1 ANSVAR
1.1 Beskyttelse af dine Persondata har vores højeste prioritet, uanset om disse data handler om dig, dine transaktioner, dine produkter/gods eller dine serviceydelser.
1.2 Vi behandler Persondata og har derfor vedtaget denne Persondata Politik, der beskriver, hvordan vi behandler dine Persondata.
2 SELSKAB
2.1 Selskabet er:
Porto Partner ApS
CVR-nr: 33511477
Stationsparken 24, 2.
DK-2600 Glostrup
Danmark
(Herefter benævnt ”Porto Partner”)
T: + 45 7023 0172
E: info@Porto Partner.dk
W: www.Porto Partner.dk
3 PERSONOPLYSNINGER
3.1 Det er vigtigt for os, at dine Persondata opbevares sikkert og fortroligt. Vi har proce-durer for indsamling, opbevaring, sletning, opdatering og videregivelse af Persondata for at hindre uautoriseret adgang til dine Persondata og for at opfylde gældende lov-givning.
3.2 Vi sikrer fair og transparent databehandling. Når vi beder dig om at stille dine Per-sondata til rådighed for os, oplyser vi dig om, hvilke Persondata vi behandler om dig og til hvilket formål. Du modtager oplysning herom på tidspunktet for indsamling af dine Persondata.
3.3 Nedenstående retningslinjer beskriver hvilke typer af Persondata, vi indsamler, hvor-dan vi behandler disse Persondata, og hvem du kan kontakte, såfremt du har spørgs-mål eller kommentarer til denne Persondata Politik.
4 TYPER AF PERSONDATA
KUNDER
• Almindelige Persondata (f.eks. navn og/eller brugernavn, adresse, e-mail, fødselsdato, køn, profilbillede, lokalisation, m.v.)
• Oplysninger om købeadfærd
• Kundelogin via hjemmeside
• Kontaktinformation
• Bogføringssystem
LEVERANDØRER
• Almindelige Persondata (f.eks. navn og/eller brugernavn, adresse, e-mail, fødselsdato, køn, profilbillede, lokalisation, m.v.)
• Oplysninger om købeadfærd
• Kundelogin via hjemmeside
• Kontaktinformation
• Bogføringssystem
5 FORMÅL
5.1 Vi indsamler og opbevarer dine Persondata til bestemte formål eller andre lovlige forretningsmæssige formål.
5.2 Dine Persondata indsamles og anvendes til:
KUNDER
• Behandling af dit køb og levering af vores ydelse
• Udførelse og registrering af distributionsopgaver
• Opfyldelse af din anmodning om produkter eller tjenester
• Forbedring af Porto Partner’ produkter og tjenester
• Oprettelse og optimering af din brugerprofil på Porto Partner.
• Direkte markedsføringsaktiviteter.
• Statistik og tilpasning af Porto Partner’ ydelser.
• Optimering af hjemmesiden.
• Gennemførelse af en aftale eller foranstaltninger efter din anmodning herom.
• Administration af din relation til Porto Partner
• Opfyldelse af lovkrav
LEVERANDØRER
• Opfyldelse af din anmodning om produkter eller tjenester
• Forbedring af Porto Partner’ produkter og tjenester
• Oprettelse og optimering af din brugerprofil på Porto Partner.
6 DEN REGISTREREDES RETTIGHEDER
6.1 De registreredes rettigheder vil kun have selvstændig betydning i forhold til Porto Partner i de tilfælde, hvor Porto Partner er dataansvarlig. Er Porto Partner databe-handler, skal den registreredes rettigheder opfyldes gennem den dataansvarlige, som typisk vil være Porto Partner’ kunde.
6.2 Indsigtsretten
6.2.1 Den registrerede har i henhold til databeskyttelsesforordningens artikel 15 ret til at få bekræftet, om der behandles Persondata om den pågældende, og vil i givet fald få ad-gang til Persondata (der skal udleveres en kopi af Persondata).
6.2.2 Derudover har den registrerede ret til at modtage følgende information:
• formålene med behandlingen
• de berørte kategorier af Persondata
• de modtagere eller kategorier af modtagere, som Persondata er eller vil blive videre-givet til, navnlig modtagere i tredjelande eller internationale organisationer
• om muligt det påtænkte tidsrum, hvor Persondata vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes til fastlæggelse af dette tidsrum
• retten til at anmode den dataansvarlige om berigtigelse eller sletning af Persondata eller begrænsning af behandling af Persondata vedrørende den registrerede eller til at gøre indsigelse mod en sådan behandling
• retten til at indgive en klage til en tilsynsmyndighed
• enhver tilgængelig information om, hvorfra Persondata stammer, hvis de ikke ind-samles hos den registrerede
• forekomsten af automatiske afgørelser, herunder profilering, som omhandlet i artikel 22, stk. 1 og 4, og som minimum meningsfulde oplysninger om logikken heri samt betydningen og de forventede konsekvenser af en sådan behandling for den registre-rede.
