Denne politik fastsætter de interne regler for den dataansvarliges databehandlingsaktiviteter med henblik på at overholde EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 95/46/EF (generel forordning om databeskyttelse).

 

Udfærdiget i Budapest, den 24. maj 2018.

 

 

Dataansvarlig data

 

 

Navn: BGR Central Europe Kft.
Adresse: 1047 Budapest, Perényi Zsigmond utca 10. 2. sal 2.
Virksomhedens registreringsnummer: 01-09-404629
Registreret: Fővárosi Törvényszék Cégbírósága
Skattenummer: 32054527-2-41
Bankkontonummer: CIB
Telefonnummer: 06-30-285-1856

E-mail: hello (at) baseballsapka.hu

 

 

 

 

 I. KAPITEL 2

GENERELLE BESTEMMELSER

 

 

Reglernes formål og anvendelsesområde

 

  1. Formålet med denne politik er at fastlægge interne regler og foranstaltninger for at sikre, at den dataansvarliges og databehandlerens aktiviteter er i overensstemmelse med EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2016/679 af 27. april 2016.) om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 95/46/EF (generel forordning om databeskyttelse, i det følgende benævnt "forordningen") - og bestemmelserne i lov CXII af 2011 om retten til informationel selvbestemmelse og informationsfrihed (i det følgende benævnt "Infotv.").

 

  1. Denne politik dækker den dataansvarliges behandling af personoplysninger om fysiske personer.

 

  1. Kunder, kunder, kunder og leverandører til selvstændige erhvervsdrivende, enkeltmandsvirksomheder, enkeltmandsvirksomheder og selvstændige landbrugere betragtes som fysiske personer i forbindelse med disse regler.

 

  1. Politikkens anvendelsesområde dækker ikke behandling af personoplysninger vedrørende juridiske personer, herunder den juridiske persons navn og form og den juridiske persons kontaktoplysninger (GDPR (14)).

 

Definitioner

 

  1. I forbindelse med disse forordninger er de definitioner, der skal anvendes, fastsat i forordningens artikel 4. De vigtigste definitioner er fremhævet i overensstemmelse hermed:

„personlige data”: enhver oplysning om en identificeret eller identificerbar fysisk person („den registrerede”); en identificerbar fysisk person er en person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et nummer, lokaliseringsdata, en online-identifikator eller en eller flere faktorer, der er særlige for den fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet af den fysiske person;

„data management”: enhver operation eller række af operationer, der udføres på personoplysninger eller på sæt af personoplysninger, uanset om det sker automatisk eller ej, såsom indsamling, registrering, organisering, strukturering, opbevaring, tilpasning eller ændring, hentning, søgning, brug, videregivelse, transmission, formidling eller anden form for tilrådighedsstillelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse;

„Begrænsning af behandling”: identifikation af de lagrede personoplysninger for at begrænse deres fremtidige behandling;

„Profilering”: enhver form for automatisk behandling af personoplysninger, hvorved personoplysninger anvendes til at evaluere visse personlige aspekter vedrørende en fysisk person, navnlig til at analysere eller forudsige karakteristika i forbindelse med den pågældende persons arbejdsindsats, økonomiske situation, helbred, personlige præferencer, interesser, pålidelighed, adfærd, placering eller bevægelser;

„Pseudonymisering”: behandling af personoplysninger på en sådan måde, at det ikke længere er muligt at identificere den fysiske person, som personoplysningerne vedrører, uden yderligere oplysninger, forudsat at sådanne yderligere oplysninger opbevares separat, og at der træffes tekniske og organisatoriske foranstaltninger for at sikre, at det ikke er muligt at skabe forbindelse til identificerede eller identificerbare fysiske personer;

„registersystem”: et sæt personoplysninger, der er opdelt på en hvilken som helst måde, hvad enten det er centraliseret, decentraliseret eller efter funktionelle eller geografiske kriterier, og som er tilgængelige på grundlag af specifikke kriterier;

„dataansvarlig”: en fysisk eller juridisk person, offentlig myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formålene med og hjælpemidlerne til behandlingen er fastlagt i EU-retten eller medlemsstaternes nationale ret, kan den dataansvarlige eller de specifikke kriterier for udpegning af den dataansvarlige også være fastlagt i EU-retten eller medlemsstaternes nationale ret;

„Databehandler”: en fysisk eller juridisk person, offentlig myndighed, agentur eller ethvert andet organ, der behandler personoplysninger på vegne af den dataansvarlige;

„modtager”: den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, som personoplysningerne videregives til, uanset om der er tale om en tredjepart eller ej. Offentlige myndigheder, der kan have adgang til personoplysninger i forbindelse med en individuel undersøgelse i overensstemmelse med EU-retten eller medlemsstaternes nationale ret, er ikke modtagere; disse offentlige myndigheders behandling af disse oplysninger skal overholde de gældende databeskyttelsesregler i overensstemmelse med formålet med behandlingen;

„Tredjepart”: en fysisk eller juridisk person, offentlig myndighed, agentur eller ethvert andet organ, der ikke er den registrerede, den dataansvarlige, databehandleren eller de personer, der under den dataansvarliges eller databehandlerens direkte myndighed er autoriseret til at behandle personoplysninger;

„samtykke fra den registrerede”: en frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den pågældende ved en erklæring eller handling, der klart udtrykker den pågældendes samtykke, giver sit samtykke til behandling af personoplysninger vedrørende den pågældende;

„databeskyttelseshændelser”: et brud på sikkerheden, der fører til utilsigtet eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er overført, lagret eller på anden måde behandlet.

 

KAPITEL II

SIKRE LOVLIGHEDEN AF BEHANDLINGEN

 

Behandling baseret på den registreredes samtykke

 

  1. Hvis den dataansvarlige har til hensigt at udføre behandling baseret på samtykke, skal den registreredes samtykke til behandling af hans eller hendes personoplysninger indhentes ved at Bilag nr. i overensstemmelse med indholdet og oplysningerne i dataanmodningsformularen, og i tilfælde af køb i webshoppen kan den registrerede give sit samtykke til behandling af sine data i overensstemmelse med denne politik ved at markere det relevante felt, inden købet påbegyndes.

 

  1. Samtykke anses også for at være givet, hvis den registrerede, når han eller hun besøger den dataansvarliges websted (baseballsapka.hu), afkrydser en boks til dette formål, foretager de relevante tekniske indstillinger, når han eller hun bruger informationssamfundstjenester, eller afgiver enhver anden erklæring eller foretager enhver anden handling, som i den relevante sammenhæng utvetydigt angiver den registreredes samtykke til den påtænkte behandling af hans eller hendes personoplysninger. Tavshed, afkrydsning af en boks eller passivitet udgør derfor ikke samtykke.

 

  1. Samtykke dækker alle behandlingsaktiviteter, der udføres til samme formål eller formål. Hvis behandlingen udføres til mere end ét formål, skal der gives samtykke til alle de formål, som behandlingen udføres til.

 

  1. Hvis den registrerede giver sit samtykke i en skriftlig erklæring, der også vedrører andre forhold, skal anmodningen om samtykke præsenteres på en måde, der klart kan skelnes fra disse andre forhold, i en klar og lettilgængelig form og i et klart og tydeligt sprog. Enhver del af en sådan erklæring, der indeholder den registreredes samtykke, og som er i strid med forordningen, er ikke bindende.

 

  1. Den dataansvarlige må ikke gøre indgåelsen eller opfyldelsen af en kontrakt betinget af, at der gives samtykke til behandling af personoplysninger, som ikke er nødvendige for opfyldelsen af kontrakten.

 

  1. Det skal være muligt at trække sit samtykke tilbage på samme enkle måde, som det er givet.

 

  1. Hvis personoplysningerne er indsamlet med den registreredes samtykke, kan den dataansvarlige behandle de indsamlede oplysninger med henblik på at overholde en retlig forpligtelse, som den registrerede er underlagt, medmindre andet er fastsat ved lov, uden yderligere specifikt samtykke, og selv efter at den registreredes samtykke er blevet trukket tilbage.

 

Behandling baseret på opfyldelse af en juridisk forpligtelse

 

  1. I tilfælde af databehandling baseret på en juridisk forpligtelse reguleres omfanget af de data, der skal behandles, formålet med behandlingen, varigheden af datalagring og modtagerne af bestemmelserne i den underliggende lovgivning.

 

  1. Behandling baseret på opfyldelse af en retlig forpligtelse er uafhængig af den registreredes samtykke, da behandlingen er fastlagt ved lov. I sådanne tilfælde skal den registrerede, inden behandlingen påbegyndes, informeres om, at behandlingen er obligatorisk, og skal have klare og detaljerede oplysninger om alle forhold vedrørende behandlingen af hans eller hendes oplysninger, navnlig formålene med og retsgrundlaget for behandlingen, den dataansvarliges og databehandlerens identitet, behandlingens varighed, om den dataansvarlige behandler den registreredes personoplysninger på grundlag af en retlig forpligtelse, som den registrerede er underlagt, og de personer, der kan have adgang til oplysningerne. Oplysningerne bør også omfatte den registreredes rettigheder og retsmidler i forbindelse med behandlingen. I tilfælde af obligatorisk behandling kan oplysningerne også gives ved at offentliggøre en henvisning til de lovbestemmelser, der indeholder ovennævnte oplysninger.

