Som en global leverantör av IT- och affärskonsulttjänster har CGI åtagit sig att upprätthålla skyddsnivåer för personuppgifter som är i linje med bästa praxis inom branschen och som minst uppfyller kraven i tillämplig dataskyddslagstiftning och CGI:s avtalsförpliktelser.

Som en del av detta åtagande kräver CGI att dess medlemmar och alla tredje parter som anlitas av CGI eller som tillhandahåller varor och/eller tjänster till CGI (inklusive tredjepartsleverantörer, underleverantörer och frilansare) vidtar lämpliga åtgärder för att skydda personuppgifter när de utför sina uppgifter.

CGI är transparent när det gäller de uppgifter vi använder och har utfärdat denna integritetspolicy ("Policy") för att informera dig om hur och varför vi samlar in och behandlar dina personuppgifter, CGI:s sekretessrutiner och dina rättigheter som registrerad med avseende på behandlingen av dina personuppgifter.

Denna Policy anger den generella standard som CGI har implementerat vid behandling av personuppgifter. Denna Policy gäller när CGI agerar som personuppgiftsansvarig eller som personuppgiftsbiträde. Den gäller för behandlingen av alla personuppgifter, oavsett personuppgifternas art eller kategori, och oavsett på vilket medium uppgifterna lagras. 

Ytterligare information om specifika behandlingsaktiviteter finns tillgänglig i de relevanta integritetsmeddelandena.

CGI har åtagit sig att behandla personuppgifter med samma skyddsnivå oavsett om de behandlar personuppgifter för sina egna behov eller för sina kunders eller tredje parters behov. Genomförandet av denna Policy kräver att alla medlemmar i CGI:s juridiska enheter och alla tredje parter som anlitas av CGI deltar fullt ut i tillämpningen av den, utan undantag.

 Ladda ner integritetspolicy

Download Data Privacy Policy

CGI Integritetspolicy - Publik version

1 – Definitioner

I denna Policy gäller följande definitioner:

"Anställd(a)" - endast i syfte för denna Policy, avses en anställd, personal, arbetstagare, enskild konsult, agent, tjänsteman eller direktör, och "anställning" ska tolkas i enlighet med detta. "Medlem" eller "Medlemmar" refererar CGI:s anställda.

"Behandla”, "Behandling" eller "Behandlad" avser varje åtgärd eller kombination av åtgärder beträffande Personuppgifter, oberoende av om de utförs automatiserat eller inte, t.ex. insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning (inklusive via fjärråtkomst), användning, utlämning genom överföring, spridning eller annat tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

"CGI:s juridiska enheter" avser alla juridiska enheter som kontrolleras direkt eller indirekt av CGI Inc. och som hanterar Personuppgifter, med undantag för juridiska enheter som ligger inom CGI Federal:s verksamhetsområde.
"EES" avser Europeiska ekonomiska samarbetsområdet, som består av Europeiska Unionens (EU) medlemsländer samt Island, Liechtenstein och Norge, nedan även kallade "Medlemsstaterna".

"Känsliga Personuppgifter" avser särskilda kategorier av Personuppgifter som avslöjar ras eller etniskt ursprung, politisk åsikt, religiös eller filosofisk övertygelse eller medlemskap i fackförening, liksom Behandling av genetiska eller biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.

"Lokal Lagstiftning" avser nationella förordningar, stadgar, domstolsbeslut eller obligatoriska föreskrifter.

”Personuppgifter” avser varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras, särskilt med hänvisning till identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. Personuppgifter inbegriper Känsliga personuppgifter.

"Personuppgiftsansvarig" avser varje enhet (dvs. fysisk eller juridisk person, offentlig myndighet, institution eller annat organ) som ensam eller tillsammans med andra bestämmer ändamålen och medlen för Behandlingen av Personuppgifter.

"Personuppgiftsbiträde" avser varje enhet (dvs. fysisk eller juridisk person, offentlig myndighet, institution eller annat organ) som Behandlar Personuppgifter på uppdrag av och enligt instruktioner från Personuppgiftsansvarig eller annat Personuppgiftsbiträde.

"Registrerad" avser en identifierad eller identifierbar fysisk person vars Personuppgifter Behandlas, vilket kan omfatta t.ex. en CGI-medlem eller en extern konsult i ett CGI-internt sammanhang, eller en kunds anställd eller slutanvändare i ett affärssammanhang.

"Tillämplig Dataskyddslagstiftning" avser (i) EU:s dataskyddsförordning 2016/679 avseende Behandling av Personuppgifter (”GDPR”) och (ii) eventuella genomförandelagar för EU:s dataskyddsförordning och (iii) alla tillämpliga lokala lagar rörande Behandling av Personuppgifter.

2 – Omfattning

Denna Policy beskriver den generella standard som CGI har implementerat vid Behandling av Personuppgifter, som gäller när CGI agerar som Personuppgiftsansvarig eller Personuppgiftsbiträde. Policyn gäller för Behandlingen av alla Personuppgifter, oavsett Personuppgifternas art eller kategori, oavsett på vilket medium uppgifterna lagras.

Ytterligare information om specifik Behandling finns tillgänglig i relevant integritetsmeddelande. Sådan information kan bl.a. omfatta specifika rättigheter för den Registrerade, delade Personuppgifter, lagringstid för uppgifter eller specifik rättslig grund.