6.2.3 Den registrerede har endvidere ret til at få oplysninger om fornødne garantier, hvis vi har overdraget Persondata til tredjelande.
6.2.4 For at kunne opfylde en indsigtsbegæring på behørig vis skal vi herefter gennemsøge alle systemer – herunder alle databaser samt alt hardware og alle flytbare medier – og også gennemsøge alt fysisk materiale, der indgår i et register, og udlevere de Person-data, der er registreret om den pågældende
6.2.5 Efter databeskyttelsesloven gælder retten til indsigt ikke hvis den registreredes inte-resse i oplysningerne findes at burde vige for afgørende hensyn til private interesser, herunder hensynet til den pågældende selv.
6.3 Dataportabilitet
6.3.1 Den registrerede har efter databeskyttelsesforordningens artikel 20 desuden ret til i et struktureret, almindeligt anvendt og maskinlæsbart format at modtage Persondata om sig selv, som den pågældende selv har givet til vi.
6.3.2 Den registrerede har desuden ret til selv at transmittere disse oplysninger til en anden dataansvarlig uden hindring fra vi, når behandlingen er baseret på samtykke og be-handlingen foretages automatisk. Hvis den registrerede udøver denne ret til datapor-tabilitet, har den registrerede også ret til at få transmitteret Persondata direkte fra en dataansvarlig til en anden, hvis det er teknisk muligt.
6.3.3 Adgangen til dataportabilitet omfatter kun oplysninger, den registrerede selv har gi-vet, og vil kun omfatte behandlinger, der foretages automatisk. Adgangen til datapor-tabilitet vil desuden være særdeles begrænset, såfremt vi baserer sin behandlings-hjemmel på andet grundlag end samtykke.
6.4 Ret til berigtigelse
6.4.1 I henhold til databeskyttelsesforordningens artikel 16 har den registrerede ret til at få urigtige Persondata om sig selv berigtiget af den dataansvarlige uden unødig forsin-kelse. Under hensyntagen til formålene med behandlingen har den registrerede desu-den ret til få fuldstændiggjort ufuldstændige Persondata, bl.a. ved at fremlægge en supplerende erklæring.
6.4.2 Denne ret supplerer vores egen grundlæggende forpligtelse til kontinuerligt at sikre os, at der alene behandles korrekte og ajourførte oplysninger, jf. artikel 5, stk. 1, litra d.
6.4.3 Retten til berigtigelse angår dog alene objektive Persondata, og ikke subjektive vur-deringer. At vi måtte have vurderet, at en medarbejder ikke har et juridisk grundlagt for at føre en sag, er eksempelvis ikke en personoplysning, der kan kræves berigtiget, blot fordi medarbejderen.
6.5 Retten til at blive glemt
6.5.1 Den registrerede har efter databeskyttelsesforordningens artikel 17 ret til at få Per-sondata om sig selv slettet af os uden unødig forsinkelse. Vi har i så fald pligt til at slette Persondata uden unødig forsinkelse.
6.5.2 Dog er retten begrænset sådan, at der ikke kan kræves sletning, hvis behandlingen er nødvendig for at overholde en retlig forpligtelse eller for at retskrav kan fastlægges, gøres gældende eller forsvares, jf. artikel 17, stk. 3, litra b og e.
6.5.3 Det er vores vurdering, at ”retten til at blive glemt” kun meget sjældent vil komme i spil i relation til de Persondata, vi selvstændigt indsamler. Den kan eksempelvis tæn-kes anvendt, hvis Persondata oprindeligt slet ikke har været nødvendige og derfor slet ikke burde have væres indsamlet, eller hvis Persondata utvivlsomt ikke længere er nødvendige. I så fald vil pligten til at slette Persondata også følge af den grundlæg-gende forpligtelse til kun at behandle nødvendige oplysninger, jf. databeskyttelses-forordningens artikel 5, stk. 1, litra c. ”Retten til at blive glemt” finder dig ikke an-vendelse såfremt (og så længe) vi opbevarer sådanne Persondata for at kunne modgå et eventuelt retskrav fra kunder.
6.5.4 Hvis vi er forpligtet til at slette Persondata efter artikel 17, som har været overladt til andre dataansvarlige eller databehandlere, skal vi underrette sådanne dataansvarlige eller databehandlere, som behandler Persondata, om, at den registrerede har anmodet om at slette alle link til eller kopier eller gengivelser af de pågældende Persondata.
