GENERAL DATA PROTECTION REGULATION (GDPR) POLITIK
1. Politikerklæring
Hver dag vil vores virksomhed modtage, bruge og gemme personlige oplysninger om vores kunder, leverandører, interviewsøgere og kolleger. Det er vigtigt, at disse oplysninger behandles lovligt og passende i overensstemmelse med kravene i [Databeskyttelsesloven 2018] og den Generelle Databeskyttelsesforordning (samlet benævnt som 'Databeskyttelseskravene').
Vi tager vores databeskyttelsesforpligtelser alvorligt, fordi vi respekterer det tillid, der bliver sat i os til at bruge personlige oplysninger på en passende og ansvarlig måde.
2. Om denne politik
Denne politik og eventuelle andre dokumenter, der henvises til i den, fastlægger grundlaget for, hvordan vi behandler de persondata, vi indsamler eller behandler.
Denne politik udgør ikke en del af nogen ansats ansættelseskontrakt og kan ændres til enhver tid.
Alex Smit er vores databeskyttelsesansvarlige (DPO) og ansvarlig for at sikre virksomhedens overholdelse af databeskyttelseskravene og denne politik. Eventuelle spørgsmål om, hvordan denne politik fungerer, eller eventuelle bekymringer om, at politikken ikke er blevet fulgt, bør først henvendes til DPO'en eller rapporteres i overensstemmelse med vores virksomheds klagepolitik (se Medarbejderhåndbogen).
3. Hvad er Persondata?
Persondata betyder data (uanset om de er gemt elektronisk eller papirbaseret), der vedrører en levende person, der direkte eller indirekte kan identificeres ud fra disse data (eller fra disse data og andre oplysninger, vi besidder).
Behandling er enhver aktivitet, der involverer brug af persondata. Det inkluderer at indhente, registrere eller opbevare data, organisere, ændre, hente, bruge, offentliggøre, slette eller ødelægge det. Behandling inkluderer også overførsel af persondata til tredjeparter.
Følsomme persondata omfatter persondata om en persons racemæssige eller etniske oprindelse, politiske holdninger, religiøse eller filosofiske overbevisninger, fagforeningsmedlemskab, genetiske, biometriske, fysiske eller mentale helbredstilstand, seksuel orientering eller seksuelle liv. Det kan også omfatte data om strafbare handlinger eller domme. Følsomme persondata kan kun behandles under strenge betingelser, herunder med samtykke fra den enkelte.
4. Databeskyttelsesprincipper
Enhver, der behandler persondata, skal sikre, at data er:
a. Behandlet retfærdigt, lovligt og på en gennemsigtig måde.
b. Indsamlet til specifikke, eksplicitte og legitime formål, og enhver yderligere behandling udføres til et kompatibelt formål.
c. Tilstrækkelig, relevant og begrænset til, hvad der er nødvendigt for de tiltænkte formål.
d. Nøjagtig, og hvor det er nødvendigt, holdes opdateret.
e. Opbevaret i en form, der tillader identifikation i ikke længere end nødvendigt for de tiltænkte formål.
f. Behandlet i overensstemmelse med individets rettigheder og på en måde, der sikrer passende sikkerhed af de personlige data, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod utilsigtet tab, ødelæggelse eller skade, ved anvendelse af passende tekniske eller organisatoriske foranstaltninger.
g. Ikke overført til personer eller organisationer beliggende i lande uden tilstrækkelig beskyttelse og uden først at have informeret den enkelte.
5. Retfærdig og Lovlig Behandling
Databeskyttelseskravene har ikke til formål at forhindre behandling af persondata, men at sikre, at det sker retfærdigt og uden at påvirke individets rettigheder negativt.
I overensstemmelse med Databeskyttelseskravene vil vi kun behandle persondata, når det er påkrævet til et lovligt formål. De lovlige formål inkluderer (blandt andet): om individet har givet sit samtykke, behandlingen er nødvendig for at udføre en kontrakt med individet, for at overholde en juridisk forpligtelse eller for virksomhedens legitime interesse. Når følsomme persondata behandles, skal yderligere betingelser være opfyldt.
