top of page

Politik – GDPR Databeskyttelsespolitik

 

Du skal læse denne politik, fordi den giver vigtige oplysninger om:

 

  • de databeskyttelsesprincipper, som virksomheden skal overholde;

  • hvad der menes med personlige oplysninger (eller data) og følsomme personlige oplysninger (eller data);

  • hvordan vi indsamler, bruger og (i sidste ende) sletter personoplysninger og følsomme personoplysninger i overensstemmelse med databeskyttelsesprincipperne;

  • hvor der kan findes mere detaljerede privatlivsoplysninger, fx om de personlige oplysninger, vi indsamler og bruger om dig, hvordan de bruges, opbevares og overføres, til hvilke formål, de skridt, der er taget for at holde disse oplysninger sikre, og hvor længe de opbevares;

  • dine rettigheder og forpligtelser i forhold til databeskyttelse; og

  • konsekvenserne af manglende overholdelse af denne politik.

 

  1. Introduktion

 

  1. Firmaet indhenter, opbevarer og bruger personoplysninger (også kaldet data) om jobansøgere og om nuværende og tidligere ansatte, vikarer og vikarer, entreprenører, praktikanter, frivillige og lærlinge til en række specifikke lovlige formål, som angivet i Firmaets meddelelser om databeskyttelse i forbindelse med rekruttering og ansættelse.

 

  1. Denne politik angiver, hvordan vi overholder vores databeskyttelsesforpligtelser og søger at beskytte personlige oplysninger vedrørende vores arbejdsstyrke. Dens formål er også at sikre, at personalet forstår og overholder reglerne for indsamling, brug og sletning af personoplysninger, som de kan have adgang til i løbet af deres arbejde.

 

  1. Vi er forpligtet til at overholde vores databeskyttelsesforpligtelser og til at være kortfattede, klare og gennemsigtige omkring, hvordan vi indhenter og bruger personlige oplysninger vedrørende vores arbejdsstyrke, og hvordan (og hvornår) vi sletter disse oplysninger, når de ikke længere er nødvendige.

 

  1. Firmaets databeskyttelsesansvarlige er ansvarlig for at informere og rådgive firmaet og dets personale om dets databeskyttelsesforpligtelser og for at overvåge overholdelsen af disse forpligtelser og med firmaets politikker. Hvis du har spørgsmål eller kommentarer til indholdet af denne politik, eller hvis du har brug for yderligere oplysninger, skal du kontakte den databeskyttelsesansvarliges e-mail:dpo@confirmsend.co.

 

  1. Omfang

 

  1. Denne politik gælder for personoplysninger om jobansøgere og nuværende og tidligere ansatte, herunder ansatte, vikarer og vikarer, praktikanter, frivillige og lærlinge.

 

  1. Personalet bør henvise til firmaets databeskyttelseserklæring og, hvor det er relevant, til dets andre relevante politikker, herunder i forhold til internet, e-mail og kommunikation, overvågning, sociale medier, informationssikkerhed, dataopbevaring og oplysninger om strafferegistre, som indeholder yderligere information vedr. beskyttelsen af personoplysninger i disse sammenhænge.

 

  1. Vi vil gennemgå og opdatere denne politik regelmæssigt i overensstemmelse med vores databeskyttelsesforpligtelser. Den er ikke en del af nogen medarbejders ansættelseskontrakt, og vi kan ændre, opdatere eller supplere den fra tid til anden. Vi vil cirkulere enhver ny eller ændret politik til personalet, før den vedtages.

 

  1. Definitioner

 

  1. Oplysninger om strafferegistre

betyder personlige oplysninger i forbindelse med straffedomme og lovovertrædelser, påstande, retssager og relaterede sikkerhedsforanstaltninger;

 

  1. Databrud

betyder et brud på sikkerheden, der fører til utilsigtet eller ulovlig ødelæggelse, tab, ændring, uautoriseret videregivelse af eller adgang til personlige oplysninger;

 

  1. Datasubjekt

betyder den person, som de personlige oplysninger vedrører;

 

  1. Personlig information

(nogle gange kendt som personlige data) betyder oplysninger vedrørende en person, som kan identificeres (direkte eller indirekte) ud fra disse oplysninger;

 

  1. Behandling af oplysninger

betyder indhentning, registrering, organisering, lagring, ændring, genfinding, afsløring og/eller ødelæggelse af information, eller brug af eller gør noget med det;

