Privatlivs- og persondatapolitik

e-branchekoden ApS

1. Ansvarlighed

1.1. Beskyttelse af dine personoplysninger har vores højeste prioritet. Vi har derfor vedtaget denne Privatlivs- og persondatapolitik (”Privatlivs- og persondatapolitikken”), der fortæller dig, hvordan vi behandler dine personoplysninger.

2. Selskab/dataansvarlig

2.1. Selskab og dataansvarlig er:

e-branchekoden ApS
CVR-nr. 32310982
Kringelholm 117
3250 Gilleleje
Danmark
(”e-branchekoden”, ”vi”, ”os”, eller ”vores”).

Telefon: 24 66 13 10
E-mail: [email protected]
Web: www.e-branchekoden.dk

2.2. Privatlivs- og persondatapolitikken er tilgængelig på hjemmesiden: www.e-branchekoden.dk. Vi inkluderer links til Privatlivs- og persondatapolitikken i kommunikation med vores kunder og andre, når det er relevant, herunder i vores nyhedsbreve.

2.3. Privatlivs- og persondatapolitikken har først og fremmest til formål at beskrive, hvordan e-branchekoden behandler personoplysninger i de tilfælde, hvor e-branchekoden er dataansvarlig. Vi bemærker dog, at e-branchekoden også vil være databehandler for e-branchekodens kunder, f.eks. i forbindelse med e-branchekodens levering af IT-løsning til egenkontrol inden for fødevareindustrien samt online undervisning i hygiejne. I relation til disse ydelser vil kunden som hovedregel selv være dataansvarlig og e-branchekoden databehandler for kunden. e-branchekodens databehandling for kunden reguleres i disse tilfælde af den databehandleraftale, der indgås mellem kunden og e-branchekoden i forbindelse med kundens køb af e-branchekodens ydelser. Vi henviser dog i alle tilfælde til de relevante afsnit i denne Privatlivs- og persondatapolitik for nærmere information om e-branchekodens behandling af personoplysninger, herunder f.eks. Privatlivs- og persondatapolitikkens afsnit 9 om sikkerhedsforanstaltninger.

3. Indledning

3.1. Vi har procedurer for indsamling, opbevaring, sletning, opdatering og videregivelse af personoplysninger for at hindre uautoriseret adgang til dine personoplysninger og for at opfylde gældende lovgivning. Du modtager nærmere oplysning herom på tidspunktet for indsamling af dine personoplysninger.

3.2. Privatlivs- og persondatapolitikken er udarbejdet med henvisning til reglerne i GDPR (Forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EU) 2016/679 (“GDPR”)) og den danske lov om databeskyttelse (Lov nr. 502 af 23/05/2018 med evt. senere ændringer (”Databeskyttelsesloven”).

4. Kategorier af personoplysninger og registrerede

4.1. Vi indsamler og behandler typisk følgende kategorier af Personoplysninger:

  • Alm. kontaktoplysninger, herunder navn (og firmanavn), adresse, telefonnummer og e-mail.
  • Kontooplysninger (herefter ”Personoplysninger”).
  • e-branchekoden behandler som altovervejende hovedregel ikke følsomme eller fortrolige personoplysninger.

4.2. Vi indsamler og behandler Personoplysninger om følgende personkategorier:

  • Kunder (nuværende).
  • Tidligere kunder.
  • Kontaktpersoner hos kunder, leverandører, myndigheder og samarbejdspartnere.
  • Besøgende på e-branchekodens hjemmeside og/eller på e-branchekodens profil på Facebook.

5. Behandlingsgrundlag

5.1. Behandlingsgrundlag (generelt)

5.1.1. Vores hjemmel til at behandle Personoplysninger ligger først og fremmest i vores relation til kunden og i at kunne administrere indgåede licensaftaler (abonnementer). Vi vil som udgangspunkt have hjemmel til at behandle de nødvendige Personoplysninger ifølge GDPR artikel 6, stk. 1, litra a-c og litra f, samt af artikel 9, stk. 2, litra a og f og Databeskyttelseslovens § 6 og 7, stk. 1.