6. Behandling til Begrænsede Formål
I løbet af vores forretning kan vi indsamle og behandle persondata. Dette kan omfatte data, vi modtager direkte fra en registreret (for eksempel ved at udfylde formularer eller ved at korrespondere med os pr. post, telefon, e-mail eller på anden vis) og data, vi modtager fra andre kilder (herunder blandt andet, lokaliseringsdata, forretningspartnere, underleverandører inden for tekniske, betalings- og leveringstjenester, kreditvurderingsbureauer og andre).
Vi vil kun behandle persondata til de specifikke formål, der er angivet i Bilag 1 eller for andre formål, der specifikt er tilladt i henhold til databeskyttelseskravene. Vi vil underrette de berørte om disse formål, når vi først indsamler dataene, eller så hurtigt som muligt derefter.
7. Underretning af Individer
Hvis vi indsamler persondata direkte fra en person, vil vi informere dem om:
a. Det formål eller de formål, for hvilke vi har til hensigt at behandle disse persondata, samt den retlige grundlag for behandlingen.b. Hvor vi baserer os på virksomhedens legitime interesser for at behandle persondata, de forfulgte legitime interesser.
c. Typerne af tredjeparter, hvis nogen, som vi vil dele eller offentliggøre disse persondata til.
d. Hvordan individer kan begrænse vores brug og offentliggørelse af deres persondata.
e. Oplysninger om den periode, hvor deres oplysninger vil blive gemt, eller de kriterier, der bruges til at afgøre denne periode.
f. Deres ret til at anmode os som dataansvarlige om adgang til og rettelse eller sletning af persondata eller begrænsning af behandling.
g. Deres ret til at gøre indsigelse mod behandling og deres ret til dataportabilitet.
h. Deres ret til at tilbagekalde deres samtykke på ethvert tidspunkt (hvis samtykke blev givet), uden at det påvirker lovligheden af behandlingen inden tilbagekaldelsen af samtykket.
i. Retten til at indgive en klage til Information Commissioners Office.
j. Andre kilder, hvorfra persondata vedrørende individet stammer fra, og om det kom fra offentligt tilgængelige kilder.
k. Hvorvidt fremskaffelsen af persondata er et lovbestemt eller kontraktuelt krav, eller et krav der er nødvendigt for at indgå en kontrakt, samt om individet er forpligtet til at give persondata og eventuelle konsekvenser af manglende levering af data.
Hvis vi modtager persondata om en person fra andre kilder, vil vi give dem disse oplysninger så hurtigt som muligt (udover at fortælle dem om kategorierne af persondata, der er berørt), men senest inden for 1 måned.
Vi vil også informere de registrerede, hvis persondata vi behandler, om at vi er dataansvarlige for disse data, vores kontaktoplysninger og hvem DPO'en er.
8. Tilstrækkelig, Relevant og Ikke-overdreven Behandling
Vi vil kun indsamle persondata i det omfang, det er nødvendigt for det specifikke formål, der er meddelt den registrerede.
9. Nøjagtige Data
Vi vil sikre, at de persondata, vi har, er nøjagtige og opdaterede. Vi vil kontrollere nøjagtigheden af eventuelle persondata på tidspunktet for indsamling og med jævne mellemrum efterfølgende. Vi vil træffe alle rimelige foranstaltninger for at slette eller ændre unøjagtige eller forældede data.
10. Rettidig Behandling
Vi vil ikke opbevare persondata længere end nødvendigt for det formål eller de formål, for hvilke det blev indsamlet. Vi vil træffe alle rimelige foranstaltninger for at ødelægge eller slette fra vores systemer alle data, som ikke længere er påkrævet.