 

  1. Pseudonymiseret

betyder den proces, hvorved personoplysninger behandles på en sådan måde, at de ikke kan bruges til at identificere en person uden brug af yderligere oplysninger, som opbevares adskilt og underlagt tekniske og organisatoriske foranstaltninger for at sikre, at personoplysningerne ikke kan henføres til en identificerbar person;

 

  1. Følsomme personlige oplysninger

(nogle gange kendt som "særlige kategorier af personoplysninger" eller "følsomme personoplysninger") betyder personlige oplysninger om en persons race, etniske oprindelse, politiske holdninger, religiøse eller filosofiske overbevisninger, fagforeningsmedlemskab (eller ikke-medlemskab), genetiske oplysninger, biometriske oplysninger (hvor de bruges til at identificere en person) og oplysninger om en persons helbred, sexliv eller seksuelle orientering.

 

  1. Databeskyttelsesprincipper

 

  1. Firmaet vil overholde følgende databeskyttelsesprincipper ved behandling af personoplysninger:

 

  1. vi vil behandle personoplysninger lovligt, retfærdigt og på en gennemsigtig måde;

 

  1. vi vil kun indsamle personlige oplysninger til specificerede, eksplicitte og legitime formål og vil ikke behandle dem på en måde, der er uforenelig med disse legitime formål;

 

  1. vi vil kun behandle de personoplysninger, der er tilstrækkelige, relevante og nødvendige til de relevante formål;

 

  1. vi vil opbevare nøjagtige og ajourførte personlige oplysninger og tage rimelige skridt for at sikre, at unøjagtige personlige oplysninger slettes eller rettes uden forsinkelse;

 

  1. vi opbevarer personoplysninger i en form, der tillader identifikation af registrerede, ikke længere end nødvendigt for de formål, hvortil oplysningerne behandles; og

 

  1. vi vil træffe passende tekniske og organisatoriske foranstaltninger for at sikre, at personoplysninger opbevares sikkert og beskyttet mod uautoriseret eller ulovlig behandling og mod utilsigtet tab, ødelæggelse eller beskadigelse.

 

  1. Grundlag for behandling af personoplysninger

 

  1. I forhold til enhver behandlingsaktivitet vil vi, inden behandlingen starter første gang, og derefter regelmæssigt mens den fortsætter:

 

  1. gennemgå formålene med den bestemte behandlingsaktivitet og vælge det mest passende lovlige grundlag (eller grundlag) for denne behandling, dvs.

 

  1. at den registrerede har givet sit samtykke til behandlingen;

 

  1. at behandlingen er nødvendig for opfyldelse af en kontrakt, som den registrerede er part i, eller for at tage skridt efter anmodning fra den registrerede forud for indgåelse af en kontrakt;

 

  1. at behandlingen er nødvendig for at overholde en retlig forpligtelse, som virksomheden er underlagt;

 

  1. at behandlingen er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser;

 

  1. at behandlingen er nødvendig for varetagelsen af en opgave, der udføres i samfundets interesse

 

  1. at behandlingen er nødvendig af hensyn til firmaets eller en tredjeparts legitime interesser, undtagen hvor disse interesser tilsidesættes af den registreredes grundlæggende rettigheder og friheder – se punkt 5.2 nedenfor.

 

  1. undtagen hvor behandlingen er baseret på samtykke, sikre os, at behandlingen er nødvendig for formålet med det relevante lovlige grundlag (dvs. at der ikke er nogen anden rimelig måde at opnå dette formål på);

 

  1. dokumentere vores beslutning om, hvilket lovligt grundlag der gælder, for at hjælpe med at demonstrere vores overholdelse af databeskyttelsesprincipperne;

 

 

  1. inkludere oplysninger om både formålene med behandlingen og det lovlige grundlag for den i vores relevante fortrolighedserklæring(er);

 

  1. hvor følsomme personoplysninger behandles, også identificere en lovlig særlig betingelse for behandling af disse oplysninger (se afsnit 6.2.2 nedenfor), og dokumentere den; og

 

  1. hvor oplysninger om strafbare handlinger behandles, også identificere en lovlig betingelse for behandling af disse oplysninger og dokumentere den.