5.1.2. Ovennævnte bestemmelser omhandler grundlaget for at behandle Personoplysninger, hvis der (i) foreligger et samtykke, (ii) hvis behandlingen er nødvendig for at opfylde en kontrakt eller træffe foranstaltninger efter anmodning fra kunden forud for indgåelsen af licensaftalen / abonnementet, (iii) hvis behandlingen er nødvendig for at overholde en retlig forpligtelse, (iv) nødvendig for at opfylde væsentlige interesser, der overstiger den registreredes interesser, eller (v) nødvendig for at et retskrav kan fastlægges, gøres gældende eller forsvares.

5.1.3. Det er vores vurdering, at den behandling af Personoplysninger vi foretager i relation til en kunde, en samarbejdspartner eller en leverandør eller en myndighed i vidt omfang vil være hjemlet i de anførte bestemmelser.

5.1.4. Vi har i de følgende afsnit beskrevet hvilke behandlingsgrundlag, der ligger til grund for vores konkrete behandlingsaktiviteter.

5.2. Behandling af Personoplysninger ifm. indgåelse og administration af licensaftaler

5.2.1. Vi behandler dine Personoplysninger for at opfylde den licensaftale / abonnement, vi har indgået med dig eller for at træffe foranstaltninger efter din anmodning herom i forbindelse med indgåelse af abonnementet. Vi behandler også dine Personoplysninger til løbende at administrere dit abonnement. Vores hjemmel til at behandle Personoplysninger sker i den forbindelse i henhold til ifølge GDPR artikel 6, stk. 1, litra a-c og litra f og Databeskyttelseslovens § 6, stk. 1.

5.3. Nyhedsbreve

5.3.1. Det er frivilligt at tilmelde sig nyhedsbreve fra e-branchekoden. Hvis du tilmelder vores nyhedsbreve, registrerer vi de kontaktoplysninger, du har indtastet, samt dine evt. valg af de typer af nyheder, du ønsker at modtage. Ønsker du ikke længere at modtage nyhedsbreve fra os, kan du afmelde dig ved at benytte link til afmelding indeholdt i mailen eller ved at rette henvendelse til os på [email protected].

5.4. Markedsføring i øvrigt

5.4.1. I forbindelse med markedsføringstiltag i øvrigt sker behandling af Personoplysninger først og fremmest med hjemmel i GDPR artikel 6, stk. 1, litra f, og Databeskyttelseslovens § 6, stk. 1. Vi vurderer fra gang til gang, om det er relevant at indhente samtykke, f.eks. i forbindelse med brug af billedmateriale til vores hjemmeside, i nyhedsbreve, på sociale medier mv. Hvis behandling af Personoplysninger sker på grundlag af samtykke er vores hjemmel i GDPR artikel 6, stk. 1, litra a, og Databeskyttelseslovens § 6, stk. 1

6. Dine rettigheder

6.1. Du har visse rettigheder i forhold til de personoplysninger, som e-branchekoden behandler om dig. Du har følgende rettigheder:

A) Ret til indsigt, dvs. en ret til at få at vide om dine personoplysninger behandles, og i bekræftende fald, ret til at få udleveret en kopi af personoplysningerne.

B) Ret til dataportabilitet, dvs. en ret til at modtage personoplysninger om dig selv, som du har givet til e-branchekoden.

C) Ret til korrektion, dvs. en ret til få rettet ukorrekte personoplysninger.

D) Ret til sletning / ret til at blive ’glemt’, dvs. en ret til med visse begrænsninger at få slettet sine personoplysninger uden unødig forsinkelse.

E) Ret til at gøre indsigelse, dvs. en ret til at gøre indsigelse mod vores behandling af dine personoplysninger.

F) Ret til begrænsning af behandlingen, dvs. en ret til at få begrænset behandlingen af dine personoplysninger, f.eks. hvis en anmodning om sletning ikke kan imødekommes.

