Privatlivspolitik
Version 1 – 2018
Indhold
OM INDSAMLINGEN ER FRIVILLIG ELLER OBLIGATORISK. 3
DEN REGISTREREDES RETTIGHEDER. 4
Ret til indsigelse – også mod automatiserede afgørelser 5
BEHANDLINGSREGLER – GENERELT. 5
Konsekvensanalyser vedrørende databeskyttelse (dpia) 6
Databeskyttelsesrådgiver (dpo) 6
Videregivelse til sociale netværk 7
Generelle tekniske foranstaltninger 8
DETALJERET BEHANDLINGSREGLER – KUNDE. 8
Finansiering – købekontrakt & leasing 10
Værkstedskort & arbejdskort 11
DETALJERET BEHANDLINGSREGLER – ANSATTE. 13
Behandling af persondata forud for ansættelsen 13
Behandling af persondata om nuværende ansatte 14
Behandling af persondata om tidligere ansatte, herunder om sletning. 15
Interne og eksterne telefonlister med ansatte. 16
Intern implementeringspolitik for ansatte 17
RETNINGSLINJER FOR HÅNDTERING AF DATABRISTER. 17
Anmeldelse til Datatilsynet & underretning af person 17
Proces for håndtering af databrister 17
Hvornår skal der ikke underrettes 17
ÆNDRING AF PERSONDATAPOLITIK. 18
Folkersen Automobiler ApS
Bomose Allé 15
3200 Helsinge
Tlf. 48 79 77 67
CVR-nr. 19 18 86 71
E-mail: adm@folkersen-automobiler.dk
PERSONDATA
Beskyttelse af dine persondata har vores højeste prioritet, uanset om disse data handler om dig, dine transaktioner, dine produkter eller dine serviceydelser.
Vi behandler persondata, og vi har derfor vedtaget denne persondatapolitik, der fortæller dig, hvordan vi behandler dine data.
Det er vigtigt for os, at dine persondata opbevares sikkert og fortroligt. Vi har procedurer for indsamling, opbevaring, sletning, opdatering og videregivelse af persondata for at hindre uautoriseret adgang til dine persondata og for at opfylde gældende lovgivning.
Vi sikrer fair og transparent databehandling. Når vi beder dig om at stille dine persondata til rådighed for os, oplyser vi dig om, hvilke data vi behandler om dig og til hvilket formål. Du modtager oplysning herom på tidspunktet for indsamling af dine persondata.
Nedenstående retningslinjer beskriver hvilke typer af persondata, vi indsamler, hvordan vi behandler disse data, og hvem du kan kontakte, hvis du har spørgsmål eller kommentarer til denne persondatapolitik.
TYPER AF PERSONDATA
- Almindelige Persondata (fx navn og/eller brugernavn, adresse, e-mail, fødselsdato, lokalisation, mv.)
- Oplysninger om din bil, f.eks. reg.nr., mærke og model
- Købshistorik
- Informationer fra bilens styreboks/IT
- Informationer fra salg og servicering af bilen
- Informationer om valgte forsikringer mv.
- Informationer om serviceeftersyn og obligatoriske syn
- Informationer om finansiering af bilen
- Informationer om forsikring af bilen, herunder forsikringsselskab
- Informationer fra før salgsaktiviteter
- Informationer om åbning, læsning mv. af modtaget elektronisk markedsføring
- Trafikdata om brug af internettet
FORMÅL
Vi indsamler og opbevarer dine persondata til bestemte formål eller andre lovlige forretningsmæssige formål.
Dine persondata indsamles og bruges til:
- Køb/salg eller leasing af biler
- Servicering og værkstedsydelser
- Markedsføring af vores ydelser, herunder som beskrevet i det samtykke, du har givet til direkte markedsføring via e-mail og/eller SMS/MMS
- Udarbejdelse af en profil af mig, så jeg får de informationer, der er vurderet af forhandleren som værende af størst værdi for mig ud fra de indsamlede tracking oplysninger og ander persondata, som er indsamlet om mig
- Generelle formål som fx overholdelse af gældende lovgivning, administration af vores kundeaftaler, statistik og forretningsudvikling
- Direkte markedsføringsaktiviteter
- Statistik og tilpasning af vores ydelser
- Optimering af hjemmesiden
- Gennemførelse af en aftale eller foranstaltninger efter din anmodning herom
- Administration af din relation til forhandleren
- Opfyldelse af gældende lovkrav
KILDER
Persondata indsamles direkte fra dig, fra bilen eller via autoforhandleren som har opgjort skaden på din bil samt forsikringsselskaber. I visse tilfælde sker dette i henhold til et samtykke, som du har afgivet overfor forsikringsselskaber og autoforhandlere.
OM INDSAMLINGEN ER FRIVILLIG ELLER OBLIGATORISK
Hvis vi indsamler persondata direkte fra dig som den registrerede og behandler dine persondata til brug for markedsføringsformål, er det frivilligt at afgive persondata. Konsekvenserne af ikke at afgive persondata er, at du ikke kan få tilbud, fordele, samarbejdspartnere mv. såfremt persondata er nødvendige for, at vi kan afgive sådanne tilbud, fordele, samarbejdspartnere mv.
Ved tilfredshedsundersøgelser og lign. bestemmer du selv om du vil afgive persondata. Hvis du ikke gør det, kan forhandleren ikke følge op på en evaluering over for dig.
Når indsamlingen og behandlingen af persondata sker i forbindelse med salg/køb af biler, leasingaftaler eller servicering/værkstedsbesøg er det obligatorisk for forhandleren at indsamle personoplysningerne for at kunne indgå og opfylde kontrakten. Konsekvenserne af ikke at give persondata er, at det ikke er muligt at indgå eller gennemføre en sådan aftale.
DEN REGISTREREDES RETTIGHEDER
De registreredes rettigheder vil kun have selvstændig betydning i forhold til forhandleren i de tilfælde, hvor forhandleren er dataansvarlig. Er forhandleren databehandler, skal den registreredes rettigheder opfyldes gennem den dataansvarlige.
Indsigtsretten
Den registrerede har i henhold til databeskyttelsesforordningens artikel 15 ret til at få bekræftet, om der behandles persondata om den pågældende, og vil i givet fald få adgang til persondata (der skal udleveres en kopi af persondata).
Derudover har den registrerede ret til at modtage følgende information:
- Formålene med behandlingen
- De berørte kategorier af persondata
- De modtagere eller kategorier af modtagere, som persondata er eller vil blive videregivet til, navnlig modtagere i tredjelande eller internationale organisationer
- Om muligt det påtænkte tidsrum, hvor persondata vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes til fastlæggelse af dette tidsrum
- Retten til at anmode den dataansvarlige om berigtigelse eller sletning af persondata eller begrænsning af behandling af persondata vedrørende den registrerede eller til at gøre indsigelse mod en sådan behandling
- Retten til at indgive en klage til en tilsynsmyndighed
- Enhver tilgængelig information om, hvorfra persondata stammer, hvis de ikke indsamles hos den registrerede
- Forekomsten af automatiske afgørelser, herunder profilering, som omhandlet i artikel 22, stk. 1 og 4, og som minimum meningsfulde oplysninger om logikken heri samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede
Den registrerede har endvidere ret til at få oplysninger om fornødne garantier, hvis vi har overdraget persondata til tredjelande.
For at kunne opfylde en indsigtsbegæring på behørig vis skal vi herefter gennemsøge alle systemer – herunder alle databaser samt alt hardware og alle flytbare medier – og også gennemsøge alt fysisk materiale, der indgår i et register, og udlevere de persondata, der er registreret om den pågældende.
Efter databeskyttelsesloven gælder retten til indsigt ikke, hvis den registreredes interesse i oplysningerne findes at burde vige for afgørende hensyn til private interesser, herunder hensynet til den pågældende selv.
Dataportabilitet
Den registrerede har efter databeskyttelsesforordningens artikel 20 desuden ret til i et struktureret, almindeligt anvendt og maskinlæsbart format at modtage persondata om sig selv, som den pågældende selv har givet til os.
Den registrerede har desuden ret til selv at transmittere disse oplysninger til en anden dataansvarlig uden hindring fra os, når behandlingen er baseret på samtykke, og behandlingen foretages automatisk. Hvis den registrerede udøver denne ret til dataportabilitet, har den registrerede også ret til at få transmitteret persondata direkte fra en dataansvarlig til en anden, hvis det er teknisk muligt. Adgangen til dataportabilitet omfatter kun oplysninger, den registrerede selv har givet, og vil kun omfatte behandlinger, der foretages automatisk. Adgangen til dataportabilitet vil desuden være særdeles begrænset, såfremt den baserer sin behandlingshjemmel på andet grundlag end samtykke.