6.6 Ret til indsigelse – også mod automatiserede afgørelser
6.6.1 Det følger af databeskyttelsesforordningens artikel 21, at den registrerede til enhver tid har ret til at gøre indsigelse mod behandling af sine Persondata, hvis behandlingen – herunder profilering – er baseret på artikel 6, stk. 1, litra e eller f. Disse bestemmel-ser omhandler adgangen til at behandle almindelige Persondata, hvis behandlingen er nødvendig for at udføre en opgave i samfundets interesser, eller hvis behandlingen er nødvendig for at forfølge en berettiget interesse og hensynet til den registrerede ikke overstiger denne interesse.
6.6.2 Hvis der gøres indsigelse, må vi ikke længere behandle de pågældende Persondata, medmindre vi kan påvise vægtige legitime grunde til behandlingen, der går forud for den registreredes interesser, eller hvis behandlingen er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares.
6.6.3 Det er vores vurdering, at denne bestemmelse kun begrænset vil komme i spil i for-hold til vores sagsbehandling, fordi vores behandling af Persondata i vidt omfang kan knyttes op på hjemlen vedrørende opfyldelse af en aftale eller fastlæggelse af et rets-krav, ligesom vi – hvis behandlingen i øvrigt opfylder de grundlæggende behand-lingsregler – oftest vil kunne påvise vægtige legitime grunde til, at Persondata be-handles.
6.6.4 Bestemmelsen i artikel 21 forudsætter, at den registrerede gøres udtrykkeligt op-mærksom på sin ret til at gøre indsigelse, og at dette skal ske senest på tidspunktet for den første kommunikation. Endvidere skal oplysningen herom meddeles klart og hol-des adskilt fra de andre oplysninger.
6.6.5 Supplerende til artikel 21, har den registrerede i henhold til artikel 22 ret til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herun-der profilering, som har retsvirkning eller på tilsvarende vis betydeligt påvirker den pågældende.
6.6.6 Også denne bestemmelse indeholder en række undtagelser, jf. artikel 22, stk. 2. Blandt andet gælder retten ikke, hvis afgørelsen er nødvendig for indgåelse eller op-fyldelse af en kontrakt mellem den registrerede og en dataansvarlig, hvis behandlin-gen har hjemmel i lov, eller hvis behandlingen er baseret på den registreredes udtryk-kelige samtykke.
6.6.7 Artikel 22 forudsætter dog generelt, at automatiserede afgørelser ikke baseres på sær-lige kategorier af Persondata, jf. artikel 9, stk. 1, medmindre der er givet udtrykkeligt samtykke hertil, og der er indført passende foranstaltninger til beskyttelse af den regi-streredes rettigheder og frihedsrettigheder samt legitime interesser.
6.7 Ret til dataminimering.
6.7.1 I henhold til databeskyttelsesforordningens artikel 18 har den registrerede ret til at få begrænset behandlingen af Persondata, hvis:
• rigtigheden af Persondata bestrides af den registrerede, men kun i perioden indtil den dataansvarlige har haft mulighed for at fastslå, om Persondata er korrekte
• behandlingen er ulovlig, og den registrerede modsætter sig sletning af Persondata og i stedet anmoder om, at anvendelsen heraf begrænses
• den dataansvarlige ikke længere har brug for Persondata til behandlingen, men de er nødvendige for, at et retskrav kan fastlægges, gøres gældende eller forsvares
• den registrerede har gjort indsigelse mod behandlingen i medfør af artikel 21, stk. 1, men kun i perioden mens det kontrolleres, om den dataansvarliges legitime interesser går forud for den registreredes legitime interesser.
6.7.2 Retten udgør dermed et alternativt (og mindre) indgreb i behandlingen sammenlignet med den registreredes ret til at gøre indsigelse efter artikel 21 og 22, og den registre-redes ”ret til at blive glemt” efter artikel 17.
6.7.3 Det følger af bestemmelsens stk. 2, at hvis en behandling er blevet begrænset, må sådanne Persondata, bortset fra opbevaring, stadig behandles blandt andet, hvis den registrerede giver samtykke hertil, eller hvis behandlingen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares.
6.7.4 Bestemmelsen vil efter vores vurdering kun få begrænset betydning for vores adgang til at behandle Persondata i vores sagsbehandling.