CGI har åtagit sig att Behandla Personuppgifter med samma skyddsnivå oavsett om vi Behandlar Personuppgifter för egna behov eller för våra kunders eller tredje parters behov. Implementationen av denna Policy kräver att alla Medlemmar i CGI:s juridiska enheter och alla tredje parter som anlitas av CGI tillämpar den, utan undantag.

3 – Kategorier av Registrerade

Som en del av vår verksamhet samlar vi in och Behandlar Personuppgifter relaterade till:

  • Kandidater för anställning/jobbsökande,
  • Anställda och tidigare Anställda,
  • Offentliga och privata kunder och prospekt,
  • Kunder till offentliga och privata kunder och prospekt,
  • Aktieägare,
  • Leverantörer, underleverantörer, professionella rådgivare/experter, konsulter och underkonsulter,
  • Alla andra tredje parter.
4 – Vilka Personuppgifter använder vi om dig?

I enlighet med Tillämplig Dataskyddslagstiftning kan vissa eller alla följande kategorier av Personuppgifter behandlas av CGI och tredje part som anlitas av eller som tillhandahåller varor och/eller tjänster till CGI:

  • identitets- och kontaktinformation (t.ex. förnamn, efternamn, titel, användarnamn eller liknande identifierare),
  • uppgifter om arbetsliv/profession (t.ex. e-postadress, arbetsgivare, avdelning, yrkestitel, telefonnummer, fakturerings- eller leveransadress),
  • personlig information (t.ex. födelsedatum, personliga kontaktuppgifter, biografier, medlemskap, uttalade intressekonflikter, hälsouppgifter, information om mångfald),
  • ekonomiska och finansiella uppgifter,
  • uppgifter relaterade till plats, loggning, trafik och spårning samt demografiska uppgifter.

4.1 Personuppgifter om våra Medlemmar eller tidigare Anställda

Vid Behandling av Personuppgifter som rör våra Medlemmar eller tidigare Anställda i egenskap av Personuppgiftsansvarig följs Tillämplig Dataskyddslagstiftning (inklusive vid behov eventuella krav på att erhålla samtycke från en Registrerad eller behörig arbetstagarorganisation - t.ex. ett fackförbund). Utöver denna Policy kan CGI:s anställningsavtal, tillämpliga policyer och kommunikation/information till Medlemmarna specificera de exakta och detaljerade syfte för vilka vi från tid till annan kan samla in och Behandla Personuppgifter.

Huvudsyfte med Behandling av Personuppgifter (inklusive Känsliga Personuppgifter) om Medlemmar kan inkludera följande:

Lön, pension, ekonomi och aktier - vi kan komma att dela relevanta Personuppgifter med förvaltare av pensions- och aktieprogram, tjänsteleverantörer, försäkringsbolag, skattemyndigheter och andra liknande leverantörer av tjänster i samband med anställningsförpliktelser och Medlemsförmåner. Vi kommer också att Behandla Personuppgifter i syfte att identifiera och göra utbetalningar till Medlemmar, samt om och när det krävs enligt tillämplig Lokal Lagstiftning även Känsliga Personuppgifter (t.ex. etniskt ursprung, religiös eller filosofisk övertygelse eller hälsouppgifter).

Kommersiell administration och förvaltning - vi kan komma att använda Personuppgifter för att hantera vår kommersiella verksamhet, t.ex. betala fakturor, kommunicera med affärspartners och potentiella affärspartners, arrangera möten, affärsresor, visumansökningar, förvaltning av egendom samt uppfylla och hantera avtalsförpliktelser med affärspartners (inklusive placering/uppdrag av Medlemmar hos kunder).

Administration och arbetsledning av Anställda - vi kan komma att Behandla Personuppgifter (i förekommande fall och i enlighet med denna Policy och Tillämplig Dataskyddslagstiftning, även Känsliga Personuppgifter) om Medlemmar och (i förekommande fall) deras anhöriga och närstående, för ändamål som rör deras anställning hos oss. Detta kan omfatta rekrytering, arbetsledning, resultatstyrning, karriärutveckling, efterlevnad av hälso- och säkerhetsbestämmelser, tillhandahållande av sjukförsäkringar och livförsäkringar, övervaka/följa upp sjukdom, bevakning av mångfald, disciplinära förfaranden, säkerhetskontroller (om och där så krävs), visumansökningar och andra bestämmelser rörande invandring, kommunikation till och från Medlemmarna, förteckning av Medlemmarnas kontaktpersoner i förekommande fall, behörighetskontroller till känsliga/skyddade områden, administration och förvaltning av IT-system, skattebetalningar, hantering av utlägg och Medlemsförmåner. Vi kan från tid till annan, och i enlighet med nationella krav, erbjuda Medlemmar en rad förmåner och rabatter som CGI har förhandlat fram med andra företag och kan då komma att lämna ut relevanta Personuppgifter till noggrant granskade tredjepartsorganisationer i syfte att erbjuda och tillhandahålla sådana förmåner/rabatter.
Säkerhet och kvalitetskontroll - vi tillhandahåller våra Medlemmar datorer, bärbara datorer och (mobil)telefoner som ger tillgång till Internet, e-post och sociala medier, CGI:s intranät samt olika program och verktyg. Förutom denna digitala utrustning kan vi också tillhandahålla bilar och fysiska arbetslokaler (som alla är företagets egendom). Vi litar på att varje Medlem agerar ansvarsfullt och lagligt vid användande av företagets egendom och strikt följer alla tillämpliga uppförandekoder som utfärdats i detta avseende, såsom, men inte begränsat till, etiska regler och uppförandekod, policy för säkerhet och tillåten användning samt policy för användning av programvara från tredje part. Av säkerhetsskäl kan vi komma att övervaka våra lokaler med kameror. CGI kan ha goda och juridiskt motiverade skäl att övervaka användningen av digital utrustning/enheter och digital trafik genom den utrustning/enheter som används av Medlemmarna, med beaktande av behovet av övervakning och Medlemmens integritet. Särskilda utredningar kommer endast att genomföras av väsentliga skäl i specifika situationer och CGI Global Security kommer alltid att vara involverad i sådana utredningar, med beaktande av processerna för utredning och rapportering av säkerhetsincidenter. CGI:s organisationsövergripande övervakning och registrering av internetanvändning och e-postkorrespondens kommer endast att genomföras efter ett kollektivt samråd med adekvat arbetstagarorganisation (fackförbund).