Ret til berigtigelse
I henhold til databeskyttelsesforordningens artikel 16 har den registrerede ret til at få urigtige persondata om sig selv berigtiget af den dataansvarlige uden unødig forsinkelse. Under hensyntagen til formålene med behandlingen har den registrerede desuden ret til få fuldstændiggjort ufuldstændige persondata, bl.a. ved at fremlægge en supplerende erklæring.
Denne ret supplerer vores egen grundlæggende forpligtelse til kontinuerligt at sikre os, at der alene behandles korrekte og ajourførte oplysninger, jf. artikel 5, stk. 1, litra d.
Retten til at blive glemt
Den registrerede har efter databeskyttelsesforordningens artikel 17 ret til at få persondata om sig selv slettet af os uden unødig forsinkelse. Vi har i så fald pligt til at slette persondata uden unødig forsinkelse i visse angivne situationer.
Hvis vi er forpligtet til at slette persondata efter artikel 17, som har været overladt til andre dataansvarlige eller databehandlere, skal vi underrette sådanne dataansvarlige eller databehandlere, som behandler persondata om, at den registrerede har anmodet om at slette alle link til eller kopier eller gengivelser af de pågældende persondata.
Ret til indsigelse – også mod automatiserede afgørelser
Det følger af databeskyttelsesforordningens artikel 21, at den registrerede til enhver tid har ret til at gøre indsigelse mod behandling af sine persondata, hvis behandlingen – herunder profilering – er baseret på artikel 6, stk. 1, litra e eller f. Disse bestemmelser omhandler adgangen til at behandle almindelige persondata, hvis behandlingen er nødvendig for at udføre en opgave i samfundets interesser, eller hvis behandlingen er nødvendig for at forfølge en berettiget interesse og hensynet til den registrerede ikke overstiger denne interesse.
Hvis der gøres indsigelse, må vi ikke længere behandle de pågældende persondata, medmindre vi kan påvise vægtige legitime grunde til behandlingen, der går forud for den registreredes interesser, eller hvis behandlingen er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares. Det er vores vurdering, at denne bestemmelse kun begrænset vil komme i spil i forhold til de ydelser, vi leverer.
Bestemmelsen i artikel 21 forudsætter, at den registrerede gøres udtrykkeligt opmærksom på sin ret til at gøre indsigelse, og at dette skal ske senest på tidspunktet for den første kommunikation. Endvidere skal oplysningen herom meddeles klart og holdes adskilt fra de andre oplysninger.
Supplerende til artikel 21, har den registrerede i henhold til artikel 22 ret til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering, som har retsvirkning eller på tilsvarende vis betydeligt påvirker den pågældende. Også denne bestemmelse indeholder en række undtagelser, jf. artikel 22, stk. 2. Blandt andet gælder retten ikke, hvis afgørelsen er nødvendig for indgåelse eller opfyldelse af en kontrakt mellem den registrerede og en dataansvarlig, hvis behandlingen har hjemmel i lov, eller hvis behandlingen er baseret på den registreredes udtrykkelige samtykke. Artikel 22 forudsætter dog generelt, at automatiserede afgørelser ikke baseres på særlige kategorier af persondata, jf. artikel 9, stk. 1, medmindre der er givet udtrykkeligt samtykke hertil, og der er indført passende foranstaltninger til beskyttelse af den registreredes rettigheder og frihedsrettigheder samt legitime interesser.
Ret til dataminimering
I henhold til databeskyttelsesforordningens artikel 18 har den registrerede ret til at få begrænset behandlingen af persondata, hvis:
- Rigtigheden af persondata bestrides af den registrerede, men kun i perioden indtil den dataansvarlige har haft mulighed for at fastslå, om persondata er korrekte
- Behandlingen er ulovlig, og den registrerede modsætter sig sletning af persondata og i stedet anmoder om, at anvendelsen heraf begrænses
- Den dataansvarlige ikke længere har brug for persondata til behandlingen, men de er nødvendige for, at et retskrav kan fastlægges, gøres gældende eller forsvares
- Den registrerede har gjort indsigelse mod behandlingen i medfør af artikel 21, stk. 1, men kun i perioden, mens det kontrolleres, om den dataansvarliges legitime interesser går forud for den registreredes legitime interesser
Retten udgør dermed et alternativt (og mindre) indgreb i behandlingen sammenlignet med den registreredes ret til at gøre indsigelse efter artikel 21 og 22, og den registreredes ”ret til at blive glemt” efter artikel 17. Det følger af bestemmelsens stk. 2, at hvis en behandling er blevet begrænset, må sådanne persondata, bortset fra opbevaring, stadig behandles blandt andet, hvis den registrerede giver samtykke hertil, eller hvis behandlingen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares. Bestemmelsen vil efter vores vurdering kun få begrænset betydning for vores adgang til at behandle persondata i vores sagsbehandling.
BEHANDLINGSREGLER – GENERELT
Behandlingsprincipper
Vi vil behandle persondata lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede. Vores behandling af persondata er undergivet en formålsbegrænsning. Det betyder, at persondata skal indsamles til udtrykkeligt angivne og legitime formål. De må ikke viderebehandles på en måde, der er uforenelig med disse formål. Vi behandler persondata ud fra et princip om dataminimering. Det betyder, at de skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles. Persondata skal behandles ud fra et princip om rigtighed. Det betyder, at de skal være korrekte og om nødvendigt ajourførte. Vi behandler persondata ud fra et princip om opbevaringsbegrænsning. Det betyder, at persondata skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende persondata behandles. Persondata skal behandles ud fra et princip om integritet og fortrolighed. Det betyder, at de skal behandles på en måde, der sikrer tilstrækkelig sikkerhed for persondata, herunder skal de beskyttes mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger.
Risikoanalyse
Vi skal i forbindelse med vores sagsbehandling gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, som konkret er forbundet med vores behandling af persondata. Vi har gennemført en risikoanalyse, som ligger til grund for denne persondatapolitik.
Konsekvensanalyser vedrørende databeskyttelse (dpia)
Databeskyttelsesforordningens artikel 35 indeholder et krav om, at hvis en behandling – navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål – sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, skal den dataansvarlige forud for behandlingen foretage en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af persondata. Pligten til at foretage en konsekvensanalyse gælder alene i særlige tilfælde, hvor der kan konstateres en høj risiko for fysiske personers rettigheder og frihedsrettigheder.
Konsekvensanalyser skal navnlig gennemføres, når der foretages;
- behandling i stort omfang af følsomme oplysninger eller af persondata vedrørende straffedomme og lovovertrædelser, eller
- systematisk og omfattende vurdering af personlige forhold vedrørende fysiske personer, der er baseret på automatisk behandling, herunder profilering, og som er grundlag for afgørelser, der har retsvirkning for den fysiske person eller på tilsvarende vis betydeligt påvirker den fysiske person, eller
- systematisk overvågning af et offentligt tilgængeligt område i stort omfang.
Det er vores vurdering, at vi sjældent vil foretage behandlinger, der opfylder et af ovennævnte kriterier. Det må derfor antages, at reglerne om konsekvensanalyse vil have et forholdsvis begrænset anvendelsesområde i relation til vores behandling af persondata om kunder. Gennemføres en konsekvensanalyse alligevel, vil resultatet af analysen tages i betragtning, når vi skal træffe passende foranstaltninger.
Databeskyttelsesrådgiver (dpo)
Pligten til at udpege en databeskyttelsesrådgiver forudsætter efter databeskyttelsesforordningens artikel 37, at behandling af persondata indgår som vores ”kerneaktivitet”. Dette er ikke tilfældet for de tilfælde hvor forhandleren agerer som databehandler. Pligten til at udpege en databeskyttelsesrådgiver indtræder navnlig når:
- der foretages behandlingsaktiviteter, der i medfør af deres karakter, omfang og/eller formål kræver regelmæssig og systematisk overvågning af registrerede i stort omfang, eller
- behandling i stort omfang af særlige kategorier af oplysninger (følsomme oplysninger), eller
- behandling i stort omfang af persondata vedrørende straffedomme og lovovertrædelser.
Det er vores vurdering, at forhandleren ikke foretager behandling af persondata i et omfang som beskrevet ovenfor. Vi har derfor valgt ikke at udpege en databeskyttelsesrådgiver.