7 BEHANDLINGSREGLER – GENERELT
7.1 Behandlingsprincipper
7.1.1 Vi vil behandle Persondata lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede.
7.1.2 Vores behandling af Persondata er undergivet en formålsbegrænsning, hvilket vil si-ge, at Persondata skal indsamles til udtrykkeligt angivne og legitime formål. De må ikke viderebehandles på en måde, der er uforenelig med disse formål,
7.1.3 Vi behandler Persondata ud fra et princip om dataminimering, hvilket vil sige, at de skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles,
7.1.4 Persondata skal behandles ud fra et princip om rigtighed, hvilket vil sige, at de skal være korrekte og om nødvendigt ajourførte,
7.1.5 Vi behandler Persondata ud fra et princip om opbevaringsbegrænsning, hvilket vil sige, at Persondata skal opbevares på en sådan måde, at det ikke er muligt at identifi-cere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende Persondata behandles, og
7.1.6 Persondata skal behandles ud fra et princip om integritet og fortrolighed, hvilket vil sige, at de skal behandles på en måde, der sikrer tilstrækkelig sikkerhed for Personda-ta, herunder skal de beskyttes mod uautoriseret eller ulovlig behandling og mod hæn-deligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske el-ler organisatoriske foranstaltninger
7.2 Risikoanalyse
7.2.1 Vi skal i forbindelse med vores sagsbehandling gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risi-ci, som konkret er forbundet med vores behandling af Persondata.
7.2.2 Vi har gennemført en risikoanalyse, som ligger til grund for denne Persondatapolitik.
7.3 Konsekvensanalyser vedrørende databeskyttelse (DPIA)
7.3.1 Databeskyttelsesforordningens artikel 35 indeholder et krav om, at hvis en behand-ling – navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sam-menhæng og formål – sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, skal den dataansvarlige forud for behandlingen fo-retage en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af Persondata.
7.3.2 Pligten til at foretage en konsekvensanalyse gælder alene i særlige tilfælde, hvor der kan konstateres en høj risiko for fysiske personers rettigheder og frihedsrettigheder.
7.3.3 Konsekvensanalyser skal navnlig gennemføres, når der foretages:
a) behandling i stort omfang af følsomme oplysninger eller af Persondata vedrørende straffedomme og lovovertrædelser, eller
b) systematisk og omfattende vurdering af personlige forhold vedrørende fysiske perso-ner, der er baseret på automatisk behandling, herunder profilering, og som er grund-lag for afgørelser, der har retsvirkning for den fysiske person eller på tilsvarende vis betydeligt påvirker den fysiske person, eller
c) systematisk overvågning af et offentligt tilgængeligt område i stort omfang
7.3.4 Det er vores vurdering, at vi i udgangspunktet sjældent vil foretage behandlinger, der opfylder et af ovennævnte kriterier. Det må derfor antages, at reglerne om konse-kvensanalyse vil have et forholdsvis begrænset anvendelsesområde i relation til vores behandling af Persondata om kunder.
7.3.5 Gennemføres en konsekvensanalyse alligevel, vil resultatet af analysen tages i be-tragtning, når vi skal træffes passende foranstaltninger.
7.4 Databeskyttelsesrådgiver (DPO)
7.4.1 Pligten til at udpege en databeskyttelsesrådgiver forudsætter efter databeskyttelses-forordningens artikel 37, at behandling af Persondata indgår som vores ”kerneaktivi-tet”. Dette er tilfældet for de tilfælde hvor Porto Partner agerer som databehandler, men ikke i andre situationer, hvor Porto Partner agerer som dataansvarlig. Dette skyl-des, at Porto Partner som dataansvarlig primært behandler medarbejderdata eller CRM-data om Porto Partner’ kunder.
7.4.2 Pligten til at udpege en Databeskyttelsesrådgiver indtræder navnlig når:
a) der foretages behandlingsaktiviteter, der i medfør af deres karakter, omfang og/eller formål kræver regelmæssig og systematisk overvågning af registrerede i stort omfang, eller
b) behandling i stort omfang af særlige kategorier af oplysninger (følsomme oplysnin-ger), eller
c) behandling i stort omfang af Persondata vedrørende straffedomme og lovovertrædel-ser.
7.4.3 Det er vores vurdering, at Porto Partner ikke foretager behandling af persondata i et omfang som beskrevet ovenfor. Vi har derfor valgt ikke at udpege en databeskyttel-sesrådgiver.
7.4.4 Som følge af princippet om ansvarlighed, har vi – uanset om vi agerer som dataan-svarlig eller databehandler udpeget en person i vores organisation, der har som an-svarsområde foretage de vurderinger og den rådgivning, der sædvanligvis vil blive varetaget af en databeskyttelsesrådgiver.
7.5 Dataansvarlig
7.5.1 For Persondata om medarbejdere samt information om Porto Partner’ kunder og leve-randører, vil Porto Partner som altovervejende udgangspunktet arbejde selvstændigt. Porto Partner vurderer selvstændigt, om der er grundlag for at indsamle/behandle Per-sondata, hvilke Persondata, der er relevante og nødvendige, og hvor længe Personda-ta skal opbevares. I denne situation vil Porto Partner agere som dataansvarlig.