 

Oplysninger om den dataansvarliges datahåndtering

 

  1. Den dataansvarliges generelle meddelelse om databehandling er tilgængelig på Bilag nr. inkluderet.

 

  1. Den dataansvarlige skal sikre udøvelsen af den registreredes rettigheder i al sin behandling.

 

 

KAPITEL III

BESKÆFTIGELSESRELATERET DATABEHANDLING

 

Arbejde, personaleoptegnelser

 

  1. Medarbejderne må kun anmodes om og opbevares oplysninger om data og medicinske undersøgelser af arbejdsevnen, som er nødvendige for etablering, opretholdelse og ophør af ansættelse og for levering af sociale ydelser, og som ikke krænker deres individuelle rettigheder.

 

  1. Den dataansvarlige behandler følgende oplysninger om medarbejderen med henblik på etablering, udførelse eller afslutning af ansættelsesforholdet med henblik på arbejdsgiverens legitime interesser (artikel 6, stk. 1, litra f), i forordningen):
  1. Navn
  2. navn ved fødslen,,
  3. Fødselsdato,
  4. Moderens navn,
  5. din adresse,
  6. din nationalitet,
  7. skatteidentifikationsnummer,
  8. Personnummer,
  9. en pensionists permanente nummer (i tilfælde af en pensioneret arbejdstager),
  10. Telefonnummer,
  11. e-mail-adresse,
  12. identitetskortets nummer,
  13. nummeret på det officielle identitetskort, der beviser din adresse,
  14. dit bankkontonummer,
  15. Online-id (hvis det er tilgængeligt)
  16. start- og slutdato for din ansættelse,
  17. Jobtitel,
  18. en kopi af et dokument, der bekræfter din uddannelse og erhvervsuddannelse,
  19. Foto,
  20. CV,
  21. Størrelsen på din løn og andre ydelser,
  22. det gældsbeløb, der skal trækkes fra medarbejderens løn, eller retten til at trække det på grundlag af en endelig afgørelse eller en lovbestemmelse eller et skriftligt samtykke,
  23. en evaluering af medarbejderens arbejde,
  24. hvordan og af hvilke grunde ansættelsesforholdet afsluttes,
  25. en attest for god vandel, afhængigt af jobbet
  26. en sammenfatning af de erhvervsmæssige egnethedstests,
  27. i tilfælde af medlemskab af private pensionskasser og frivillige gensidige forsikringskasser, navnet på kassen, dens identifikationsnummer og medarbejderens medlemsnummer,
  28. for udenlandske arbejdstagere: pasnummer; navn og nummer på det dokument, der bekræfter retten til at arbejde,
  29. data, der er registreret i fortegnelsen over arbejdsulykker;
  30. data, der er nødvendige for brug af velfærdstjenester, kommerciel indkvartering;
  31. det kamera- og adgangskontrolsystem, der anvendes af den dataansvarlige til sikkerheds- og aktivbeskyttelsesformål,
  32. eller data registreret af positioneringssystemer.

 

  1. Arbejdsgiveren vil kun behandle oplysninger om din sygdom og dit fagforeningsmedlemskab med henblik på at opfylde en rettighed eller forpligtelse i henhold til arbejdsloven.

 

  1. Modtagerne af personoplysningerne er: arbejdsgiverens leder, den person, der udøver arbejdsgiverens myndighed, den dataansvarliges medarbejdere, der udfører arbejdsrelaterede opgaver, og databehandlerne.

 

  1. Kun personoplysninger om medarbejdere i ledende stillinger kan overføres til den dataansvarliges ejere.

 

  1. Varighed af opbevaring af personoplysninger: 3 år efter ansættelsens ophør.

 

  1. Den registrerede skal, inden behandlingen påbegyndes, informeres om, at behandlingen er baseret på arbejdsloven og arbejdsgiverens legitime interesser.

 

  1. Arbejdsgiveren skal på tidspunktet for indgåelsen af ansættelseskontrakten underrette følgende Bilag nr. informerer medarbejderen om behandlingen af hans/hendes personoplysninger og personlige rettigheder ved at give ham/hende informationsmeddelelsen.

 

Databehandling i forbindelse med egnethedsprøver

 

  1. En medarbejder må kun underkastes en egnethedsprøve, som er påkrævet i henhold til en ansættelsesbestemmelse, eller som er nødvendig for udøvelsen af en rettighed eller opfyldelsen af en forpligtelse, der er fastsat i en ansættelsesbestemmelse. Forud for prøven skal medarbejderne informeres detaljeret om bl.a. de færdigheder og evner, der skal vurderes, og om midlerne og metoderne til vurdering. Hvis undersøgelsen er påkrævet ved lov, skal medarbejderne informeres om lovens titel og det nøjagtige sted, hvor den skal udføres. En model af denne informationsmeddelelse er vedhæftet denne politik. Bilag nr. inkluderet.

 

  1. Arbejdsgivere kan få medarbejdere til at udfylde testskemaerne for arbejdsevne og arbejdsparathed både før ansættelsesforholdet etableres og under ansættelsesforholdet.

 

  1. For at gennemføre og organisere arbejdsprocesser mere effektivt kan en testformular, der er egnet til psykologisk forskning eller forskning i personlighedstræk, kun udfyldes af en stor gruppe medarbejdere af hensyn til et mere effektivt arbejdsforhold, hvis de data, der afsløres under analysen, ikke kan knyttes til individuelle medarbejdere, dvs. dataene behandles anonymt.
  2. Omfanget af de behandlede personoplysninger: egnethed til jobbet og de betingelser, der kræves for dette.

 

  1. Juridisk grundlag for behandling: arbejdsgiverens legitime interesse.

 

  1. Formålet med behandlingen af personoplysninger: at etablere og opretholde et ansættelsesforhold, at besætte et job.

 

  1. Modtagere og kategorier af modtagere af personoplysninger: Resultaterne af undersøgelsen kan videregives til de undersøgte medarbejdere eller til den fagperson, der udfører undersøgelsen. Arbejdsgiveren må kun modtage oplysninger om, hvorvidt den undersøgte person er egnet til jobbet eller ej, og om de betingelser, hvorunder han eller hun er egnet til jobbet. Arbejdsgiveren må dog ikke kende detaljerne i undersøgelsen eller den fulde dokumentation.

 

  1. Varighed af behandling af personoplysninger: 3 år efter ansættelsens ophør.

 

Håndtering af rekrutteringsdata, ansøgninger og CV'er

 

  1. De personoplysninger, der kan behandles: navn, fødselsdato og fødested, mors navn, adresse, kvalifikationer, foto, telefonnummer, e-mailadresse, arbejdsgiverens registrering af ansøgeren (hvis nogen).

 

  1. Formålet med behandlingen af personoplysninger er: ansøgning, evaluering af ansøgningen, indgåelse af en ansættelseskontrakt med den udvalgte person. Den registrerede skal informeres, hvis arbejdsgiveren ikke har valgt ham/hende til jobbet.

 

  1. Juridisk grundlag for behandling: samtykke fra den registrerede.

 

  1. Modtagere eller kategorier af modtagere af personoplysninger: ledere og medarbejdere, der udfører arbejdsrelaterede opgaver, og som har ret til at udøve rettigheder som arbejdsgivere hos den dataansvarlige.

 

  1. Varighed af opbevaring af personoplysninger: indtil ansøgningen eller tilbuddet er vurderet. Personoplysninger om afviste ansøgere vil blive slettet. Data om dem, der trækker deres ansøgning eller kandidatur tilbage, vil også blive slettet.

 

  1. Arbejdsgiveren må kun opbevare ansøgninger på grundlag af den registreredes udtrykkelige, utvetydige og frivillige samtykke, forudsat at opbevaringen er nødvendig af hensyn til behandlingen i overensstemmelse med loven. Et sådant samtykke skal indhentes fra kandidaterne, når ansættelsesproceduren er afsluttet.

 

E-Behandling af data til kontrol af brug af mailkonto

 

  1. Hvis den dataansvarlige giver medarbejderen en e-mailkonto, må medarbejderen udelukkende bruge denne e-mailadresse og -konto i forbindelse med sine arbejdsopgaver for at holde kontakt med hinanden eller korrespondere med kunder, andre personer og organisationer på vegne af arbejdsgiveren.

 

  1. Medarbejderen må ikke bruge e-mailkontoen til personlige formål og må ikke gemme personlig post på kontoen.

 

  1. Arbejdsgiveren har ret til at kontrollere det fulde indhold og brugen af e-mailkontoen regelmæssigt - hver 3. måned - og retsgrundlaget for databehandling er arbejdsgiverens legitime interesse. Formålet med overvågningen er at kontrollere, at arbejdsgiverens bestemmelser om brugen af e-mailkontoen overholdes, og at medarbejderens forpligtelser kontrolleres (artikel 8 og 52 i arbejdsloven).

 

  1. Chefen for arbejdsgiveren eller den person, der udøver arbejdsgiverens rettigheder, er bemyndiget til at kontrollere og administrere dataene.