Dataansvarlig
For persondata om forhandlerens kunder, vil forhandleren som altovervejende udgangspunkt arbejde selvstændigt. Forhandleren vurderer selvstændigt, om der er grundlag for at indsamle/behandle persondata, hvilke persondata der er relevante og nødvendige, og hvor længe persondata skal opbevares. I denne situation vil forhandleren agere som dataansvarlig.
Databehandleraftale
Hvis vi er dataansvarlige og har vurderet, at der foreligger en databehandlerkonstruktion, skal der udarbejdes en databehandleraftale.
Databehandleraftalen skal indgås mellem os (den dataansvarlige) og den anden part (databehandleren), og skal leve op til databeskyttelsesforordningens krav til databehandleraftaler, jf. forordningens artikel 28, stk. 3. Det indebærer, at der skal udarbejdes en kontrakt eller andet retligt dokument, som er bindende for databehandleren. Det er desuden et krav, at databehandleraftalen er skriftlig, herunder elektronisk.
Databeskyttelsesforordningen fastsætter herudover en del specifikke krav til indholdet af databehandleraftalen. Aftalen skal bl.a. indeholde oplysninger om genstanden for og varigheden af behandlingen, behandlingens karakter og formål, typen af persondata, kategorierne af registrerede og vores forpligtelser og rettigheder som dataansvarlig samt de pligter, som databehandleren har i forhold til at varetage opgaven. Kravene er specifikt beskrevet i databeskyttelsesforordningens artikel 28, stk. 3, litra a-h. Agerer vi som databehandler for kunden, skal der indgås en skriftlig databehandleraftale med kunden.
Overførsel til tredjelande
Der sker ikke overførsel af persondata til tredjelande.
Databehandlere – oversigt
Vi anvender eksterne virksomheder til at foretage den tekniske drift af forhandleren. Disse virksomheder fungerer som databehandler i forhold til de persondata, som vi er dataansvarlige for.
Databehandling foretages inden for Den Europæiske Union. Databehandleren handler alene efter instruks fra os.
Vi benytter følgende databehandlere:
Databehandler | Lokalisation | Aftaletype |
CDK | Danmark | Databehandleraftale |
AD/Auto Desktop | Danmark |
Databehandleraftale
|
Kia Import Danmark A/S | Danmark | Databehandleraftale |
FCA Danmark A/S | Danmark | Databehandleraftale |
Forsikring & Pension | Danmark | Databehandleraftale |
Skærød Autolakering | Danmark | Databehandleraftale |
Santander Consumer Bank | Danmark | Databehandleraftale |
KIA Finans (Nordania) | Danmark | Databehandleraftale |
SKAT (DMR) | Danmark | Obligatorisk Lovgivning |
Databehandleren har truffet de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at persondata hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af persondata. På din anmodning – og mod betaling af databehandlerens til enhver tid gældende timetakster for sådant arbejde – giver databehandleren dig tilstrækkelige persondata til, at databehandleren kan påvise, at de nævnte tekniske og organisatoriske sikkerhedsforanstaltninger er truffet.
Videregivelse til sociale netværk
Der videregives ikke persondata til sociale netværk.
Anden videregivelse
Med dit samtykke kan vi videregive dine persondata til tredjeparter, således at der ved fx et eventuelt kontrolbesøg fra Arbejdstilsynet kan fremlægges den nødvendige dokumentation. Såfremt vi modtager henvendelse fra politi (eller anden lignende offentlig myndighed) eller retsvæsen om udlevering af persondata, vil vi foretage udlevering af dine persondata i overensstemmelse med gældende lovgivning. Forhandleren overfører derudover persondata til tredjeparter i forbindelse med skadesarbejde fra autoforhandler samt forsikringsselskaber. Autoforhandleren videregiver dine persondata til forsikringsselskaber mv., som skal bruge dine persondata i forbindelse med opgørelse af skader, tegning af forsikring mv.
Profilering
Vi anvender ikke dine persondata til profilering.
Generelle tekniske foranstaltninger
Adgang til persondata er begrænset til personer, der har et sagligt behov for adgang til persondata. Det skal være så få personer som muligt, dog med behørigt hensyn til driften – der skal være et tilstrækkeligt antal medarbejdere til at sikre driften af de pågældende opgaver ved sygdom, ferier, personaleudskiftning mv. Data vil alene blive tilgået på ”need to know” basis.
Medarbejdere, der håndterer persondata, er instrueret og oplært i, hvad de må gøre med persondata, og hvordan de skal beskytte persondata.
Oplysningspligt – kunder
Hver kunde modtager et link til vores persondatapolitik, som der herefter kan henvises til.
Sletning – hvornår
Ved afslutning af en opgave fra en kunde har vi i princippet ikke længere behov for at behandle persondata. Opgaven er løst. En række andre hensyn samt særregler indebærer dog, at persondata ikke bør eller ikke må slettes førend, der er gået et tidsrum. Det skal konkret overvejes, hvor længe persondata opbevares, inden de slettes.
Bogføringsreglerne indebærer, at persondata knyttet til en betaling skal opbevares i 5 år + løbende kalenderår efter regnskabsårets afslutning.
Hensynet til, at vi kan varetage dine interesser ved et muligt ansvar kan indebære, at oplysninger opbevares i op til 5 år efter afslutningen af opgaven.
Stamdata for kunden bør opbevares i f5 år fra kundeforholdets ophør for at sikre logisk sammenhæng med den regnskabsmæssige behandling.
Kontaktinformation – CRM skal løbende slettes og opdateres.
E-mails, som kan have betydning for fastlæggelse af et retskrav, skal gemmes i 3 år og herefter slettes, medmindre retskrav er rejst mod, eller tænkes rejst af, autoforhandleren. Du kan læse mere detaljeret om hvordan dine personoplysninger behandles i afsnittet ”Detaljerede behandlingsregler – kunde”
Sletning – hvordan
Sletning af persondata betyder i praksis, at persondata uigenkaldeligt fjernes fra alle lagringsmedier, hvorpå de har været lagret, og at persondata på ingen måde kan genskabes. Man skal i den forbindelse være opmærksom på alle lagringsmedier – herunder også flytbare medier i form af bærbare computere, USB-nøgler mv., samt back-up.
Efter sletning/anonymisering vil vi foretage behørigt krydstjek i form af søgninger på navn/CPR-nr. mv. vedrørende kunden på sagen for at sikre, at der ikke kommer noget frem.
DETALJERET BEHANDLINGSREGLER – KUNDE
Behandlingshjemmel
Vi behandler personoplysninger med følgende behandlingshjemmel; Opfyldelse af en kontrakt (Databeskyttelsesforordningen art. 6, stk. 1, litra b)
- Vores retlige forpligtelser som dataansvarlig for persondata (Databeskyttelsesforordningen art. 6, stk. 1, litra c)
- Samtykke i forhold til direkte markedsføring og tracking i forbindelse med markedsføring (Databeskyttelsesforordningen art. 6, stk. 1, litra a)
- Persondata kan i visse situationer også blive behandlet på baggrund af andre juridiske grundlag, fx interesseafvejningsreglen. Derfor kan du opleve, at persondata i en vis grad kan blive behandlet fremadrettet, selvom et evt. samtykke trækkes tilbage
- Interesseafvejning i forhold til at dokumentere overholdelse af lovgivningen, evaluere købs- og værkstedsoplevelser samt til at udarbejde statistik (Databeskyttelsesforordningen art. 6, stk. 1, litra f)
- For så vidt angår navnlig personnumre kan vi til at behandle oplysninger om personnumre, (i) når det følger af lovgivningen, (ii) hvis der foreligger et samtykke, eller (iii) hvis det er nødvendigt med henblik på fastlæggelsen af et retskrav, jf. databeskyttelseslovens § 11, jf. § 7
Salgsafdelingen
Køresedler
Køresedler udfyldes og laves elektronisk via Biltorvets app, AutoDesktop. Her indsamles følgende oplysninger:
- CPR-nummer (følsom personoplysning)
- Kørekortnummer
- Telefonnummer
- E-mailadresse
- Navn og adresse
- Detaljer knyttet til prøvekørslen
Kunden modtager efterfølgende elektronisk køreseddel, der kan fremvises, hvis bilen under prøvekørsel bliver stoppet til kontrol.
Den elektroniske køreseddel opbevares i 3 måneder for at sikre, der efterfølgende ikke kommer bøder, herunder fartbøder eller parkeringsbøder. Formålet med opbevaringen er at kunne dokumentere, hvem der har været fører på tidspunktet for udstedelsen af bøden. Efterfølgende bliver den elektroniske kørerseddel sammen med alle persondata slettet.