7.6 Databehandleraftale
7.6.1 I overvejelsen om, hvorvidt Porto Partner agerer som dataansvarlig eller databehand-ler skal det holdes for øje, at den dataansvarlig er den, som bestemmer, med hvilke formål Persondata må behandles (formålet), og hvordan Persondata må behandles (hjælpemidlerne), herunder af hvem Persondata må behandles.
7.6.2 En databehandler behandler til gengæld udelukkende Persondata på vegne af den da-taansvarlige. Databehandleren bestemmer i modsætning til den dataansvarlige hver-ken hvordan, eller til hvilket formål, der må behandles Persondata.
7.6.3 Der vil foreligge en databehandlerkonstruktion, hvis en aftale eller en del af en aftale mellem os og en anden part (en databehandler) går ud på, at den anden part skal be-handle (f.eks. indsamle, registrere, opbevare, videregive eller slette) Persondata efter instruks fra vi som dataansvarlig
7.6.4 Spørgsmålet er med andre ord, om den dataansvarlige alene er interesseret i at modta-ge det færdige produkt (f.eks. en rapport, som giver svar på en bestemt problemfor-mulering), men ikke ønsker at blande sig i, med hvilke delformål og hjælpemidler dette opnås. Fraværet af en instruks i denne sammenhæng taler for, at hovedydelsen drejer sig om andet end behandling af Persondata som databehandler.
7.6.5 Porto Partner vil agere som databehandler i følgende situationer:
• Modtagelse af data. Denne proces omfatter:
Kunden sender data pr. mail eller via upload i Porto Partner ordre system.
• Databehandling. Denne proces omfatter:
Fjernelse af dubletter
Tilretning af fejlagtige adresser (fx manglende by, men postnummer oplyst)
Segmentering ud fra oplyste variabler – (persondata og erhvervsdata)
• Dokumentopsætning
Korrektur lægges på kundens SFTP mappe og mail om korrektur ligger klar af-sendelse som e-mail.
Eventuelle rettelser gennemføres og godkendes på ny.
Kundedata flettes med opsat dokument og lagres.
• Færdig flettede dokumenter direkte fra kunden
Proces for databehandling og dokumentopsætning kan blive udført af Dataan-svarlige.
Processen er, at færdig flettede dokumenter lægges fra SFTP mappe direkte i Inputmappe. Herefter fungerer processen for print og kuvertering som nedenfor beskrevet.
• Print. Omfatter opgaver som:
Færdige flettede dokumenter sendes til print
Færdigt printede dokumenter overdrages til Maskinel Kuvertering eller foliering (alternativt til Manuel Kuvertering)
• Foliering. Omfatter opgaver som:
Færdige printede dokumenter og evt. bilag gøres klar til foliering.
Færdige printede forsendelser folieres og lægges efterfølgende i kasser og på vogn/i bur.
Når opgaven er færdig, afhentes vogn/bur og læsses i lastbil.
• Maskinel kuvertering. Omfatter opgaver som:
Færdige printede dokumenter og evt. bilag gøres klar til maskinel kuvertering.
Færdige printede forsendelser kuverteres i kuverter og lægges efterfølgende i kasser og på vogn/i bur.
Når opgaven er færdig, afhentes vogn/bur og læsses i lastbil.
Herefter indleveres forsendelser til distributør.
• Manuel Kuvertering og pakning. Omfatter opgaver som:
Færdige printede dokumenter og evt. bilag gøres klar til manuel kuvertering.
Færdige printede dokumenter kuverteres i breve eller pakkes i pakker og lægges efterfølgende i kasser og på vogn/i bur.
Når opgave er færdig kuverteret/pakket, afhentes vogn/bur og læsses i lastbil.
Herefter indleveres breve til distributør.
7.6.6 Inddrages tredjeparter i behandlingen vil Porto Partner vurdere, om sådanne tredje-parter får status som databehandlere eller selvstændige dataansvarlige.
7.6.7 Er der ikke tale om en databehandlerkonstruktion, vil den part, som modtager oplys-ningerne fra os, herefter være dataansvarlig for den efterfølgende behandling af Per-sondata hos parten selv.
7.6.8 Som ovenfor anført skal det ved videregivelse til en selvstændig dataansvarlig i det hele sikres, at der er hjemmel til videregivelsen, ligesom den modtagende part skal sikre sig opfyldelse af sin oplysningspligt.
7.6.9 Datafiler sendt til Porto Partner vil alene blive behandlet til brug på den konkrete opgave, samt kundens eventuelle øvrige instruks. Data slettes automatisk efter 60 da-ge fra modtagelse af fil.
