GDPR


 

Databeskyttelsespolitik

For Juul fotografi, 25367774, Ved Hegnet 10, vers. 1.00 af 2018-06-07

 

Denne politik er udarbejdet af Thomas Juul Nørskov

 

  1. Indledning

Juul fotografi indsamler og behandler personoplysninger i forbindelse med virksomhedens ledelse og drift.

Disse personoplysninger omfatter kunder, leverandør, kontraktsparter, medarbejdere, samarbejdspartnere. og andre, som virksomheden er eller skal i kontakt med.

Denne databeskyttelsespolitik beskriver, hvordan disse personoplysninger indsamles, behandles, opbevares og slettes for at leve op til virksomhedens standarder og for at sikre, at virksomheden altid overholder den relevante lovgivning.

  1. Formål

Denne databeskyttelsespolitik har til formål at sikre, at Juul fotografi

  • Overholder databehandling- og beskyttelseslovgivning, herunder Lov om behandling af persondata, nr. 429 af 31/05/2000 (herefter persondataloven) og EUROPAPARLAMENTETS OG -RÅDETS FORORDNING (EU) 2016/679 af 27. april 2016 (herefter persondataforordningen).
  • Persondataloven
  • At beskytte medarbejdere, kunder og samarbejdspartneres rettigheder og frihedsrettigheder.
  • At føre en gennemsigtig og åben behandling af persondata, herunder bl.a. hvordan vi indsamler og behandler personoplysninger.
  • Begrænse risikoen ved vores indsamling og behandling af persondata samt beskytte organisationen fra risikoen ved en databrud.

 

  1. Databeskyttelseslovgivning

Persondataloven samt persondataforordningen beskriver hvordan organisationer – herunder Juul fotografi – må indsamle, behandle og opbevare personoplysninger.

Disse regler gælder for behandlingen af personoplysninger, der helt eller delvist foretages ved hjælp af automatisk databehandling, og på anden ikke-automatisk behandling af personoplysninger, der er eller vil blive indeholdt i et fysisk register.

Det fremgår af lovgivningen, at persondata skal behandles på en rimelig og gennemsigtig måde og skal opbevares sikkert og ikke videregives eller offentliggøres uretmæssigt.

Persondataforordningen og de regler og krav, den stiller til en organisation ved behandling af personoplysninger, er understøttet af følgende principper:

  • at personoplysninger skal behandles lovligt (have et grundlag), rimeligt (på en måde, at man kan forvente) og gennemsigtigt (man skal være åben og klar omkring, hvordan man håndterer dem).
  • Der skal være et konkret og sagligt formål med behandlingen.
  • Organisationen skal minimere de data, de indsamler og behandler til de mest relevante og nødvendige.
  • Data skal være korrekte og ajourført – eller slettet.
  • Persondata må kun opbevares så længe, det er nødvendigt i forhold til formålet
  • Persondata skal behandles med integritet og fortrolighed
  • Der skal iværksættes tilstrækkelige sikkerhedsforanstaltninger for at beskytte og imødegå brud på og krænkelser af personrettigheder og frihedsrettigheder.
  • Data skal ikke videregives eller overdrages til organisationer eller lande uden for E.U., med mindre organisationen eller landet stiller relevante og tilstrækkelige garantier for beskyttelse af persondata.

 

  1. Personer, risiko og ansvar

Denne databeskyttelsespolitik omfatter

  • Hovedkontoret Juul fotografi og fotograf Thomas Juul Nørskov.
  • Konsulenter og andre personer eller virksomheder er udfører arbejde for, eller på vegne af Juul fotografi.

 

Denne databeskyttelsespolitik omfatter alle data, som virksomheden indsamler og behandler, der vedrører identificerbare personer, selv om disse personoplysninger falder udenfor persondatalovens eller forordningens rækkevidde. Disse oplysninger inkluderer:

  • Navn på enkelte personer
  • E-mail adresser
  • Telefonnummer

 

  1. Databeskyttelse og risiko

 

Denne databeskyttelsespolitik har til formål at øge datasikkerheden og forhindre og begrænse risici, f.eks.

  • Brud på fortrolighed. F.eks. at oplysninger videregives eller offentliggøres fejlagtigt eller på en måde, som er uhensigtsmæssig eller ulovlig.
  • Manglende gennemsigtighed og valgmuligheder. F.eks. alle fysiske personer skal have kendskab til og frit kunne vælge hvilken personoplysninger, vi behandler om dem.
  • Skade på omdømme. F.eks. hvis vores it-systemer bliver hacket og uvedkommende får adgang til vores data og evt. også misbruger disse, hvad enten der var tale om alm. eller personfølsomme oplysninger, erhvervshemmeligheder m.v.

