GDPR

Persondatapolitik

Vi er ansvarlige for behandlingen af de personoplysninger, som vi modtager fra dig og du er velkommen til at kontakte Dan Wiche, som er dataansvarlig for at høre nærmere.

Oplysningspligt til kunder:

Det skal du vide om vores behandling af dine personoplysninger:

  • Vi er ansvarlige for behandlingen af de personoplysninger, som vi modtager fra dig.
  • At du er velkommen til at kontakte Dan Wiche for at høre nærmere
  • At formålet med behandling af dine personoplysninger er at levere vores varer og tjenesteydelser til dig og din virksomhed jf. databeskyttelsesforordningen artikel 5 stk. 1 b.
  • At retsgrundlaget (hjemlen) for at vi behandler dine personoplysninger er dit samtykke,  jf. databeskyttelsesforordningen artikel 6 stk. 1 a, og/eller den indgåede aftale/kontrakt/bestilling jf. databeskyttelsesforordningen artikel 6 stk. 1 b, og/eller lovgivning  jf. databeskyttelsesforordningen artikel 6 stk. 1 c, og/eller for at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse
  • At personkategorien af de oplysninger vi gemmer, er almindelige (f. eks. navn, adresse)
  • At vi videregiver eller overlader dine personoplysninger til eksterne modtagere, herunder vores databehandlere, rådgivere og til de for opgaven eventuelt nødvendige samarbejdspartnere.
  • Alle vores databehandlere er godkendte i overensstemmelse med EU-kommissionens og databeskyttelsesforordningens krav, hvilket vi på opfordring gerne dokumenterer.
  • At vi har modtaget personoplysninger fra dig selv og eventuelt fra offentligt tilgængelige kilder.
  • At vi opbevarer dine personoplysninger så længe, som det er lovligt i forhold til bogføringsloven, samtykkereglerne, forældelsesreglerne og/eller anden lovgivning.

Du har efter databeskyttelsesforordningen en række rettigheder i forhold til vores behandling af dine personoplysninger. Hvis du vil gøre brug af dine rettigheder, skal du kontakte os.

  • Du har ret til indsigt og berigtigelse, dvs. du kan når som helst anmode om at se dine persondata og berigtige/opdatere oplysningerne.
  • Du har ret til at anmode om sletning, dvs. du kan få dine personoplysninger slettet, medmindre vi af regnskabsmæssige eller juridiske årsager skønner, at det er nødvendigt at beholde dem i en længere periode. Oplysningerne slettes senest, når eventuelle formueretlige krav er forældet.
  • Du har ret til begrænsning af behandling, dvs. du kan styre eventuel begrænsning af behandlingen.
  • Du har ret til indsigelse, dvs. du har i visse tilfælde ret til at gøre indsigelse mod vores ellers lovlige behandling af dine personoplysninger.
  • Du har ret til at få overført oplysninger (dataportabilitet). Det betyder, at du til enhver tid kan hente eller få tilsendt oplysninger.
  • Du kan læse mere om dine rettigheder i Datatilsynets vejledning om de registreredes rettigheder, som du finder på www.datatilsynet.dk.

Klage til Datatilsynet. Hvis du ønsker at klage, vil vi selvfølgelig være glade for, at blive orienteret og gøre hvad vi kan for at gøre dig tilfreds, men du er altid berettiget til at klage direkte til Datatilsynet, Carl Jacobsens Vej 35, 2500 Valby, Tlf. 3319 3200 eller e-mail dt@datatilsynet.dk, se evt. mere på www.datatilsynet.dk.