7.7 Overførsel til tredjelande
7.7.1 Der sker ikke overførsel af Persondata til tredjelande.
7.8 Databehandlere – oversigt
7.8.1 Vi anvender eksterne virksomheder til at foretage den tekniske drift af Porto Partner. Disse virksomheder fungerer som databehandler i forhold til de Persondata, som vi er dataansvarlige for.
7.8.2 Databehandling foretages indenfor den Europæiske Union.
7.8.3 Databehandleren handler alene efter instruks fra os.
7.8.4 En liste af godkendte databehandlere kan rekvireres ved henvendelse til Porto Partner.
7.8.5 Databehandleren har truffet de fornødne tekniske og organisatoriske sikkerhedsforan-staltninger mod, at Persondata hændeligt eller ulovligt tilintetgøres, fortabes eller for-ringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af Persondata. På din anmodning – og mod betaling af databehandlerens til enhver tid gældende timetakster for sådant arbejde – giver databehandleren dig tilstrækkelige Persondata til, at databehandleren kan påvi-se, at de nævnte tekniske og organisatoriske sikkerhedsforanstaltninger er truffet.
7.9 Videregivelse til sociale netværk
7.10 Der videregives ikke Persondata til sociale netværk.
7.11 Anden videregivelse
7.12 Såfremt vi modtager henvendelse fra politi (eller anden lignende offentlig myndig-hed) eller retsvæsen om udlevering af Persondata, vil vi foretage udlevering af dine Persondata i overensstemmelse med gældende lovgivning.
7.13 Profilering
7.14 Vi anvender ikke dine Persondata til profilering.
7.15 Generelle tekniske foranstaltninger
7.15.1 Datatilsynets IT-sikkerhedstekster, jf. nedenfor, danner udgangspunkt for de overve-jelser og vurderinger, vi har foretaget efter databeskyttelsesforordningen.
7.15.2 Adgang til Persondata er begrænset til personer, der har et sagligt behov for adgang til Persondata. Det skal være så få personer som muligt, dog med behørigt hensyn til driften – der skal være et tilstrækkeligt antal medarbejdere til at sikre driften af de pågældende opgaver ved sygdom, ferier, personaleudskiftning m.v. Data vil alene blive tilgået på ”need to know” basis.
7.15.3 Medarbejdere, der håndterer Persondata, er instrueret og oplært i, hvad de må gøre med Persondata, og hvordan de skal beskytte Persondata.
7.15.4 Persondata på papir – f.eks. i kartoteker og ringbind –opbevares aflåst, når de ikke er i brug.
7.15.5 Når dokumenter (papirer, kartotekskort mv.) med Persondata smides ud, anvendes makulering eller anden foranstaltning, der forhindrer, at uvedkommende kan få ad-gang til Persondata.
7.15.6 Der anvendes adgangskoder til at få adgang til pc’er og andet elektronisk udstyr med Persondata. Kun de personer, der skal have adgang, får en kode og da kun til de sy-stemer, den pågældende har brug for at anvende. De personer, der har adgangskode, må ikke overlade koden til andre eller lade den ligge, så andre kan se den. Kontrol af tildelte koder skal foretages mindst en gang hvert halve år.
7.15.7 Det registreres, hvis der konstateres forgæves forsøg på at få adgang til it-systemer med Persondata. Hvis der registreres et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg, skal der blokeres for yderligere forsøg.
7.15.8 Porto Partner har udpeget en ansvarlig, der kan overvåge sådanne forgæves adgangs-forsøg. Under hensyntagen til den teknologiske udvikling er der anskaffes program-mel, der kan afklare, hvem der har forsøgt at skaffe sig adgang til Persondata.
7.15.9 Hvis Persondata lagres på en USB-nøgle, skal Persondata beskyttes. Der kan f.eks. bruges en USB-nøgle med adgangskode og kryptering. Ellers skal USB-nøglen opbe-vares i aflåst skuffe eller skab. Tilsvarende gælder ved opbevaring af Persondata på andre bærbare datamedier.
7.15.10 PC’er koblet til internettet har en opdateret firewall og viruskontrol installeret.
7.15.11 Ved opkobling til wifi, hvortil der er fri adgang, sikrer vi passende sikkerhedsmæssi-ge foranstaltninger under hensyntagen til det aktuelle teknologiske udviklingstrin på it-området.
7.15.12 Hvis følsomme Persondata eller personnummer sendes med e-mail via internettet, skal sådanne e-mails krypteres. Hvis du sender Persondata til os via e-mail, skal du være opmærksom på, at afsendelse til os ikke er sikker, såfremt dine e-mails ikke er krypte-ret.