 

  1. Når vi skal afgøre, om virksomhedens legitime interesser er det mest hensigtsmæssige grundlag for lovlig behandling, vil vi:

 

  1. gennemføre en vurdering af legitime interesser (LIA) og føre et register over det for at sikre, at vi kan begrunde vores beslutning;

 

  1. Hvis LIA identificerer en væsentlig indvirkning på privatlivets fred, skal du overveje, om vi også skal udføre en databeskyttelseskonsekvensvurdering (DPIA)

 

  1. holde LIA under revision, og gentage den, hvis omstændighederne ændrer sig; og

 

  1. inkludere oplysninger om vores legitime interesser i vores relevante fortrolighedserklæring(er).

 

  1. Følsomme personoplysninger

 

  1. Følsomme personoplysninger omtales nogle gange som "særlige kategorier af personoplysninger" eller "følsomme personoplysninger".

 

  1. Firmaet kan fra tid til anden have behov for at behandle følsomme personoplysninger. Vi behandler kun følsomme personoplysninger, hvis:

 

  1. vi har et lovligt grundlag for at gøre det som angivet i afsnit 5.1.1 ovenfor, f.eks. er det nødvendigt for udførelsen af ansættelseskontrakten, for at overholde virksomhedens juridiske forpligtelser eller med henblik på virksomhedens legitime interesser; og

 

  1. en af de særlige betingelser for behandling af følsomme personoplysninger gælder, f.eks.

 

  1. den registrerede har givet udtrykkeligt samtykke;

 

  1. behandlingen er nødvendig med henblik på at udøve de ansættelsesretlige rettigheder eller forpligtelser for virksomheden eller den registrerede;

 

  1. behandlingen er nødvendig for at beskytte den registreredes vitale interesser, og den registrerede er fysisk ude af stand til at give samtykke;

 

  1. behandling vedrører personoplysninger, som åbenlyst er offentliggjort af den registrerede;

 

  1. behandlingen er nødvendig for etablering, udøvelse eller forsvar af retskrav; eller

 

  1. behandlingen er nødvendig af hensyn til væsentlige offentlige interesser.

 

  1. Inden der behandles følsomme personoplysninger, skal personalet underrette den databeskyttelsesansvarlige om den påtænkte behandling, således at den datatilsynsførende kan vurdere, om behandlingen er i overensstemmelse med ovennævnte kriterier.

 

  1. Følsomme personoplysninger vil ikke blive behandlet før:

 

  1. vurderingen nævnt i punkt 6.3 har fundet sted; og

 

  1. den enkelte er blevet behørigt informeret (ved hjælp af en fortrolighedsmeddelelse eller på anden måde) om behandlingens art, de formål, hvortil den udføres, og det juridiske grundlag for den.

 

  1. Firmaet vil ikke udføre automatiseret beslutningstagning (herunder profilering) baseret på en persons følsomme personoplysninger.

 

  1. Firmaets databeskyttelseserklæring angiver, hvilke typer af følsomme personoplysninger, som virksomheden behandler, hvad de bruges til og det lovlige grundlag for behandlingen.

 

  1. I forhold til følsomme personoplysninger vil firmaet overholde de procedurer, der er angivet i afsnit 6.8 og 6.9 nedenfor for at sikre, at det overholder databeskyttelsesprincipperne angivet i afsnit 4 ovenfor.

 

  1. Under rekrutteringsprocessen: Officer Manageren, med vejledning fra den databeskyttelsesansvarlige, vil sikre, at (medmindre loven tillader andet):

 

  1. under udvælgelses-, interview- og beslutningsfasen stilles der ingen spørgsmål vedrørende følsomme personlige oplysninger, f.eks. race eller etnisk oprindelse, fagforeningsmedlemskab eller sundhed;

 

  1. hvis der modtages følsomme personoplysninger, f.eks. ansøgeren afgiver dem uden at blive bedt om det i sit CV eller under samtalen, føres der ikke noget register over dem, og enhver henvisning hertil slettes eller slettes straks.

 

  1. enhver udfyldt formular til overvågning af lige muligheder holdes adskilt fra den enkeltes ansøgningsskema og kan ikke ses af den person, der udvælger, interviewer eller træffer ansættelsesbeslutningen;

 

  1. "ret til arbejde"-tjek udføres, før et tilbud om ansættelse gives ubetinget, og ikke under de tidligere udvælgelses-, samtale- eller beslutningsfaser;

 

  1. vi stiller ikke helbredsspørgsmål i forbindelse med rekruttering eller stiller først helbredsspørgsmål, når der er afgivet tilbud om ansættelse.