Ansættelse

Når man bliver ansat, oprettes en personalesag i personalemappen som kun særligt betroede medarbejdere har adgang til. Her registrerer og opbevarer vi de oplysninger, der er nødvendige og relevante i forhold til ansættelsen f.eks.:

  • Navn, privatadresse, mailadresse og telefonnummer
  • Identifikationsoplysninger, herunder cpr. -nummer
  • Dato for ansættelse, arbejdssted og stillingsbetegnelse
  • Arbejdstid
  • Ferie og andet fravær
  • Dokumenter i forbindelse med eventuelle sygemeldinger
  • Løn og pensionsforhold, løntilskud, oplysninger af relevans for lønindeholdelse, udbetaling af løn, herunder lønrefusioner mv.
  • Bankoplysninger
  • Fradrag i lønnen (f.eks. betaling for internet, mobil, medarbejder-pc)
  • Eventuelle oplysninger i forbindelse med arbejdsskader, fleksjob, ansættelse på særlige vilkår, f.eks. ved handicap
  • Personaleadministrative oplysninger, som f.eks. uddannelse og kvalifikationer, kompetenceprofil, jobønsker, medarbejderudviklingssamtaler, bedømmelser, beskæftigelse, tillidshverv, lån af diverse effekter, eventuelle advarsler og lignende
  • Kontaktoplysninger på dine nærmeste pårørende
  • Personalepapirer i øvrigt.

I personalesagen opbevares ansættelseskontrakt og andre relevante oplysninger. Hvis der sker ændringer i oplysningerne, registreres ændringerne. Der kan være særlige situationer, hvor vi håndterer oplysninger, der ikke fremgår af listen ovenfor. Personalesagen findes i et lukket skab. Det er udelukkende følgende personer, der har adgang til din personalemappe: Dan Wiche og Irene Wiche. Hvis oplysningerne ændrer sig, skal vi orienteres om dette, så ændringerne kan registreres.

Rettigheder
Man kan bede om at få indsigt i de personoplysninger, som vi har registreret efter reglerne om indsigtsret. Hvis der er givet samtykke til behandling af en eller flere personoplysninger kan man på ethvert tidspunkt trække samtykket tilbage efter de persondataretlige regler. Medmindre vi har et andet lovligt behandlingsgrundlag, vil de pågældende oplysninger ikke længere kunne behandles af os. Der er en ret til at klage til Datatilsynet over behandling af personoplysninger, hvis man mener, at behandlingen ikke sker efter gældende regler. Man kan finde Datatilsynets kontaktoplysninger på www.datatilsynet.dk. I en række tilfælde skal eller kan vi videregive dine oplysninger til relevante modtagere, f.eks.:

  • SKAT vedr. skattepligtige ydelser
  • Arbejdsmarkedets Tillægspension (ATP)
  • Arbejdsmarkedets Feriefond og Feriekonto
  • Danmarks Statistik
  • Virksomhedens til en hver tid værende pensionskasse
  • Arbejdsskadestyrelsen (anmeldelser om arbejdsskader)
  • Arbejdsgivernes Uddannelsesbidrag (AUB)
  • Virksomhedens til en hver tid værende eksterne revision

I tilfælde af videregivelse vil det ske inden for rammerne af databeskyttelsesreglerne. Vi anvender eksterne databehandlere i forhold til behandling af løn. Vi har en skriftlig databehandleraftale, der sikrer, at gældende regler bliver overholdt. Når en medarbejder ophører/fratræder sendes besked til Dan Wiche som herefter sletter og fjerner adgange.

Oplysningspligt vedrørende jobansøgere

Da vi modtager personoplysninger fra jobansøgere, har vi en oplysningspligt og skal derfor oplyse om at den dataansvarlige altid kan kontaktes og at formålet med at gemme personoplysningerne er at kunne vurdere kvalifikationer i forhold til jobbet. Retsgrundlaget er kontrakt, da det er nødvendigt for arbejdet i forbindelse med indgåelse af en eventuel ansættelseskontrakt, jf. databeskyttelsesforordningen artikel 6 stk. 1 b samt vores legitime interesse i at kunne vurdere, om du er den rette person til jobbet, jf. databeskyttelsesforordningen artikel 6 stk. 1 f. I forbindelse med rekruttering opbevares personoplysninger kun så længe, som det er lovligt i forhold til bogføringsloven, samtykkereglerne, forældelsesreglerne og/eller anden lovgivning. Fører ansøgningen ikke til ansættelse, slettes oplysningerne senest 6 måneder efter afslaget er afsendt.

Underleverandører
Vi opererer ofte med underleveradører i forbindelse med større sager. Vores underleverandører er forpligtede til at følge vores GDPR politik, herunder vores slettepolitik.