Finans, fusioner och förvärv - CGI köper, säljer och/eller överlåter från tid till annan koncernbolag, affärstillgångar, finansiella instrument/arrangemang och kontrakt. I samband med sådana möjligheter, transaktioner och arrangemang kan vi dela relevanta Personuppgifter med potentiella köpare, säljare, professionella rådgivare och tillsynsmyndigheter (inklusive att lämna in lagstadgade handlingar till relevanta statliga myndigheter), med förbehåll för sekretesskrav och nationella rättsliga restriktioner.
Regulatoriska och professionella krav samt medlemskapskrav - vi kan komma att Behandla Personuppgifter om Medlemmar och överföra Personuppgifter till relevanta tillsynsmyndigheter, statliga myndigheter och yrkes-, handels- och branschorganisationer i samband med ansökan om medlemskap och förnyelser av medlemskap, lagstadgade krav (inklusive säkerhetskrav, krav på rapportering av lagstadgade/juridiska krav), yrkesstandarder osv.

Hälsa, säkerhet, lag och försäkring - vi kan komma att Behandla och överföra Personuppgifter till lämpliga tredje parter (inklusive CGI:s förvaltningsansvariga/anläggningschefer, evenemangsarrangörer, försäkringsbolag, rådgivare och affärspartners) för att uppfylla de krav som gäller för hälsa, säkerhet, rättsliga frågor, försäkringar, resor och i nödsituationer.

Efterlevnad av lokala rättsliga skyldigheter och överenskomna rutiner - vi kan komma att Behandla och överföra Personuppgifter till andra bolag inom CGI-koncernen och/eller lämpliga tredje parter, när lokala lagar kräver eller tillåter det eller när lokala rutiner har överenskommits med Medlemmar, arbetstagarrepresentanter, dataskyddsombud och/eller dataskyddsmyndigheter/tillsynsmyndigheter.

4.2 Personuppgifter om våra kunder

När vi Behandlar våra kunders Personuppgifter kommer vi att agera i egenskap av Personuppgiftsbiträde och följa vederbörligen dokumenterade instruktioner från de relevanta kunderna för deras definierade ändamål, t.ex.:

Förvaltning av kundprojekt och tjänster inom olika branscher, t.ex. bankverksamhet, försörjningsföretag, tillverkning, försäkring, myndigheter, detaljhandel, konsument- och tjänstesektorn, hälsa och biovetenskap, transport och logistik, olja och gas eller kommunikation och media, inklusive inmatning, korrigering och konsolidering av Personuppgifter, lagring, registerhållning och säkerhetskopiering, hantering och analys av uppgifter, hantering av enskilda förfrågningar, förvaltning av applikationer och infrastruktur, utveckling och testning, korrespondens, delegerad/konsoliderad/utlokaliserad administration av IT-system, drift och förvaltning, inklusive åtkomstkontroll och revision, förvaltning av tillgångar, hantering av utgifter, marknadsföring och undersökningsanalys.

När vi agerar i egenskap av Personuppgiftsansvarig kommer vi att Behandla Personuppgifter om våra kunder för följande ändamål:

Hantering av förvaltning, leverans och avslutande av kundprojekt och tjänster, inklusive rekrytering, utbildning, hantering av leverantörer och underleverantörer, fakturering, rapportering och revision;

Pressmeddelanden eller marknadsföringsinformation som en del av vår företagskommunikation, och skapande samt underhåll av relaterade sändlistor kräver Behandling av följande Personuppgifter: namn, e-postadress, adress och eventuellt ytterligare information så som telefonnummer. Denna Behandling grundar sig på artikel 6.1 a och f GDPR, dvs. ditt samtycke och/eller CGI:s berättigade intresse av effektiv och lämplig kommunikation. Personuppgifterna kommer att lagras så länge som det är nödvändigt för kommunikationen eller raderas innan dess om du informerar oss om att du inte längre vill ta emot information från oss.