 

  1. Hvis omstændighederne ved inspektionen ikke udelukker dette, skal det sikres, at medarbejderen er til stede under inspektionen.

 

  1. Forud for kontrollen skal medarbejderen informeres om arbejdsgiverens interesse i kontrollen, hvem der fra arbejdsgiverens side kan foretage kontrollen, - de regler, efter hvilke kontrollen kan foretages (overholdelse af princippet om gradvis tilgang), og den procedure, der skal følges, - medarbejderens rettigheder og retsmidler i forhold til behandlingen af data i forbindelse med kontrollen af e-mailkontoen.

 

  1. Princippet om graduering bør anvendes i kontrollen, således at e-mailens adresse og emne bør være det primære grundlag for at fastslå, at den er relateret til medarbejderens arbejdsopgaver og ikke er personlig. Indholdet af ikke-personlige e-mails kan undersøges af arbejdsgiveren uden begrænsning.

 

  1. Hvis det i strid med bestemmelserne i denne politik kan fastslås, at medarbejderen har brugt e-mailkontoen til personlige formål, skal medarbejderen anmodes om at slette personoplysningerne med det samme. I tilfælde af medarbejderens fravær eller manglende samarbejde vil personoplysningerne blive slettet af arbejdsgiveren efter verifikation. Brug af e-mailkontoen i strid med denne politik kan resultere i, at arbejdsgiveren anlægger sag mod medarbejderen i henhold til arbejdsretten.

 

  1. Medarbejderen kan udøve de rettigheder, der er beskrevet i afsnittet i denne politik om registreredes rettigheder i forbindelse med behandling af data, der involverer kontrol af en e-mailkonto.

 

Databehandling relateret til styring af computer, laptop, tablet

 

  1. Den computer, laptop eller tablet, som den dataansvarlige stiller til rådighed for medarbejderen til arbejdsformål, må kun bruges af medarbejderen til udførelse af hans/hendes arbejdsopgaver; den dataansvarlige forbyder privat brug af disse enheder, og medarbejderen må ikke administrere eller gemme personlige data eller korrespondance på disse enheder. Arbejdsgiveren kan overvåge de data, der er gemt på disse enheder. Arbejdsgiverens kontrol med disse enheder og de juridiske konsekvenser heraf er underlagt bestemmelserne i ovenstående § 9.

 

Databehandling i forbindelse med overvågning af internetbrug på arbejdspladsen

 

  1. Medarbejderne må kun tilgå hjemmesider, der er relateret til deres arbejdsopgaver, og arbejdsgiveren forbyder privat brug af internettet på arbejdspladsen.

 

  1. Den dataansvarlige er indehaver af de internetregistreringer, der udføres på vegne af den dataansvarlige som en jobfunktion, og registreringen skal bruge en identifikator og adgangskode, der henviser til den dataansvarlige. Hvis levering af personoplysninger også er påkrævet for registreringen, skal den dataansvarlige indlede sletning af sådanne data ved ophør af ansættelsesforholdet.

 

  1. Medarbejdernes brug af internettet på arbejdspladsen kan overvåges af arbejdsgiveren, og bestemmelserne og de juridiske konsekvenser heraf er beskrevet i artikel 9.

 

Databehandling i forbindelse med kontrol af brugen af virksomhedens mobiltelefoner

 

  1. Din arbejdsgiver giver dig lov til at bruge din firmamobil til private formål.

 

  1. Medarbejdere skal rapportere til deres arbejdsgiver, hvis de bruger deres firmamobiltelefon til private formål. I dette tilfælde kan arbejdsgiverens kontrol udføres ved at anmode om en opkaldsoversigt fra telefonudbyderen og bede medarbejderen om at gøre de kaldte numre uigenkendelige på dokumentet, hvis der er tale om private opkald.

 

  1. I modsat fald gælder bestemmelserne i § 9 for kontrollen og dens konsekvenser.

 

Datahåndtering i forbindelse med ind- og udtræden af arbejdspladsen

 

  1. Hvis der anvendes et adgangskontrolsystem (ikke elektronisk), skal der gives oplysninger om den dataansvarliges identitet og den måde, oplysningerne behandles på.

 

  1. Omfanget af de behandlede personoplysninger: navn, adresse, bilens registreringsnummer, ind- og udkørselstidspunkt for den fysiske person.

 

  1. Juridisk grundlag for behandling: arbejdsgiverens legitime interesser.

 

  1. Formålet med behandling af personoplysninger er: beskyttelse af aktiver, opfyldelse af kontrakt, overvågning af medarbejderforpligtelser.

 

  1. Modtagere eller kategorier af modtagere af personoplysninger: ledere, der har ret til at udøve arbejdsgiverrettigheder hos den dataansvarlige, medarbejdere hos den dataansvarliges sikkerhedsagent som databehandlere.

 

  1. Varighed af behandling af personoplysninger: 6 måneder.

 

Databehandling i forbindelse med CCTV på arbejdspladsen

 

  1. Med henblik på at beskytte menneskeliv, fysisk integritet, personlig frihed, forretningshemmeligheder og beskyttelse af ejendom bruger vores dataansvarlige elektroniske overvågningssystemer i sit hovedkvarter, lokaler og lokaler, der er åbne for kunder, som også tillader direkte observation eller optagelse og lagring af billeder, lyd eller billeder og lyd, og derfor betragtes den registreredes adfærd, der er optaget af kameraet, også som personoplysninger.

 

  1. Retsgrundlaget for denne behandling er arbejdsgiverens legitime interesser og den registreredes samtykke.

 

  1. Oplysninger om, at der anvendes et elektronisk overvågningssystem i et givet område, skal vises på et klart synligt og læsbart sted på en måde, der bidrager til information af tredjeparter, der ønsker at komme ind i området. Oplysningerne skal gives for hvert kamera. Disse oplysninger skal også omfatte oplysninger om overvågning af det elektroniske system til beskyttelse af aktiver, formålet med registrering og lagring af billeder og lydoptagelser af personoplysninger, der registreres af systemet, retsgrundlaget for behandlingen, det sted, hvor optagelsen lagres, lagringens varighed, identiteten på den person, der bruger (operatør) systemet, de personer, der er autoriseret til at få adgang til dataene, datasikkerhedsforanstaltningerne i forbindelse med lagring af optagelsen og oplysninger om de registreredes rettigheder og procedurerne for udøvelse af dem. En model for disse oplysninger findes i bilag 5 til kodeksen.

 

  1. Billeder og lydoptagelser af tredjeparter (kunder, besøgende, gæster), der kommer ind i det overvågede område, kan tages og behandles med deres samtykke. Samtykke kan også gives ved hjælp af impuls. Det skal især betragtes som en impuls, hvis en fysisk person går ind i det overvågede område på trods af at være informeret eller være informeret om brugen af det elektroniske overvågningssystem, der er installeret der.

 

  1. Optagelserne må højst opbevares i 3 (tre) arbejdsdage, hvis de ikke anvendes. Der er tale om brug, hvis det optagne billede, lyd eller billed- og lydoptagelser og andre personoplysninger er beregnet til at blive brugt som bevismateriale i en retssag eller anden officiel procedure.

 

  1. Foranstaltninger til datasikkerhed:
  1. Skærmen til visning og gennemgang af billederne skal være placeret på en sådan måde, at den ikke kan ses af nogen anden person end den seksuelle lavalder, mens billederne sendes.
  2. Overvågning og gennemgang af lagrede billeder må kun udføres med det formål at opdage krænkende handlinger og iværksætte de nødvendige foranstaltninger for at stoppe dem.
  3. De billeder, som kameraerne sender, kan ikke optages af andre enheder end den centrale optageenhed.
  4. Optagelsesmedier skal opbevares på et aflåst sted.
  5. Adgang til de lagrede billeder må kun ske på en sikker måde og på en sådan måde, at den dataansvarliges identitet kan identificeres.
  6. Gennemgang og backup af lagrede billedoptegnelser skal dokumenteres.
  7. Hvis årsagen til ophævelsen af retten ikke længere er gyldig, skal adgangen til de lagrede billedoptegnelser ophøre med det samme.
  8. En separat harddisk i optageren kører operativsystemet og
  9. indspillede optagelser. Optagelserne sikkerhedskopieres ikke separat.
  10. Mærkning af optegnelsen over handlingen, efter at overtrædelsen er blevet opdaget
  11. og at træffe de nødvendige administrative foranstaltninger uden forsinkelse
  12. og informere myndigheden om, at handlingen er blevet registreret.

 

  1. En person, hvis ret eller legitime interesse berøres af registreringen af billedet, lyden eller videooptagelsen, kan inden for tre arbejdsdage efter registreringen af billedet, lyden eller videooptagelsen anmode om, at oplysningerne ikke destrueres eller slettes af den dataansvarlige ved at fremlægge bevis for sin ret eller legitime interesse.

 

  1. Intet elektronisk overvågningssystem må anvendes i lokaler, hvor en sådan overvågning kan være krænkende for den menneskelige værdighed, især i omklædningsrum, brusebade, toiletter eller f.eks. i et lægeværelse eller det tilstødende venteværelse eller i lokaler, der er beregnet til arbejdstagernes pauser.