Kunder
Vi ønsker at sikre klare retningslinjer for medarbejderne ved at føre en stringent politik omkring behandling og opbevaring af kundedata. Vi opdaterer kundeaftaler/databehandleraftaler efter denne politik. Som supplement til de enkelte kontraktuelle forpligtelser som medarbejderne er underlagt, fungerer denne instruks som yderligere rettesnor for at sikre, at vi kombliante i henhold til persondataforordningen, når vi arbejder med kunders data. Vi opbevarer kunders data i op til 5 år. 

Sletning
Vi sletter dine oplysninger, når der ikke længere er noget sagligt behov for fortsat opbevaring af oplysningerne. Af databeskyttelsesforordningens artikel 5, stk. 1, litra e fremgår det, at personoplysninger skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles. I forhold til personalets oplysninger opbevares disse kun så længe, som det er lovligt i forhold til bogføringsloven, samtykkereglerne, forældelsesreglerne og/eller anden lovgivning og i maksimalt 5 år. I forhold til jobansøgere, der ikke får ansættelse slettes oplysningerne senest 6 måneder efter afslaget er afsendt. Vi har i en slettefrist på 5 år for kundeoplysninger, herunder fakturaer i henhold til bogføringsloven.

Awareness
Ledelsen drøfter løbende GDPR med medarbejderne. Det kan være dialog om oprydning på skriveborde, god e-mail skik, hvilke typer af mails der kan sendes problemfrit osv. Punktet GDPR vil løbende være på møder og alle skal kende GDPR-politikken, instrukser, herunder især beredskabet om sikkerhedsbrud.

Sikkerhedspolitik
Virksomheden har etableret sikkerhedsforanstaltninger og efterlever de krav, der er stillet i forhold til at sikre beskyttelsen af persondata, herunder er følgende sikkerheds tiltag/systemer etableret/sikret:

Firewall
Der er etableret og løbende vedligeholdt en firewall, som sikrer gennemførelse af virksomhedens sikkerhedspolitik, herunder f.eks. spærring for adgang til suspekte hjemmesider.

Opdateringer
Servere og computere ajourføres løbende med sikkerhedsopdateringer, som sikrer mod ondsindet udnyttelse af sårbarheder i de anvendte programmer.

Antivirus
Der er etableret et virusværn, som løbende holdes ajourført .

Internet og e-mail
Opsætning af sikkerhedsindstillingerne i browseren og e-mail programmet på de enkelte computere er etableret, så der opnås den ønskede sikkerhedspolitik omkring websteder, cookies og modtagelse af eksekverbar kode (plug-ins, m.v.).

Overførsel af følsomme data
Sker evt. overførsel via internettet af følsomme persondata herunder også CPR-numre, krypteres de altid. Ligeledes sker der kryptering af overførsel af data hvor opbevaring / behandling foregår efter tilladelse fra datatilsynet. Dette gælder også for overførsel af evt. login oplysninger.

Hjemmesider / kryptering
Kommunikationen via hjemmesider hvor der benyttes persondata sikres ved hjælp af SSL kryptering e.l. Der er mulighed for at implementere forskellige grader af kryptering, herunder også det, der betegnes som “stærk kryptering” (128 bit SSL/TLS-forbindelse). Hvis brugere via hjemmesiden får adgang til personoplysninger – f.eks. om sig selv – skabes der sikkerhed for, at oplysningerne ikke udleveres til uvedkommende. Dette sikres enten med kryptering eller med pinkode / digital signatur

Sletning
Det udføres løbende kontrol med at der gennemføres sletning af personoplysninger, ud fra hvad der er beskrevet i den interne fortegnelse

Adgang
Systemer sættes op, så ansatte kun har adgang til de personoplysninger, som de har brug for i forbindelse med løsning af deres arbejdsopgaver

IT Værktøjer
Systemet sættes op, så det er enkelt for de ansatte at arbejde med kryptering af følsomme personoplysninger og personnumre. Der foretages jævnligt back-up, der gemmes på andre medier/miljøer end produktion, eks.bånd, eksterne backup lokationer og lign.