 

  1. Ansvar

Alle, der arbejder for eller sammen med [indsat virksomhedsnavn], er ansvarlige for at sikre, at persondata, som de behandler, indsamler og opbevarer behandles lovligt, rimeligt og åbent med integritet og fortrolighed.

Alle, der behandler personoplysninger i egenskab af leder, medarbejder, konsulent, eller databehandler i virksomheden, er ansvarlig for at sikre, at disse data behandles i overensstemmelse med denne politik.

Følgende kategorier af personer har det overordnede ansvar på følgende nøgleområder:

[vælg dem der er relevant for din virksomhed og tilføj evt. andre]
  • Generalforsamlingen og Bestyrelsen (eller direktion eller ejer) har det overordnede ansvar for at sikre, at lovgivning omkring behandling af persondata overholdes, og at de nødvendige ressourcer til etablering og vedligeholdelse af relevante sikkerhedsforanstaltninger samt kontrolforanstaltninger, er til rådighed.
  • Vores dataansvarlige, [indsat navn og kontaktoplysninger på vedkommende] er ansvarlig for følgende:
  • at holde bestyrelsen og generalforsamlingen opdateret om virksomhedens ansvar i forhold til databehandling og beskyttelse samt risici herved og forhold, der påvirker dette ansvar.
  • Gennemgå alle databeskyttelsesprocedurer og relaterede politikker i henhold til en på forhånd aftalt tidsplan.
  • Arrangere efteruddannelse samt rådgivning omkring persondatabehandling og beskyttelse for alle ledere, medarbejdere og konsulenter i virksomheden i rimelige intervaller, samt når det er nødvendigt som følge af lovændringer, principale afgørelser m.v.
  • Håndtering af spørgsmål om databehandling og beskyttelse fra ledere, medarbejdere og konsulenter
  • Håndtering samt svar på anmodninger fra registrerede personer, herunder anmodninger om indsigt, berigtigelse, dataportabilitet, begrænsning, og indsigelse i, af og over de oplysninger, som virksomheden behandler og den måde, de gør det på.
  • Forhandling og godkendelse af alle databehandleraftaler, der indgås med personer og virksomheder, der behandler persondata på [indsat virksomhedens navn] vegne.

 

  • Vores It-ansvarlig, Thomas Juul Nørskov, 25323233 er ansvarlig for:

 

  • At sikre, at alle it-systemer, tjenester og udstyr, som anvendes til opbevaring af persondata, opfylder de sikkerhedsstandarder, som kræves for at opretholde en tilstrækkelig sikkerhed i forhold til de risici, der er ved virksomhedens behandlinger af personoplysninger.
  • At udføre løbende sikkerhedskontrol af hardware og software for at sikre, at disse fungerer.
  • Evaluere og vurdere tredjeparts tjenesteudbydere som virksomheden overvejer at gøre brug af til opbevaring og behandling af persondata, f.eks. cloudløsninger, ekstern server m.v.
  • Vores marketingansvarlig, Thomas Juul Nørskov, 25323233 er ansvarlig for:
  • At godkende privat politikker og anden kommunikation omkring persondatabehandling og beskyttelse i e-mails og breve, på hjemmesiden, de sociale medier m.v.
  • At håndtere henvendelser og spørgsmål fra journalister, media outlets eller aviser m.v.
  • At sikre, at vores marketingsafdeling og medarbejderne og de marketingsinitiativer, der iværksættes i øvrigt, overholder gældende persondatalovgivning og principper, herunder bl.a. sikring af indhentning af lovpligtige samtykkeerklæringer m.v.

 

  1. Generelle retningslinjer for medarbejderne

 