 

  1. Hvis ingen ifølge loven må opholde sig på arbejdspladsen, især uden for arbejdstiden eller på helligdage, kan hele arbejdspladsen (f.eks. omklædningsrum, toiletter, pauserum) overvåges.

 

  1. Ud over dem, der er bemyndiget ved lov, kan de data, der registreres af det elektroniske overvågningssystem, ses af driftspersonalet, arbejdsgiverens leder og stedfortrædende leder og lederen af arbejdspladsen i det overvågede område med henblik på at opdage overtrædelser og kontrollere systemets funktion.

 

 

KAPITEL IV

KONTRAKTRELATERET DATABEHANDLING

 

Håndtering af data om aftalepartnere - registrering af kunder, leverandører

 

  1. Den dataansvarlige behandler navn, navn på den fysiske person, der har indgået kontrakt med den som køber eller leverandør, navn på den fysiske person, navn på personens fødsel, fødselsdato, mors navn, adresse, skatteidentifikationsnummer, skattenummer, iværksætters eller selvstændiges identitetskortnummer, personligt identitetskortnummer med henblik på opfyldelse af kontrakten, indgåelse, udførelse, opsigelse eller tildeling af en kontraktlig rabat, adresse, adresse på det registrerede kontor, adresse på virksomheden, telefonnummer, e-mailadresse, webadresse, bankkontonummer, kundenummer (kundenummer, ordrenummer), online-identifikator (liste over kunder, leverandører, lister over hyppige købere), Denne behandling betragtes også som lovlig, hvis behandlingen er nødvendig for at tage skridt på anmodning af den registrerede forud for indgåelse af kontrakten. Modtagere af personoplysninger: medarbejdere hos den dataansvarlige, der udfører kundeserviceopgaver, medarbejdere, der udfører regnskabs- og skatteopgaver, og databehandlere. Varighed af opbevaring af personoplysninger: 8 år efter kontraktens ophør.

 

  1. Den berørte fysiske person skal, inden behandlingen påbegyndes, informeres om, at behandlingen er baseret på opfyldelse af en kontrakt, hvilket kan fremgå af kontrakten. Den registrerede skal informeres om overførslen af hans eller hendes personoplysninger til en databehandler. Teksten til databehandlingsbestemmelsen vedrørende en kontrakt med en fysisk person er anført i nærværende forordning. Bilag nr. inkluderet.

 

Kontaktoplysninger for fysiske personers repræsentanter for juridiske personers kunder, købere og leverandører

 

  1. Omfanget af de behandlede personoplysninger: den fysiske persons navn, adresse, telefonnummer, e-mailadresse, online-identifikator.

 

  1. Formål med behandlingen af personoplysninger: opfyldelse af en kontrakt med en juridisk enhed, der er partner med den dataansvarlige, forretningsforbindelser, retsgrundlag: den registreredes samtykke.

 

  1. Modtagere eller kategorier af modtagere af personoplysninger: medarbejdere hos den dataansvarlige, der udfører kundeserviceopgaver.

 

  1. Varighed af opbevaring af personoplysninger: i 5 år efter forretningsforholdet eller den registreredes kapacitet som repræsentant er afsluttet.

 

  1. Modellen for dataindsamlingsskemaet i denne forordning Bilag nr. inkluderet. Den medarbejder, der er i kontakt med kunden, køberen eller leverandøren, skal fremlægge denne erklæring for den pågældende person og ved at underskrive erklæringen anmode om hans eller hendes samtykke til behandling af hans eller hendes personoplysninger. Erklæringen skal opbevares, så længe behandlingen varer.

 

Håndtering af besøgsdata på den dataansvarliges hjemmeside

(Information om brug af cookies)

 

  1. En cookie er et stykke data, som det besøgte websted sender til den besøgendes browser (i form af en variabel navneværdi), så den kan gemme det og senere indlæse indholdet på det samme websted.

 

  1. Data må kun lagres på en brugers elektroniske kommunikationsterminaludstyr eller adgang til data, der er lagret deri, på grundlag af brugerens klare og fulde samtykke, herunder formålet med behandlingen (lov C fra 2003, § 155/4/). På dette grundlag skal den besøgende på grundlag af det første besøg på den dataansvarliges websted få et kort resumé af brugen af cookies og et link til den fulde tilgængelige information (Informationsmeddelelse om datahåndtering i bilag 2). Med disse oplysninger sikrer den dataansvarlige, at den besøgende på webstedet før og til enhver tid under brugen af webstedets informationssamfundstjenester kan informeres om de databehandlingsformål, hvortil den dataansvarlige behandler hvilke typer data, herunder behandling af data, der ikke kan relateres direkte til brugeren.

 

  1. I henhold til artikel 13/A (3) i lov CVIII af 2001 om visse spørgsmål vedrørende elektroniske handelstjenester og informationssamfundstjenester (Elkertv.) kan tjenesteudbyderen behandle personoplysninger, der er teknisk nødvendige for levering af tjenesten. Udbyderen skal alt andet lige vælge og under alle omstændigheder drive de midler, der anvendes til levering af informationssamfundstjenesten, på en sådan måde, at personoplysninger kun behandles, hvis det er absolut nødvendigt for levering af tjenesten og for opfyldelse af de andre formål, der er angivet i denne lov, men i dette tilfælde kun i det omfang og i den varighed, der er nødvendig.

 

Registrering på den dataansvarliges hjemmeside

 

  1. På hjemmesiden kan den fysiske person, der registrerer sig, give sit samtykke til behandling af sine personoplysninger ved at sætte kryds i den relevante boks. Det er forbudt at sætte kryds i boksen på forhånd.

 

  1. Omfanget af personoplysninger, der kan behandles: navn (efternavn, fornavn), adresse, telefonnummer, e-mailadresse, fakturering, postnavn og adresse på den fysiske person, det fotografi, der er nødvendigt for at gennemføre ordrer på webshoppen.

 

  1. Formålet med behandlingen af personoplysninger:

 

  1. levering af tjenester på hjemmesiden
  2. kontakte os elektronisk, via telefon, sms og post.
  3. Salgsfremmende udsendelser kan sendes elektronisk og med posten
  4. analyse af brugen af hjemmesiden.

 

  1. Retsgrundlaget for behandlingen er den registreredes samtykke.

 

  1. Modtagere eller kategorier af modtagere af personoplysninger: medarbejdere hos den dataansvarlige, der udfører opgaver i forbindelse med kundeservice og markedsføringsaktiviteter, medarbejdere hos den dataansvarliges IT-serviceudbyder, der leverer hostingtjenester som databehandlere.

 

  1. Varighed af opbevaring af personoplysninger: indtil registreringen/servicen er aktiv, eller indtil den registreredes samtykke trækkes tilbage (anmodning om sletning).

 

  1. Hvis den registrerede giver alle eller en del af de data, der kræves for registrering eller for at foretage et køb i onlinebutikken, men ikke fuldfører registreringen, gemmer den dataansvarlige de leverede data i højst 60 dage, hvorefter de slettes uigenkaldeligt.

 

Databehandling i forbindelse med nyhedsbrevstjenesten 

 

  1. Den fysiske person, der tilmelder sig nyhedsbrevstjenesten på hjemmesiden, kan give sit samtykke til behandling af sine personoplysninger ved at sætte kryds i den relevante boks. Det er forbudt at sætte kryds i boksen på forhånd. Ved tilmelding skal der gives et link til databeskyttelseserklæringen (bilag 2). Den registrerede kan til enhver tid afmelde nyhedsbrevet ved at bruge applikationen „Unsubscribe” eller ved at afgive en skriftlig erklæring eller sende en e-mail, hvilket vil udgøre en tilbagetrækning af samtykket. I så fald slettes alle data om den afmeldte straks.

 

  1. Omfanget af de behandlede personoplysninger: den fysiske persons navn (efternavn, fornavn), e-mailadresse.

 

  1. Formålet med behandlingen af personoplysninger:
  1. Afsendelse af nyhedsbreve om den dataansvarliges produkter og tjenester
  2. Sende reklamemateriale

 

  1. Juridisk grundlag for behandling: samtykke fra den registrerede.

 

  1. Modtagere og kategorier af modtagere af personoplysninger: medarbejdere hos den dataansvarlige, der udfører opgaver i forbindelse med kundeservice og markedsføringsaktiviteter, medarbejdere hos den dataansvarliges it-serviceleverandør som databehandlere med henblik på at levere hostingtjenester.

 

  1. Varighed af opbevaring af personoplysninger: indtil nyhedsbrevstjenesten opretholdes, eller indtil den registreredes samtykke trækkes tilbage (anmodning om sletning).

 

Databehandling i den dataansvarliges webshop

 

  1. Et køb i en webshop, der drives af den dataansvarlige, betragtes som en kontrakt under hensyntagen til artikel 13/A i lov CVIII af 2001 om visse aspekter af elektroniske handelstjenester og informationssamfundstjenester og regeringsdekret 45/2014 (26.II.) om de detaljerede regler for kontrakter mellem forbrugere og virksomheder.