Kunden har mulighed for at afgive samtykkeerklæring i forbindelse med prøvekørsel. Kunden kan samtykke til, at kunden må kontaktes markedsføringsmæssigt via telefon, SMS eller e-mail i forbindelse med:
- Opfølgning på prøvekørsel
- Udsendelse af markedsføringsmateriale
Afgivelse af samtykke er frivilligt og er ikke en betingelse for at kunne foretage prøvekørsel. Samtykket er gyldigt indtil det trækkes tilbage af kunden, eller der ikke er blevet udsendt markedsføringsmateriale min. 1 gang hver 11. måned.
Der gemmes kun kontaktoplysninger på kunden, som alene er tilgængeligt for relevant personale i markedsføringsøjemed.
Kunden kan til en hver tid afmelde alt kontakt fra forhandleren, enten telefonisk, pr. mail, brev eller ved fysisk kontakt. Se beskrivelsen i privatlivserklæringen.
Stamdata på kunden slettes efter 3 mdr., medmindre der er afgivet en samtykkeerklæring, jf. ovenstående.
Slutsedler
Slutsedler udfyldes og laves elektronisk via AutoDesktop. Her indsamles følgende persondata:
- CPR-nummer (følsom personoplysning)
- Telefonnummer
- E-mailadresse
- Navn og adresse
- Oplysninger på den købte bil
- Oplysninger vedrørende indregistrering af ny bil
- Oplysninger på eventuel byttebil
- Forsikring
- Økonomiske oplysninger (priser og evt. finansieringsoplysninger)
Slutseddel printes ud og underskrives af begge parter.
Slutsedlen opbevares elektronisk/fysisk i 5 år for at overholde lovmæssige krav. Den fysiske slutseddel opbevares i hængemappe i aflåst rum sammen med faktura, købs- og salgsfaktura, samt evt. finansieringspapirer. Informationer gemt elektronisk slettes samtidig.
Efter 5 år + løbende kalender år makuleres mappen. Dette sker af praktiske årsager hver 12 mdr. hvilket vil sige ingen mapper gemmes mere end 6 år.
Kunden har mulighed for at underskrive samtykkeerklæring i forbindelse med udfyldelse af slutseddel om, at denne må kontaktes af forhandleren i markedsføringsmæssig sammenhæng via telefon, SMS eller e-mail.
Tilbud og nyheder
Kunden har mulighed for at afgive samtykkeerklæring, hvor der afgives samtykke til at modtage følgende information vedrørende markedsføring:
- Reservedele, tilbehør, merchandise og service til bilen, fx vask og pleje, rustbeskyttelse og synsforberedelse
- Nye og brugte biler og andre køretøjer
- Leasing og finansiering vedrørende biler og andre køretøjer fra forhandlerens samarbejdspartnere og leverandører
- Vejhjælp fra forhandlerens samarbejdspartnere og leverandører
- Medlemskaber og abonnementer om biler, andre køretøjer, bilservices og services til andre køretøjer fra forhandlerens samarbejdspartner og leverandører
Ovenstående tilbud og nyheder kan både vedrøre produkter/services fra forhandleren og forhandlerens samarbejdspartnere og leverandører. Tilbud fra forhandlerens samarbejdspartnere og leverandører sendes til kunden direkte fra forhandleren, og forhandlerens samarbejdspartner og leverandører modtager derfor ingen oplysninger om kunden i denne forbindelse.
Informationer
- Kunden har mulighed for at afgive samtykkeerklæring, hvor der afgives samtykke til at modtage informationer om planlagte arrangementer, herunder åbent hus og messer, hvor forhandleren deltager
Påmindelser
- Kunden har mulighed for at afgive samtykkeerklæring, hvor der afgives samtykke til at modtage informationer om værkstedsbesøg og øvrige servicemeddelelser, fx påmindelser om tid for dækskifte, obligatoriske serviceeftersyn og lovpligtige syn samt tid for sæsoneftersyn
Andet
- Kunden har mulighed for at afgive samtykkeerklæring, hvor der afgives samtykke til at modtage informationer om muligheden for at udfylde specielle ønsker, som kunden gerne vil have info omkring
Samtykke er gyldigt indtil det trækkes tilbage af kunden, eller der ikke er blevet udsendt markedsføringsmateriale min. 1 gang hver 11. måned.
Der gemmes kun kontaktoplysninger på kunden.
Kunden kan til en hver tid afmelde alt kontakt fra forhandleren, enten telefonisk, pr. mail, brev eller ved fysisk kontakt. Se beskrivelse i privatlivserklæringen.
Serviceaftale
I forbindelse med oprettelse af en serviceaftale indhentes følgende oplysninger:
- CPR-nr. (følsom personoplysning)
- Telefonnummer
- E-mailadresse
- Navn og adresse
- Registreringsnummer på bilen
- Relevante oplysninger omkring selve serviceaftalen, km antal, priser osv.
Serviceaftalen printes ud og underskrives af begge parter. Aftalen er personlig, derfor indeholder den personoplysninger samt følsomme personoplysninger.
Serviceaftalen opbevares elektronisk/fysisk i 5 år efter udløb, for at overholde lovmæssige krav. Den fysiske serviceaftale opbevares i hængemappe i aflåst rum.
Den elektroniske og fysiske aftale slettes hver 12 mdr. efter udløb af opbevaringsfristen, således at ingen aftaler gemmes mere end 6 år efter udløb.
Chefen for eftermarked er ansvarlig for sletning.
Finansiering – købekontrakt & leasing
I forbindelse med finansiering af bil, indtastes personlige oplysninger fra slutseddel, samt økonomiske oplysninger til kreditvurdering. Persondata indtastes direkte i finansieringsselskabets system, og både finansieringsselskabet og forhandleren bliver dataansvarlige (til forskellige formål).
For finansieringsselskabets brug af persondata henvises der til finansieringsselskabets persondatapolitik.
Når kontrakten er behandlet, kan kunden enten godkende dokumenterne via NemID eller ved at underskrive aftalen fysisk.
Den fysiske kontrakt printes ud i tre eksemplarer – et til finansieringsselskabet – et til kunden – et til forhandleren.
Dokumenterne opbevares i 5 år for at overholde lovmæssige krav. De fysiske dokumenter opbevares i hængemappe i aflåst rum sammen med slutseddel og købsfaktura.
Efter 5 år makuleres mappen. Dette sker af praktiske årsager hver 12 mdr., hvilket vil sige ingen mapper gemmes mere end 6 år.
Faktura
Sælger laver faktura til kunden ud fra slutseddelsoplysningerne.
Faktura printes ud og udleveres til kunden.
Faktura opbevares elektronisk/fysisk i 5 år for at overholde lovmæssige krav. Den fysiske faktura opbevares i hængemappe i aflåst rum sammen med slutseddel, købsfaktura, samt evt. finansieringspapirer serviceaftale.
Efter 5 år makuleres mappen. Dette sker af praktiske årsager hver 12 mdr. hvilket vil sige ingen mapper gemmes mere end 6 år.
Arbejdsstation
Hvis en medarbejder forlader sit kontor/arbejdsstation ligges alle fysiske papirer med persondata i en bakke, som stilles i skabet på kontoret. Bakken er ikke tilgængelig for kunder, men kun autoriseret personale, der har adgang til dette.
Når medarbejder tager hjem/har fri, stilles mappen i fælles skab der er aflåst.
Nøglen ligger i ”nøgleskabet”, som åbnes via kodelås. Det er kun autoriseret personale, der har adgang til dette.
Computer & e-mails
Alle computere og smartphones lukker automatisk ned, hvis de ikke bruges.
Alle computere og smartphones er forsynet med en personlig kode, der ikke må overlades til andre end ledelsen.
Alle oplysninger gemmes hos en ekstern host, hvor der løbende foretages backup. Den seneste backup slettes i den forbindelse.
Kontrol af tildelte adgangskoder foretages mindst en gang hvert halve år.
Alle koder gemmes på USB-stik, som opbevares i aflåst skuffe/skab som kun ledelsen har adgang til. Dette er af hensyn til sygdom, opsigelse samt andre omstændigheder, der nødvendiggør adgang til koderne.
Alle computere, der er koblet på internettet, har en opdateret firewall samt viruskontrol installeret.