11. Behandling i overensstemmelse med de registreredes rettigheder
Vi vil behandle alle persondata i overensstemmelse med de registreredes rettigheder, især deres ret til at:
a. Bekræftelse af, hvorvidt persondata vedrørende individet behandles eller ej.
b. Anmodning om adgang til eventuelle data, der opbevares om dem af en dataansvarlig.
c. Anmodning om rettelse, sletning eller begrænsning af behandling af deres persondata.
d. Indgive en klage til en tilsynsmyndighed.
e. Gøre indsigelse mod behandling, herunder til direkte markedsføring.
12. Datasikkerhed
Vi vil træffe passende sikkerhedsforanstaltninger mod ulovlig eller uautoriseret behandling af persondata, og mod utilsigtet eller ulovlig destruktion, beskadigelse, tab, ændring, uautoriseret offentliggørelse eller adgang til persondata, der transmitteres, opbevares eller på anden måde behandles. Hvis der sker ulovlig dataoverførsel, vil dette blive undersøgt af den relevante embedsmand, og virksomhedens disciplinære procedurer vil blive anvendt.
Vi vil etablere procedurer og teknologier for at opretholde sikkerheden for alle persondata fra det tidspunkt, hvor midlerne til behandling og datapersons identifikation fastlægges, til datindsamlingen og til destruktion. Persondata vil kun blive overført til en databehandler, hvis han accepterer at overholde disse procedurer og politikker, eller hvis han selv implementerer tilstrækkelige foranstaltninger.
Vi vil opretholde datasikkerheden ved at beskytte fortroligheden, integriteten og tilgængeligheden af persondata, defineret som følger:
a. Fortrolighed betyder, at kun personer, der er autoriseret til at bruge data, kan få adgang til det.
b. Integritet betyder, at persondata skal være nøjagtige og egnet til det formål, som de behandles til.
c. Tilgængelighed betyder, at autoriserede brugere skal kunne få adgang til dataene, hvis de har brug for det til autoriserede formål. Persondata bør derfor opbevares på vores virksomheds centrale computersystem i stedet for individuelle PDer.
Sikkerhedsprocedurer inkluderer:
a. Adgangskontrol. Enhver fremmed, der ses i adgangskontrollerede områder, bør rapporteres.
b. Sikre låsbare skriveborde og skabe. Skriveborde og skabe bør holdes låst, hvis de indeholder fortrolige oplysninger af enhver art. (Personlige oplysninger betragtes altid som fortrolige.)
c. Databegrænsning.
d. Bortskaffelsesmetoder. Papirdokumenter bør makuleres. Digitale lagringsenheder bør fysisk ødelægges, når de ikke længere er nødvendige.
e. Udstyr. Personalet skal sikre, at individuelle skærme ikke viser fortrolige oplysninger til forbipasserende, og at de logger af deres PC, når den forlades ubemærket.
13. Anmodninger om indsigt fra registrerede
Individer skal foretage en formel anmodning om oplysninger, vi har om dem. Medarbejdere, der modtager en anmodning, bør straks videresende den til DPO eller et medlem af HR-afdelingen.
Når vi modtager telefonforespørgsler, vil vi kun videregive persondata, som vi har på vores systemer, hvis følgende betingelser er opfyldt:
a. Vi vil kontrollere opkalders identitet for at sikre, at oplysninger kun gives til en person, der er berettiget til det.
b. Vi vil foreslå, at opkaldere sender deres anmodning skriftligt, hvis vi er usikre på opkalders identitet, og hvor deres identitet ikke kan verificeres.
Når en anmodning foreligger elektronisk, vil data blive leveret elektronisk, hvis det er muligt.
Vores medarbejdere vil henvise en anmodning til deres nærmeste leder for hjælp i vanskelige situationer.
14. Ændringer til denne politik
Vi forbeholder os retten til at ændre denne politik til enhver tid. Hvor det er relevant, vil vi underrette om ændringer via cookie-banner på hjemmesiden.