 

  1. Den dataansvarlige kan som tjenesteudbyder behandle de naturlige personlige identifikationsdata og adressen på den kunde, der registrerer sig i webshoppen, med det formål at oprette en kontrakt om levering af informationssamfundstjenester, bestemme indholdet, ændre det, overvåge dets ydeevne, fakturere de gebyrer, der følger af det, og håndhæve krav i forbindelse hermed, i overensstemmelse med afsnit 13/A(1) i lov CVIII af året, og telefonnummeret, e-mail-adressen, bankkontonummeret, online-identifikatoren, i overensstemmelse med samtykket.

 

  1. Den dataansvarlige kan til faktureringsformål behandle personoplysninger vedrørende brug af informationssamfundstjenester, adresse, leveringsadresse og data vedrørende tidspunkt, varighed og sted for brug af tjenesten i henhold til artikel 13/A(2) i lov CVIII af 2007.

 

  1. Modtagere eller kategorier af modtagere af personoplysninger: medarbejdere hos den dataansvarlige, der udfører opgaver i forbindelse med kundeservice, betaling, transport, markedsføringsaktiviteter, som databehandlere, medarbejdere i den virksomhed, der udfører skatte- og regnskabsopgaver for den dataansvarlige med henblik på at opfylde skatte- og regnskabsforpligtelser, medarbejdere hos den dataansvarliges it-serviceleverandør med henblik på at opfylde hostingtjenester, medarbejdere i kurertjenesten med henblik på leveringsdata (navn, adresse, telefonnummer).

 

  1. Varighed af behandlingen af personoplysninger: indtil registreringen/servicen er afsluttet, eller indtil den registreredes samtykke trækkes tilbage (anmodning om sletning), i tilfælde af et køb indtil udgangen af 6 år efter købsåret.

 

  1. Et link til meddelelsen om beskyttelse af personlige oplysninger (bilag 2) skal være tilgængeligt, når man handler i webshoppen.

 

Databehandling til direkte markedsføringsformål

 

  1. Medmindre andet er fastsat i en særskilt lov, kan reklame kun kommunikeres til en fysisk person som modtager af reklamen ved direkte opfordring, især via elektronisk post eller andre tilsvarende midler til individuel kommunikation, med undtagelse af bestemmelserne i lov XLVIII af 2008, hvis modtageren af reklamen har givet hans/hendes forudgående, klare og udtrykkelige samtykke.

 

  1. Omfanget af personoplysninger, som den dataansvarlige kan behandle med henblik på reklame-mailingforespørgsler: den fysiske persons navn, adresse, telefonnummer, e-mailadresse, online-identifikator.

 

  1. Formålet med behandlingen af personoplysninger er at udføre direkte markedsføringsaktiviteter i forbindelse med den dataansvarliges aktiviteter, dvs. regelmæssig eller periodisk afsendelse af reklamepublikationer, nyhedsbreve, aktuelle tilbud i trykt (post) eller elektronisk form (e-mail) til de kontaktoplysninger, der er angivet på tidspunktet for registreringen.

 

  1. Juridisk grundlag for behandling: samtykke fra den registrerede.

 

  1. Modtagere eller kategorier af modtagere af personoplysninger: medarbejdere hos den dataansvarlige, der udfører kundeserviceopgaver, medarbejdere hos den dataansvarliges IT-serviceudbyder, der udfører servertjenester som databehandlere, medarbejdere hos postvæsenet/kurertjenesten i tilfælde af levering med post eller kurertjeneste.

 

  1. Varighed af opbevaring af persondata: indtil samtykke trækkes tilbage.

 

  1. Samtykke til behandling af data til direkte markedsføringsformål er underlagt denne politik. dataanmodningsformular som beskrevet i bilaget anvendelig.

 

 

 V.  KAPITEL 2

BEHANDLING BASERET PÅ EN JURIDISK FORPLIGTELSE

 

Databehandling i forbindelse med skatte- og regnskabsforpligtelser

 

  1. § i bogføringsloven af 2000: navn, adresse, betegnelse for den person eller organisation, der bestiller transaktionen, underskrift af den person, der bestiller transaktionen, og den person, der attesterer udførelsen af ordren, og, afhængigt af organisationen, underskrift af controlleren; på lagerbevægelsesbilag og kontantforvaltningsbilag, modtagerens underskrift, og på kontrafej, betalerens underskrift, og i henhold til lov CXVII af 1995 om personlig indkomstskat: iværksætterens identitetskortnummer, landmandens identitetskortnummer, skatteidentifikationsnummer.

 

  1. Perioden for opbevaring af personoplysninger er 8 år efter afslutningen af det juridiske forhold, der giver anledning til det juridiske grundlag.

 

  1. Modtagere af personoplysninger: medarbejdere og databehandlere hos den dataansvarlige, der udfører skatte-, regnskabs-, løn- og socialsikringsopgaver.

 

Behandling af betalingsdata

 

  1. Den dataansvarlige behandler personoplysninger om de registrerede - medarbejdere, deres familiemedlemmer, medarbejdere, modtagere af andre ydelser - med hvem den har et forhold som betalingsagent (lov 2017:CL om skattebekendtgørelsen (art.) 7.§ 31.) med henblik på at opfylde sine juridiske forpligtelser, skatte- og bidragsforpligtelser, der er foreskrevet i loven (skat, forskudsskat, bidrag, løn, social sikring, pensionsadministration). Omfanget af de behandlede data er defineret i Art. Artikel 50 i loven definerer de behandlede data og fremhæver specifikt følgende: den fysiske persons identifikationsdata (herunder tidligere navn og titel), køn, nationalitet, skatteidentifikationsnummer, socialsikringsnummer (socialsikringsnummer). Hvis skattelovgivningen pålægger en juridisk konsekvens, kan den dataansvarlige behandle data vedrørende medarbejdernes medlemskab af sundhed (§ 40 i lov om social sikring) og fagforeninger (§ 47, stk. 2, litra b), i lov om social sikring) med henblik på skatte- og bidragsforpligtelser (løn, administration af social sikring).

 

  1. Perioden for opbevaring af personoplysninger er 8 år efter afslutningen af det juridiske forhold, der giver anledning til det juridiske grundlag.

 

  1. Modtagere af personoplysninger: medarbejdere og databehandlere hos den dataansvarlige, der udfører skatte-, løn- og socialsikringsopgaver (lønningslister).

 

 

 VI. KAPITEL 2

FORANSTALTNINGER TIL DATASIKKERHED

 

Foranstaltninger til datasikkerhed

 

  1. Den dataansvarlige træffer de tekniske og organisatoriske foranstaltninger og fastlægger de procedureregler, der er nødvendige for at håndhæve forordningen og Infotv. for at sikre sikkerheden af personoplysninger til alle formål og til alle lovlige formål.

 

  1. Den dataansvarlige skal træffe passende foranstaltninger til at beskytte dataene mod utilsigtet eller ulovlig ødelæggelse, tab, ændring, skade, uautoriseret videregivelse eller adgang.

 

  1. Den dataansvarlige klassificerer og behandler personoplysninger som fortrolige. Den pålægger sine medarbejdere en fortrolighedspligt med hensyn til behandling af personoplysninger, som den Bilag nr. klausul finder anvendelse. Den dataansvarlige skal begrænse adgangen til personoplysninger ved at fastsætte autorisationsniveauer.

 

  1. Den dataansvarlige beskytter IT-systemerne med firewalls og virusbeskyttelse.

 

  1. Den dataansvarliges medarbejdere kan tilslutte deres egne computere, datalagrings- og optagelsesenheder til arbejdspladsens computere.

 

  1. Den dataansvarlige skal udføre elektronisk databehandling og registrering ved hjælp af et computerprogram, der opfylder kravene til datasikkerhed. Programmet skal sikre, at adgangen til dataene er begrænset til de personer, der har brug for dem til at udføre deres opgaver, og kun til de formål, de er beregnet til, og under kontrollerede forhold.

 

  1. Når personoplysninger behandles automatisk, træffer den dataansvarlige og databehandleren yderligere foranstaltninger for at sikre:
  1. forhindre uautoriseret indtastning af data;
  2. at forhindre uautoriserede personers brug af automatiske databehandlingssystemer ved hjælp af datatransmissionsudstyr;
  3. verificerbarheden og konstaterbarheden af de organer, som personoplysninger er blevet eller kan blive overført til ved hjælp af datatransmissionsudstyr;
  4. verificerbarheden og konstaterbarheden af, hvilke personoplysninger der er registreret i automatiske databehandlingssystemer, hvornår og af hvem;
  5. de installerede systemers gendannelsesmuligheder i tilfælde af fejl, og
  6. at fejl i den automatiserede behandling rapporteres.

 

  1. Den dataansvarlige skal sikre overvågning af indgående og udgående kommunikation ved hjælp af elektroniske midler for at beskytte personoplysninger.

 

  1. Det er forbudt at dele personoplysninger, der behandles af den dataansvarlige, på internettet.

 

  1. Det er strengt forbudt at besøge websteder med download af filer, spil, chat og seksuelle tjenester på arbejdspladsen og på den dataansvarliges enheder.

