Privatlivspolitik

Hos Sjølund behandler vi personoplysninger med stor omhu og respekt. Vi prioriterer datasikkerhed højt og sørger for, at alle oplysninger håndteres ansvarligt og i overensstemmelse med gældende lovgivning.

 
1. INTRODUKTION

1.1 Ledelsen i Sjølund ejer og godkender denne politik.

1.2 Hos Sjølund respekterer vi retten til privatliv hos vores kunder, medarbejdere og samarbejdspartnere, og vi anerkender behovet for at implementere tilstrækkelige sikkerhedsforanstaltninger ved behandling af personoplysninger.

1.3 Privatlivslovgivningen regulerer alle forhold vedrørende virksomheders behandling af oplysninger om fysiske personer, herunder kunder, medarbejdere og leverandører, og beskytter disse personer mod uautoriseret opbevaring og behandling af deres data.

1.4 Denne politik beskriver Sjølunds overordnede strategiske mål for behandling og beskyttelse af personoplysninger. Politikken omfatter også retningslinjer for indrapportering af manglende overholdelse til ledelsen. Overtrædelse af politikken kan få ansættelsesmæssige konsekvenser.

2. FORMÅL OG ANVENDELSESOMRÅDE

2.1 Det er Sjølunds mål at sikre og beskytte personoplysninger. Dette gør vi bl.a. ved at:

(i) sikre, at al behandling af personoplysninger sker i overensstemmelse med principperne for lovlig behandling,

(ii) følge instruktioner og praksis udstedt af relevante instanser, herunder Datatilsynet, og

(iii) sikre, at medarbejdere modtager relevant træning i behandling af personoplysninger.

2.2 Sjølund behandler personoplysninger om bl.a. kunder, leverandører og medarbejdere. Formålet med denne politik er at sikre, at Sjølund beskytter personoplysninger og altid overholder gældende lovgivning for at beskytte de oplysninger, virksomheden opbevarer.

3. DEFINITIONER

3.1 Sjølund anvender definitioner af databeskyttelsesrelaterede begreber i overensstemmelse med gældende lovgivning.

3.2 Personoplysninger defineres som enhver form for information om en identificeret eller identificerbar fysisk person. En identificerbar fysisk person er en person, der direkte eller indirekte kan identificeres ved hjælp af en identifikator eller ét eller flere elementer, som — samlet set — er karakteristiske for den pågældende persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet.

3.3 Følsomme personoplysninger omfatter oplysninger om race, etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, fagforeningsforhold, genetiske og biometriske data, helbredsoplysninger samt oplysninger om seksuelle forhold eller orientering.

3.4 ‘Registrerede personer’ refererer til de personer, som de behandlede personoplysninger vedrører.

3.5 Den dataansvarlige er den fysiske eller juridiske person, offentlige myndighed, organisation eller anden instans, der selvstændigt eller i samråd med andre fastlægger formål samt midler til behandling af personoplysninger. Sjølund er dataansvarlig for behandlingen af personoplysninger og fastlægger dermed, til hvilke formål og med hvilke midler de relevante personoplysninger må behandles. Dette vil typisk være tilfældet i forbindelse med behandling af medarbejderoplysninger som led i personaleadministrationen m.v. Den dataansvarlige er ansvarlig for, at behandlingen af personoplysninger sker i overensstemmelse med databeskyttelseslovgivningen og kan ved manglende overholdelse blive pålagt sanktioner, herunder bøder. 

3.6 En databehandler er en fysisk eller juridisk person, offentlige myndighed, organisation eller anden instans, der behandler personoplysninger på vegne af den dataansvarlige.

3.7 Tredjelande er lande uden for EU/EØS. Usikre tredjelande er lande, hvor EU-Kommissionen ikke har vurderet, at beskyttelsesniveauet er tilstrækkeligt.

3.8 Databeskyttelse omtalt i denne privatlivspolitik omfatter alle tekniske og organisatoriske sikkerhedsforanstaltninger, der skal sikre fortrolighed, integritet og tilgængelighed af personoplysninger.