7. Generelle behandlingsregler og -principper

7.1. Behandlingsprincipper

7.1.1. Vi vil behandle Personoplysninger lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede.

7.1.2. Vores behandling af Personoplysninger er undergivet en formålsbegrænsning, hvilket vil sige, at Personoplysninger skal indsamles til udtrykkeligt angivne og legitime formål. De må ikke viderebehandles på en måde, der er uforenelig med disse formål.

7.1.3. Vi behandler Personoplysninger ud fra et princip om dataminimering, hvilket vil sige, at de skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles.

7.1.4. Personoplysninger skal behandles ud fra et princip om rigtighed, hvilket vil sige, at de skal være korrekte og om nødvendigt ajourførte.

7.1.5. Vi behandler Personoplysninger ud fra et princip om opbevaringsbegrænsning, hvilket vil sige, at Personoplysninger skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende Personoplysninger behandles.

7.1.6. Personoplysninger skal behandles ud fra et princip om integritet og fortrolighed, hvilket vil sige, at de skal behandles på en måde, der sikrer tilstrækkelig sikkerhed for Personoplysninger, herunder skal de beskyttes mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger.

7.2. Risikoanalyse

7.2.1. Vi skal i forbindelse med vores sagsbehandling gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, som konkret er forbundet med vores behandling af Personoplysninger.

7.2.2. Vi har gennemført en risikoanalyse, som ligger til grund for Privatlivs- og persondatapolitikken.

8. Overførsel af Personoplysninger til tredjelande

8.1. e-branchekodens behandling af Personoplysninger finder som det klare udgangspunkt sted inden for EU.

8.2. Hvis det er nødvendigt at overføre Personoplysninger til et tredjeland eller international organisation, der er placeret uden for EU/EØS, sikrer vi os forinden overførslen af Personoplysninger til det pågældende tredjeland eller internationale organisation, at overførslen af Personoplysninger sker på en måde, der stiller tilstrækkelig sikkerhed for, at Personoplysningerne er beskyttet, herunder evt. ved anvendelse af EU-Kommissionens standardkontraktbestemmelser om databeskyttelse.

8.3. Underdatabehandlere

8.3.1. Vi anvender i visse tilfælde eksterne virksomheder til at foretage den tekniske drift af e-branchekodens IT-systemer mv. Disse virksomheder fungerer i nogen tilfælde som (under)databehandler for e-branchekoden.

8.3.2. Databehandleren handler alene efter instruks fra os og har truffet de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at Personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af Personoplysninger.

8.3.3. Vores databehandlere benytter i visse tilfælde underdatabehandlere til at behandle Personoplysninger, som e-branchekoden er dataansvarlig for. e-branchekodens underdatabehandlere kan være etableret i og uden for EU/EØS.

8.3.4. Hvis en databehandler eller underdatabehandler for e-branchekoden er etableret uden for EU/EØS, sikrer e-branchekoden, at underdatabehandleren stiller tilstrækkelig sikkerhed for, at Personoplysningerne er beskyttet, herunder evt. ved anvendelse af EU-Kommissionens standardkontraktbestemmelser om databeskyttelse, jf. også afsnit 8.2 ovenfor.

8.4. Anden videregivelse

8.4.1. Der kan derudover blive videregivet Personoplysninger til:

  • Offentlige myndigheder (f.eks. skattemyndigheder og uddannelsesinstitutioner).
  • Forsikringsselskaber.
  • Banker og kreditinstitutter.
  • Revisorer.
  • Eksterne advokatfirmaer.
  • Andre leverandører.

8.5. Profilering

8.5.1. Vi anvender ikke dine Personoplysninger til profilering.

9. Sikkerhedsforanstaltninger

9.1. Vi har truffet de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger for at beskytte dine Personoplysninger mod utilsigtet eller ulovlig destruktion, tab eller ændring og mod uautoriseret offentliggørelse, misbrug eller anden handling i strid med gældende lovgivning.