 

  1. Under ansættelsen: Kontorchefen, med vejledning fra den databeskyttelsesansvarlige, behandler:

 

  1. helbredsoplysninger med det formål at administrere sygedagpenge, føre sygefraværsjournaler, overvåge personaledeltagelse og lette beskæftigelsesrelaterede sundheds- og sygdomsydelser;

 

  1. følsomme personoplysninger med henblik på ligestillingsovervågning og lønlighedsrapportering. Hvor det er muligt, vil disse oplysninger blive anonymiseret; og

 

  1. fagforeningsmedlemskabsoplysninger med henblik på personaleadministration og administration af 'check off'.

 

 

  1. Oplysninger om strafferegistre

 

  1. Oplysninger om strafferegistre vil blive behandlet i overensstemmelse med firmaets oplysningspolitik om strafferegistre.

 

  1. Databeskyttelseskonsekvensvurderinger (DPIA'er)

 

  1. Hvor behandlingen sandsynligvis vil resultere i en høj risiko for en persons databeskyttelsesrettigheder (f.eks. hvor virksomheden planlægger at bruge en ny form for teknologi), vil vi, før behandlingen påbegyndes, udføre en DPIA for at vurdere:

 

  1. om behandlingen er nødvendig og forholdsmæssig i forhold til dens formål;

 

  1. risici for enkeltpersoner; og

 

  1. hvilke foranstaltninger der kan iværksættes for at imødegå disse risici og beskytte personlige oplysninger.

 

  1. Inden nogen ny form for teknologi introduceres, bør den ansvarlige leder derfor kontakte den databeskyttelsesansvarlige, for at en DPIA kan gennemføres.

 

  1. I løbet af enhver DPIA vil partneren søge råd fra den databeskyttelsesansvarlige og synspunkter fra og eventuelle andre relevante interessenter.

 

  1. Dokumentation og optegnelser

 

  1. Vi vil føre skriftlige optegnelser over behandlingsaktiviteter, der er højrisiko, dvs. som kan resultere i en risiko for enkeltpersoners rettigheder og friheder eller involvere følsomme personoplysninger eller oplysninger om strafferegistre, herunder:

 

  1. navn og oplysninger om arbejdsgiverorganisationen (og, hvor det er relevant, andre registeransvarlige, arbejdsgiverens repræsentant og DPO)

 

  1. formålene med behandlingen;

 

  1. en beskrivelse af kategorierne af enkeltpersoner og kategorier af personoplysninger;

 

  1. kategorier af modtagere af personoplysninger;

 

  1. hvor det er relevant, detaljer om overførsler til tredjelande, herunder dokumentation for den eksisterende overførselsmekanisme

 

  1. hvor det er muligt, opbevaringsplaner; og

 

  1. hvor det er muligt, en beskrivelse af tekniske og organisatoriske sikkerhedsforanstaltninger.

 

  1. Som en del af vores registrering af behandlingsaktiviteter dokumenterer vi eller linker til dokumentation på:

 

  1. oplysninger, der kræves til fortrolighedsmeddelelser;

 

  1. registreringer af samtykke;

 

  1. kontrakter til dataansvarlig-behandler;

 

  1. placeringen af personlige oplysninger;

 

  1. DPIA'er; og

 

  1. registreringer af databrud.

 

  1. Hvis vi behandler følsomme personoplysninger eller oplysninger om strafferegistre, fører vi skriftlige optegnelser over:

 

  1. det eller de relevante formål, som behandlingen finder sted til, herunder (hvor det er nødvendigt, hvorfor det er nødvendigt til det formål;

 

  1. det lovlige grundlag for vores behandling; og

 

  1. om vi beholder og sletter personoplysningerne i overensstemmelse med vores politikdokument og, hvis ikke, årsagerne til ikke at følge vores politik.

 

  1. Vi vil foretage regelmæssige gennemgange af de personoplysninger, vi behandler, og opdatere vores dokumentation i overensstemmelse hermed. Dette kan omfatte:

 

  1. udførelse af informationsrevisioner for at finde ud af, hvilke personlige oplysninger virksomheden har;

 

  1. distribuere spørgeskemaer og tale med personale på tværs af virksomheden for at få et mere komplet billede af vores behandlingsaktiviteter; og

 

  1. gennemgang af vores politikker, procedurer, kontrakter og aftaler for at behandle områder som opbevaring, sikkerhed og datadeling.