 

  1. Du må ikke bruge uautoriserede programmer, der er hentet fra eksterne kilder eller downloadet fra eksterne kilder.

 

  1. Kun de relevante administratorer har adgang til dokumenter i forbindelse med arbejde eller behandling, og dokumenter, der indeholder personale-, løn-, ansættelses- og andre personoplysninger, skal opbevares forsvarligt aflåst.

 

  1. Sørg for tilstrækkelig fysisk beskyttelse af data og de enheder og dokumenter, der bærer dem.

 

  1. Det er den dataansvarliges ansvar at sørge for sikker opbevaring af dokumentation, der indeholder personoplysninger, og papirdokumenter skal opbevares i et arkivskab eller et aflåseligt skab.

 

  1. Efter den obligatoriske opbevaringsperiode, hvis yderligere opbevaring ikke er berettiget, og efter tilbagetrækning af den registreredes samtykke, skal optegnelserne, der indeholder personoplysningerne, destrueres. Dokumenter skal destrueres på en måde, der gør det umuligt at rekonstruere dem.

 

 

KAPITEL VII

HÅNDTERING AF DATABRUD

 

Begrebet brud på persondatasikkerheden

 

  1. Databrud: et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der overføres, opbevares eller på anden måde behandles (artikel 4, stk. 12, i forordningen).

 

 

 

 

Håndtering og afhjælpning af databeskyttelseshændelser  

 

  1. Forebyggelse og håndtering af databeskyttelseshændelser og overholdelse af de relevante lovkrav er den dataansvarliges ansvar.

 

  1. Adgang og forsøg på adgang til IT-systemer skal løbende logges og analyseres.

 

  1. Hvis medarbejdere hos den dataansvarlige, der er autoriseret til at udføre kontroller, opdager en databeskyttelseshændelse under udførelsen af deres opgaver, skal de straks underrette den dataansvarliges leder.

 

  1. Medarbejdere hos den dataansvarlige er forpligtet til at rapportere til den dataansvarliges leder eller den person, der udøver arbejdsgiverens rettigheder, hvis de bliver opmærksomme på en databeskyttelseshændelse eller en begivenhed, der kan indikere en sådan hændelse.

 

  1. Brud på datasikkerheden kan rapporteres til den dataansvarliges centrale e-mailadresse og telefonnummer, hvor medarbejdere, entreprenører og registrerede kan rapportere de underliggende hændelser og sikkerhedsbrister.

 

  1. I tilfælde af en anmeldelse om brud på datasikkerheden skal den dataansvarliges leder - med inddragelse af IT-, økonomi- og driftschefen - straks undersøge anmeldelsen, identificere hændelsen og beslutte, om der er tale om en reel hændelse eller en falsk alarm. Det skal undersøges og afgøres:
  2. tid og sted for hændelsen,
  3. en beskrivelse af hændelsen, dens omstændigheder og virkninger,
  4. omfanget og mængden af data, der blev kompromitteret i hændelsen,
  5. omfanget af personer, der er berørt af de kompromitterede data,
  6. en beskrivelse af de foranstaltninger, der er truffet for at håndtere hændelsen,
  7. en beskrivelse af de foranstaltninger, der er truffet for at forebygge, afhjælpe eller begrænse skaden.

 

  1. I tilfælde af et databrud skal de involverede systemer, personer og data inddæmmes og adskilles, og man skal sørge for at indsamle og bevare beviser for, at bruddet har fundet sted. Derefter kan man begynde at genoprette skaden og vende tilbage til lovlig drift.

 

Registreringer af databeskyttelseshændelser

 

  1. Registreringer af databeskyttelseshændelser skal opbevares, herunder:
  1. omfanget af de pågældende personoplysninger,
  2. omfanget og antallet af registrerede, der er berørt af bruddet på datasikkerheden,
  3. datoen for bruddet på datasikkerheden,
  4. omstændighederne ved og virkningerne af databruddet,
  5. de foranstaltninger, der er truffet for at afhjælpe bruddet på datasikkerheden,
  6. andre data, der er specificeret i den lovgivning, der giver mulighed for behandling.

 

  1. Data om brud på datasikkerheden i registret skal opbevares i 5 år.

 

 

KAPITEL VIII

KONSEKVENSANALYSE AF DATABESKYTTELSE OG FORUDGÅENDE HØRING

 

Konsekvensanalyse af databeskyttelse og forudgående høring

  1. Hvis en type behandling, navnlig en behandling, der anvender nye teknologier, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder under hensyntagen til dens karakter, omfang, sammenhæng og formål, skal den dataansvarlige foretage en konsekvensanalyse forud for behandlingen for at vurdere, hvordan de påtænkte behandlingsaktiviteter vil påvirke beskyttelsen af personoplysninger. Lignende typer af behandlingsaktiviteter, der indebærer lignende høje risici, kan vurderes inden for rammerne af en enkelt konsekvensanalyse.
  2. Hvis konsekvensanalysen vedrørende databeskyttelse konkluderer, at behandlingen sandsynligvis vil medføre en høj risiko, hvis den dataansvarlige ikke træffer foranstaltninger til at begrænse risikoen, skal den dataansvarlige høre tilsynsmyndigheden, før personoplysningerne behandles.
  3. De detaljerede regler om konsekvensanalyse af databeskyttelse og forudgående høring er reguleret af bestemmelserne i artikel 35-36 i forordningen og Infotv.

 

KAPITEL IX

DEN BERØRTE PERSONS RETTIGHEDER

 

Oplysninger om den registreredes rettigheder

 

  1. En kort opsummering af den registreredes rettigheder:
    1. Gennemsigtig information, kommunikation og facilitering af udøvelsen af den registreredes rettigheder
    2. Ret til forudgående information - når personoplysninger indsamles fra den registrerede
    3. Oplysninger til den registrerede og de oplysninger, der skal gives til ham eller hende, hvis den dataansvarlige ikke har indhentet personoplysningerne fra ham eller hende.
    4. Den registreredes ret til indsigt
    5. Retten til berigtigelse
    6. Ret til sletning („retten til at blive glemt”)
    7. Ret til begrænsning af behandling
    8. Forpligtelse til at underrette om berigtigelse eller sletning af personoplysninger eller begrænsning af behandling
    9. Retten til dataportabilitet
    10. Retten til at protestere
    11. Automatiseret beslutningstagning i individuelle tilfælde, herunder profilering
    12. Begrænsninger
    13. Informere den registrerede om bruddet på persondatasikkerheden
    14. Retten til at indgive en klage til en tilsynsmyndighed (ret til officiel prøvelse)
    15. Ret til effektive retsmidler over for tilsynsmyndigheden
    16. Retten til effektive retsmidler over for den dataansvarlige eller databehandleren

 

  1. Dine rettigheder som registreret i detaljer:

 

 

Gennemsigtig information, kommunikation og facilitering af udøvelsen af den registreredes rettigheder 

 

  1. Den dataansvarlige giver den registrerede al information og alle oplysninger vedrørende behandlingen af personoplysninger i en kortfattet, gennemsigtig, forståelig og lettilgængelig form og i et klart og tydeligt sprog, navnlig når der er tale om oplysninger, der er rettet til børn. Oplysningerne skal gives skriftligt eller på anden måde, herunder, hvor det er relevant, elektronisk. Efter anmodning fra den registrerede kan oplysninger gives mundtligt, forudsat at den registreredes identitet er blevet verificeret på anden vis.

 

  1. Den dataansvarlige skal gøre det lettere for den registrerede at udøve sine rettigheder.

 

  1. Den dataansvarlige underretter uden unødig forsinkelse og under alle omstændigheder senest en måned efter modtagelsen af anmodningen den registrerede om de foranstaltninger, der er truffet som svar på anmodningen om udøvelse af vedkommendes rettigheder. Denne frist kan forlænges med yderligere to måneder på de betingelser, der er fastsat i forordningen, og den registrerede skal underrettes herom.

 

  1. Hvis den dataansvarlige ikke reagerer på den registreredes anmodning, underretter den dataansvarlige straks og senest en måned efter modtagelsen af anmodningen den registrerede om årsagerne til den manglende reaktion og om den registreredes mulighed for at indgive en klage til en tilsynsmyndighed og udøve sin ret til domstolsprøvelse.

 

  1. Den dataansvarlige skal give den registrerede oplysninger og foranstaltninger vedrørende den registreredes rettigheder gratis, men kan opkræve et gebyr i de tilfælde, der er fastsat i forordningen.

 

  1. De detaljerede regler findes i artikel 12 i forordningen.

 

Ret til forudgående information - når personoplysninger indsamles fra den registrerede

 

  1. Den registrerede har ret til at blive informeret om fakta og oplysninger vedrørende behandlingen, inden behandlingen påbegyndes. I denne sammenhæng skal den registrerede informeres:
  1. den dataansvarliges og dennes repræsentants identitet og kontaktoplysninger,
  2. kontaktoplysninger for den databeskyttelsesansvarlige (hvis en sådan findes),
  3. de formål, hvortil personoplysningerne skal behandles, og retsgrundlaget for behandlingen,
  4. i tilfælde af behandling baseret på legitime interesser, den dataansvarliges eller en tredjeparts legitime interesser,
  5. de modtagere, som personoplysningerne videregives til, og eventuelle kategorier af modtagere;
  6. hvis det er relevant, det faktum, at den dataansvarlige har til hensigt at overføre personoplysningerne til et tredjeland eller en international organisation.