9.2. Adgang til Personoplysninger er begrænset til personer, der har et sagligt behov for adgang til Personoplysninger. Medarbejdere, der håndterer Personoplysninger, er instrueret og oplært i, hvad de må gøre med Personoplysninger, og hvordan de skal beskytte Personoplysninger.

9.3. Når dokumenter (papirer, kartotekskort mv.) med Personoplysninger smides ud, anvendes makulering eller anden foranstaltning, der forhindrer, at uvedkommende kan få adgang til Personoplysninger.

9.4. Der anvendes adgangskoder til at få adgang til pc’er og andet elektronisk udstyr med Personoplysninger. Kun de personer, der skal have adgang, får en kode og da kun til de systemer, den pågældende har brug for at anvende. De personer, der har adgangskode, må ikke overlade koden til andre eller lade den ligge, så andre kan se den. Kontrol af tildelte koder skal foretages mindst en gang hvert halve år.

9.5. Hvis Personoplysninger lagres på en USB-nøgle, skal Personoplysningerne beskyttes. Der kan f.eks. bruges en USB-nøgle med adgangskode og kryptering. Ellers skal USB-nøglen opbevares i aflåst skuffe eller skab. Tilsvarende gælder ved opbevaring af Personoplysninger på andre bærbare datamedier.

9.6. PC’er koblet til internettet har en opdateret firewall og viruskontrol installeret.

9.7. Hvis følsomme Personoplysninger eller CPR-nummer sendes med e-mail via internettet, skal sådanne e-mails krypteres. Hvis du sender Personoplysninger til os via e-mail, skal du være opmærksom på, at afsendelse til os ikke er sikker, hvis dine e-mails ikke er krypteret. Vi opfordrer til, at du ikke sender os fortrolige eller følsomme personoplysninger pr. e-mail, medmindre dette konkret er aftalt på forhånd, så vi kan sikre det fornødne sikkerhedsniveau.

9.8. I forbindelse med reparation og service af dataudstyr, der indeholder Personoplysninger, og når datamedier skal sælges eller kasseres, træffer vi de nødvendige foranstaltninger, så Personoplysningerne ikke kan komme til uvedkommendes kendskab. Det kan f.eks. være ved brug af fortrolighedserklæringer.

9.9. Ved brug af en ekstern databehandler til håndtering af Personoplysninger, underskrives en skriftlig databehandleraftale mellem os og databehandleren. Det gælder f.eks. når der anvendes et eksternt dokumentarkiv eller hvis der anvendes cloud-systemer i forbindelse med behandlingen af Personoplysninger – herunder kommunikation med kunden. På samme vis indgås der altid en skriftlig aftale mellem os og vores kunde, hvis vi agerer som databehandler. Databehandleraftalen er også tilgængeligt elektronisk.

9.10. Backup

9.10.1. e-branchekoden tager backup af alle databaser og filer på fællesdrev. Backup opbevares på en ekstern server.

9.10.2. Alle backup data og filer overskrives (slettes) med intervaller på 30 dage.

10. Opbevaringsperioder og sletning

10.1. Sletning – Hvornår?

10.1.1. Efter afslutning af aftaleforholdet med en kunde eller leverandør sletter vi Personoplysningerne fra det pågældende kunde- eller leverandørforhold, så snart det ikke længere er nødvendigt at opbevare de pågældende Personoplysninger. Hensynet til, at vi kan varetage dine eller vores interesser ved et muligt ansvar kan indebære, at Personoplysninger opbevares i 3 år (eller undtagelsesvist i en længere periode) efter afslutningen af vores aftale med kunden eller leverandøren. En række andre hensyn samt særregler indebærer dog, at Personoplysninger ikke altid bør eller ikke må slettes førend, der er gået et bestemt tidsrum.

10.1.2. Bogføringsreglerne indebærer, at Personoplysninger knyttet til en betaling skal opbevares i 5 år + løbende kalenderår efter regnskabsårets afslutning.