Alle e-mails gennemgås og slettes løbende, hvis oplysningerne ikke længere er relevante at gemme. E-mails, der kan have betydning for fastlæggelsen af et retskrav, skal gemmes i 3 år og herefter slettes, medmindre retskravet er rejst mod eller tænkes rejst af forhandleren.
Ved reparation og/eller service af elektronisk udstyr, hvor der findes adgang til persondata, skal denne underskrive en fortrolighedserklæring inden påbegyndelse af arbejdet.
Værksted
Værkstedskort & arbejdskort
Ved indskrivning og oprettelse af arbejdskort indsamles følgende kundedata:
- Navn og adresse
- Telefonnummer
- E-mailadresse
- Registreringsnummer
- Oplysninger omkring arbejdets udførelse, herunder hvad der skal laves
Værkstedskort/arbejdskort gemmes elektronisk i 5 år efter gældende lovgivning.
Efter 5 år + løbende kalenderår slettes fakturaen. Dette sker af praktiske årsager hver 12 mdr. hvilket vil sige ingen fakturaer gemmes mere end 6 år
Tilbud og nyheder
Kunden har mulighed for at afgive samtykkeerklæring, hvor kunden afgiver samtykke til at modtage følgende informationer vedrørende markedsføring:
- Reservedele, tilbehør, merchandise og service til bilen, fx vask og pleje, rustbeskyttelse og synsforberedelse
- Nye og brugte biler og andre køretøjer
- Leasing og finansiering vedrørende biler og andre køretøjer fra forhandlerens samarbejdspartnere og leverandører
- Vejhjælp fra forhandlerens samarbejdspartnere og leverandører
- Medlemskaber og abonnementer om biler, andre køretøjer, bilservices og services til andre køretøjer fra forhandlerens samarbejdspartner og leverandører
Ovenstående tilbud og nyheder kan både vedrøre produkter/services fra forhandleren og forhandlerens samarbejdspartnere og leverandører. Tilbud fra forhandlerens samarbejdspartnere og leverandører sendes til kunden direkte fra forhandleren, og forhandlerens samarbejdspartner og leverandører modtager derfor ingen oplysninger om kunden i denne forbindelse.
Informationer
- Kunden har mulighed for at afgive samtykkeerklæring, hvor der afgives samtykke til at modtage informationer om planlagte arrangementer, herunder åbent hus/messer hvor forhandleren deltager
Påmindelser
- Kunden har mulighed for at afgive samtykkeerklæring, hvor der afgives samtykke til at modtage informationer om værkstedsbesøg og øvrige servicemeddelelser, f.eks. påmindelser om tid for dækskifte, obligatoriske serviceeftersyn og lovpligtige syn samt tid for sæsoneftersyn
Andet
- Kunden har mulighed for at afgive samtykkeerklæring, hvor der afgives samtykke til at modtage informationer om muligheden for at udfylde specielle ønsker, som kunden gerne vil have info omkring
Samtykket er gyldigt indtil det trækkes tilbage af kunden, eller der ikke er blevet udsendt markedsføringsmateriale min. 1 gang hver 11. måned.
Der gemmes kun kontaktoplysninger på kunden.
Kunden kan til en hver tid afmelde alt kontakt fra forhandleren, enten telefonisk, pr. mail, brev eller ved fysisk kontakt. Se beskrivelse i privatlivserklæringen.
Faktura
Faktura til kunden laves ud fra værkstedskortoplysningerne.
Faktura printes ud og afleveres til kunden.
Faktura opbevares elektronisk i 5 år for at overholde lovmæssige krav.
Efter 5 år + løbende kalenderår slettes fakturaen. Dette sker af praktiske årsager hver 12 mdr. hvilket vil sige ingen fakturaer gemmes mere end 6 år.
Lejekontrakt
Ved oprettelse af lejekontrakt indsamles følgende lovmæssige oplysninger fra kunden:
- CPR-nummer (følsom personoplysning)
- Kørekortnummer
- Telefonnummer
- E-mailadresse
- Navn og adresse
- Detaljer knyttet til selve lejeaftale omkring bil, lejeperiode samt pris
Selve lejeaftalen oprettes elektronisk. Kunden modtager en fysisk kopi. Lejekontrakter gemmes elektronisk i hele lejeperioden og derefter i 12 mdr., hvorefter de løbende slettes. Grunden til at de gemmes i 12 mdr. skyldes evt. bødekrav ved kørsel i udlandet.
Arbejdsstation
Hvis medarbejder forlader sit kontor/arbejdsstation ligges alle fysiske papirer med persondata i en bakke som stilles i skabet på kontoret. Bakken er ikke tilgængelig for kunder, men kun ”autoriseret” personale, der har adgang til dette.
Når medarbejder tager hjem/har fri, stilles mappen i fælles skab der er aflåst.
Nøglen ligger i ”nøgleskabet” som åbnes via kodelås. Det er kun ”autoriseret” personale der har adgang til dette.
Computer & e-mails
Alle computere/smartphones lukker automatisk ned, hvis de ikke bruges.
Alle computere og smartphones er forsynet med en personlig kode, der ikke må overlades til andre end ledelsen.
Alle oplysninger gemmes hos en ekstern host, hvor der løbende foretages backup. Den seneste backup slettes i den forbindelse.
Kontrol af tildelte adgangskoder foretages mindst en gang hvert halve år.
Alle koder gemmes på USB-stik, som opbevares i aflåst skuffe/skab som kun ledelsen har adgang til. Dette er af hensyn til sygdom, opsigelse samt andre omstændigheder, der nødvendiggør adgang til koderne.
Alle computere, der er koblet på internettet, har en opdateret firewall samt viruskontrol installeret.
Alle e-mails gennemgås og slettes løbende hvis oplysningerne ikke længere er relevante at gemme. E-mails, der kan have betydning for fastlæggelsen af et retskrav, skal gemmes i 3 år og herefter slettes, medmindre retskravet er rejst mod eller tænkes rejst af forhandleren.
Ved reparation og/eller service af elektronisk udstyr, hvor der findes adgang til persondata, skal denne underskrive en fortrolighedserklæring inden påbegyndelse af arbejdet.
Lager
Fakturaer
Fakturaer opbevares elektronisk i 5 år + løbende kalenderår.
Efter 5 år slettes fakturaen. Dette sker af praktiske årsager hver 12. mdr., hvilket vil sige, at ingen fakturaer gemmes i mere end 6 år. Samtidig slettes den tilsvarende elektroniske information.
Dette gælder for kontantfakturaer og fakturaer, der indeholder persondata.
Arbejdsstation
Hvis medarbejder forlader sit kontor/arbejdsstation ligges alle fysiske papirer med persondata i en bakke, som stilles i skabet på kontoret. Bakken er ikke tilgængelig for kunder, men kun autoriseret personale, der har adgang til dette.
Når medarbejder tager hjem/har fri, stilles mappen i fælles skab der er aflåst.
Nøglen ligger i ”nøgleskabet” som åbnes via kodelås. Det er kun autoriseret personale, der har adgang til dette.
Computer & e-mails
Alle computere/smartphones lukker automatisk ned hvis de ikke bruges.
Alle computere og smartphones er forsynet med en personlig kode, der ikke må overlades til andre end ledelsen.
Alle oplysninger gemmes hos en ekstern host, hvor der løbende foretages backup. Den seneste backup slettes i den forbindelse.
Kontrol af tildelte adgangskoder foretages mindst en gang hvert halve år.
Alle koder gemmes på USB-stik, som opbevares i aflåst skuffe/skab, som kun ledelsen har adgang til. Dette er af hensyn til sygdom, opsigelse samt andre omstændigheder, der nødvendiggør adgang til koderne.
Alle computere, der er koblet på internettet, har en opdateret firewall samt viruskontrol installeret.
Alle e-mails gennemgås og slettes løbende hvis oplysningerne ikke længere er relevante at gemme. E-mails, der kan have betydning for fastlæggelsen af et retskrav, skal gemmes i 3 år og herefter slettes, medmindre retskravet er rejst mod eller tænkes rejst af forhandleren.
Ved reparation og/eller service af elektronisk udstyr, hvor der findes adgang til persondata, skal denne underskrive en fortrolighedserklæring inden påbegyndelse af arbejdet.
Administration
Faktura – køb
Alle købsfakturaer scannes ind og opbevares elektronisk i DOCUBIZ. Den fysiske faktura bliver efter scanning makuleret.
Vognfaktura gemmes i salgsmappen.
Fakturaerne beholdes 5 år i forhold til gældende lovgivning, hvorefter de slettes.
