Persondataforordning
Som kunde eller leverandør til Depot Sydfyn, skal vi oplyse dig om, at vi registrerer personoplysninger omkring dig og de af dine ansatte, som vi har kontakt med. Disse oplysninger kan være navn, telefonnr. og e-mail-adresse.
Vi skal derfor oplyse jer om, at de registrerede ifølge EU’s databeskyttelsesforordningen har følgende rettigheder:
- Retten til at modtage oplysning om behandling af deres personoplysninger (oplysningspligt).
- Retten til at få indsigt i deres personoplysninger.
- Retten til at få urigtige personoplysninger rettet.
- Retten til at få deres personoplysninger slettet.
- Retten til at gøre indsigelse mod at personoplysninger anvendes til direkte markedsføring.
- Retten til at gøre indsigelse mod automatiske individuelle afgørelser, herunder profilering.
- Retten til at flytte deres personoplysninger (dataportabilitet).
- Retten til at klage til Datatilsynet.
Du kan se hele vores persondatapolitik nedenfor
Persondatapolitik for Depot Sydfyn
- Formål
- Formålet med dette dokument er at dokumentere, at Depot Sydfyn (herefter ”depotet”) overholder kravene til behandling af personoplysninger.
- Depotet behandler personoplysninger om sine kunder, ansatte og leverandører, dvs. primært almindelige personoplysninger, dog behandles oplysninger om cpr. nr. for ansatte, som ifølge den danske datalovgivning skal behandles i lighed med følsomme oplysninger. Al behandling sker som et naturligt og nødvendigt led i vores formål og i kunders, leverandørers og ansattes.
- Depotet er fast besluttet på at tage databeskyttelse alvorligt og overholde Databeskyttelseslovgivningen. Vi ønsker, at kunder, ansatte og leverandører skal føle sig trygge ved, at vi bruger oplysningerne korrekt og behandler personoplysninger fortroligt og sikkert.
- Alle medarbejdere, der behandler personoplysninger er bekendte med denne politik.
- Databeskyttelsesrådgiver (DPO)
- Af særlig følsomme oplysninger behandler depotet kun oplysninger om cpr.nr. for ansatte, så det betragtes ikke som en del af virksomhedens kerneaktivitet og der behandles ikke persondata i stort omfang, så vi vurderes ikke, at depotet skal have en databeskyttelsesrådgiver tilknyttet.
- Kontaktoplysninger på den dataansvarlige
- Depot Sydfyn, Skerningegårdsvej 12, 5762 Vester Skerninge. CVR.nr. 20087749, Tlf. +45 21 44 72 38, e-mail: depotsydfyn@gmail.dk, website: www.depotsydfyn.dk
- Ansvar for politikken
- Ejeren af virksomheden er ansvarlig for denne politik. Ejeren kan udstede supplerende retningslinjer for overholdelse af politikken, herunder fx om håndtering af de registreredes rettigheder og anden dokumentation.
- Depotet er ikke forpligtet til at føre en fortegnelse over behandlingsaktiviteter, da depotet ikke behandler følsomme personoplysninger, ikke har over 250 medarbejdere og behandler persondata lejlighedsvist.
- Depotet er ansvarlig for at sikre, at persondatapolitikken overholdes i det daglige arbejde.
- Depotet opretholder den dokumentation for overholdelse af reglerne, samt indarbejder de daglige arbejdsprocesser, som er nødvendig for en korrekt efterlevelse af persondatapolitikken.
- Personoplysninger
- Personoplysninger er enhver information om en identificeret eller identificerbar fysisk person. Eksempler herpå er et navn, adresse, CPR.nr., kundenr., løn, telefonnr. og e-mailadresse.
- Når depotet behandler personoplysninger overholder vi altid følgende grundlæggende regler:
- Vi har saglig, legitimt formål med at behandle personoplysninger, og evt. senere brug er ikke uforeneligt med det formål.
- Vi behandler kun relevante, tilstrækkelige personoplysninger (”need to have”) og laver nødvendig ajourføring for at sikre korrekte personoplysninger over tid.
- Vi sletter alle personoplysninger, når formålet ikke længere er til stede og opbevaring ikke ellers er krævet ved lov mv. Depotet har udarbejdet en særskilt slettepolitik, som alle ansatte skal efterleve. 4) Vi har et gyldigt behandlingsgrundlag, som primært vil være kontraktsopfyldelse (almindelige oplysninger og myndighedsudøvelse (cpr.nr.). Depotet sikrer, at de registrerede har adgang til at udnytte deres rettigheder efter Databeskyttelseslovgivningen, fx ved at give lovpligtige oplysninger til kunder og leverandører i forbindelse med at der indledes et samarbejde og til medarbejdere ved ansættelse.