4. PRINCIPPER FOR BEHANDLING AF PERSONOPLYSNINGER

4.1 Alle medarbejdere skal følge principperne for behandling af personoplysninger. Dette indebærer bl.a., at personoplysninger skal behandles lovligt, rimeligt og gennemskueligt og kun indsamles til udtrykkeligt angivne og legitime formål.

4.2 Tilsvarende må behandling af personoplysninger kun finde sted, hvis det er relevant og begrænset til det, der er nødvendigt for de formål, som behandlingen vedrører. Der skal være procedurer, som – ud over at bidrage til, at personoplysningerne er korrekte og ajourførte – sikrer, at personoplysningerne opbevares på en måde, der gør det umuligt at identificere de registrerede længere end nødvendigt i forhold til de formål, hvortil de pågældende oplysninger er indsamlet og behandlet.

4.3 Derudover skal der være procedurer, der sikrer, at personoplysninger behandles på en måde, der giver tilstrækkelig sikkerhed for de pågældende oplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling samt mod hændeligt tab, ødelæggelse eller beskadigelse, ved hjælp af passende tekniske og organisatoriske foranstaltninger.

5. BEHANDLINGSGRUNDLAG, HERUNDER SAMTYKKE

5.1 Al behandling hos Sjølund skal ske på baggrund af et lovligt behandlingsgrundlag. Derfor bør det altid vurderes, hvilket lovligt behandlingsgrundlag der gælder for den pågældende behandling.

5.2 Samtykke er et af de behandlingsgrundlag, der kan anvendes, når Sjølund behandler personoplysninger om fysiske personer.

5.3 Når Sjølund indhenter samtykke til behandling af personoplysninger, er det vigtigt at sikre, at samtykket er givet frivilligt, specifikt og informeret, samt at det udgør en utvetydig tilkendegivelse af, at den pågældende person samtykker til behandlingen af sine personoplysninger.

5.4 Hvis en person har givet samtykke til, at Sjølund behandler personoplysninger om vedkommende, kan den registrerede til enhver tid trække sit samtykke tilbage. Det er vigtigt for Sjølund at det altid respekteres, når en registreret person vælger at tilbagekalde sit samtykke.

5.5 Hvis en registreret person tilbagekalder sit samtykke til et bestemt formål, betyder det, at der ikke længere må foretages behandling af personoplysninger om vedkommende til dette formål.

6. DEN REGISTREREDES RETTIGHEDER

6.1 Det er vigtigt for Sjølund, at alle registrerede personer er informeret om deres rettigheder i forbindelse med behandlingen af personoplysninger.

6.2 Det er desuden et centralt fokuspunkt for Sjølund at sikre, at registrerede personers rettigheder overholdes. Alle medarbejdere, der arbejder med behandling af personoplysninger hos Sjølund, skal derfor være bekendt med omfanget af disse rettigheder og hvordan de håndterer anmodninger fra registrerede personer. Dette er beskrevet i særskilte retningslinjer.

6.3 Alle registrerede personer har ret til indsigt i behandlingen af deres oplysninger, hvis de anmoder herom. Som udgangspunkt har registrerede personer ret til at få oplyst, til hvilke formål personoplysningerne behandles, hvilke kategorier af oplysninger der behandles om dem, og hvem personoplysningerne videregives til. Der kan dog være undtagelser, hvilket betyder, at der i visse situationer kan være begrænsninger i denne ret.

7. BRUG AF DATABEHANDLERE

7.1 Sjølund anvender flere underleverandører, og i nogle tilfælde overføres personoplysninger til disse som led i deres levering af ydelser til Sjølund. Hvis underleverandørerne behandler personoplysninger på vegne af Sjølund, skal dette altid ske efter Sjølunds instrukser, idet de i så fald fungerer som databehandlere. Når vi lader underleverandører behandle personoplysninger som databehandlere, sker dette først, når der er indgået en skriftlig databehandleraftale i overensstemmelse med gældende lovgivning og Sjølunds interne procedurer. På denne måde sikrer vi et højt beskyttelsesniveau for personoplysninger, der lever op til kravene i disse retningslinjer.

