Denne politik beskriver, hvordan vi anvender og beskytter persondata, og skal sikre, at medarbejderne har kendskab til de regler, der gælder for brug af de persondata, som de har adgang til som led i deres arbej-de. Denne politik supplerer vores andre politikker om it-sikkerhed, internet og e-mail o.l.
Denne politik har til formål at opfylde kravene i Persondataforordningens art. 13
Torben Juul Pedersen er ansvarlig for opdatering og kontrol af politikken.
Hvor der i politikken henvises til lovartikler, refererer dette til Persondataforordningen, og hvor der er tale om paragraf-henvisninger, sker dette til Persondataloven.
1. GENERELT OM BEHANDLING AF PERSONDATA
Enhver behandling af persondata i vores virksomhed sker under henvisning til principperne om lovlighed, rimelighed og gennemsigtighed. Persondata indsamles alene til udtrykkeligt angivne og legitime formål, li-gesom vi iagttager princippet om dataminering. Vi tilstræber, at alle oplysninger er korrekte og ajourførte, li-gesom principperne om opbevaringsbegrænsning, integritet og fortrolighed og ikke mindst ansvarlighed er sat i højsædet.
Hvis du har spørgsmål til vores behandling af persondata og denne persondatapolitik, er du altid velkom-men til at kontakte Torben Juul Pedersen, der har det interne overordnede ansvar herfor.
2. DATAANSVARLIG
Hornbæk Auto er dataansvarlig, og vi sikrer, at dine persondata behandles i overensstemmelse med lovgiv-ningen.
Kontaktoplysninger:
Hornbæk Auto
Viborgvej 164B
8920 Randers
tlf. 86 42 61 60
Mail: info@hornbaek-auto.dk
https://www.hornbaek-auto.dk/
3. BEHANDLINGSFORMÅL; KATEGORIER AF OPLYSNINGER, DER BEHANDLES
Vi behandler medarbejderoplysninger om jobansøgere, nuværende medarbejdere og tidligere medarbejdere med det formål at sikre korrekt løn og daglig personaleadministration.
De oplysninger, vi i første række behandler er navn, adresse og cpr. nummer samt oplysninger til brug for lønkørsel og udbetalinger, herunder kontonummer m.v.
I visse tilfælde kan det være nødvendigt at indsamle og behandler følsomme persondata, eksempelvis hel-bredsoplysninger i forbindelse med særligt sygefravær, § 56-aftaler eller oplysninger om strafbare forhold. Behandling af sådanne oplysninger vil alene ske efter en konkret vurdering og med selvstændig behand-lingshjemmel.
4. BEHANDLINGSGRUNDLAG
Persondata behandles hovedsagelig med hjemmel i art. 6.1.b, idet behandling er nødvendig af hensyn til opfyldelse af den ansættelseskontrakt, vi begge er part i.
Visse oplysninger, eksempelvis offentliggørelse af billeder på internettet, herunder virksomhedens firmapro-fil m.v. behandles i videst muligt omfang på baggrund af et samtykke, jf. straks nedenfor.
I det omfang der behandles personfølsomme oplysninger, behandles disse på baggrund af art.9.2.a: Ud-trykkeligt samtykke eller art. 9.2.b: Overholdelse af sundheds-, social- eller arbejdsretlige forpligtelser.
5.1 Behandling af særlige oplysninger (følsomme oplysninger)
Vi overvejer altid nøje, om det er nødvendigt at behandle følsomme oplysninger, der defineres som oplys-ninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæs-sigt tilhørsforhold samt genetiske data, biometriske data, helbredsoplysninger eller oplysninger om en fy-sisk persons seksuelle forhold eller seksuelle orientering.
5.1.1 Helbredsoplysninger
Oplysninger om sygefravær, altså antallet af sygedage, er ikke en følsom oplysning. Den interne fraværs-statistik behandles således med hjemmel i art. 6.1.b, dog således, at alene Torben Juul Pedersen i virksom-heden har adgang hertil.
Oplysning om en medarbejders diagnose er en følsom oplysning, jf. art. 9.1. Helbredsoplysninger kan som hovedregel kun behandles med medarbejderens udtrykkelige samtykke. Medarbejderen skal orienteres om, hvem der får adgang til oplysningerne, samt til hvilket brug og hvor længe oplysningerne opbevares og om, at samtykket kan trækkes tilbage.