4.3 Personuppgifter om andra Registrerade

Vi kan också Behandla Personuppgifter om andra Registrerade (t.ex. vid förfrågningar, besökare på webbplatser, marknadsförings-/affärskontakter, potentiella kandidater, besökare på CGI:s kontor) för de ändamål som beskrivs nedan:

  • Planering och administration,
  • HR och rekrytering,
  • Finans,
  • IT/Säkerhet,
  • Kommunikation/Marknadsföring,
  • Affärsutveckling och verksamhet,
  • Rättsliga

Vi agerar vanligtvis i egenskap av Personuppgiftsansvarig i samband med sådan Behandling och tredje part som anlitas av oss eller som tillhandahåller varor och/eller tjänster till CGI agerar vanligtvis som Personuppgiftsbiträde.

5 – Varför Behandlar vi dina Personuppgifter?

Vi Behandlar endast Personuppgifter när det är absolut nödvändigt och tillämpar ytterligare principer beroende på om vi agerar i egenskap av Personuppgiftsansvarig eller Personuppgiftsbiträde.

5.1 Principer när CGI agerar som Personuppgiftsansvarig

Öppenhet, korrekthet och laglighet: vi Behandlar Personuppgifter på ett lagligt, rättvist och öppet sätt i förhållande till den Registrerade, i enlighet med kraven i denna Policy, genom att använda integritetsmeddelanden som tydligt anger den information som krävs för att följa Tillämplig Dataskyddslagstiftning.

Ändamålsbegränsning: vår Behandling av Personuppgifter, särskilt insamlingen av dessa, föregås av identifiering av det specifika syftet med Behandlingen. Ett sådant syfte måste vara uttalat och legitimt. Personuppgifter får inte Behandlas vidare på ett sätt som är oförenligt med sådant syfte.

Uppgiftsminimering: När syftet med Behandlingen av Personuppgifter har fastställts kommer vi endast att samla in Personuppgifter i den utsträckning som krävs för att uppnå detta syfte. Detaljerna i databehandlingen ska granskas tidigt som en del i lösningsdesignen och ingå i gransknings- och godkännandeprocessen för dataskydd och säkerhet, eller på annat sätt för att säkerställa att Personuppgifterna är adekvata, relevanta och begränsade till vad som är nödvändigt i förhållande till det syfte för vilket de Behandlas.

Korrekthet: Under hela livscykeln för Behandlingen av Personuppgifter kommer vi att se till att de insamlade Personuppgifterna är korrekta och uppdaterade. Alla rimliga åtgärder kommer att vidtas för att se till att Personuppgifter som är felaktiga raderas eller rättas utan dröjsmål, inklusive men inte begränsat till självbetjäningsalternativ för de Registrerade. I huvudsak kommer vi att tillhandahålla lämpliga verktyg för att Registrerade ska kunna informera oss om eventuella ändringar av deras Personuppgifter.

Lagringsminimering: vi kommer att se till att dina Personuppgifter inte sparas längre än vad som är absolut nödvändigt för att uppnå det syfte för vilket dina Personuppgifter samlades in. Följaktligen kommer vi att fastställa en lämplig lagringsperiod innan Behandlingen utförs. Vi kommer då att beakta den tid under vilken Personuppgifterna är nödvändiga för att uppnå syftet med Behandlingen och samtidigt ta hänsyn till följande faktorer:

  • Den period efter vilken upprätthållandet av sådana Personuppgifter kan påverka de Registrerades rätt att bli glömda; och
  • Eventuella rättsliga skyldigheter som kräver en minimiperiod för lagring av uppgifter, enligt definitionen i CGI:s policy för lagring av uppgifter.

Rättslig grund: Utöver ovanstående principer får Behandling endast utföras om den omfattas av någon av de omständigheter som anges nedan eller i punkt 5.3 i denna Policy:

  • Det är nödvändigt för att fullgöra en rättslig förpliktelse som gäller för CGI (t.ex. rapportera uppgifter till skattemyndigheten) (artikel 6.1 c GDPR); eller
  • Det är nödvändigt för att fullgöra ett avtal (t.ex. kollektivavtal eller avtal med en kund) (artikel 6.1 b och artikel 88.1 GDPR); eller
  • Det är nödvändigt för CGI:s berättigade intresse, med beaktande av att CGI:s berättigade intresse måste bedömas mot de Registrerades intressen (artikel 6.1 f GDPR):
    • Behandlingen är nödvändig för att uppnå det intresse som CGI eftersträvar utan att den Registrerades intressen och/eller privatliv påverkas negativt;
    • CGI:s intresse inte åsidosätts av den Registrerades grundläggande rättigheter eller intressen; och
    • CGI:s intresse ska bestämmas mot bakgrund av CGI:s kärnverksamhet men ska följa Tillämplig Dataskyddslagstiftning på ett transparent sätt;
  • Det är nödvändigt för att skydda intressen som är av grundläggande betydelse för den Registrerade (artikel 6.1 d GDPR); eller
  • Det är nödvändigt för att utföra en uppgift av allmänt intresse (artikel 6.1 e GDPR).

Om ingen av ovanstående rättsliga grunder är tillämpliga kommer CGI i förväg att söka och erhålla den Registrerades samtycke (artikel 6.1 a GDPR) innan Behandlingen av Personuppgifterna påbörjas, med beaktande av att den Registrerades samtycke är giltigt när (i) det ges fritt genom en entydigt bekräftande handling och (ii) det utgör en specifik, informerad och otvetydig indikation på den Registrerades samtycke till Behandlingen av Personuppgifterna.

