör varje form av överföring av information över gränserna, t.ex. många online IT-tjänster, molnbaserade tjänster, tjänster för extern åtkomst eller globala databaser m.m. och behöver analyseras särskilt.
Konsekvensbedömning
Särskilda risker för fysiska personers rättigheter och friheter kan exempelvis förekomma i samband med en viss typ av behandling av uppgifter, särskilt känsliga uppgifter, behandling i särskilt stor omfattning, användning av ny teknik eller dylikt.
Om en ny eller ändrad personuppgiftsbehandling i visst avseende sannolikt kan komma att medföra hög risk för fysiska personers rättigheter och friheter ska en bedömning göras av effekterna av de påtänkta behandlingarna för skyddet av personuppgifter innan behandlingen påbörjas.
Innan sådan personuppgiftsbehandling påbörjas av anställd på Dramaten ska dataskyddsansvarig kontaktas för utredning om en konsekvensbedömning krävs och vid behov utförs konsekvensbedömning tillsammans med den ansvarige.
Underleverantörer
Dramaten samarbetar med ett antal underleverantörer för exempelvis Agda-PS för löneutbetalningar samt Kivra AB för att digitalt skicka ut medarbetarens lönespecifikationer.
Dramaten har även underleverantörer som tillhandahåller biljettsystem och mailhantering. För att kunna förmedla biljetter genom vår biljettkassa på Dramaten eller via vår webbplats (www.dramaten.se) använder Dramaten Eventim som leverantör av vårt biljettsystem. Eventim.se förmedlar endast biljetter på uppdrag av Dramaten. När du köper biljetter ingår köpeavtalet därför med Dramaten. Dramaten samarbetar även med Apsis International AB.
De förmedlar en e-posttjänst och de tillhandahåller denna tjänst på uppdrag av Dramaten.
Vilka kan Dramaten komma att dela personuppgifter med?
I de fall det är nödvändigt för att Dramaten ska kunna driva verksamheten och erbjuda våra tjänster delar Dramaten personuppgifter med företag som är s.k. personuppgiftsbiträden.
Ett personuppgiftsbiträde är ett företag eller myndighet som behandlar personuppgifter för någon annans räkning är att anse som ett personuppgiftsbiträde. Om Dramaten använder sig av ett personuppgiftsbiträde kommer Dramaten teckna ett skriftligt avtal med biträdet. Avtalet kommer bland annat innehålla instruktioner för hur biträdet får behandla personuppgifterna. Självständiga personuppgiftsansvariga som Dramaten kan dela dina personuppgifter med är:
- Statliga myndigheter (polisen, skatteverket eller andra myndigheter) om Dramaten är skyldiga att göra det enligt lag eller vid misstanke om brott.
- Företag som ombesörjer allmänna varutransporter (logistikföretag och speditörer).
- Företag som erbjuder betallösningar (kortinlösande företag, banker och andra betaltjänstleverantörer).
När personuppgifter delas med ett företag som är självständigt personuppgiftsansvarig gäller det företagets integritetspolicy och personuppgiftshantering.
Registrerades rättigheter
Dataskyddsförordningen ger registrerade särskilda rättigheter gällande personuppgifter. I kort sammandrag finns följande rättigheter:
Rätt att se vilka uppgifter vi har om dig - Det gör du genom att beställa ett registerutdrag. En gång per kalenderår kan du kostnadsfritt få ett registerutdrag över vilka av dina personuppgifter som Dramaten hanterar och för vilka ändamål.
Rätt till rättelse - Du kan begära att dina personuppgifter rättas ifall uppgifterna är felaktiga. Inom ramen för det angivna ändamålet har du också rätt att komplettera eventuellt ofullständiga personuppgifter.
Rätt till begränsning - Du har rätt att begära att Dramatens behandling av dina personuppgifter begränsas. Om du bestrider att personuppgifterna Dramaten behandlar är korrekta kan du begära en begränsad behandling.
Rätten till radering - Du har även rätt att kräva att Dramaten raderar dina personuppgifter från Dramatens samtliga system (den s.k. ’Rätten att bli bortglömd’).
Dramaten har rätt att neka din begäran om det finns legala skyldigheter som hindrar. Det kani dessa fall vara skyldigheter kommer från bokförings- och skattelagstiftning, bank- och penningtvättslagstiftning, att anställningsavtalet ligger till grund men också från konsumenträttslagstiftning. Skulle Dramaten inte kunna genomföra en begäran om radering kommer dina personuppgifter istället att inaktiveras från att kunna användas till andra syften än det syfte som hindrar den önskade raderingen. Du har alltid rätt att invända mot behandling av personuppgifter som bygger på en intresseavvägning.
I de fall Dramaten använder en intresseavvägning som laglig grund för ett ändamål har du möjlighet att invända mot behandlingen. I annat fall får Dramaten bara behandla uppgifterna för att fastställa, utöva eller försvara rättsliga anspråk.
Personuppgiftsincidenter
En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring eller obehörig åtkomst till personuppgifter. Exempel på personuppgiftsincidenter kan vara stöld av kundregister, oavsiktligt avslöjande av löneinformation via e-post till fel mottagare, en anställd tar hem en okrypterad arbetsdator som senare stjäls i ett inbrott och som leder till att information om anställda eller kunder avslöjas, personuppgifter publiceras på webben av misstag, en bärbar dator innehållande personuppgifter tappas bort eller stjäls, m.m.
Vid en misstänkt personuppgiftsincident kontakta omedelbart Dramatens dataskyddsombud och ledningsgruppen. Det är dataskyddsombudet och ledningsgruppen som sedan avgör om tillsynsmyndigheten och/eller de registrerade behöver underrättas.
Personuppgiftsincidenter ska anmälas till Datainspektionen inom 72 timmar från upptäckten av incidenten om det är inte är osannolikt att det föreligger en risk för fysiska personers rättigheter och friheter. Inträffade incidenter ska dokumenteras. Innebär incidenten sannolikt en hög risk för registrerade skall dessa underrättas om incidenten. Genom att upprätta och följa riktlinjer för personuppgiftsincidentshantering säkerställer man hanteringen av en potentiell personuppgiftsincident.
Vad gör Datainspektionen och när ska man kontakta dem?
Datainspektionen är ansvarig för att övervaka tillämpningen av lagstiftningen, och den som anser att ett företag hanterar personuppgifter på ett felaktigt sätt kan lämna in ett klagomål till Datainspektionen oavsett om man är kund eller anställd.
Har du frågor om vår policy?
Denna Integritetspolicy uppdaterades den 16 november 2020. Dramaten kan komma att göra förändringar i denna integritetspolicy. Den senaste versionen kommer alltid ligga på
Dramatens hemsida och om vi genomför förändringar av större betydelse för dig eller angående hur Dramaten behandlar personuppgifter får du även informationen via e-post om hur detta påverkar dig. Informationen kommer finnas tillgänglig i god tid (30 dagar) innan uppdateringen börjar gälla. Du kan alltid maila dina frågor till: dataskydd@dramaten.se
Policyn är antagen av Dramatens VD Maria Groop Russel [15 september 2020], uppdaterades 2020-11-16.