Dataskydd

Senast uppdaterad:

1. Vårt åtagande för dataskydd

På Flamecalmstudio tar vi skyddet av dina personuppgifter på största allvar. Vi är engagerade i att säkerställa att all behandling av personuppgifter sker i enlighet med EU:s dataskyddsförordning (GDPR) och svenska dataskyddslagar.

Detta dokument kompletterar vår integritetspolicy och ger detaljerad information om de tekniska och organisatoriska åtgärder vi vidtar för att skydda dina uppgifter, samt hur vi efterlever dataskyddslagstiftningen.

2. Dataskyddsorganisation

2.1 Personuppgiftsansvarig

Flamecalmstudio är personuppgiftsansvarig för alla personuppgifter som behandlas i samband med vår verksamhet. Som personuppgiftsansvarig ansvarar vi för att:

  • Säkerställa att all behandling har en rättslig grund
  • Implementera lämpliga säkerhetsåtgärder
  • Respektera de registrerades rättigheter
  • Dokumentera all behandling i ett register
  • Rapportera personuppgiftsincidenter till tillsynsmyndigheten

2.2 Dataskyddsombud

Även om vi inte är skyldiga enligt lag att utse ett dataskyddsombud, har vi en dedikerad person som ansvarar för dataskyddsfrågor. Denna person övervakar vår efterlevnad av GDPR och fungerar som kontaktpunkt för registrerade och tillsynsmyndigheter.

3. Principer för personuppgiftsbehandling

All vår behandling av personuppgifter styrs av följande principer enligt GDPR:

3.1 Laglighet, korrekthet och öppenhet

Vi behandlar personuppgifter på ett lagligt, korrekt och öppet sätt. Vi är transparenta om hur vi samlar in och använder uppgifter och säkerställer att vi alltid har en giltig rättslig grund för behandlingen.

3.2 Ändamålsbegränsning

Vi samlar endast in personuppgifter för specifika, uttryckliga och berättigade ändamål. Vi behandlar inte uppgifter på ett sätt som är oförenligt med dessa ändamål.

3.3 Uppgiftsminimering

Vi samlar endast in personuppgifter som är adekvata, relevanta och begränsade till vad som är nödvändigt för ändamålet med behandlingen.

3.4 Riktighet

Vi vidtar rimliga åtgärder för att säkerställa att personuppgifter är korrekta och uppdaterade. Felaktiga uppgifter raderas eller rättas utan dröjsmål.

3.5 Lagringsminimering

Vi lagrar personuppgifter endast så länge som det är nödvändigt för ändamålet med behandlingen eller så länge lagen kräver.

3.6 Integritet och konfidentialitet

Vi behandlar personuppgifter på ett sätt som säkerställer lämplig säkerhet, inklusive skydd mot obehörig eller olaglig behandling och mot oavsiktlig förlust, förstöring eller skada.

4. Tekniska säkerhetsåtgärder

4.1 Kryptering

  • All data överförs via HTTPS med TLS 1.3-kryptering
  • Känsliga uppgifter krypteras i vila med AES-256
  • Lösenord hashas med bcrypt och salt
  • End-to-end-kryptering för känslig kommunikation

4.2 Åtkomstkontroll

  • Rollbaserad åtkomstkontroll (RBAC) för alla system
  • Tvåfaktorsautentisering för administrativa konton
  • Regelbunden granskning av åtkomsträttigheter
  • Automatisk utloggning efter inaktivitet

4.3 Nätverkssäkerhet

  • Brandväggar och intrångsdetekteringssystem
  • DDoS-skydd och överbelastningsskydd
  • Regelbundna penetrationstester
  • Säker VPN för fjärråtkomst

4.4 Säkerhetskopiering

  • Dagliga krypterade säkerhetskopior
  • Geografiskt separerad lagring av säkerhetskopior
  • Regelbunden testning av återställningsprocedurer
  • 30 dagars retention för säkerhetskopior

5. Organisatoriska säkerhetsåtgärder

5.1 Personalutbildning

All personal som hanterar personuppgifter genomgår obligatorisk utbildning i dataskydd. Utbildningen täcker:

  • GDPR-grunderna och våra skyldigheter
  • Igenkänning av phishing och social engineering
  • Säker hantering av personuppgifter
  • Rapportering av incidenter

5.2 Policyer och rutiner

Vi har implementerat omfattande policyer och rutiner för dataskydd, inklusive:

  • Informationssäkerhetspolicy
  • Incidenthanteringsplan
  • Policy för åtkomstkontroll
  • Policy för dataklassificering
  • Rutiner för hantering av registrerades rättigheter

5.3 Fysisk säkerhet

  • Kontrollerad åtkomst till kontorslokaler
  • Säker förvaring av fysiska dokument
  • Säker destruering av känsligt material
  • Övervakningssystem i serverrum

6. Personuppgiftsincidenter

6.1 Definition

En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande av eller åtkomst till personuppgifter.

6.2 Incidenthantering

Vid en personuppgiftsincident:

  • Identifierar och dokumenterar vi incidenten omedelbart
  • Bedömer vi risken för de registrerades rättigheter och friheter
  • Rapporterar vi till Integritetsskyddsmyndigheten inom 72 timmar om det finns risk för de registrerade
  • Informerar vi berörda registrerade om det finns hög risk
  • Vidtar vi åtgärder för att minimera skadan och förhindra framtida incidenter

7. Konsekvensbedömning (DPIA)

Vi genomför konsekvensbedömningar avseende dataskydd (DPIA) för behandlingar som sannolikt medför hög risk för de registrerades rättigheter och friheter. En DPIA genomförs alltid vid:

  • Systematisk och omfattande utvärdering av personliga aspekter
  • Behandling av känsliga uppgifter i stor skala
  • Systematisk övervakning av allmänt tillgängliga platser i stor skala
  • Användning av ny teknik som kan medföra höga risker

8. Personuppgiftsbiträden

När vi anlitar personuppgiftsbiträden säkerställer vi att:

  • De endast behandlar uppgifter enligt våra dokumenterade instruktioner
  • De har implementerat lämpliga tekniska och organisatoriska säkerhetsåtgärder
  • Det finns ett skriftligt personuppgiftsbiträdesavtal på plats
  • De hjälper oss att uppfylla våra skyldigheter enligt GDPR
  • De raderar eller återlämnar uppgifter efter avslutad behandling

9. Internationella överföringar

Om personuppgifter överförs till länder utanför EU/EES säkerställer vi att:

  • Landet har adekvat skyddsnivå enligt EU-kommissionens beslut, eller
  • Vi använder EU-kommissionens standardavtalsklausuler, eller
  • Det finns bindande företagsbestämmelser på plats, eller
  • Det finns ett annat giltigt överföringsverktyg enligt GDPR

10. Register över behandlingar

Vi upprätthåller ett register över alla behandlingar av personuppgifter som innehåller:

  • Namn och kontaktuppgifter för personuppgiftsansvarig
  • Ändamål med behandlingen
  • Kategorier av registrerade och personuppgifter
  • Kategorier av mottagare
  • Överföringar till tredjeländer
  • Lagringstider
  • Beskrivning av säkerhetsåtgärder

11. Revision och granskning

Vi genomför regelbundna revisioner av våra dataskyddsrutiner för att säkerställa fortsatt efterlevnad. Detta inkluderar:

  • Årlig intern revision av dataskyddsrutiner
  • Kvartalsvis granskning av åtkomsträttigheter
  • Regelbundna penetrationstester och sårbarhetsanalyser
  • Granskning av personuppgiftsbiträdens efterlevnad

12. Kontakt

För frågor om dataskydd eller för att utöva dina rättigheter, kontakta oss:

  • E-post: reply@flamecalmstudio.world
  • Telefon: +46 980 668 00
  • Adress: Marknadsvägen 63, 981 91 Jukkasjärvi, Sweden

Cookies

Vi använder cookies för att förbättra din upplevelse på vår webbplats. Genom att fortsätta använda webbplatsen godkänner du vår användning av cookies. Läs mer i vår cookiepolicy.