Arbejdsstation
Hvis medarbejder forlader sit kontor/arbejdsstation ligges alle fysiske papirer med persondata i en bakke som stilles i skabet på kontoret. Bakken er ikke tilgængelig for kunder, men kun autoriseret personale, der har adgang til dette.
Når medarbejder tager hjem/har fri, stilles mappen i fælles skab der er aflåst.
Nøglen ligger i ”nøgleskabet” som åbnes via kode-lås. Det er kun autoriseret personale der har adgang til dette.
Computer & e-mails
Alle computere/smartphones lukker automatisk ned, hvis de ikke bruges.
Alle computere og smartphones er forsynet med en personlig kode, der ikke må overlades til andre end ledelsen.
Alle oplysninger gemmes hos en ekstern host, hvor der løbende foretages backup. Den seneste backup slettes i den forbindelse.
Kontrol af tildelte adgangskoder foretages mindst en gang hvert halve år.
Alle koder gemmes på USB-stik, som opbevares i aflåst skuffe/skab som kun ledelsen har adgang til. Dette er af hensyn til sygdom, opsigelse samt andre omstændigheder, der nødvendiggør adgang til koderne.
Alle computere, der er koblet på internettet, har en opdateret firewall samt viruskontrol installeret.
Alle e-mails gennemgås og slettes løbende hvis oplysningerne ikke længere er relevante at gemme. E-mails, der kan have betydning for fastlæggelsen af et retskrav, skal gemmes i 3 år og herefter slettes, medmindre retskravet er rejst mod eller tænkes rejst af forhandleren.
Ved reparation og/eller service af elektronisk udstyr, hvor der findes adgang til persondata, skal denne underskrive en fortrolighedserklæring inden påbegyndelse af arbejdet.
DETALJERET BEHANDLINGSREGLER – ANSATTE
Behandlingshjemmel
Vi behandler personaleoplysninger med følgende behandlingshjemmel:
- Medarbejderen har givet sit samtykke til behandling af sine persondata til et eller flere specifikke formål
- Behandling er nødvendig af hensyn til opfyldelse af en kontrakt, som medarbejderen er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på medarbejderens anmodning forud for indgåelse af en kontrakt
- Behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler os
- Behandling er nødvendig for at beskytte medarbejderens eller en anden fysisk persons vitale interesser
- Behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som vi har fået pålagt
- Behandling er nødvendig for, at vi eller en tredjemand kan forfølge en legitim interesse, medmindre medarbejderens interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af persondata, går forud herfor
Behandling af persondata forud for ansættelsen
Vi vil forud for en ansættelse af en medarbejder behandle en række almindelige persondata om medarbejderen.
Vi modtager visse persondata direkte fra ansøgeren, fx en ansøgning, et CV, fotos, eksamensbeviser, udtalelser fra tidligere arbejdsgivere og referencer.
Derudover indhenter vi af egen drift persondata om ansøgeren. Det kan fx være offentligt tilgængelige persondata på LinkedIn, Facebook eller persondata, der indhentes via en almindelig søgning på internettet.
Grundlaget for behandling af sådanne almindelige persondata, der behandles med det formål at udvælge en medarbejder til ansættelse hos os, er databeskyttelsesforordningen artikel 6, stk. 1, litra a, om gennemførelse af foranstaltninger forud for indgåelse af en kontrakt, samt interesseafvejningsreglen i artikel 6, stk. 1, litra f.
Billeder, der er vedlagt en ansøgning, kan behandles til ansættelsesprocessen, hvis der foreligger et samtykke hertil. Hvis billeder anvendes til andre videregående formål end ansættelsesprocessen, kræves der også samtykke til denne anvendelse.
Vi vil forud for ansættelse af en medarbejder også i visse tilfælde have behov for at behandle følsomme persondata om en ansøger.
Hvis vi indsamler persondata om dig hos din nuværende eller tidligere arbejdsgivere via referenceindhentning, beder vi om dit samtykke hertil først. Konkret bliver du bedt om at underskrive en samtykkeerklæring, som du efterfølgende selv får en kopi af. Hvis ikke du giver samtykke, indhenter vi ikke referenceoplysninger.
Vi vil typisk anmode medarbejderen om selv at fremskaffe en straffeattest (privat straffeattest), men kan også selv indhente den med samtykke (privat straffeattest med samtykke). I begge situationer kræves der et samtykke fra dig til, at vi kan behandle persondata. Det vil også typisk være relevant at indhente straffeattester på advokatbogholdere og andre betroede medarbejder.
Vi kan i helt særlige tilfælde anmode dig om persondata om dit helbred. Det kan være relevant i de situationer, hvor en sygdom vil have væsentlig betydning for din evne til at varetage stillingen. Hvis det konkret vurderes nødvendigt med helbredsoplysninger, vil vi angive, hvilke sygdomme eller symptomer på sygdomme, der ønskes persondata om. I givet fald vil oplysninger da blive indhentet med samtykke.
Hvis du ender med at blive ansat hos os, vil de persondata, som vi har modtaget og behandlet i forbindelse med rekrutteringsprocessen, blive opbevaret på din personalesag gennem dit ansættelsesforhold og i en periode på 5 år fra ansættelsesforholdets ophør.
Hvis du får afslag på din ansøgning, vil vi hurtigst muligt – og som udgangspunkt senest 6 måneder efter, at du har modtaget afslaget – slette de persondata, som vi har modtaget og behandlet i forbindelse med rekrutteringsprocessen. Vi vil dog samtidig anmode om dit samtykke til at opbevare dine persondata fra ansættelsesprocessen i en periode på 3 år til brug for lignende ansættelsesprocesser til stillinger modsvarende den stilling, hvortil du søgte. Hvis vi skønner at en jobansøger, der ikke er blevet ansat, vil indlede en sag efter ligebehandlingsloven eller forskelsbehandlingsloven, vil persondata blive opbevaret i længere tid.
Behandling af persondata om nuværende ansatte
Når et ansættelsesforhold er etableret, vil vi behandle en række yderligere almindelige persondata. Det er dels persondata, som du selv giver til os, fx dit CPR-nr., adresseoplysninger, kontonummer m.v., ansættelsesaftalens beskrivelse af arbejdsopgaver, -tid, løn og lignende, persondata om nærmeste pårørende samt persondata om sygefravær og sygdomsperioder. Derudover indsamler vi selvstændigt persondata om dig. Det kan f.eks. være persondata om dig, der løbende registreres fra ledere og andre medarbejdere (herunder MUS-referater) samt fra samarbejdspartnere. Henvendelser og klager af enhver art fra øvrige medarbejdere eller kunder/samarbejdspartnere, ledelsens egen indsamling af persondata i sociale medier og henvendelser fra offentlige myndigheder om medarbejderen mv. vil også være omfattet.
Videregives persondata til offentlige myndigheder, fx til SKAT om A-skat eller lignende, er behandlingen nødvendig for at overholde den indeholdelses- og indberetningspligt, der påhviler os som arbejdsgiver, jf. skattelovgivningens bestemmelser herom.
Vi vil alene offentliggøre arbejdsrelaterede persondata om ansatte på vores hjemmeside uden forudgående samtykke. Offentliggørelse af persondata af mere personlig karakter, fx et billede af den ansatte, vil alene blive offentliggjort med den ansattes samtykke.
Når et ansættelsesforhold er etableret, vil vi i visse situationer også skulle behandle følsomme persondata om dig. Det kan fx være helbredsoplysninger om dig, herunder persondata om alkoholmisbrug og behandling af sådant misbrug, persondata om medlemskab af en fagforening eller persondata om strafbare forhold. Private forhold og udfaldet af personlighedstests behøver ikke nødvendigvis at indeholde følsomme persondata.
Som udgangspunkt er det forbudt at behandle følsomme persondata. Vi kan dog i visse tilfælde behandle følsomme persondata om en medarbejder. Det kan navnlig være tilfældet, hvis den ansatte har givet sit udtrykkelige samtykke til, at vi kan foretage behandlingen. Uden samtykke vil vi behandle helbredsoplysninger i nødvendigt omfang i forbindelse med en aftale i henhold til § 56 i lov om sygedagpenge. Vi vil i sådanne situationer behandle følsomme helbredsoplysninger om kronisk sygdom mv. I tilfælde af opsigelse, hvor en tidligere medarbejders ret til på begæring at få oplysning om årsagen til afskedigelsen nødvendiggør registrering af persondata herom, kan persondata betragtes som følsomme, hvis de er præcise og gengiver konkrete faktiske forhold af social eller personlig karakter om medarbejderen. Hvis persondata alene er holdt i vage og skønsmæssige termer, er de ikke nødvendigvis følsomme.