 

  1. For at sikre en rimelig og gennemsigtig behandling skal den dataansvarlige give den registrerede følgende yderligere oplysninger:
  1. varigheden af opbevaringen af personoplysninger eller, hvis dette ikke er muligt, kriterierne for fastsættelse af denne varighed;
  2. den registreredes ret til at anmode den dataansvarlige om adgang til, berigtigelse af, sletning af eller begrænsning af behandlingen af personoplysninger om ham eller hende og til at gøre indsigelse mod behandlingen af sådanne personoplysninger samt retten til dataportabilitet;
  3. i tilfælde af behandling baseret på den registreredes samtykke, retten til at trække samtykket tilbage til enhver tid, uden at det berører lovligheden af den behandling, der blev udført på grundlag af samtykket, før det blev trukket tilbage;
  4. retten til at indgive en klage til en tilsynsmyndighed;
  5. om udleveringen af personoplysningerne er baseret på en juridisk eller kontraktlig forpligtelse eller er en forudsætning for indgåelse af en kontrakt, om den registrerede er forpligtet til at udlevere personoplysningerne og de mulige konsekvenser af ikke at udlevere oplysningerne;
  6. automatisk beslutningstagning, herunder profilering, og i det mindste i disse tilfælde den anvendte logik og klare oplysninger om betydningen af en sådan behandling og de sandsynlige konsekvenser for den registrerede.

 

  1. Hvis den dataansvarlige har til hensigt at viderebehandle personoplysninger til et andet formål end det, de blev indsamlet til, skal den dataansvarlige underrette den registrerede om dette andet formål og om eventuelle relevante supplerende oplysninger inden viderebehandlingen.

 

  1. De detaljerede regler om retten til forudgående information er beskrevet i artikel 13 i forordningen.

 

Oplysninger til den registrerede og de oplysninger, der skal gives til ham eller hende, hvis den dataansvarlige ikke har indhentet personoplysningerne fra ham eller hende.

 

  1. Hvis den dataansvarlige ikke har indhentet personoplysningerne fra den registrerede, skal den registrerede underrettes af den dataansvarlige senest en måned efter, at personoplysningerne blev indhentet; hvis personoplysningerne bruges til at kontakte den registrerede, mindst på tidspunktet for den første kontakt med den registrerede; eller, hvis oplysningerne sandsynligvis vil blive videregivet til en anden modtager, senest på tidspunktet for den første videregivelse af personoplysningerne, de kendsgerninger og oplysninger, der er beskrevet i det foregående punkt, de berørte kategorier af personoplysninger og kilden til personoplysningerne og, hvor det er relevant, om oplysningerne er indhentet fra offentligt tilgængelige kilder.

 

  1. For yderligere regler, se forrige punkt (Ret til forudgående information).

 

  1. De detaljerede regler for disse oplysninger er beskrevet i artikel 14 i forordningen.

 

Den registreredes ret til indsigt

 

  1. Den registrerede har ret til at få feedback fra den dataansvarlige om, hvorvidt hans eller hendes personoplysninger behandles eller ej, og, hvis en sådan behandling finder sted, ret til at få adgang til personoplysningerne og de relaterede oplysninger, der er beskrevet i punkt 2-3 ovenfor (forordningens artikel 15).

 

  1. Hvis personoplysninger overføres til et tredjeland eller en international organisation, har den registrerede ret til at blive informeret om de fornødne garantier for overførslen i overensstemmelse med forordningens artikel 46.

 

  1. Den dataansvarlige skal give den registrerede en kopi af de behandlede personoplysninger. For yderligere kopier, som den registrerede anmoder om, kan den dataansvarlige opkræve et rimeligt gebyr baseret på de administrative omkostninger.

 

  1. Detaljerede regler om den registreredes ret til indsigt er fastsat i forordningens artikel 15.

 

Retten til berigtigelse

 

  1. Den registrerede har ret til efter anmodning og uden unødig forsinkelse at få berigtiget urigtige personoplysninger om sig selv hos den dataansvarlige.

 

  1. Under hensyntagen til formålet med behandlingen har den registrerede ret til at anmode om fuldstændiggørelse af ufuldstændige personoplysninger, herunder ved hjælp af en supplerende erklæring.

 

  1. Disse regler er beskrevet i artikel 16 i forordningen.

 

Ret til sletning („retten til at blive glemt”)

 

  1. Den registrerede har ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse på sin anmodning, og den dataansvarlige er forpligtet til at slette personoplysninger om ham eller hende uden unødig forsinkelse, hvis.
  1. personoplysningerne ikke længere er nødvendige til de formål, hvortil de blev indsamlet eller på anden måde behandlet;
  2. den registrerede trækker det samtykke tilbage, som behandlingen er baseret på, og der er ikke noget andet retsgrundlag for behandlingen;
  3. den registrerede gør indsigelse mod behandlingen, og der er ingen tvingende legitime grunde til behandlingen,
  4. Personoplysningerne er blevet behandlet ulovligt;
  5. Personoplysningerne skal slettes for at overholde en retlig forpligtelse i henhold til EU-retten eller medlemsstaternes nationale ret, som den dataansvarlige er underlagt;
  6. Personoplysninger indsamles i forbindelse med levering af informationssamfundstjenester direkte til børn.

 

  1. Retten til sletning kan ikke udøves, hvis behandlingen er nødvendig
  1. at udøve retten til ytrings- og informationsfrihed;
  2. for at overholde en forpligtelse i henhold til EU-retten eller medlemsstaternes nationale ret, som den dataansvarlige er underlagt, eller for at udføre en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt;
  3. på grund af offentlighedens interesse inden for folkesundhed;
  4. til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål, hvor retten til sletning sandsynligvis vil gøre en sådan behandling umulig eller bringe den i alvorlig fare; eller
  5. for at rejse, håndhæve eller forsvare juridiske krav.

 

  1. Detaljerede regler om retten til sletning er fastsat i forordningens artikel 17.

 

 

 

Ret til begrænsning af behandling

 

  1. Hvis behandlingen er begrænset, må sådanne personoplysninger, bortset fra opbevaring, kun behandles med den registreredes samtykke eller med henblik på, at retskrav kan fastlægges, gøres gældende eller forsvares, eller for at beskytte en anden fysisk eller juridisk persons rettigheder eller en vigtig samfundsinteresse i Unionen eller en medlemsstat.

 

  1. Den registrerede har ret til på egen anmodning at få begrænset den dataansvarliges behandling, hvis en af følgende betingelser er opfyldt:
  1. den registrerede bestrider nøjagtigheden af personoplysningerne, i hvilket tilfælde begrænsningen gælder i det tidsrum, der er nødvendigt for at give den dataansvarlige mulighed for at kontrollere nøjagtigheden af personoplysningerne;
  2. databehandlingen er ulovlig, og den registrerede modsætter sig sletning af oplysningerne og anmoder i stedet om begrænsning af brugen af dem;
  3. den dataansvarlige ikke længere har brug for personoplysningerne til behandlingsformålene, men den registrerede har brug for dem til at fastlægge, udøve eller forsvare retskrav; eller
  4. den registrerede har gjort indsigelse mod behandlingen; i dette tilfælde gælder begrænsningen i perioden, indtil det er fastslået, om den dataansvarliges legitime grunde går forud for den registreredes.

 

  1. Den registrerede skal på forhånd underrettes om ophævelsen af begrænsningen af behandlingen.

 

  1. De relevante regler er beskrevet i artikel 18 i forordningen.

 

Forpligtelse til at underrette om berigtigelse eller sletning af personoplysninger eller begrænsning af behandling

 

  1. Den dataansvarlige underretter hver modtager, til hvem eller med hvem personoplysningerne er blevet videregivet, om enhver berigtigelse, sletning eller begrænsning af behandling, medmindre dette viser sig at være umuligt eller indebærer en uforholdsmæssig stor indsats. Den dataansvarlige skal på den registreredes anmodning underrette denne om disse modtagere.

 

  1. Disse regler findes i artikel 19 i forordningen.

 

Retten til dataportabilitet

 

  1. På de betingelser, der er fastsat i forordningen, har den registrerede ret til at modtage personoplysninger om sig selv, som han eller hun har givet til en dataansvarlig, i et struktureret, almindeligt anvendt og maskinlæsbart format og ret til at overføre disse oplysninger til en anden dataansvarlig uden hindring fra den dataansvarlige, som personoplysningerne er blevet givet til, hvis.
  1. behandlingen er baseret på samtykke eller på en kontrakt; og
  2. behandlingen udføres ved hjælp af automatiserede midler.

 

  1. Den registrerede kan også anmode om direkte overførsel af personoplysninger mellem dataansvarlige.

 

  1. Udøvelsen af retten til dataportabilitet berører ikke forordningens artikel 7 (retten til sletning („retten til at blive glemt”). Retten til dataportabilitet finder ikke anvendelse, hvis behandlingen er nødvendig af hensyn til udførelsen af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt. Denne ret må ikke påvirke andres rettigheder og friheder negativt.