7.2 Forudgående vurdering af en ny databehandler indebærer en risikovurdering, hvor de risici, der er forbundet med behandlingen, tages i betragtning – særligt risikoen for hændelig eller ulovlig ødelæggelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger.

8. OVERFØRSEL TIL TREDJELANDE

8.1 Særlige regler er gældende, hvis personoplysninger skal behandles i et usikkert tredjeland. Hvis Sjølund anvender en databehandler i et usikkert tredjeland eller har behov for at videregive personoplysninger til en modtager i et usikkert tredjeland, skal det altid sikres, at det nødvendige overførselsgrundlag foreligger, før overførslen finder sted.

8.2 Det er vigtigt for Sjølund at sikre, at modtageren af personoplysningerne giver de nødvendige garantier for, hvordan de personoplysninger, som Sjølund er dataansvarlig for, behandles ved overførsel til en modtager i et usikkert tredjeland.

9. RISIKOVURDERING OG SIKKERHED

9.1 Ledelsen er ansvarlig for, at der udarbejdes en overordnet risikovurdering af trusler relateret til Sjølunds behandling af personoplysninger.

9.2 I forbindelse med denne risikovurdering skal Sjølund vurdere, hvilke risici behandlingen af personoplysninger udgør for de registrerede personers rettigheder – herunder deres frihedsrettigheder – samt vurdere sandsynligheden for, at risikoen indtræffer, og alvoren af risikoen. Risikovurderingen foretages på baggrund af behandlingens karakter, omfang, sammenhæng og formål og vurderes ud fra objektive kriterier, hvorefter det fastlægges, om behandlingen indebærer en lav eller høj risiko.

9.3 Ved risikovurdering skal der tages højde for risici forbundet med behandling af personoplysninger, herunder risikoen for hændelig eller ulovlig ødelæggelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er overført, lagret eller på anden måde behandlet, og som kan medføre fysisk, materiel eller immateriel skade.

9.4 Den samlede risikovurdering skal munde ud i en angivelse af konkrete tiltag, der kan implementeres hos Sjølund for at sikre et tilstrækkeligt sikkerhedsniveau for databeskyttelse. Tiltagene kan både have til formål at forebygge, at en risiko indtræffer, og reducere konsekvenserne, hvis den gør.

9.5 Den samlede risikovurdering skal opdateres mindst én gang årligt og omfatte alle væsentlige områder inden for databeskyttelse, herunder særligt:

  • Systemkapabiliteter
  • Datastyring
  • Kritiske processer for behandling af personoplysninger
  • Politikker og procedurer
  • Håndtering af databehandleraftaler
  • Håndtering af samtykker og kontraktgrundlag
  • Håndtering af brud på persondatasikkerheden
  • Organisationens viden om databeskyttelsesområdet

9.6 Denne risikovurdering skal danne grundlag for en løbende revurdering af indsatsen på databeskyttelsesområdet.

10. YDERLIGERE RETNINGSLINJER OG PROCEDURER

10.1 Ud over denne politik har Sjølund udarbejdet specifikke retningslinjer og procedurer for behandling af personoplysninger, herunder – men ikke begrænset til – følgende:

(i) Instrukser for medarbejdere

(ii) Slettepolitik

(iii) Overholdelse af oplysningspligter inden for HR-området

(iv) Registrering af behandlingsaktiviteter

(v) Procedurer for håndtering af anmodninger om indsigt og overholdelse af øvrige rettigheder

(vi) Procedurer for håndtering af brud på persondatasikkerheden

(vii) Tekniske sikkerhedsforanstaltninger, herunder retningslinjer for medarbejderes brug af IT

11. OVERHOLDELSE OG KONTAKT

11.1 Denne politik skal sikre, at Sjølund fastlægger klare retningslinjer, som angivet i punkt 10.1, for behandling og beskyttelse af personoplysninger, og at formålet med anvendelsen af personoplysninger altid er tydeligt defineret i alle behandlingssituationer.