Behandling af persondata om fagforeningsmæssige tilhørsforhold kan endvidere foretages, hvis behandlingen er nødvendig for overholdelsen af vores arbejdsretlige forpligtelser eller specifikke rettigheder, som omfatter alle former for forpligtelser og rettigheder, der hviler på et arbejdsretligt grundlag.
Derudover vil vi kun i begrænset omfang kunne registrere følsomme persondata i et personaleregister. Der skal være tale om registrering, som er nødvendige for, at det kan fastlægges, om nogen har et retskrav. Det vil fx kunne forekomme, at vi har behov for at registrere persondata om et strafbart forhold i form af underslæb begået af en medarbejder, hvis dette er nødvendigt for at kunne gøre vores krav på erstatning gældende over for medarbejderen.
Også på områder, hvor der kan tænkes at eksistere et retskrav, fx en medarbejders krav på erstatning som følge af en arbejdsskade, kan det være nødvendigt at foretage registreringer af følsomme persondata til brug for en eventuel sag.
Behandling af persondata om tidligere ansatte, herunder om sletning
Vi skal slette persondata uden unødig forsinkelse. Det kan fx være i den situation, hvor persondata ikke længere er nødvendige til at opfylde de formål, hvortil de blev indsamlet eller på anden vis behandlet.
Persondata om fratrådte medarbejdere kan opbevares indtil 5 år efter ansættelsesforholdets ophør. Vi vil dog opbevare persondata i længere tid, såfremt vi har brug for persondata med henblik på, at retskrav kan fastlægges, gøres gældende eller forsvares, f.eks. ansættelsesretlig sag. I sådanne situationer kan persondata blive gemt i så lang tid, som det er nødvendigt for at føre sagen. Tilsvarende kan gælde i forbindelse med arbejdsskader.
I forbindelse med en medarbejders fratræden, kan der også opstå spørgsmål om, hvornår vi må videregive de persondata, som vi ligger inde med. Hvis vi efter anmodning fra en anden virksomhed, hvor medarbejderen har søgt ansættelse, videregiver referencer på medarbejderen, kan dette ske uden samtykke fra medarbejderen, hvis der er tale om almindelige persondata. Følsomme persondata må alene videregives med medarbejderens samtykke.
E-mails
Forhandleren stiller internetadgang og brug af e-mail til rådighed for medarbejderen. Medarbejderen har i den forbindelse fået tildelt en særlig e-mailkonto.
CPR-nr. og følsomme oplysninger (fx. oplysninger om helbredsforhold, herunder misbrug af nydelsesmidler, alkohol mv., oplysninger om medlemskab af en fagforening, oplysninger om strafbare forhold, oplysninger som seksualitet samt andre tilsvarende rent private forhold, fx. om at en medarbejder er bortvist fra jobbet på grund af en grov tilsidesættelse af ansættelsesforholdet, må ikke gemmes i e-mails. Modtages e-mails med dette indhold skal de videresendes til personaleafdelingen, hvis oplysningerne er relevante for forhandleren. Derefter skal I slette e-mailen.
Brug af e-mail i ikke-arbejdsmæssig sammenhæng må kun ske i det omfang, det er foreneligt med den ansattes varetagelse af det daglige arbejde for selskabet, og under iagttagelse af disse retningslinjer. Ikke-arbejdsmæssig anvendelse bør således kun ske i meget begrænset omfang. Alle e-mails, som ikke er arbejdsrelaterede, skal mærkes med ordet ”privat” i emnefeltet. Det er forhandlerens holdning, at medarbejderne begrænser det private element til et rimeligt niveau. Det opfattes som et rimeligt niveau, at private mails er korte beskeder og svar, medens det mere omfattende hører privatlivet til.
Forhandleren anser alt, hvad selskabets IT-udstyr anvendes til for forhandlerens ejendom, med mindre det tydeligt er mærket med angivelsen ”privat”. Det gælder også dine dokumenter og e-mails. Det betyder, at personlige mails sendt/modtaget via din arbejdsmail i princippet kan læses af andre.
Forhandleren kan gennemgå disse persondata for, at forhandleren kan forfølge berettigede interesser – nemlig hensynet til drift, sikkerhed, genetablering og dokumentation samt hensynet til kontrol af brug – og at hensynet til de ansatte ikke overstiger disse interesser. Med henblik på at sikre overholdelse af retningslinjerne om IT-sikkerhed samt med henblik på at forebygge eller udbedre systemnedbrud kan de IT-ansvarlige åbne enhver e-mail og modtage eksekverbare filer.
I tilfælde af fravær, for eksempel pga. sygdom, ferie eller efter fratrædelse, kan forhandleren give en kollega adgang til medarbejderens e-mailkonto.
Forhandleren vil ikke læse private e-mails. Hvis der ved en gennemgang af e-mails findes private e-mails uden relation til forhandleren, vil de pågældende e-mails ikke blive læst af andre end den retmæssige modtager. Vi vil ikke læse e-mails markeret med ”privat” med mindre det klart fremgår af omstændigheder, at en konkret e-mail – trods mærkningen – ikke er privat eller har et indhold, som kan være et brud på dine forpligtelser overfor os.
Ved din fratrædelse – frivilligt eller ufrivilligt – vil din e-mailkonto hos forhandleren kun blive holdt aktiv i en periode, der er så kort som mulig fra tidspunktet hvor du ikke længere har adgang til din personlige e-mailkonto hos os. Periodens længe vil blive fastsat under hensyntagen til din stilling og funktion og kan højst udgøre 12 måneder. Du vil ikke blive orienteret om endelig nedlukning af din e-mailkonto. Snarest muligt efter, at du ikke længere kan få adgang til din personlige e-mailkonto, vil vi sætte et autosvar på e-mailkontoen med besked om din fratræden og eventuel anden relevant information. Den aktive e-mailkonto vil herefter kun blive anvendt til modtagelse af e-mail, hvis der modtages private e-mails, vil vi dog muligvis anvende e-mailkontoen til at videresende til din private e-mailkonto. Oplysninger om din personlige e-mailadresse vil hurtigst muligt blive fjernet fra vores hjemmeside og andre offentligt tilgængelige informationssteder. Kun en enkelt – eller ganske få betroede medarbejdere vil herefter få adgang til din personlige e-mailkonto.
E-mails skal slettes løbende. E-mails markeret med ”privat” i emnefelt, skal minimum slettes en gang årligt. E-mails, som kan have betydning for en kundesag overflyttes til arkivering på sag og opbevares her indtil sagen slettes.
Såfremt en e-mail har generel interesse for et senere sammenligneligt projekt/opgave (fx som paradigme) kan den gemmes i anonymiseret form udover 5 år.
Internettet
Forhandleren tillader privat anvendelse af mail og internettet, der er til rådighed på arbejdspladsen på et rimeligt niveau. Internetadgangen kan benyttes til søgning, der ikke strider imod almindelige etiske standarder. Særligt må internetadgangen ikke benyttes til besøg på hjemmesider, hvis indhold er af pornografisk, politisk, ekstremistisk eller diskriminerende karakter for så vidt angår race, køn, etnisksocial oprindelse eller religion. Tilsvarende må medarbejderen ikke ved brug af e-mail sende materiale af ovennævnte karakter.
Der foretages ikke en systematisk, generel kontrol af den enkelte medarbejders anvendelse af systemerne. Medarbejdernes færden på internettet og samtlige mails sendt til og fra hver enkelt medarbejder registreres i en central logfil. Hvis der er mistanke om misbrug, for eksempel afsendelse af private mails i stor stil, eller surfing på internettet i større omfang, forbeholder forhandleren sig ret til at overvåge og gennemgå den enkelte medarbejders aktiviteter og lagrede data på it-systemet.
Tilmelding til særlige internetfaciliteter, såsom abonnementsservice eller portaler m.m. må kun finde sted efter aftale.
Forhandleren anvender firewall/log, der er et systemteknisk værktøj, som bruges af den systemansvarlige i sikkerhedsmæssigt øjemed. De integrerede logningsfaciliteter er nødvendige af hensyn til systemernes drift og vedligeholdelse samt sikkerhedsovervågning (systemlog). En systemlog kan indeholde persondata.
En logning af medarbejderes brug af internet, som foretages i form af en systemlog på en firewall eller en anden aktiv netværkskomponent, er at betragte som en systemlog. Loggen anvendes alene anvendes til systemmæssige formål.