Tekniska och organisatoriska åtgärder: Vi implementerar lämpliga tekniska och organisatoriska åtgärder för att skydda mot olaglig åtkomst och/eller Behandling av Personuppgifter, inklusive oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande av eller obehörig åtkomst till Personuppgifter som överförts, lagrats eller på annat sätt Behandlats. Vi kommer i synnerhet att ge tillgång till Personuppgifter endast när det är nödvändigt för att utföra uppgifter som är förenliga med det syfte för vilket Personuppgifter Behandlas. Om vi använder en tredje part för att utföra Behandlingen för CGI:s räkning kommer vi genom avtal att se till att motsvarande åtgärder vidtas av den tredje parten. I händelse av olaglig åtkomst och/eller Behandling kommer CGI att följa vår informationssäkerhetspolicy och relaterade processer.

Konsekvensbedömning avseende dataskydd (DPIA): Vi ansvarar för att övervaka att Behandlingen följer Tillämplig Dataskyddslagstiftning. Om en typ av Behandling, särskilt med användning av ny teknik, och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för skyddet av dina uppgifter, ska CGI tillämpa ett tillvägagångssätt för konsekvensbedömning av dataskydd som ska göra det möjligt för oss att:

  • identify which Processing presents any specific risk for the protection of Personal Data;
  • assess the level of compliance with the Applicable Data Protection Legislation Processing principles;
  • assess the level of severity or likelihood of risk associated with the Processing; and
  • determine the corrective measures to be implemented to ensure that Personal Data is Processed with risks that are mitigated and performed in compliance with the Applicable Data Protection Legislation. If, after mitigation, the risks to the Data Subjects remain significant and when required by Applicable Data Protection Legislation, the competent Data Protection Authority will be consulted prior to the start of the intended Processing.

Data Privacy Impact assessment document will be retained for the duration of Data Processing to which they apply.

5.2 Principer när CGI agerar som Personuppgiftsbiträde

Vi kommer endast att behandla Personuppgifter i enlighet med dokumenterade instruktioner från kunden som agerar som Personuppgiftsansvarig eller Personuppgiftsbiträde.
I synnerhet ska sådan Behandling vara:

  • Endast för den Personuppgiftsansvariges uttryckliga syfte;
  • Under de villkor som CGI och kunden överenskommit;
  • Inte längre än vad som uttryckligen föreskrivs av kunden; och
  • Enligt kundens skriftliga instruktioner i enlighet med det avtal om personuppgiftsbehandling som ingåtts mellan CGI och kunden.

Kunden förblir ensam ansvarig för att säkerställa en giltig rättslig grund för den Behandling som utförs av oss och att Behandlingen är förenlig med Tillämplig Dataskyddslagstiftning, inklusive den lagringsperiod som ska tillämpas. Vi kommer dock att omedelbart informera kunden om CGI anser att en instruktion från kunden strider mot Tillämplig Dataskyddslagstiftning.

Om kunden inte ger andra instruktioner kommer vi (som ett minimum) att tillämpa samma säkerhetsnivå som tillämpas när CGI agerar som Personuppgiftsansvarig.

Vi kommer att ge rimligt stöd till kunden för att denne ska uppfylla sina skyldigheter enligt Tillämplig Dataskyddslagstiftning Det stöd som CGI ska ge kunden för att uppfylla kraven i enlighet med detta avsnitt kommer att omfattas av de ekonomiska, tekniska och organisatoriska villkor som CGI och kunden kommit överens om i relevant avtal. När det relevanta avtalet om personuppgiftsbehandling upphör ska CGI och alla tredje parter som anlitas av CGI antingen förstöra eller återlämna alla Personuppgifter till kunden i enlighet med dennes instruktioner och Tillämplig Dataskyddslagstiftning. Vid förstöring ska CGI intyga för kunden att en sådan radering har ägt rum. Vid återlämnande kommer vi att säkerställa sekretessen för de Personuppgifter som överförts till kunden genom att följa kundens instruktioner.

För tydlighetens skull, inget i denna Policy begränsar CGI:s rätt att behålla Personuppgifter för att kunna föra en pågående rättstvist eller för att väcka eller försvara framtida anspråk, i enlighet med gällande lagstadgade preskriptionsregler som gäller för CGI.

5.3 Principer när CGI Behandlar Känsliga Personuppgifter

Vi kommer att Behandla Känsliga Personuppgifter i egenskap av Personuppgiftsansvarig om det är absolut nödvändigt.

I sådana fall ska CGI tillse att minst ett av följande villkor är uppfyllt:

  • Den Registrerade har gett sitt samtycke (artikel 9.2 a GDPR);
  • Behandlingen är nödvändig för att Personuppgiftsansvarig eller Registrerad ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten eller på områdena social trygghet och socialt skydd (artikel 9.2 b i GDPR);
  • Om den Registrerade inte kan ge sitt samtycke (t.ex. av medicinska skäl) och Behandlingen nödvändig för att skydda den Registrerades eller en annan fysisk persons grundläggande intressen (artikel 9.2 c GDPR);
  • Behandlingen är nödvändig t.ex. i samband med förebyggande hälso- och sjukvård eller medicinsk diagnos enligt Lokal Lagstiftning (artikel 9.2 h GDPR);
  • Den Registrerade har redan på ett tydligt sätt offentliggjort relevanta Känsliga Personuppgifterna (artikel 9.2 e i GDPR);
  • Behandlingen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk, förutsatt att det inte finns någon anledning att anta att den Registrerade har ett övervägande legitimt intresse av att sådana Känsliga Personuppgifter inte Behandlas (artikel 9.2 f GDPR), eller
  • Behandlingen är uttryckligen tillåten enligt Lokal Lagstiftning (artikel 9.4 GDPR tillsammans med respektive Lokal Lagstiftning) (t.ex. registrering/skydd av minoritetsgrupper).