11.2 For at sikre, at denne politik understøttes og implementeres har Sjolund udpeget en enhed, der er ansvarlig for at sikre, at retningslinjerne overholdes i virksomheden: HR, IT og Økonomi.

11.3 Hvis der opstår spørgsmål vedrørende indholdet af eller efterlevelsen af retningslinjerne, skal enheden orientere ledelsen herom.

11.4 Manglende overholdelse af specifikke retningslinjer og politikker kan medføre sanktioner over for de pågældende medarbejdere.

12. INDBERETNING

12.1 Ledelsen skal informeres, hvis retningslinjerne i denne politik ikke overholdes, eller hvis der opstår forhold vedrørende politikken, som har betydning for Sjølunds risikoprofil på området for personoplysninger.

12.2 Bestyrelsen skal orienteres på det ordinære bestyrelsesmøde, hvis retningslinjerne i denne politik ikke overholdes, eller hvis der opstår forhold vedrørende politikken, som har betydning for bestyrelsens samlede vurdering af Sjølunds risikoprofil på området for personoplysninger.

13. OPDATERING

13.1 Ledelsen er forpligtet til at revidere denne politik, når det vurderes relevant og mindst én gang om året.

 

PERSONOPLYSNINGER OM KUNDER
1. INDLEDENDE BEMÆRKNINGER

1.1 Formål

1.1.1 Sjolund behandler løbende forskellige personoplysninger om dig elektronisk/automatisk. Derfor er vi forpligtede til at informere dig om de oplysninger, vi indsamler, registrerer, videregiver eller på anden måde behandler om dig.

1.1.2 Når du bruger virksomhedens hjemmeside eller på anden måde kontakter eller interagerer med os, vil virksomheden som dataansvarlig behandle forskellige personoplysninger om dig.

1.1.3 Formålet med behandlingen af dine oplysninger er som udgangspunkt administration af dit kundeforhold, herunder levering af aftalte ydelser, opfyldelse af forpligtelser m.v.

1.1.4 I denne privatlivspolitik kan du derfor læse, hvordan vi behandler oplysninger om dig, når vi opretter dig som kunde, når du kontakter os, og når vi modtager oplysninger om dig fra en tredjepart. Det gælder for alle personoplysninger, der er nævnt nedenfor, og som behandles i overensstemmelse med de retningslinjer og rammer, der følger af databeskyttelseslovgivningen.

1.1.5 Vores hjemmeside anvender ikke cookies eller tilsvarende teknologier til at indsamle eller behandle oplysninger om vores besøgendes brug af hjemmesiden og vores tjenester.

1.1.6 Du er altid velkommen til at kontakte os på sales@sjoelund.dk, hvis du har spørgsmål til vores behandling af personoplysninger. Se også afsnit 8, hvor vi beskriver dine rettigheder og giver yderligere kontaktoplysninger.

2. BEHANDLING AF PERSONOPLYSNINGER I FORHOLD TIL KUNDER M.V.

2.1 Repræsentant for en virksomhed

2.1.1 Når du indgår en aftale med os eller er eksisterende kunde, samarbejdspartner, leverandør m.v., opretter vi en sag om dig og den virksomhed, du repræsenterer, i vores IT-system. Her registrerer vi forskellige personoplysninger, som du som udgangspunkt selv har givet os.

2.1.2 Vi registrerer bl.a. identifikationsoplysninger såsom navn, stilling, seneste arbejdsgiver, kontaktrolle og afdeling samt dine kontaktoplysninger, herunder arbejdstelefonnumre, arbejds-e-mailadresser, aktivitetshistorik og andre oplysninger, du giver os.