 

  1. De detaljerede regler er beskrevet i artikel 20 i forordningen.

 

Retten til at protestere

 

  1. ADen registrerede har til enhver tid ret til af grunde, der vedrører vedkommendes særlige situation, at gøre indsigelse mod behandling af vedkommendes personoplysninger, der er baseret på samfundets interesse, udførelse af en offentlig opgave (artikel 6, stk. 1, litra e)) eller en legitim interesse (artikel 6, litra f)), herunder profilering, der er baseret på disse bestemmelser. I så fald må den dataansvarlige ikke længere behandle personoplysningerne, medmindre den dataansvarlige påviser vægtige legitime grunde til behandlingen, som går forud for den registreredes interesser, rettigheder og frihedsrettigheder, eller til etablering, udøvelse eller forsvar af retskrav.

 

  1. Hvis personoplysninger behandles med henblik på direkte markedsføring, har den registrerede til enhver tid ret til at gøre indsigelse mod behandling af personoplysninger om ham eller hende til sådanne formål, herunder profilering, hvis det er relateret til direkte markedsføring. Hvis den registrerede gør indsigelse mod behandling af personoplysninger til direkte markedsføringsformål, må personoplysningerne ikke længere behandles til disse formål.

 

  1. Den registrerede skal udtrykkeligt gøres opmærksom på disse rettigheder senest på tidspunktet for den første kontakt med den registrerede, og oplysningerne skal vises tydeligt adskilt fra alle andre oplysninger.

 

  1. Den registrerede kan også udøve retten til at gøre indsigelse ved hjælp af automatiserede midler baseret på tekniske specifikationer.

 

  1. Hvis personoplysninger behandles til videnskabelige eller historiske forskningsformål eller til statistiske formål, har den registrerede ret til af grunde, der vedrører vedkommendes særlige situation, at gøre indsigelse mod behandling af personoplysninger om vedkommende, medmindre behandlingen er nødvendig af hensyn til udførelsen af en opgave i samfundets interesse.

 

Automatiseret beslutningstagning i individuelle tilfælde, herunder profilering

 

  1. Den registrerede har ret til ikke at være genstand for en afgørelse, der udelukkende er baseret på automatisk behandling, herunder profilering, og som har retsvirkning for ham eller hende eller på tilsvarende vis påvirker ham eller hende betydeligt.

 

  1. Denne ret gælder ikke i tilfælde af en beslutning:
  1. nødvendig for indgåelse eller opfyldelse af en kontrakt mellem den registrerede og den dataansvarlige;
  2. er tilladt i henhold til EU- eller medlemsstatslovgivning, der gælder for den dataansvarlige, og som også fastsætter passende foranstaltninger til beskyttelse af den registreredes rettigheder og frihedsrettigheder og legitime interesser, eller
  3. er baseret på den registreredes udtrykkelige samtykke.

 

  1. I de tilfælde, der er omhandlet i litra a) og c), træffer den dataansvarlige passende foranstaltninger til at beskytte den registreredes rettigheder, frihedsrettigheder og legitime interesser, herunder i det mindste retten til at få menneskelig indgriben fra den dataansvarliges side, til at udtrykke sit synspunkt og til at gøre indsigelse mod afgørelsen.

 

  1. Yderligere regler er fastsat i artikel 22 i forordningen.

 

Begrænsninger

 

  1. EU-retten eller medlemsstaternes nationale ret, der finder anvendelse på en dataansvarlig eller databehandler, kan begrænse omfanget af rettigheder og forpligtelser (artikel 12-22, 34 og 5 i forordningen) ved hjælp af lovgivningsmæssige foranstaltninger, forudsat at begrænsningen respekterer det væsentlige indhold af de grundlæggende rettigheder og frihedsrettigheder.

 

  1. Betingelserne for denne begrænsning er beskrevet i artikel 23 i forordningen.

 

Informere den registrerede om bruddet på persondatasikkerheden

 

  1. Hvis bruddet på persondatasikkerheden sandsynligvis vil medføre en høj risiko for fysiske personers rettigheder og frihedsrettigheder, skal den dataansvarlige underrette den registrerede om bruddet på persondatasikkerheden uden unødig forsinkelse. Denne information skal klart og tydeligt beskrive karakteren af bruddet på persondatasikkerheden og skal som minimum indeholde følgende:
  1. navn og kontaktoplysninger på den databeskyttelsesansvarlige eller en anden kontaktperson, der kan give yderligere oplysninger;
  2. forklare de sandsynlige konsekvenser af databruddet;
  3. beskrive de foranstaltninger, som den dataansvarlige har truffet eller påtænker at træffe for at afhjælpe bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger til at afbøde eventuelle negative konsekvenser af bruddet på persondatasikkerheden.

 

  1. Den registrerede behøver ikke at blive informeret, hvis en af følgende betingelser er opfyldt:
    1. den dataansvarlige har gennemført passende tekniske og organisatoriske beskyttelsesforanstaltninger, og disse foranstaltninger er blevet anvendt på de data, der er berørt af bruddet på persondatasikkerheden, navnlig foranstaltninger som f.eks. brug af kryptering, der gør dataene uforståelige for personer, der ikke er autoriseret til at få adgang til personoplysningerne;
    2. den dataansvarlige har truffet yderligere foranstaltninger efter bruddet på persondatasikkerheden for at sikre, at det ikke længere er sandsynligt, at den høje risiko for den registreredes rettigheder og frihedsrettigheder vil opstå;
    3. oplysninger ville kræve en uforholdsmæssig stor indsats. I sådanne tilfælde bør de registrerede underrettes ved hjælp af offentligt tilgængelige oplysninger eller en lignende foranstaltning, der sikrer, at de registrerede underrettes på en lige så effektiv måde.

 

  1. Yderligere regler er fastsat i artikel 34 i forordningen.

 

 Retten til at indgive en klage til en tilsynsmyndighed (ret til officiel prøvelse)

 

  1. Den registrerede har ret til at indgive en klage til en tilsynsmyndighed, navnlig i den medlemsstat, hvor vedkommende har sit sædvanlige opholdssted, sit arbejdssted eller stedet for den påståede overtrædelse, hvis den registrerede mener, at behandlingen af personoplysninger om vedkommende er i strid med forordningen. Den tilsynsmyndighed, som klagen er indgivet til, skal underrette den registrerede om den proceduremæssige udvikling og resultatet af klagen, herunder den registreredes ret til domstolsprøvelse.

 

  1. Disse regler er beskrevet i artikel 77 i forordningen.

 

Ret til effektive retsmidler over for tilsynsmyndigheden

 

  1. Uden at det berører andre administrative eller udenretslige retsmidler, har enhver fysisk eller juridisk person ret til effektive retsmidler mod en juridisk bindende afgørelse truffet af tilsynsmyndigheden vedrørende ham eller hende.

 

  1. Uden at det berører andre administrative eller udenretslige retsmidler, har enhver registreret ret til effektive retsmidler, hvis den kompetente tilsynsmyndighed ikke behandler klagen eller ikke inden for tre måneder underretter den registrerede om den proceduremæssige udvikling vedrørende den indgivne klage eller om resultatet af klagen.

 

  1. Sager mod tilsynsmyndigheden indbringes for domstolene i den medlemsstat, hvor tilsynsmyndigheden er etableret.

 

  1. Hvis der anlægges sag mod en afgørelse truffet af en tilsynsmyndighed, som Afviklingsinstansen tidligere har afgivet udtalelse om eller truffet afgørelse om i henhold til sammenhængsmekanismen, er tilsynsmyndigheden forpligtet til at fremsende denne udtalelse eller afgørelse til retten.

 

  1. Disse regler er beskrevet i artikel 78 i forordningen.

 

Retten til effektive retsmidler over for den dataansvarlige eller databehandleren

 

  1. Uden at det berører de administrative eller udenretslige retsmidler, der er til rådighed, herunder retten til at indgive en klage til en tilsynsmyndighed, skal enhver registreret have adgang til effektive retsmidler, hvis vedkommende mener, at vedkommendes rettigheder i henhold til denne forordning er blevet krænket som følge af behandling af vedkommendes personoplysninger, der ikke er i overensstemmelse med denne forordning.

 

  1. Sager mod den dataansvarlige eller databehandleren anlægges ved domstolene i den medlemsstat, hvor den dataansvarlige eller databehandleren er etableret. Sådanne sager kan også indbringes for domstolene i den medlemsstat, hvor den registrerede har sit sædvanlige opholdssted, medmindre den dataansvarlige eller databehandleren er en offentlig myndighed i en medlemsstat, der handler som led i offentlig myndighedsudøvelse.

 

  1. Disse regler er beskrevet i artikel 79 i forordningen.

 

ENDELIGE BESTEMMELSER

 

Foranstaltninger til at gøre kodekset kendt

 

Bestemmelserne i denne politik skal meddeles til alle medarbejdere hos den dataansvarlige og skal være en væsentlig del af alle medarbejderes ansættelseskontrakter. Modellen for ansættelseskontrakten i denne politik er Bilag nr. inkluderet.