10.1.3. Hvis Personoplysninger er indhentet på grundlag af dit samtykke, sletter vi som udgangspunkt de Personoplysninger, der er indhentet på grundlag af samtykket, umiddelbart efter, at du tilbagekalder samtykket. I markedsføringssammenhæng er vi dog forpligtet til at opbevare dokumentation for, at vi lovligt har indhentet dit samtykke i 2 år fra den seneste udsendelse af materiale, der var baseret på dit samtykke. Det gælder f.eks. også i relation til nyhedsbreve, du har været tilmeldt.

10.2. Sletning – Hvordan?

10.2.1. Sletning af Personoplysninger betyder som udgangspunkt, at Personoplysninger uigenkaldeligt fjernes fra alle lagringsmedier, hvorpå de har været lagret, og at Personoplysninger på ingen måde kan genskabes.

10.2.2. Personoplysninger kan som et alternativ anonymiseres fuldstændigt med den virkning, at de ikke længere kan henføres til en bestemt person. I givet fald finder reguleringen om Personoplysninger slet ikke anvendelse, og fuldstændig anonymisering er derfor et alternativ til sletning. Det er dog vigtigt at holde sig for øje, at anonymisering – som et alternativ til sletning – forudsætter, at man sletter alle spor, der kan lede til den person, oplysningen vedrører. Det er som oftest en meget vanskelig øvelse.

10.2.3. Efter sletning/anonymisering vil vi foretage behørigt krydstjek i form af søgninger på navn, e-mailadresse mv. vedrørende kunden henholdsvis sagen for at sikre, at der ikke kommer noget frem.

10.3. Anonymisering

10.3.1. Som et alternativ til sletning af Personoplysninger, kan e-branchekoden anvende anonymisering af data fra kunder til statistiske og forskningsmæssige formål, samt for at kunne forbedre systemer, processer og produkter. Dette betyder, at resultater ikke kan ledes tilbage til at identificere specifikke personer. Der foretages således en uigenkaldelig anonymisering, så den registrerede ikke længere kan identificeres.

11. Cookies

11.1. En cookie er en lille tekstfil, der lagres i din browser for at kunne genkende din computer ved tilbagevendende besøg. Der er ingen personlige oplysninger gemt i vores cookies, og de kan ikke indeholde virus.

11.2. Cookies sletter sig selv efter et vist antal måneder (kan variere), og nogle af dem fornyes efter hvert besøg.

11.3. Cookies anvendes til teknisk funktionalitet og er et krav for at kunne anvende e-branchekodens systemer. Udover teknisk funktionalitet anvendes cookies til at føre statistik over antallet af brugere og geografi, se nedenstående afsnit 11.4.

11.4. Websitet bruger cookies fra Google Analytics til at måle trafikken på websitet.

Du kan fravælge cookies fra Google Analytics her.

12. Ændring af privatlivs- og persondatapolitikken

12.1. e-branchekoden kan til enhver tid og uden varsel ændre Privatlivs- og persondatapolitikken med virkning for fremtiden. Ved sådanne ændringer sker der orientering af vores brugere på www.e-branchekoden.dk. Vores nye privatlivs- og persondatapolitik vil herefter være gældende for din brug af e-branchekodens ydelser.

13. Henvendelser

13.1. Hvis du har spørgsmål til nærværende Privatlivs- og persondatapolitik, vores behandling af Personoplysninger, berigtigelse eller dit forhold til os i øvrigt, er du e-branchekoden til at rette henvendelse til os på følgende e-mailadresse: [email protected] og via vores hjemmeside www.e-branchekoden.dk.

14. Datatilsynet

14.1 Du har mulighed for at klage til Datatilsynet over e-branchekodens indsamling og behandling af dine Personoplysninger:

Datatilsynet
Carl Jacobsens Vej 35
2500 Valby

Telefon: 33 19 32 00
E-mail: [email protected]
Web: www.datatilsynet.dk