2.1.3 Det juridiske grundlag for behandlingen er vores legitime interesse i at kunne opfylde den aftale, vi har indgået med den virksomhed, du repræsenterer, herunder at kunne kontakte dig og levere de aftalte produkter/ydelser. Vi kan også bruge dine kontaktoplysninger i forbindelse med fakturering til virksomheden, som du repræsenterer. Behandlingsgrundlaget er databeskyttelseslovgivningen, jf. databeskyttelsesforordningen (Forordning (EU) 2016/679 af 27. april 2016), artikel 6, stk. 1, litra f

2.1.4 Vi kan kombinere disse oplysninger med data om andre kunder, samarbejdspartnere, leverandører, besøgende på hjemmesiden m.v. for bl.a. at udarbejde statistikker og analyser.

2.1.5 Behandlingsgrundlaget er databeskyttelsesloven § 6, stk. 1, jf. databeskyttelsesforordningen artikel 6, stk. 1, litra f. Vores legitime interesse er muligheden for at optimere vores nuværende ydelser eller udvikle nye.

3. BEHANDLING AF PERSONOPLYSNINGER I ANDRE SAMMENHÆNGE

3.1 Henvendelser

3.1.1 Når du kontakter os, kan din henvendelse indeholde personoplysninger, f.eks. kontaktoplysninger eller oplysninger om din tilknytning til en virksomhed. Vi behandler disse oplysninger for bl.a. at kunne håndtere og besvare din henvendelse.

3.1.2 Behandlingsgrundlaget er databeskyttelsesloven § 6, stk. 1, jf. databeskyttelsesforordningen artikel 6, stk. 1, litra f. Vores legitime interesse er at administrere og besvare din henvendelse.

3.2 Hvis du kontakter os som privatperson som led i et eksisterende kundeforhold, kan behandlingsgrundlaget i stedet være opfyldelsen af vores aftale, jf. databeskyttelsesforordningen artikel 6, stk. 1, litra b.

3.2.1 Hvis du i din henvendelse viser interesse for et af vores produkter, eller kontakter os på vegne af en virksomhed, kan vi registrere dig og de oplysninger, du giver, som en potentiel kunde eller kontaktperson for en virksomhed, så vi kan kontakte dig med relevante oplysninger eller tilbud.

3.2.2 Behandlingsgrundlaget er databeskyttelsesloven § 6, stk. 1, jf. databeskyttelsesforordningen artikel 6, stk. 1, litra f. Vores legitime interesser er (i) potentiel salg af produkter og/eller (ii) at kunne kontakte dig som kontaktperson for en virksomhed.

3.2.3 Vi kan også bruge oplysninger i din henvendelse som led i optimering af vores ydelser eller udvikling af nye, f.eks. ved at udarbejde statistik eller ved anonymisering af henvendelser.

3.2.4 Behandlingsgrundlaget er databeskyttelsesloven § 6, stk. 1, jf. databeskyttelsesforordningen artikel 6, stk. 1, litra f. Vores legitime interesse er optimering og udvikling af vores ydelser.

3.3 Cookies

3.3.1 Vores hjemmeside anvender ikke cookies eller lignende teknologier til at indsamle eller behandle oplysninger om besøgendes brug af hjemmesiden og vores tjenester.

4. OPLYSNINGER MODTAGET FRA TREDJEPART

4.1.1 Nogle gange kan vi modtage personoplysninger om dig fra tredjeparter, f.eks. din arbejdsgiver eller kolleger. Dette kan være dine kontaktoplysninger eller oplysninger om din tilknytning til din arbejdsplads. Vi kan registrere disse oplysninger som et potentielt kundeemne eller som kontaktperson for en virksomhed for at kunne kontakte dig om produkter, tilbud eller i forbindelse med kundepleje.

4.1.2 Vores behandlingsgrundlag for behandlingen af oplysninger som beskrevet i afsnit 4.1.1 er vores berettigede interesser. Vores berettigede interesser er (i) det potentielle salg af vores produkter og/eller ydelser samt (ii) vores interesse i at kunne kontakte dig, eventuelt som kontaktperson for den virksomhed, du repræsenterer. Behandlingsgrundlaget er databeskyttelsesloven § 6, stk. 1, jf. databeskyttelsesforordningen artikel 6, stk. 1, litra f.