  1. Adgang til personoplysninger begrænses mest muligt til de medarbejdere, der har behov for at kunne behandle en specifik personoplysning for at kunne udføre deres arbejde og løse bestemte opgaver.
  2. Personoplysninger, som en medarbejder bliver fortrolig med i forbindelse med sit arbejde, må ikke deles med andre medarbejdere eller uforstående på uformel vis eller uden samtykke. Såfremt en medarbejder har brug for adgang til nogle specifikke personoplysninger, som man normalt ikke har adgang til for at kunne løse en bestemt arbejdsopgave, kan disse oplysninger rekvireres ved at tage kontakt til sin nærmeste chef.
  • [indsat navn på virksomheden] tilbyder efteruddannelse og rådgivning til alle medarbejdere omkring deres ansvar, når de behandler personoplysninger.
  1. Alle medarbejdere skal sikre de personoplysninger som de behandler, ved at tage fornuftige og nødvendige forholdsregler og følge nedenstående retningslinjer.
  2. En medarbejder skal benytte adgangskoder når muligt og må kun anvende dem, der vurderes af systemet til at være stærke. En medarbejders brugernavne og adgangskoder er fortrolige og må ikke deles med andre medarbejdere eller andre uvedkommende. Virksomhedens IT-ansvarlig kan kontaktes, såfremt man har glemt sine adgangskoder, eller man oplever problemer med at logge på it-systemerne.
  3. Personoplysninger må ikke deles med uvedkommende, hverken indenfor organisationen eller udenfor.
  • Der skal løbende foretages en revision af de personoplysninger, som en medarbejder behandler, herunder indsamler og opbevarer for at sikre, at de er opdateret og ikke forældet, og at de slettes, når de ikke længere er påkrævet; ikke længere tjener et formål eller der er et retsgrundlag herfor.
  • Hvis en medarbejder er i tvivl om, hvordan de skal agere i forhold til behandling af personoplysninger i forbindelse med deres arbejde, er de forpligtet til at tage kontakt til deres nærmeste chef eller virksomhedens dataansvarlig.

 

Opbevaring af data

Følgende afsnit beskriver hvordan og hvor vores persondata er opbevaret. Spørgsmål vedrørende opbevaring af persondata kan rettes til vores dataansvarlige.

Når persondata er opbevaret fysisk i papirform, skal disse papirer opbevares et sikkert sted, hvor uautoriserede personer ikke har adgang til dem.

Disse retningslinjer gælder i øvrigt for persondata, som oprindeligt har været opbevaret digitalt, men er printet ud:

  • Når papir, der indeholder persondata, ikke er i brug, skal de opbevares i en låst skuffe eller skab.
  • Medarbejdere skal sikre sig, at de ikke efterlader papirer, der indeholder persondata, hvor andre uautoriserede personer har adgang til dem, f.eks. ved en printer, på sit skrivebord,når man er væk m.v.
  • Papirer, der indeholder persondata, skal makuleres når de ikke længere skal bruges.

 

Når persondata er opbevaret elektronisk eller på et andet digitalt media, skal de beskyttes mod uautoriserede adgang, utilsigtet sletning og forsøg på hacking.

  • It-systemer, hvor der opbevares persondata, skal være beskyttet med stærke adgangskoder, der ændres løbende, og som ikke deles med andre medarbejdere.
  • Hvis persondata er opbevaret på flytbare medier (f.eks. en cd, dvd, usb-pind), skal disse være låst inde i et skab el.lign., når de ikke er i brug.
  • Persondata må kun opbevares på bestemte drev og servere, der er udpeget af ledelsen og må kun uploades til en af virksomheden godkendt cloud-løsning.
  • En server, hvor der opbevares persondata, skal være placeret et sikkert sted, væk fra kontorarealet m.v.
  • Der skal tages en backup af persondata regelmæssigt efter aftalte intervaller, og der skal testes i henhold til virksomhedens standard backup procedurer.
  • Persondata skal aldrig gemmes direkte på lap tops eller andre mobile enheder såsom tablets, iPads, smartphones m.v.
  • Alle servere samt computere, hvor der behandles persondata, skal være beskyttet af godkendte sikkerhedssoftware samt firewall.

Anvendelse af data

Persondata er værdifulde for virksomheden alene, når de kan anvendes til de nævnte formål, men når vi indsamler og behandler persondata, vil der altid være en risiko for, at de behandlede oplysninger tabes, beskadiges eller stjæles.

  • Når en medarbejder behandler persondata, skal vedkommende altid sørge for at dennes computerskærm er låst, når den er uden opsyn.
  • Persondata skal ikke deles indbyrdes uden et konkret formål, f.eks. for at kunne løse fælles opgave, og skal ikke sendes via e-mail, m.m. dette sendes krypteret.
  • Alle persondata skal sendes krypteret, når de sendes elektronisk. Vores IT-afdeling (eller ansvarlige) vil altid kunne bistå medarbejderne i, hvordan man sender persondata til autoriserede eksterne kontakter, herunder samarbejdspartner, kunder og leverandører.
  • Persondata skal ikke sendes til organisationer eller virksomheder udenfor E.U. m.m. dette er udtrykkeligt aftalt med ledelsen og efter instruks.
  • Medarbejdere bør ikke gemme persondata på deres arbejdscomputer men skal bruge adgangen til og opdatere i de centralt liggende persondata.