Om vi, i egenskap av Personuppgiftsbiträde, måste behandla Känsliga Personuppgifter kommer vi att följa kundens (i egenskap av Personuppgiftsansvarig eller Personuppgiftsbiträde) skriftliga instruktioner och tillämpa de åtgärder som parterna kommit överens om, vilka minst ska motsvara samma säkerhetsnivå som CGI tillämpar när vi agerar i egenskap av Personuppgiftsansvarig.

Kunden ska tillse att det finns en giltig rättslig grund för den behandling som vi utför som Personuppgiftsbiträde.

Vi kommer under alla omständigheter att behandla Känsliga Personuppgifter i enlighet med Tillämplig Dataskyddslagstiftning och följa alla obligatoriska villkor för lagring och Behandling.

5.4 Inbyggt dataskydd och dataskydd som standard

Som framgår av åtagandena i denna Policy har vi åtagit oss att tillhandahålla en lämplig skyddsnivå för de Personuppgifter som Behandlas. För att säkerställa att de principer som definieras i denna Policy beaktas effektivt när vi Behandlar Personuppgifter, kommer vi att identifiera och adressera eventuella begränsningar i fråga om dataskydd i början av ett nytt projekt, så att de principer som ingår i denna Policy återspeglas i projektets utformning och implementeras på lämpligt sätt.

När vi agerar som Personuppgiftsbiträde ska dataskyddsorganisationen (se avsnitt 13) granska och godkänna integritetsaspekterna av det anbud och/eller de tjänster som utvecklas för en kund. Om vi agerar som Personuppgiftsansvarig måste dataskyddsorganisationen godkänna alla nya interna projekt inom CGI innan utvecklingen påbörjas och därefter genomförs och implementeras.

6 – Hantering av dataincidenter och överträdelser

6.1 Hantering av incidenter

CGI har en välutvecklad, standardbaserad process för hantering av säkerhetsincidenter som är utformad för att hantera alla faser av en säkerhetsincident. Medlemmars ansvarsområden är tydligt definierade på alla nivåer. Vi följer standarder för bedömning och prioritering av incidenter för att säkerställa lämpliga nivåer av insatser och lösning i rätt tid. Incidentrapporter uppdateras samt rapporteras till den högsta ledningen vid behov. Högprioriterade incidenter hanteras via CGI:s globala säkerhetsoperationscenter (SOC) som är öppet dygnet runt, där välutbildade, heltidsanställda experter på incidenthantering samordnar insatserna. CGI:s dataskyddsorganisation engageras omedelbart i incidenthanteringsprocessen när Personuppgifter misstänks vara involverade.

6.2 Rapportering av Personuppgiftsincident

Oavsett om CGI agerar i egenskap av Personuppgiftsansvarig eller Personuppgiftsbiträde, kommer CGI, om vi rimligen tror att ett säkerhetsbrott som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt utlämnande av eller obehörig åtkomst till Personuppgifter som överförts, lagrats eller på annat sätt Behandlats har inträffat, att meddela incidenter och statusuppdateringar till den relevanta dataskyddsmyndigheten, de Registrerade och/eller den Personuppgiftsansvarige, i enlighet med Tillämplig Dataskyddslagstiftning eller andra lokala tillämpliga lagar.

På samma sätt, och för tydlighetens skull, om en tredje part som anlitats av CGI identifierar en personuppgiftsincident, måste den tredje parten informera oss i enlighet med vad som avtalats. Alla andra tredje parter kan vända sig till dpo.se@cgi.com för att rapportera en potentiell eller misstänkt överträdelse.

7 –  Vem delar vi dina Personuppgifter med?

Som en del av CGI:s verksamhet kan vi samla in dina Personuppgifter och lämna ut dem till:

  • CGI:s juridiska enheter om och var du kan dra nytta av hela vårt utbud av lösningar och tjänster som en del av vår globala leveransmodell;
  • Tredje parter som anlitas av CGI och som tillhandahåller varor till CGI eller utför tjänster för vår räkning (t.ex. leverantörer, underleverantörer och frilansare);
  • Vissa reglerade yrkesgrupper (t.ex. banker, advokater, notarier och revisorer).

Vi kommer att lämna ut dina Personuppgifter om det rimligen är nödvändigt för att skydda CGI:s rättigheter och utöva tillgängliga rättsmedel, upprätthålla CGI:s villkor, utreda bedrägerier eller skydda CGI:s verksamhet eller användare.

CGI kan också komma att lämna ut dina Personuppgifter till administrativa, rättsliga eller statliga myndigheter, statliga eller offentliga organ, strikt i enlighet med Tillämplig Dataskyddslagstiftning och Lokal Lagstiftning, och efter noggrann granskning av lagligheten av varje föreläggande om att lämna ut uppgifter. Vi kommer att bestrida föreläggandet om det finns skäl enligt lagen i destinationslandet att göra det och informera dig om ett eventuellt föreläggande i enlighet med Lokal Lagstiftning.