Som medarbejder har du ikke pligt til at oplyse os om en lovlig fraværsgrund, men gør du det (eksempelvis oplyser i en e-mail, at du er syg på grund af influenza), så er der tale om en følsom personoplysning, som vi kun må behandle (herunder opbevare) med dit udtrykkelige samtykke, jf. art. 9.2.a eller som følge af en ar-bejdsretlig forpligtelse, jf. art. 9.2.b, jf. straks nedenfor.
Undtagelse 1: Hvis du er omfattet af en § 56-aftale, hvor vi kan modtage refusion fra første sygedag, skal du oplyse, om sygefraværet skyldes den sygdom, som begrunder § 56-aftalen.
Undtagelse 2: Ved fravær på grund af graviditetsbetinget sygdom kan vi modtage refusion fra 1. sygedag, hvis der udbetales løn. Som medarbejder skal du således oplyse, om sygefraværet er graviditetsbetinget, men du har ikke pligt til at oplyse præcis diagnose eller lignende.
Undtagelse 3: Hvis du er flexjobber har vi iht. lovgivningen herom pligt til at tage de fornødne skånehensyn til den lidelse, der ligger til grund for bevillingen af flexjob.
5.1.2 Fagforeningsoplysninger
Fagforeningsoplysninger kan som hovedregel kun behandles på baggrund af medarbejderens udtrykkelige samtykke, eller hvis du selv har offentliggjort disse.
Undtagelse: Hvis behandlingen sker for at opfylde en arbejdsretlig forpligtelse, fx en aftale med fagforenin-gen om kontingenttræk eller i forbindelse med lovligt varslet lock-out.
Vi forventer ikke umiddelbart at have et behov for at kende eller behandle oplysninger herom.
5.2 Behandling af oplysninger vedrørende straffedomme og lovovertrædelser
Som udgangspunkt må vi ikke indsamle eller behandle oplysninger om dine lovovertrædelser, herunder strafferetlige. Ved ansættelse kan vi dog bede dig fremsende en straffeattest, som vil blive behandlet og opbevaret i din personalemappe, jf. nedenfor, under ansættelsen og i en periode derefter. Det er frivilligt, om du ønsker at fremsende straffeattesten, men du må forvente, at vi vil tillægge dette vægt, såfremt du afviser en sådan anmodning.
Som privat aktør må vi behandle oplysninger om strafbare forhold, hvis du giver dit samtykke, eller hvis det er nødvendigt til varetagelse af en berettiget interesse, der klart overstiger hensynet til dig, jf. § 8, stk. 3.
Som medarbejder har du pligt til at underrette os, såfremt du mister dit kørekort, og denne oplysning vil indgå i din personalemappe.
6 MODTAGERE OG VIDEREGIVELSE AF PERSONDATA
Vi videregiver udelukkende persondata til tredjepart i overensstemmelse med, hvad der er anført i denne persondatapolitik.
Når man overlader oplysninger til en databehandler, fx til brug for lønudbetaling, er der ikke tale om videre-givelse. Databehandleren behandler udelukkende oplysningerne på virksomhedens vegne og må ikke benyt-te data til andet brug.
Vi anvender tjenesteudbydere og databehandlere, der udfører arbejde på vores vegne. Tjenesterne kan fx være lønsystemer, server hosting og systemvedligeholdelse, betalingsløsninger, e-mail service, m.m. Disse samarbejdspartnere kan få adgang til data i det omfang, det er nødvendigt for at levere deres tjenester og services. Samarbejdspartnerne vil være kontraktligt forpligtet til at behandle alle data strengt fortroligt, og har dermed ikke tilladelse til at anvende data til andet end, hvad der er omfattet af den kontraktuelle forplig-telse overfor os. Vi kontrollerer, at vores samarbejdspartnere indenfor databehandling overholder deres for-pligtelser. Såfremt vi videregiver dine oplysninger til en tjenesteudbyder eller databehandler udenfor EU, sik-rer vi, at vi overholder de krav lovgivningen stiller til sådanne overførsler.
Oplysninger om medarbejdere videregives udelukkende som led i ansættelsesforholdet eller for at overhol-de offentligretlige forpligtelser. Således videregives oplysninger til:
• SKAT
• Statistik
• Jobcenter/sygedagpenge
• Pensionsselskaber.
Enhver anden videregivelse må kun ske på baggrund af medarbejderens samtykke.
Videregivelse af oplysninger internt i virksomheden bør kun ske, hvis det er nødvendigt for at opfylde an-sættelsesretligt krav, eller hvis medarbejderen har givet samtykke til videregivelse.
7 OPBEVARINGSTID OG SLETTEPOLITIK
Persondata må opbevares, så længe vi har et sagligt og legitimt formål for at opbevare oplysningerne.