 

  1. Bekendtgørelse om beskyttelse af personlige oplysninger

 

  1. Firmaet vil fra tid til anden udstede meddelelser om beskyttelse af personlige oplysninger og informere dig om de personlige oplysninger, som vi indsamler og opbevarer vedrørende dig, hvordan du kan forvente, at dine personlige oplysninger bliver brugt og til hvilke formål.

 

  1. Vi vil træffe passende foranstaltninger for at give oplysninger i fortrolighedsmeddelelser i en kortfattet, gennemsigtig, forståelig og let tilgængelig form, ved at bruge et klart og klart sprog.

 

  1. Individuelle rettigheder

 

  1. Du (i lighed med andre registrerede) har følgende rettigheder i forhold til dine personoplysninger:

 

  1. at blive informeret om hvordan, hvorfor og på hvilket grundlag disse oplysninger behandles - se firmaets meddelelse om databeskyttelse;

 

  1. for at få bekræftelse på, at dine oplysninger behandles, og for at få adgang til dem og visse andre oplysninger ved at fremsætte en anmodning om adgang til emnet – se firmaets politik for anmodning om emneadgang;

 

  1. at få rettet data, hvis de er unøjagtige eller ufuldstændige;

 

  1. at få slettet data, hvis de ikke længere er nødvendige til det formål, hvortil de oprindeligt blev indsamlet/behandlet, eller hvis der ikke er nogen tvingende legitime grunde til behandlingen (dette er nogle gange kendt som 'retten til at blive glemt');

 

  1. at begrænse behandlingen af personoplysninger, hvor nøjagtigheden af oplysningerne anfægtes, eller behandlingen er ulovlig (men du ikke ønsker, at oplysningerne skal slettes), eller hvor arbejdsgiveren ikke længere har brug for personoplysningerne, men du kræver, at dataene skal etablere, udøve eller forsvare et retskrav; og

 

  1. at begrænse behandlingen af personoplysninger midlertidigt, hvor du ikke mener, den er korrekt (og arbejdsgiveren kontrollerer, om den er korrekt), eller hvor du har gjort indsigelse mod behandlingen (og arbejdsgiveren overvejer, om organisationens legitime grunde tilsidesætter dine interesser ).

 

  1. Hvis du ønsker at udøve nogen af rettighederne i afsnit 11.1.3 til 11.1.6, bedes du kontakte den databeskyttelsesansvarlige.

 

  1. Individuelle forpligtelser

 

  1. Enkeltpersoner er ansvarlige for at hjælpe virksomheden med at holde deres personlige oplysninger ajour. Du bør give Office Manager besked, hvis de oplysninger, du har givet til Firmaet, ændrer sig, for eksempel hvis du flytter eller ændrer oplysningerne på den bank- eller byggeforeningskonto, du bliver betalt til.

 

  1. Du kan have adgang til de personlige oplysninger om andre medarbejdere, leverandører og kunder i virksomheden i løbet af din ansættelse eller engagement. Hvis det er tilfældet, forventer firmaet, at du hjælper med at opfylde sine databeskyttelsesforpligtelser over for disse personer. For eksempel skal du være opmærksom på, at de også kan nyde godt af de rettigheder, der er beskrevet i afsnit 11.1 ovenfor

 

 

  1. Hvis du har adgang til personlige oplysninger, skal du:

 

  1. kun få adgang til de personlige oplysninger, som du har autoritet til at få adgang til, og kun til autoriserede formål;

 

  1. kun tillade andet firmapersonale at få adgang til personlige oplysninger, hvis de har passende autorisation;

 

  1. tillade kun personer, der ikke er firmaets personale, at få adgang til personlige oplysninger, hvis du har specifik bemyndigelse til at gøre det fra den databeskyttelsesansvarlige;

 

  1. holde personlige oplysninger sikre (f.eks. ved at overholde regler om adgang til lokaler, computeradgang, adgangskodebeskyttelse og sikker fillagring og destruktion og andre forholdsregler angivet i virksomhedens informationssikkerhedspolitik;

 