8 – Överföring av Personuppgifter

Överföring av Personuppgifter från EU avser Personuppgifter om personer som är bosatta i EU eller Registrerade inom EU och som Behandlas (t.ex. nås, skickas, används, ses, kopieras, raderas) i ett tredje land utanför EES.

8.1 Inom CGI

När CGI agerar i egenskap av Personuppgiftsansvarig eller Personuppgiftsbiträde överför vi Personuppgifter från EU i enlighet med Tillämplig Dataskyddslagstiftning och i enlighet med CGI:s bindande företagsbestämmelser ("BCR"), som godkändes enligt GDPR av den franska tillsynsmyndigheten den 22nd juli 2021. Detta innebär att dina rättigheter som Registrerad förblir desamma oavsett var dina Personuppgifter Behandlas.

Mer information om CGI:s BCR finns på CGI:s svenska webbplats om BCR eller i Europeiska dataskyddsstyrelsens register.

När vi agerar i egenskap av Personuppgiftsbiträde krävs ett föregående specifikt eller generellt skriftligt samtycke från den Personuppgiftsansvarige avseende respektive överföring (GDPR artikel 44 och följande) som överenskommits, innan en sådan överföring kan påbörjas.

Överföringar av Personuppgifter från länder utanför EU ska ske i enlighet med Tillämplig Dataskyddslagstiftning.

8.2 Till tredje part

När CGI förlitar sig på tredje part för att Behandla Personuppgifter säkerställer vi att dessa tredje parter tillhandahåller en adekvat skyddsnivå för de Personuppgifter som de Behandlar i enlighet med Tillämplig Dataskyddslagstiftning. Vi utför regelbundet vederbörlig granskning och tredjepartsbedömningar av integritets- och säkerhetsrisker med alla tredje parter som vi anlitar, för att fastställa deras företags kapacitet och mognad när det gäller säkerhet och dataskydd, innan vi ingår ett avtal för Behandling av Personuppgifter i enlighet med artikel 28.3 GDPR eller artikel 26 GDPR, där det är nödvändigt. När sådan Behandling omfattar länder utanför EU eller EES kommer avtal om respektive överföringsmekanism (GDPR artikel 44 och följande) att ingås.

9 – Vilka är dina rättigheter och hur kan du utöva dem?

Registrerade har flera rättigheter enligt Tillämplig Dataskyddslagstiftning att begära tillgång till sina Personuppgifter som innehas av CGI och/eller information om hur vi Behandlar deras Personuppgifter. Om du har några frågor om Behandlingen av dina Personuppgifter kan du skicka en formell begäran till dpo.se@cgi.com.

När CGI agerar i egenskap av Personuppgiftsbiträde kommer vi på begäran att förse våra kunder med relevant information som gör det möjligt för kunderna att uppfylla sina egna skyldigheter gentemot de Registrerade. Om inget annat anges i ett avtal är CGI inte skyldigt att informera de Registrerade direkt om detta, eftersom det är den Personuppgiftsansvariges ansvar.

I enlighet med Tillämplig Dataskyddslagstiftning, där vi agerar i egenskap av Personuppgiftsansvarig, har du i allmänhet följande rättigheter:

  • att få tillgång till och/eller få en kopia av dina Personuppgifter;
  • att rätta eller radera felaktiga eller ofullständiga Personuppgifter;
  • att när som helst invända mot Behandlingen av dina Personuppgifter på legitima grunder, såvida inte sådan Behandling krävs enligt Tillämplig Dataskyddslagstiftning eller Lokal Lagstiftning;
  • att begränsa Behandling av dina Personuppgifter som inte längre är korrekt eller nödvändig;
  • att få dina Personuppgifter i ett strukturerat, allmänt använt och maskinläsbart format;
  • återkalla ditt samtycke till Behandlingen av dina Personuppgifter;
  • att lämna in ett klagomål till en behörig tillsynsmyndighet: För CGI Sverige AB är den primära behöriga tillsynsmyndigheten: Integritetsskyddsmyndigheten (IMY), www.imy.se.

CGI kommer i allmänhet inte att använda dina Personuppgifter för profilering (artikel 22 GDPR).

Vi kommer att agera i enlighet med Tillämplig Dataskyddslagstiftning och andra relevanta rättsliga och avtalsmässiga skyldigheter vid sökning efter och tillhandahållande av relevanta Personuppgifter. CGI kommer att kräva att Personuppgiftsbiträden som Behandlar Personuppgifter gör detsamma. Vi kan behöva ställa ytterligare frågor till dig om dina Personuppgifter eller för att verifiera din identitet.

Vid uppsägning av anställningsavtal, oavsett anledning, behåller vi tidigare Anställdas Personuppgifter så länge som det är tillåtet i enlighet med tillämpliga lagar och förordningar, samt så länge det är nödvändigt för att tillhandahålla lämpliga fortlöpande förmåner och tjänster (t.ex. medlemsaktieprogram och pensionsadministration).