7.15.13 I forbindelse med reparation og service af dataudstyr, der indeholder Persondata, og når datamedier skal sælges eller kasseres, træffer vi de fornødne foranstaltninger, så oplysninger ikke kan komme til uvedkommendes kendskab.
7.15.14 I de situationer, hvor en computer indleveres til reparation, og hvor der på compute-ren ligger Persondata, etablerer vi flere koder til forskellige sektioner af data. En re-paratør vil eksempelvis ikke have behov for at kunne tilgå Persondata, der måtte ligge på computeren. En sådan ordning med flere koder vil kunne hjælpe, men ikke fjerne risikoen for misbrug af Persondata. Herudover bør det også ved aftale og kontrol sik-res, at reparatører ikke uretmæssigt tilgår Persondata. Det kan f.eks. være ved brug af fortrolighedserklæringer.
7.15.15 Ved brug af en ekstern databehandler til håndtering af Persondata, underskrives en skriftlig databehandleraftale mellem os og databehandleren. Det gælder eksempelvis, når der anvendes et eksternt dokumentarkiv eller hvis der anvendes cloud-systemer i forbindelse med behandlingen af Persondata – herunder kommunikation med kunden. Det kan ligeledes til brug i produktionen. På samme vis indgås der altid en skriftlig aftale mellem os og vores kunde, såfremt vi agerer som databehandler. Databehand-leraftalerne er også tilgængeligt elektronisk.
7.15.16 Vi har interne regler om informationssikkerhed. Vi har vedtaget interne regler om informationssikkerhed, som indeholder instrukser og foranstaltninger, der beskytter Persondata mod at blive tilintetgjort, gå tabt eller blive ændret, mod uautoriseret of-fentliggørelse, og mod at uvedkommende får adgang eller kendskab til dem. Porto Partner vil sørge for, at de indsamlede Persondata, inklusive Persondata, behandles varsomt og beskyttes i henhold til gældende sikkerhedsstandarder. Vi har strenge sik-kerhedsprocedurer for indsamling, opbevaring og overførsel af Persondata for at hin-dre uautoriseret adgang og for at overholde gældende lovgivning.
7.15.17 Vi har truffet de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger for at beskytte dine Persondata mod utilsigtet eller ulovlig destruktion, tab eller æn-dring og mod uautoriseret offentliggørelse, misbrug eller anden handling i strid med gældende lovgivning.
7.15.18 Systemerne er placeret på servere i sikrede lokaler.
7.15.19 Vi bruger industristandarder som firewalls og autentificeringsbeskyttelse for at be-skytte dine Persondata.
7.15.20 Alle data overført mellem kunde (browser og webapp) og server(er) krypteres efter HTTPS-protokollen.
7.15.21 Filer, der manuelt vælges adgangskodebeskyttes inden for vores tjeneste, er kryptere-de og kan under ingen omstændigheder tilgås af os.
7.16 Back-up
7.16.1 Porto Partner tager back-up af alle databaser og filer på ordresystemet hver nat.
7.16.2 Alle backup data og filer overskrives med intervaller på 30 dage. Det er ikke teknisk muligt at gennemføre sletning af enkelte filer på en foretagen backup inden sådan overskrivning ske. Det vil sige, at har du anmodet Porto Partner om sletning af dine Persondata, vil sådanne Persondata blive slettet i live miljø, jf. nedenfor, men vil for-blive på backup indtil den specifikke backup efter 30 dage er overskrevet.
7.17 Oplysningspligt – Kunde
7.18 Hver kunde modtager et link til vores Persondatapolitik og som der herefter blot kan henvises til.
7.19 Sletning – hvornår
7.19.1 Ved afslutning af opgave fra en kunde har vi i princippet ikke længere behov for at behandle Persondata. Opgaven er løst.
7.19.2 En række andre hensyn samt særregler indebærer dog, at Persondata ikke bør eller ikke må slettes førend, der er gået et tidsrum.
7.19.3 Det skal konkret overvejes hvor længe Persondata opbevares, inden de slettes.
7.19.4 Bogføringsreglerne indebærer, at Persondata knyttet til en betaling skal opbevares i 5 år + løbende kalenderår efter regnskabsårets afslutning.
7.19.5 Hensynet til, at vi kan varetage sine interesser ved et muligt ansvar kan indebære, at oplysninger opbevares i 3 år efter afslutningen af opgaven.
7.19.6 Stamdata for kunden bør – for at sikre logisk synergi til også den regnskabsmæssige behandling – opbevares i 5 år fra kundeforholdets ophør.