 

Rigtigheden af data

Juul fotografi er forpligtet til at sikre, at persondata til enhver tid er korrekte og opdaterede, og at vi tager de nødvendige skridt for at berigtige forkert eller misvisende persondata.

Jo mere betydningsfuld rigtigheden af persondata er for personen, f.eks. når der træffes afgørelse på baggrund heraf, jo større krav stilles der til, at vi som virksomhed overholder denne forpligtelse.

Som medarbejder hos Juul fotografi, er man, når man behandler persondata i forbindelse med udførelsen af sit arbejde, ansvarlig for at sikre, at de behandlede persondata er korrekte og opdaterede så vidt muligt.

  • Persondata skal opbevares på så få steder som muligt. Medarbejdere skal undgå at oprette indtil flere datasæt, hvis muligt.
  • Medarbejdere skal gøre alt, hvad de kan for at sikre, at persondata er opdateret, herunder f.eks. altid få bekræftet rigtigheden, når man tager kontakt til vedkommende.
  • Juul fotografi vil altid gøre det nemt for et datasubjekt (den registrerede) til at berigtige og ændre sine personoplysninger hos os, f.eks. via hjemmesiden.
  • Så snart det konstateres, at bestemte persondata er urigtig eller vildledende skal disse opdateres uden ugrundet ophold og ellers straks. Dette kan f.eks. ske, hvis en person ikke længere kan træffes på det registrerede telefonnummer. I dette tilfælde, skal det registrerede telefonnummer slettes fra databasen.

 

Anmodninger fra datasubjekts (de registrerede)

Alle fysiske personer, hvorom der i virksomheden er behandlet persondata, har ret til følgende:

  • Indsigt i de personoplysninger, som vi behandler om vedkommende og formålet hermed.
  • Indsigt i, hvordan de selv kan få adgang til disse oplysninger
  • Indsigt i, hvordan de selv kan opdatere og berigtige disse oplysninger
  • Information om, hvordan virksomheden lever op til sine forpligtelser i henhold til persondataloven og persondataforordningen og at vi kan stille garanti for en tilstrækkelig sikring af data, og at vi har de nødvendige ressourcer og kompetencer hertil.

I øvrigt har en registrerede ret til at anmode om følgende:

  • At virksomheden berigtiger forkerte eller misvisende personoplysninger
  • At virksomheden videresender vedkommendes personoplysninger til personen selv til eget brug eller til en anden databehandler.
  • At gøre indsigelse mod virksomhedens behandling af vedkommendes personoplysninger
  • At begrænse virksomhedens behandling af vedkommendes personoplysninger, f.eks. til kun at omfatte evt. reklamation eller tvister
  • At klage over vores behandling af deres personoplysninger

Hvis en person kontakter virksomheden med en anmodning om indsigt i disse oplysninger, er der tale om en anmodning fra en registreret.

En anmodning fra en registreret bør fremsendes via e-mail, til vores dataansvarlig Thomas Juul Nørskov, 25323233, thomas@juulfotografi.dk

Den dataansvarlig kan fremsende en standard form til den registrerede, men vedkommende er ikke forpligtet til at anvende denne. Den registrerede skal dog gøres opmærksom på, at dette vil kunne fremskynde processen.

Den dataansvarlig skal svare på alle anmodninger fra en registreret så vidt muligt inden for 14 dage fra modtagelse af en anmodning, dog senest indenfor en måned.

Den dataansvarligt skal alle tilfælde, hvor der kan opstå tvivl om en registrerets identitet, bekræfte vedkommendes identitet inden der videregives information til vedkommende.

 

Offentliggørelse af data

Under visse omstændigheder, skal Juul fotografi videregive personoplysninger til offentlige myndigheder eller private virksomheder eller organisationer i henhold til lov eller dom. Dette sker oftest uden den registreredes forudgående samtykke eller viden.

Inden den dataansvarlig videregiver disse personoplysninger, som beskrevet, skal vedkommende sikre at anmodningen er lovlig og legitim, herunder efter at have forespurgte ledelsen og / eller søgte juridisk bistand.

Oplysningspligt ved indsamling af persondata

[Virksomhedens navn] vil altid sikre, at fysiske personer, herunder enkeltmandsvirksomheder o. lign. bliver gjort opmærksom på, at man indsamler og behandler oplysninger om dem, samt hvorfor man gøre det. Det er vigtigt at de forstår:

  • Hvordan og hvorfor vi behandler deres personoplysninger
  • Og hvordan de udøver deres individuelle rettigheder
[Virksomhedsnavn] har udarbejdet en privat politik, der beskriver, hvordan man behandler persondata. Denne kan rekvireres eller findes på hjemmesiden juulfotografi.dk