Forhandleren kan gennemgå din brug af internettet for tekniske og sikkerhedsmæssige hensyn og hensynet til kontrol af medarbejdernes brug af internettet.
TV-overvågning
Formålet med TV-overvågningen er et generelt ønske om at forebygge kriminalitet samt at tilføre de ansatte hos forhandleren tryghed. Herudover er det formålet at kunne fremlægge billeddokumentation som bevis over for politiet, såfremt der opstår en situation, der kræver dette.
Forhandlerens bygninger overvåges udvendigt fra. Kameraerne er bevægelsesstyret, hvilket betyder, at der kun optages, når der registreres bevægelser inden for kameraets vinkel. Idet kameraerne registrerer bevægelser hele døgnet, optages medarbejdere og andre med adgang til forhandlerens bygninger, hvis de befinder sig der, hvor kameraerne er sat op.
Kameraerne peger ind mod facaderne, og hvis der er en sti eller lignende inden for kameravinklen, bliver dette område ”masket” fra.
Der er desuden opsat kameraer indvendigt i forhandlerens lokaler. Kameraerne er tilsluttet 24 timer i døgnet, men optagefunktionen frakobles ved brug af en særlig nøgle til indgangsdøren.
Der er opsat skilte om overvågning de pågældende steder. Ansatte er derudover skriftligt orienteret om overvågningen. For andre, som befinder sig på områder, hvor TV-overvågning foretages vil yderligere underretning af disse personer kunne siges at være uforholdsmæssig vanskelig, praktisk umuligt og i hvert fald yderst ressourcekrævende at give hver enkelt person, der kommer inden for kameraernes område. Hertil kommer, at forhandleren har vurderet, at en uddybende tekst indeholdende disse oplysninger i sammenhæng med skiltningen ikke nødvendigvis vil blive bemærket og læst af de pågældende personer.
Den efterfølgende behandling af de personoplysninger, som indsamles som led i TV-overvågningen er undergivet et proportionalitetsprincip. Vi sikrer dermed, at TV-overvågningen gennemføres på en sådan måde, at den virker mindst muligt integritetskrænkende for den enkelte, og at det altid overvejes, om det ønskede formål kan nås med mindre indgribende midler end TV-overvågning og registrering.
Optagelser lagres i 30 dage. Med hensyn til optagelser, der indeholder oplysninger om strafbare forhold, vil disse kun opbevares kortvarigt med henblik på politianmeldelse, og opbevaring sker under forudsætning af, at politianmeldelse foretages snarest muligt. Optagelserne afleveres til politiet i forbindelse med anmeldelsen og slettes fra forhandlerens egne systemer umiddelbart derefter – maksimalt efter 30 dage.
Interne og eksterne telefonlister med ansatte
Der er udarbejdet kontaktlister med mobilnummer og e-mailadresse på alle medarbejdere, der har firmamobil og e-mail.
Ledelsen har private kontaktoplysninger på alle medarbejdere.
Sådanne lister opdateres løbende i forbindelse med at medarbejdere starter/stopper.
Andre personoplysninger
Forhandleren indsamler ikke i øvrigt persondata om dig.
Intern implementeringspolitik for ansatte
Alle medarbejdere skal læse denne personpolitik samt underskrive herom.
Kopi af persondatapolitik er udleveret til leder i hver afdeling og kan til enhver tid forlanges udleveret af medarbejder.
RETNINGSLINJER FOR HÅNDTERING AF DATABRISTER
Formål og begreber
Når vi som forhandler behandler personoplysninger på kunder, medarbejdere, leverandører og andre individer, skal vi sørge for, at disse personoplysninger behandles på en ordentlig og forsvarlig måde.
Opstår en databrist hvor personoplysninger lækkes, skal du som medarbejder følge nedenstående procedure.
Hvad er en databrist
En databrist er et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændringer, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.
Har en sikkerhedshændelse ikke noget med personoplysninger at gøre, er det ikke en databrist, der skal håndteres efter denne retningslinje.
Databrister kan opdeles i tre typer:
- Adgang til personoplysninger (en uautoriseret person får adgang til personoplysninger)
- Videregivelse af personoplysninger (f.eks. videregivelse af oplysninger til forkert person)
- Tilgængelighed (bogholderiet mangler adgang til personoplysninger til fx at kunne udbetale løn
Anmeldelse til Datatilsynet & underretning af person
Alt efter hvilken konsekvens databristen har, for de personer der er påvirket af den, skal denne anmeldes og underrettes.
Risikomatrice
Så når en databrist er konstateret, er det derfor essentielt at vurdere, hvilke konsekvenser, databristen har for de personer der er påvirket.
Derfor arbejder vi med hvilken konsekvens databristen har for personen.
- LAV KONSEKVENS: Databristen har lav konsekvens for personen, og anmeldes ikke. Databristen dokumenteres og gives til ledelsen, som arkiverer denne
- MODERAT KONSEKVENS: Databristen har konsekvens for personen og anmeldes til Datatilsynet
- HØJ KONSEKVENS: Databristen har høj konsekvens for personen og anmeldes til Datatilsynet og personerne, der er omfattet af databristen
Proces for håndtering af databrister
Opstår databristen hos dig er det vigtigt, at du tager ansvar for at behandle databristen. Det hænger sammen med, at vi lovmæssigt er underlagt en tidsfrist på 72 timer og skal reagere uden unødig forsinkelse, når der er en moderat eller høj risiko for, at databristen får konsekvens for involverede personer.
Du skal i samråd med ledelsen ud fra ovenstående risikomatrice behandle databristen.
Blanket fra Datatilsynet findes via www.virk.dk, og skal som minimum indeholde følgende:
- Dato/tidspunkt for databristen
- Beskriv karakter af databristen
- Kategorien og det omtrentlige antal berørte personer
- Kategorien og det omtrentlige antal af berørte registreringer af personoplysninger
- Sandsynlige konsekvenser af databristen
- Beskrive de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at kunne håndtere databristen, herunder hvis det er relevant, foranstaltninger for at begrænse databristens mulige skadesvirkninger
- Eventuel begrundelse for forsinkelsen
- Kontantinformation på ansvarlig person hos forhandleren, hvor yderligere information kan hentes
Underretning af personer
Omhandlende personer skal underrettes hvis databristen har HØJ KONSEKVENS ud fra risikomatricen.
Ledelsen underretter berørte personer straks efter databristen og omfang er blevet bekendt.
Ledelsen skal beskrive karakteren af databristen samt sandsynlige konsekvenser heraf. De foranstaltninger som der er truffet eller foreslår truffet for at håndtere databristen, herunder hvis det er relevant, foranstaltninger for at begrænse databristens mulige skadevirkninger.
Hvornår skal der ikke underrettes
Der findes en række situationer, hvor vi ikke skal underrette den/de berørte personer, til trods for at vi har vurderet, at databristen indebærer HØJ KONSEKVENS for de berørte personer.
Det kan være i forhold hvor vi har minimeret den høje risiko ved at indføre de fornødne sikkerhedsforanstaltninger efter databristen, så risikoen ikke længere er reel.
Der hvor det vil kræve en uforholdsmæssig indsats at underrette de registrerede. I så fald skal vi i stedet udsende en offentlig meddelelse eller udføre en tilsvarende handling, hvorved den/de berørte underrettes.
COOKIES
Vi anvender ikke cookies og indsamler derfor ikke oplysninger om dig og din brug af vores hjemmeside.
ÆNDRING AF PERSONDATAPOLITIK
Forhandleren kan til enhver tid og uden varsel ændre denne persondatapolitik med virkning for fremtiden. Ved sådanne ændringer sker der orientering på forhandlerens hjemmeside. Den nye persondatapolitik vil herefter være gældende.
HENVENDELSER
Hvis du har spørgsmål til nærværende persondatapolitik, vores behandling af persondata, berigtigelse eller dit forhold til os i øvrigt, er du velkommen til at rette henvendelse til forhandleren på følgende adresse / kontaktperson.
Folkersen Automobiler ApS
Bomose Allé 15
3200 Helsinge
Tlf.: 48 79 77 67
E-mail: adm@folkersen-automobiler.dk
Kontaktperson: Søren Folkersen
DATATILSYNET
Du har mulighed for at klage til Datatilsynet over vores indsamling og behandling af dine personoplysninger:
Datatilsynet
Borgergade 28, 5.
1300 Kbh. K
Tlf. 33 19 32 00
E-mail: dt@datatilsynet.dk
www.datatilsynet.dk