7.19.7 Kontaktinformation – CRM skal løbende slettes og opdateres. E-mails, som kan have betydning for fastlæggelse af et retskrav skal gemmes i 5 år og herefter slettes, men mindre retskrav er rejst mod, eller tænkes rejst af, Porto Partner.
7.20 Sletning – hvordan
7.20.1 Det fremgår af IT-sikkerhedstekst ST3 fra Datatilsynet vedrørende sletning af Per-sondata, at sletning af Persondata i praksis betyder, at Persondata uigenkaldeligt fjer-nes fra alle lagringsmedier, hvorpå de har været lagret, og at Persondata på ingen må-de kan genskabes. Man skal i den forbindelse være opmærksom på alle lagringsmedi-er – herunder også flytbare medier i form af bærbare computere, USB-nøgler mv., samt back-up.
7.20.2 For at lette sletningsproceduren skal alt fysisk materiale scannes til den elektroniske sag, og dernæst makuleres eller tilbagesendes til kunden.
7.20.3 Derudover skal al korrespondance mv. fra Outlook overføres til den elektroniske sag og slettes i det hele fra Outlook, ligesom alle redegørelser/præsentationer mv. på di-verse bærbare medier og lokale drev skal overføres til den elektroniske sag og slettes i øvrigt.
7.20.4 Derved kan den samlede sag til sin tid (efter endt opbevaringsperiode) i det hele blive slettet fra det elektroniske sags system.
7.20.5 I tilfælde hvor alle Persondata om en kunde – og ikke kun en konkret sag – skal slet-tes, skal den elektroniske formular med kundens stamoplysninger slettes.
7.20.6 Persondata kan som et alternativ anonymiseres fuldstændigt med den virkning, at de ikke længere kan henføres til en bestemt person. I givet fald finder reguleringen om Persondata slet ikke anvendelse, og fuldstændig anonymisering er derfor et alternativ til sletning. Det er dog vigtigt at holde sig for øje, at anonymisering – som et alterna-tiv til sletning – forudsætter, at man sletter alle spor, der kan lede til den person, op-lysningen vedrører. Det er som oftest en meget vanskelig øvelse.
7.20.7 Efter sletning/anonymisering vil vi foretage behørigt krydstjek i form af søgninger på navn/cpr-nr. mv. vedrørende kunden henholdsvis sagen for at sikre, at der ikke kom-mer noget frem.
8 DETALJEREDE BEHANDLINGSREGLER – KUNDE
8.1 Behandlingshjemmel
8.1.1 Vores hjemmel til at behandle Persondata ligger først og fremmest i relationen til kunden og at kunne administrere indgåede aftaler. Indenfor disse områder vil vi inden for dette opdrag i udgangspunktet have hjemmel til at behandle de nødvendige oplys-ninger Det følger navnlig af databeskyttelsesforordningens artikel 6, stk. 1, litra a-c og litra f, samt af artikel 9, stk. 2, litra a og f.
8.1.2 Disse bestemmelser omhandler adgang til at behandle Persondata, (i) hvis der forelig-ger et samtykke, (ii) hvis behandlingen er nødvendig for at opfylde en kontrakt, (iii) hvis behandlingen er nødvendig for at overholde en retlig forpligtelse, (iv) nødven-dig for at opfylde væsentlige interesser, der overstiger den registreredes interesser, el-ler (v) nødvendig for at et retskrav kan fastlægges, gøres gældende eller forsvares.
8.1.3 For så vidt angår navnlig personnumre kan vi til at behandle oplysninger om person-numre, (i) når det følger af lovgivningen, (ii) hvis der foreligger et samtykke, eller (iii) hvis det er nødvendigt med henblik på fastlæggelsen af et retskrav, jf. databe-skyttelseslovens § 11, jf. § 7.
8.1.4 Det er vores vurdering, at den behandling af Persondata vi foretager i relation til en kunde, i vidt omfang vil være hjemlet i de anførte bestemmelser
8.2 IP-adresser og browserindstillinger
8.2.1 I forbindelse med hvert besøg på Porto Partner.dk eller ved anden teknisk kommuni-kation med os registreres din computers anvendte IP-adresse og browserindstillinger. Din IP-adresse er adressen på den computer du anvender til at besøge Porto Part-ner.dk. Browserindstillinger er for eksempel den browser type du anvender, browser sprog, tidszone mv. IP-adressen og browserindstillinger registreres for at sikre, at Porto Partner.dk altid kan finde tilbage til den anvendte computer, såfremt der måtte ske misbrug eller ulovligheder i forbindelse med besøget på eller anvendelsen af Por-to Partner.dk.
8.3 Anonymisering
8.3.1 Porto Partner anvender ikke anonymisering af data fra kunder for statiske og forskningsmæssige formål, eller for at kunne forbedre systemer, processor og produkter.