  1. ikke fjerne personlige oplysninger eller enheder, der indeholder personlige oplysninger (eller som kan bruges til at få adgang til dem), fra virksomhedens lokaler, medmindre passende sikkerhedsforanstaltninger er på plads (såsom pseudonymisering, kryptering eller adgangskodebeskyttelse) for at sikre oplysningerne og enheden; og

 

  1. ikke gemme personlige oplysninger på lokale drev eller på personlige enheder, der bruges til arbejdsformål;

 

  1. Du bør kontakte den databeskyttelsesansvarlige, hvis du er bekymret eller har mistanke om, at et af følgende har fundet sted (eller finder sted eller sandsynligvis vil finde sted):

 

  1. behandling af personoplysninger uden et lovligt grundlag for deres behandling eller, i tilfælde af følsomme personoplysninger, uden at en af betingelserne i punkt 6.2.2 er opfyldt;

 

  1. ethvert databrud som angivet i afsnit 15.1 nedenfor;

 

  1. adgang til personlige oplysninger uden den rette autorisation;

 

  1. personlige oplysninger, der ikke opbevares eller slettes sikkert;

 

  1. fjernelse af personlige oplysninger eller enheder, der indeholder personlige oplysninger (eller som kan bruges til at få adgang til dem), fra virksomhedens lokaler, uden at passende sikkerhedsforanstaltninger er på plads;

 

  1. ethvert andet brud på denne politik eller af nogen af databeskyttelsesprincipperne angivet i afsnit 4.1 ovenfor.

 

  1. Informationssikkerhed

 

  1. Firmaet vil anvende passende tekniske og organisatoriske foranstaltninger i overensstemmelse med firmaets informationssikkerhedspolitik for at holde personlige oplysninger sikre, og især for at beskytte mod uautoriseret eller ulovlig behandling og mod hændeligt tab, ødelæggelse eller beskadigelse. Disse kan omfatte:

 

  1. at sikre, at personlige oplysninger, hvor det er muligt, pseudonymiseres eller krypteres;

 

  1. sikring af den løbende fortrolighed, integritet, tilgængelighed og modstandsdygtighed af behandlingssystemer og tjenester;

 

  1. at sikre, at tilgængelighed og adgang til personlige oplysninger i tilfælde af en fysisk eller teknisk hændelse kan genoprettes rettidigt; og

 

  1. en proces til løbende at teste, vurdere og evaluere effektiviteten af tekniske og organisatoriske foranstaltninger til sikring af behandlingens sikkerhed.

 

  1. Hvor firmaet bruger eksterne organisationer til at behandle personoplysninger på dets vegne, skal der implementeres yderligere sikkerhedsordninger i kontrakter med disse organisationer for at beskytte personoplysningernes sikkerhed. Især skal kontrakter med eksterne organisationer indeholde følgende bestemmelser:

 

  1. organisationen må kun handle efter skriftlige instruktioner fra firmaet;

 

  1. de, der behandler dataene, er underlagt en tillidspligt;

 

  1. der træffes passende foranstaltninger for at sikre behandlingens sikkerhed;

 

  1. underleverandører ansættes kun med firmaets forudgående samtykke og i henhold til en skriftlig kontrakt;

 

  1. organisationen vil bistå firmaet med at give personer adgang og give enkeltpersoner mulighed for at udøve deres rettigheder i forhold til databeskyttelse;

 

  1. organisationen vil bistå virksomheden med at opfylde sine forpligtelser i forhold til behandlingssikkerhed, underretning om databrud og databeskyttelseskonsekvensvurderinger;

 

  1. organisationen vil slette eller returnere alle personlige oplysninger til firmaet som anmodet i slutningen af kontrakten; og

 

  1. organisationen vil underkaste sig revisioner og inspektioner, give virksomheden de oplysninger, den har brug for for at sikre, at de begge opfylder deres databeskyttelsesforpligtelser, og straks fortælle virksomheden, hvis den bliver bedt om at gøre noget, der overtræder databeskyttelsesloven.

 

  1. Før en ny aftale, der involverer en ekstern organisations behandling af personoplysninger, indgås, eller en eksisterende aftale ændres, skal det relevante personale søge godkendelse af dens vilkår hos den databeskyttelsesansvarlige;

 

  1. Opbevaring og opbevaring af personlige oplysninger

 

  1. Personlige oplysninger (og følsomme personlige oplysninger) vil blive opbevaret sikkert i overensstemmelse med virksomhedens informationssikkerhedspolitik.