- Depotet vil desuden oplyse de registrerede om deres rettigheder på hjemmesiden og som en fast signatur i e-mail-korrespondancen med samarbejdskunder. Ansatte får oplyst deres rettigheder som bilag til deres ansættelseskontrakt.
- Vi overholder de registreredes rettigheder.
- Depotet opbevarer kun personoplysninger så længe det er nødvendigt af hensyn til de formål, hvortil de pågældende personoplysninger behandles, herunder også ifølge lovgivningen.
-
Depotet har IT-sikkerhed omkring behandlingen.
- Persondatabeskyttelse er ikke mulig uden tilstrækkelig IT-sikkerhed. Oplysninger om ansatte kan kun tilgås ved hjælp af Digital Signatur, som kun ejer har adgangskode til. Oplysninger om kunder og leverandører kan kun tilgås via bogføringssystem, som kun ejer og bogholder har adgang til.
- Depotet indtænker databeskyttelse, når vi laver nye processer, IT-systemer mv. med personoplysninger.
- Depotet bruger kun troværdige og sikre databehandlere, herunder revisor, skat og andre offentlige myndigheder samt følger årligt op på databehandlere.
- Depotet varetager ikke overførsler til eller fra tredjelande.
- Vi kan dokumentere, hvad vi gør med personoplysninger (ansvarlighed).
- De registreredes vigtigste rettigheder efter databeskyttelsesforordningen er:
- Retten til at modtage oplysning om behandling af deres personoplysninger (oplysningspligt).
- Retten til at få indsigt i deres personoplysninger.
- Retten til at få urigtige personoplysninger rettet.
- Retten til at få deres personoplysninger slettet.
- Retten til at gøre indsigelse mod at personoplysninger anvendes til direkte markedsføring.
- Retten til at gøre indsigelse mod automatiske individuelle afgørelser, herunder profilering.
- Retten til at flytte deres personoplysninger (dataportabilitet).6) Insigtsprocedurer
- I tilfælde af at den registrerede kræver indsigt i sine oplysninger, vil depotet straks – og senest inden for 1 uge efter anmodningen om insigt, udlevere alle oplysninger, der er registreret om den registrerede.
- Risikovurdering
- Fortrolighed: Det vurderes, at tab af fortrolighed vil have en minimal indflydelse på de registreredes rettigheder og frihedsrettigheder. Personoplysningerne vedrørende kunder og leverandører, vil ofte være offentligt tilgængelige. Personoplysninger vedrørende ansatte er ikke tilgængelige for andre end ejer.
- Integritet: Det vurderes, at tab af integritet ikke vil have nogen nævneværdig indflydelse på de registreredes rettigheder og frihedsrettigheder.
- Tilgængelighed: Det vurderes, at tab af tilgængelighed ikke vil have nogen nævneværdig indflydelse på de registreredes rettigheder og frihedsrettigheder.
- Brud på persondatalovgivningen
- Tilfælde af brud på persondatalovgivningen, som medfører en risiko for den registreredes rettigheder vil depotet straks – og senest inden for 72 timer – anmelde bruddet til Datatilsynet via Virk.dk. Hvis bruddet har høj risiko for den registreredes rettigheder vil depotet tillige underrette den registrerede straks efter bruddet er opdaget. Der vil i alle tilfælde af brud blive udarbejdet en dokumentation for omstændighederne, konsekvenser og afhjælpende foranstaltninger ved et evt. brud.
- Medarbejderes ansvar
- Det er vigtigt, at medarbejdere på depotet altid sikrer, at politikker og retningslinjer for håndtering af personoplysninger overholdes.
- Som medarbejder har man derfor også et ansvar for at sikre, at personoplysninger bliver behandlet i overensstemmelse med Databeskyttelseslovgivningen.
- Bliver medarbejdere opmærksomme på forhold, der kan medføre en risiko for brud på persondatasikkerheden eller behandling af oplysninger i strid med Databeskyttelseslovgivningen er medarbejderen forpligtet til at reagere og gøre ejer opmærksom herpå.
- Træning og uddannelse af medarbejdere
- Alle nye ansatte skal være bekendte med denne samt andre relevante politikker vedrørende depotets persondatabehandling.
- Revision
- Denne politik samt efterlevelse af den revideres årligt ved årets udgang.
- Ikrafttræden
- Denne persondatapolitik gælder fra den 25. maj 2018.
Depotet kan til enhver tid ændre denne politik, såfremt omstændighederne taler for det.