Ved rekruttering opbevarer vi alle persondata på ansøgere i en periode på 6 måneder efter rekrutteringens afslutning og endelig fastansættelse er sket.
Vi opbevarer følgende kategorier af oplysninger i hele ansættelsesperioden og i en periode på 5 år herefter:
• Bogføringsmateriale, der er afsluttet i henhold til regnskabslovgivningen
• Ansættelseskontrakter – tidligere ansatte
• Løntræk, ferie og sygdom mv.
• Øvrige ansættelsesretlige dokumenter, eksempelvis skriftlige advarsler.
I visse situationer vil det være nødvendigt for os at tilsidesætte vores 5-årige sletteregel. Dette forventes at ville ske, såfremt tilsidesættelsen er nødvendig for at fastlægge, forsvare eller gøre et retskrav gældende, jf. art. 17.3.e.
Ansvaret for at slette oplysninger, såvel fra fysiske personalemapper som fra virtuelle, herunder e-mails m.v. påhviler Torben Juul Pedersen
8 REGLER OG PROCEDURER
8.1 Adgang til medarbejderoplysninger
Kun medarbejdere, der har et arbejdsbetinget behov, tildeles adgang til de øvrige medarbejderes personlige oplysninger.
I vores virksomhed har Torben Juul Pedersen adgang til Dataløn lønsystem samt et fysisk og elektronisk arkiv. Denne adgang vedrører alt, der er nødvendigt at behandle, for at kunne udbetale løn m.v.
Derudover har Torben Juul Pedersen adgang til elektroniske og fysiske personalemapper, der er adgangs-begrænset med personlige koder henholdsvis fysisk lås. Følsomme oplysninger behandles alene i disse særlige mapper.
Adgang til medarbejderoplysninger må ikke deles eller tildeles andre medarbejdere end ovenstående uden forudgående godkendelse fra direktøren.
8.2 Indhentelse af oplysninger og oplysningspligt
Ved rekruttering af nye medarbejdere
Der kan indhentes referencer hos tidligere arbejdsgivere, ligesom vi kan anmode om fremlæggelse af straf-feattest, hvis vi har samtykke fra ansøgeren.
Samtykket skal foreligge skriftligt og opfylde persondataforordningens krav hertil.
Nuværende medarbejdere
Som udgangspunkt vil det sjældent være nødvendigt at indhente oplysninger om nuværende medarbejdere.
Hvis det er nødvendigt at indhente oplysninger om medarbejderne fra andre end medarbejderen selv, skal det som hovedregel ske med medarbejderens samtykke.
8.3 Behandling af helbredsoplysninger
I forbindelse med fx indhentelse af lægeerklæringer vil det som udgangspunkt være medarbejderen selv, der indhenter lægeerklæringen.
Hvis vi har brug for selv at indhente en lægeerklæring, kan dette kun ske med medarbejderens samtykke.
8.4 Opbevaring og sikring af oplysninger
Oplysninger om medarbejdere må opbevares i:
• Proløn
• Særskilt elektronisk arkiv med adgangsbegrænsning. Aflåst arkivskab til fysiske kontrakter mv.
• Fysisk mappe, løntræk, ferie, sygdom mv. (ikke følsomme oplysninger).
Følgende oplysninger må ikke sendes på almindelig mail, men kun gennem krypteret forbindelse eller via sikker mail:
• Lønsedler
• Øvrige personfølsomme oplysninger.
9 INDSIGTSRET, BERIGTIGELSE OG SLETNING (ART. 13.2.B, jf. ART. 15.)
Du har en ret til at anmode om indsigt i forhold til de oplysninger, som vi behandler. De oplysninger, du kan anmode om er i hvert fald:
- at der behandles persondata
- hvad der behandles
- formålene med behandlingen
- de berørte kategorier af persondata (almindelige eller følsomme)
- tidsrummet, hvori de behandles, herunder opbevares
- retten til at
o anmode om berigtigelse eller sletning
o indgive klage til Datatilsynet
Du har ret til at få urigtig oplysninger om dig selv korrigeret uden unødig forsinkelse. Du må selv tage initia-tivet til en sådan berigtigelse.
Du kan ligeledes anmode om at blive slettet (”retten til at blive glemt”), dog først efter udløbet af vores lov-givningsmæssige opbevaringspligt i medfør af bogføringsloven. Du kan også kontakte os, hvis du mener, at dine persondata bliver behandlet i strid med lovgivningen eller andre retlige forpligtelser.