10 – Uppfyllande av policy

10.1 Medlemmars efterlevnad

Medlemmarna erkänner de krav som ställs och bekräftar årligen att de godtar denna Policy. Utöver denna Policy måste Medlemmarna också uppfylla andra tillämpliga sekretess- och integritetsskyldigheter, inklusive de skyldigheter som anges i Tillämplig Dataskyddslagstiftning, deras anställningsavtal och CGI:s policyer, processer och standarder eller kundens instruktioner.

Medlemmarna måste följa alla CGI:s obligatoriska utbildnings- och medvetenhetsprogram om sekretess. Dessa omfattar bland annat obligatorisk webbaserad utbildning i dataskydd, informationssäkerhet, antikorruption och dokumenthantering, kommunikationskampanjer och särskilda utbildningar som är anpassade till de olika funktionerna inom organisationen.

Dessa utbildningar och medvetenhetsprogram uppdateras regelbundet för att återspegla ändringar i Tillämplig Dataskyddslagstiftning.

10.2 Efterlevnad av tredje part som anlitas av CGI

Om en tredje part Behandlar Personuppgifter för CGI:s räkning ska denna tredje part:

  • se till att dess personal som får tillgång till konfidentiell information från CGI och som Behandlar Personuppgifter för CGI:s räkning, fullföljer alla obligatoriska utbildningar om CGI:s efterlevnad (inklusive e-learning om säkerhet och dataskydd) inom 30 dagar efter ikraftträdandedatumet för det avtal som undertecknats mellan CGI och den tredje parten;
  • följa denna Policy och CGI:s säkerhetspolicy och säkerhetsstandarder, utöver andra säkerhetskontroller som ingår i avtal mellan CGI och dess kunder och/eller partner;
  • Behandla Personuppgifter i enlighet med CGI:s dokumenterade instruktioner och för inget annat syfte än det som uttryckligen definierats skriftligen av CGI, såvida det inte krävs enligt tvingande lagstiftning. I sådana fall ska tredje parten omedelbart informera CGI om denna rättsliga skyldighet före Behandlingen;
  • genomföra och upprätthålla lämpliga tekniska, organisatoriska och avtalsmässiga åtgärder för att säkerställa en lämplig skyddsnivå för Personuppgifter och för att förhindra otillåten eller olaglig Behandling av Personuppgifter samt oavsiktlig förlust, förstörelse eller skada av Personuppgifter. Dessa åtgärder ska i) ta hänsyn till de högsta standarderna och de risker som Behandlingen medför, ii) utformas för att genomföra dataskyddsprinciperna på ett effektivt sätt och förse Behandlingen med nödvändiga skyddsåtgärder för att uppfylla kraven i Tillämplig Dataskyddslagstiftning;
  • i den utsträckning som lagen tillåter, meddela CGI om varje begäran om utlämnande av CGI:s Personuppgifter som mottas från en tredje part, en myndighet eller domstol, samt om varje handling och/eller åtgärd avseende Behandlingen av CGI:s Personuppgifter som utreds av myndigheterna;
  • uppfylla varje begäran från CGI om tillgång till, rättelse, blockering, återställande, radering och invändning avseende CGI:s Personuppgifter samt säkerställa portabilitet och rätten att bli glömd;
  • omedelbart underrätta CGI om alla förändringar som kan påverka Behandlingen av CGI:s Personuppgifter;
  • aktivt samarbeta med CGI för att bedöma och dokumentera efterlevnaden av Behandlingen av CGI:s Personuppgifter, inklusive att förse CGI med all information som CGI kan behöva eller kräva för att följa Tillämplig Dataskyddslagstiftning (inklusive all information som krävs för konsekvensbedömningen av överföring ("TIA"));
  • omedelbart skriftligen informera CGI om de anser att en instruktion från CGI rörande Behandlingen av CGI:s Personuppgifter utgör en överträdelse av Tillämplig Dataskyddslagstiftning.
11 – Register över Behandling

Vi för register över Behandlingar som utförs som Personuppgiftsansvarig eller Personuppgiftsbiträde. Vi kommer att säkerställa att varje ny Behandling av Personuppgifter registreras i registret med relevant information om sammanhanget för varje Behandling av Personuppgifter. CGI ska på begäran göra ett eller flera register över Behandlingen tillgängliga för behörig tillsynsmyndighet.

12 – Ändringar av denna Policy

Denna Policy kan komma att ändras från tid till annan för att följa Tillämplig Dataskyddslagstiftning och Lokal Lagstiftning. CGI tillser att de Registrerade informeras om alla väsentliga ändringar av Policyn utan dröjsmål, genom en uppdatering på CGI.com/se, via e-post eller annan lämplig kommunikationsmetod. Om du vill ha en statusuppdatering kan du göra en begäran genom att skicka ett e-postmeddelande till dpo.se@cgi.com.

13 – Organisation för dataskydd - Frågor

CGI har utsett en Chief Privacy Officer som övervakar CGI:s globala dataskyddsstrategi, företagets dataskyddspolicys och processer, efterlevnaden av dataskyddsbestämmelserna, samt ett nätverk av Privacy Business Partners.

CGI Sverige AB har också utsett ett dataskyddsombud i enlighet med Tillämplig Dataskyddslagstiftning.

Om du har frågor eller funderingar om tolkningen eller tillämpningen av denna Policy kan du skicka ett e-postmeddelande till dpo.se@cgi.com eller kontakta dataskyddsombudet på CGI Sverige AB, Dataskyddsombud, 164 98 Kista, Sverige.