4.1.3 Vi kan også anvende oplysninger fra tredjeparter som led i optimering eller udvikling af vores ydelser, eksempelvis ved at udarbejde statistikker eller ved anonymisering af oplysninger.

4.1.4 Vores behandlingsgrundlag for behandlingen af oplysninger som beskrevet i afsnit 4.1.3 er vores berettigede interesse. Vores berettigede interesse er den mulige optimering af vores nuværende ydelser eller udviklingen af nye ydelser, som behandlingen har til formål at understøtte. Behandlingsgrundlaget er databeskyttelsesloven § 6, stk. 1, jf. databeskyttelsesforordningen artikel 6, stk. 1, litra f.

5. MODTAGERE OG VIDEREGIVELSE

5.1 Modtagere

5.1.1 Nogle oplysninger lagres hos vores databehandlere i forbindelse med de drifts- og IT-sikkerhedsopgaver som vi outsourcer (f.eks. backup, hosting af hjemmeside m.v.). Opbevaring hos eksterne databehandlere sker i overensstemmelse med databeskyttelsesforordningen og databeskyttelsesloven, og der er indgået databehandleraftaler, der sikrer, at dine oplysninger ikke videregives til uvedkommende.

5.1.2 Vi videregiver som udgangspunkt ikke personoplysninger til en tredjepart uden dit samtykke, medmindre det kræves ved lov, eller er nødvendigt for at opfylde de formål, der er beskrevet ovenfor. I sådanne tilfælde er behandlingsgrundlaget det samme som angivet under de relevante behandlingsformål.

5.1.3 Dine oplysninger kan i særlige tilfælde videregives til vores eksterne advokater, hvis juridisk bistand kræver indsigt i de relevante personoplysninger, f.eks. i forbindelse med en konkret sag.

6. OPBEVARINGSBEGRÆNSNING

6.1 Slettepolitik

6.1.1 I virksomheden har vi vedtaget en politik, der beskriver, hvordan og hvornår personoplysninger slettes. Hvis du ønsker information om vores slettefrister, kan du kontakte os efter afsnit 8.

6.2 Anmodning om sletning

6.2.1 Når du anmoder om, at dine oplysninger berigtiges eller slettes, vurderer vi, om betingelserne er opfyldt, og hvis det er tilfældet, vil vi rette eller slette oplysningerne hurtigst muligt.

7. DINE RETTIGHEDER

7.1 I henhold til databeskyttelseslovgivningen har du en række rettigheder i forbindelse med vores behandling af dine oplysninger.

7.2 Du har i den forbindelse ret til at:

  • anmode om indsigt i de oplysninger, vi behandler om dig (jf. databeskyttelsesforordningen artikel 15),
  • anmode om, at vi berigtiger de personoplysninger, vi behandler om dig (jf. artikel 16),
  • anmode om sletning af de personoplysninger, vi behandler om dig (jf. artikel 17),
  • anmode om, at vi begrænser behandlingen af dine oplysninger (jf. artikel 18),
  • anmode om dataportabilitet i det omfang, det er relevant (jf. artikel 20), samt gøre indsigelse mod vores behandling af dine oplysninger (jf. artikel 21)
8. KONTAKTOPLYSNINGER

8.1 Hvis du har spørgsmål til ovenstående eller til dine rettigheder efter databeskyttelseslovgivningen, kan du kontakte os på: sales@sjoelund.dk..

Du kan læse mere om databeskyttelseslovgivningen og dine rettigheder hos Datatilsynet på www.datatilsynet.dk. Datatilsynet er den myndighed, der endeligt kan vurdere, om dine oplysninger behandles lovligt, f.eks. i forbindelse med en klage.

Datatilsynets kontaktoplysninger:

Datatilsynet

Borgergade 28, 5.

DK-1300 København K

Telefon: +45 33 19 32 00

E-mail: dt@datatilsynet.dk