Når du henvender dig med en anmodning om at få rettet eller slettet dine persondata, undersøger vi, om be-tingelserne er opfyldt, og gennemfører i så fald ændringer eller sletning så hurtigt som muligt. Vi bestræber os på at opfylde vores forpligtelser senest 4 uger efter, at vi har modtaget din anmodning.
10 DATAPORTABILITET OG PROFILERING
Du har ret til at modtage de persondata, du har stillet til rådighed for os, og dem, vi har indhentet om dig hos andre aktører på baggrund af dit samtykke. Hvis vi behandler data om dig som led i en kontrakt, hvor du er part, kan du også få tilsendt dine data. Du har også ret til at overføre disse persondata til en anden tjenesteudbyder.
Hvis du ønsker at bruge din ret til data-portabilitet, vil du modtage dine persondata fra os i et almindeligt anvendt format.
Vi foretager i almindelighed ikke profilering, dvs. automatiserede afgørelser til brug for analyser eller lignen-de.
11 SAMTYKKE
Hvor samtykke er nødvendigt som behandlingsgrundlag, skal vi kunne dokumentere, at der foreligger et så-dant. Derfor kræver vi altid et samtykke skriftligt. Dette opbevares i personalemappen.
Et samtykke er en frivillig, specifik, informeret og utvetydig viljestilkendegivelse omkring en behandling af persondata. Du kan til enhver tid trække dit samtykke tilbage, og såfremt det er eneste behandlingsgrund-lag, vil fremtidig behandling ophøre. Vores opbevaringspligt og -ret ændres dog ikke heraf.
Samtykket kan trækkes tilbage ved at rette henvendelse til os på de kontaktoplysninger, der er anført under pkt. 1.
12 BRUG AF DATABEHANDLER
Persondata må ikke overlades til databehandlere uden godkendelse af databehandler og indgåelse af data-behandleraftale.
Torben Juul Pedersen, har bemyndigelse til godkendelse.
13 BEHANDLINGSAKTIVITETER, FORTEGNELSE (ART. 30)
Som følge af, at vi beskæftiger mindre end 250 medarbejdere, har vi ikke pligt til at føre en fortegnelse over vores behandlingsaktiviteter, medmindre vi foretager en behandling, der sandsynligvis vil medføre en risiko for dine rettigheder eller vi behandler følsomme persondata eller oplysninger om straffedomme eller lov-overtrædelser.
I de tilfælde, hvor vi behandler sådanne undtagne oplysninger, udarbejder vi en fortegnelse baseret på vo-res persondatapolitik.
Vi fører fortegnelsen elektronisk af Torben Juul Pedersen, og har pligt til at udlevere den til Datatilsynet, hvis tilsynet anmoder herom.
14 KLAGER (ART. 77)
Enhver registreret har ret til at indgive klage til Datatilsynet over vores behandling af persondata.
Klage sker ved henvendelse til
Datatilsynet
Borgergade 28, 5.
1300 København K
e-mail: dt@datatilsynet.dk
tlf: 3319 3200
15 BEHANDLINGSSIKKERHED OG ANMELDELSE/UNDERRETNING (ART. 33-34)
Enhver mistanke om eller konstatering af sikkerhedsbrud/tab af data skal øjeblikkeligt rapporteres til Torben Juul Pedersen
Virksomheden skal foretage anmeldelse af sikkerhedsbruddet til Datatilsynet uden unødig forsinkelse, dog senest 72 timer efter, vi er blevet bekendt med bruddet.
Anmeldelsen skal foretages af direktøren som kontaktperson, og anmeldelsen skal mindst
- beskrive karakteren af bruddet, herunder forventet antal berørte og kategorierne af oplysninger,
- sandsynlige konsekvenser af sikkerhedsbruddet, og
- de foretagne foranstaltninger, der er truffet.
Derudover dokumenterer Torben Juul Pedersen alle brud på persondatasikkerheden, herunder de faktiske omstændigheder ved bruddet, dets virkninger og de trufne, afhjælpende foranstaltninger.
Hvis bruddet indebærer en høj risiko for fysiske personer, underretter vi som udgangspunkt den unødig for-sinkelse de registrerede om bruddet.
16 VERSION OG OPDATERING
Den hurtige udvikling af internettet betyder, at ændringer i vores privatlivspolitk kan blive nødvendige. Vi forbeholder os derfor ret til at opdatere og ændre nærværende retningslinjer for behandling af persondata. Gør vi det, retter vi selvfølgeligt datoen for “sidst opdateret” nederst på siden. I tilfælde af væsentlige æn-dringer giver vi dig besked i form af en synlig meddelelse på vores webside.
Denne privatlivspolitik er senest ændret den 29-11-2022
