Lundsteen tager dataansvar alvorligt og sørger for en lovlig og transparent databehandling, hvor beskyttelsen af kundernes fortrolighed og integritet vægtes højt.
Modtagelse af oplysninger
Lundsteen henstiller til, at der ikke fremsendes personfølsomme oplysninger, medmindre det er strengt nødvendigt og aftalt på forhånd.
Det betyder, at alt materiale der fremsendes, skal være anonymiseret af afsender.
Er det nødvendigt at fremsende personfølsomme oplysninger, skal dette aftales på forhånd og der skal indgås en databehandleraftale.
Politik for Persondatabeskyttelse
Lundsteen ApS, CVR nr. CVR: 38735268
Retligt grundlag
Databeskyttelsesforordningen – Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 (herefter kaldet DBF).
DBF omfatter enhver behandling af oplysninger om en identificeret person eller en person, der direkte eller indirekte er identificerbar.
Ved udfærdigelsen af politikken er der tillige taget stilling til Lov om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (herefter kaldet DBL).
Risikovurdering
Virksomhedes formål, omfang og struktur:
Virksomhedens formål er at
· Yde rådgivning
· Afholde kurser
· Yde ledersparring og coaching
for offentlige og private virksomheder på social-og beskæftigelsesområdet, samt for privatpersoner.
Virksomhedet har ingen ansatte og udøver sit virke ved ejeren. Det er udelukkende ejeren, der har adgang til personhenførbare oplysninger.
Det er ejerens opfattelse, at virksomheden kun i ringe omfang kan fejlhåndtere bestemmelserne i omkring DBF og DBL.
Handlingsplanen omfatter
1. Dataansvarlige person
2. Fortegnelse over databehandlere
3. Fortegnelse over de registrerede
4. Procedure for behandling af virksomhedens persondata
5. Generelt
Handlingsplanen
1. Dataansvarlige person
Virksomhedens dataansvarlige er ejeren, Ea Lundsteen.
Den dataansvarlige er forpligtet til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel 3.
Ligeledes er den dataansvarlige ansvarlig for, at et brud på datasikkerheden skal anmeldes til datatilsynet inden for 72 timer.
Samtidig skal den/de ramte person/personer gøres bekendt med den indtrådte hændelse.
2. Fortegnelse over databehandlere
ERP-system haves ikke, da det udelukkende er ejeren, der har adgang til personhenførbare oplysninger.
Der er ikke noget lønadministrationssystem, da der ikke er nogen ansatte.
Hosting af hjemmesiden: wordpress.com, med hvem der er oprettet skriftlig aftale ved bestilling af hjemmesiden
Administration af mailkonti: Den tekniske del sker hos SeoSoft ApS.
Selve administrationen af mailkonti foretages af ejeren, Ea Lundsteen.
Virksomhedens bankforbindelse: Lunar bank
3. Procedure for behandling af virksomhedens persondata
Personoplysningerne opbevares hos databehandleren/den dataansvarlige (der er personsammenfald) og slettes, hvis den eller de registrerede anmoder om det eller der ikke længere er behov for databehandling af oplysningerne.
Virksomheden databehandler ikke personhenførbare følsomme oplysninger efter DBF og DBL.
Hvis nogen fejlagtigt fremsender personfølsomme oplysninger til virksomheden, vil disse omgående blive slettet og afsenderen vil blive oplyst om sletningen samt årsagen til sletningen uden yderligere databehandling.
4. Generelt
Virksomheden sikrer, at modtagere af nyhedsbreve og anden information, rekvireret ved brug af virksomhedens hjemmeside, indeholder mulighed for at rekvirenten kan anmode om ophør af denne service.
Tillæg om lovgivningens rammer
EU-persondataforordningen omfatter enhver behandling af oplysninger om en identificeret person eller en person, der direkte eller indirekte er identificerbar.
Jævnfør personkredsen er det typisk oplysninger om medarbejdere, leverandører, kunder og andre samarbejdspartnere.
Der skelnes mellem:
Almindelige personoplysninger (DBF art.6) som eksempelvis:
· Navn, adresse, e-mailadresse, telefonnummer, CPR-nummer, køn, foto, kreditkortnummer, medarbejder-ID, uddannelse, personlighedstest, login i it-systemer, stilling, rejseoplysninger, løn m.v.
og
Personfølsomme oplysninger (DBL art. 9 og art. 10) – som eksempelvis:
· helbredsoplysninger, oplysninger om fagforeningsmæssigt tilhørsforhold, strafbare forhold og oplysninger om seksuel orientering.
Virksomheden databehandler ikke personhenførbare oplysninger af sidstnævnte art.
Definitioner
Behandling
Alle handlinger, som virksomheden foretager med personoplysninger, for eksempel indsamling, opbevaring, sletning og videregivelse m.v.
Den dataansvarlige
Denne bestemmer, hvorfor og hvordan personoplysninger skal behandles.
Databehandleren
Denne behandler personoplysninger på vegne af den dataansvarlige.
I denne virksomhed er der personsammenfald mellem dataansvarlig og databehandler.
Den registrerede
Personen der behandles oplysninger om.
De generelle principper skal overholdes hver gang virksomheden behandler personoplysninger
Formål med registrering skal være baseret på:
· DBF og DBL
· Særlovgivning som indeholder andre relevante forskrifter, som har forrang for DBF og DBL
· Samtykke til databehandling af personhenførbare oplysninger jf. DBF art.6 og art.7.
Rimelighed
Oplysningerne:
· Skal være tilstrækkelige, relevante og korrekte
· Skal være begrænset til, hvad der er nødvendigt i forhold til formålet
· Må ikke opbevares længere end nødvendigt
Gennemsigtighed
Der skal til den registrerede oplyses om:
· Rettigheder jf. DBF kapitel 4
· Det udtrykkelige formål med databehandlingen
· Juridisk grundlag for databehandlingen
· Tidspunkt for sletning jf. DBF artikel 17
Anmeldelse af databrud
Virksomheden skal anmelde brud på persondatasikkerheden til Datatilsynet inden for 72 timer.