 

  1. Personoplysninger (og følsomme personoplysninger) bør ikke opbevares længere end nødvendigt. Hvor længe data skal opbevares, afhænger af omstændighederne, herunder årsagerne til, at personoplysningerne blev indhentet. Personalet bør følge virksomhedens politik for opbevaring af arkiver, som angiver den relevante opbevaringsperiode eller de kriterier, der skal bruges til at bestemme opbevaringsperioden. Hvis der er usikkerhed, bør personalet konsultere [den databeskyttelsesansvarlige;

 

  1. Personlige oplysninger (og følsomme personlige oplysninger), der ikke længere er nødvendige, slettes permanent fra vores informationssystemer, og eventuelle papirkopier vil blive destrueret sikkert.

 

  1. Databrud

 

  1. Et databrud kan have mange forskellige former, for eksempel:

 

  1. tab eller tyveri af data eller udstyr, hvorpå personlige oplysninger er gemt;

 

  1. uautoriseret adgang til eller brug af personlige oplysninger enten af et medlem af personalet eller tredjepart;

 

  1. tab af data som følge af en udstyrs- eller systemfejl (inklusive hardware og software);

 

  1. menneskelige fejl, såsom utilsigtet sletning eller ændring af data;

 

  1. uforudsete omstændigheder, såsom brand eller oversvømmelse;

 

  1. bevidste angreb på it-systemer, såsom hacking, vira eller phishing-svindel; og

 

  1. 'blagging' lovovertrædelser, hvor oplysninger indhentes ved at vildlede den organisation, der ligger inde med dem.

 

  1. Firmaet vil:

 

  1. indgive den påkrævede anmeldelse af et databrud til informationskommissærens kontor uden unødig forsinkelse og, hvor det er muligt, inden for 72 timer efter at have fået kendskab til det, hvis det er sandsynligt, at det vil medføre en risiko for enkeltpersoners rettigheder og friheder; og

 

  1. underrette de berørte personer, hvis et databrud sandsynligvis vil resultere i en høj risiko for deres rettigheder og friheder, og underretning er påkrævet ved lov.

 

  1. Internationale overførsler

 

  1. Firmaet kan overføre personoplysninger uden for Det Europæiske Økonomiske Samarbejdsområde (EØS) (som omfatter landene i Den Europæiske Union og Island, Liechtenstein og Norge) på grundlag af, at det pågældende land, territorium eller organisation er udpeget til at have et tilstrækkeligt beskyttelsesniveau eller at den organisation, der modtager oplysningerne, har ydet tilstrækkelige sikkerhedsforanstaltninger i form af bindende virksomhedsregler eller standarddatabeskyttelsesklausuler eller overholdelse af en godkendt adfærdskodeks eller med kundens udtrykkelige samtykke.

 

  1. Uddannelse

 

  1. Firmaet vil sikre, at personalet er tilstrækkeligt uddannet i deres databeskyttelsesansvar. Personer, hvis roller kræver regelmæssig adgang til personlige oplysninger, eller som er ansvarlige for at implementere denne politik eller svare på anmodninger om emneadgang i henhold til denne politik, vil modtage yderligere træning for at hjælpe dem med at forstå deres pligter, og hvordan de skal overholde dem.

 

  1. Konsekvenser af manglende overholdelse

 

  1. Firmaet tager overholdelse af denne politik meget alvorligt. Manglende overholdelse af politikken:

 

  1. sætter de personer, hvis personlige oplysninger behandles, i fare; og

 

  1. bærer risikoen for betydelige civile og strafferetlige sanktioner for den enkelte og virksomheden; og

 

  1. kan under visse omstændigheder udgøre en strafbar handling af den enkelte.

 

  1. På grund af vigtigheden af denne politik kan en medarbejders manglende overholdelse af ethvert krav i den føre til disciplinære handlinger i henhold til vores procedurer, og denne handling kan resultere i afskedigelse på grund af grov forseelse. Hvis en ikke-medarbejder bryder denne politik, kan vedkommende få deres kontrakt opsagt med øjeblikkelig virkning.

 

  1. Hvis du har spørgsmål eller bekymringer om noget i denne politik, så tøv ikke med at kontakte den databeskyttelsesansvarlige;

 

 

 

Jeg har læst og forstået denne politik og accepterer at overholde dens vilkår.

 

Underskrevet................................................. ................................................................ .

bottom of page