HR7 ApS’ politik om behandling af personlige data

Indhold

1. Introduktion

2. Afgrænsning

3. Områder for persondatapolitikken

3.1 Principper for behandling af personoplysninger

3.2 Fortegnelse over behandlingsaktiviteter

3.3 Registreredes rettigheder

3.4 Sikkerhedsforanstaltninger

3.5 Brug af databehandlere

3.6 Sletning og udlevering af oplysninger

3.7 Overførsel til tredjelande

3.8 Brud på persondatasikkerheden

4. Implementering af persondatapolitikken

 

1. Introduktion

Dette dokument definerer persondatapolitikken for HR7.

EU’s Persondataforordning er den mest betydningsfulde type af lovgivning i forhold til måden hvorpå HR7 gennemfører sine behandlinger af personoplysninger. HR7 anerkender, at der betydelige bøder forbundet med eksempelvis brud på persondatasikkerheden, og at lovgivningen er designet for at beskytte EU’s borgere.

Denne persondatapolitik er således udarbejdet for at sikre, at HR7s overholdelse af Persondataforordningen til enhver tid vil kunne demonstreres.

2. Afgrænsning

Denne politik omfatter alle de behandlinger af personoplysninger, som HR7 udfører i sin egenskab af at være dataansvarlig over for sine kunder. Den omfatter ligeledes HR7s rolle som databehandler hvor dette må være relevant.

Begreber som ”persondata”, ”behandling”, ”registrerede”, ”dataansvarlig” og ”databehandler” følger de definitioner, der er fremsat i Persondataforordningen1.

1 ”Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF”, artikel 4.

3. Områder for persondatapolitikken

HR7 definerer sine retningslinjer inden for de persondata-områder, der er relevante for at kunne levere et tilstrækkeligt niveau af databeskyttelse til de registrerede hvis personoplysninger behandles af HR7.

Hver af retningslinjerne er defineret og godkendt af den person i virksomheden, som har viden om det pågældende område, og som har mandat til at træffe beslutning om implementering af retningslinjerne i HR7. Retningslinjerne kommunikeres til både interne og eksterne interessenter når dette er nødvendigt for at sikre et tilstrækkeligt niveau af databeskyttelse.

I nedenstående er oplistet retningslinjerne for hvert af de relevante områder.

3.1 Principper for behandling af personoplysninger

Persondataforordningens Artikel 5(1) oplister de fundamentale principper, der skal overholdes i forbindelse med behandlingen af personoplysninger. Disse er:

”Personoplysninger skal:

  1. Behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den
  2. Indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål.
  3. Være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles.
  4. Være korrekte og om nødvendigt ajourførte.
  5. Opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger
  6. Behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske ”

HR7 forpligter sig til at følge ovennævnte principper i alle de persondatabehandlinger, der forekommer i virksomheden. Principperne vil eksempelvis finde anvendelse på følgende måde:

  • Lovlighed sikres bl.a. ved, at der udelukkende behandles personoplysninger når der foreligger en lovhjemmel i medfør af EU-retten eller dansk ret.
  • Gennemsigtighed sikres a. ved, at registrerede underrettes om HR7s behandling af personoplysninger ved indsamlingen.
  • Formålsbegrænsning sikres a. ved, at der udelukkende indsamles personoplysninger, som er relevante af hensyn til de formål oplysningerne indsamles til.
  • Rigtighed og sletning sikres a. ved, at der løbende foretages sletning og at det er nemt for de registrerede at henvende sig og anmode om berigtigelse og/eller sletning af personoplysninger.
  • Sikkerhed sikres bl.a. ved, at HR7 etablerer og implementerer sikkerhedsforanstaltninger, som er tilstrækkelige til at beskytte mod tab af tilgængelighed, fortrolighed og integritet.

3.2  Fortegnelse over behandlingsaktiviteter

HR7 vedligeholder som dataansvarlig og databehandler en fortegnelse over behandlingsaktiviteter i overensstemmelse med Persondataforordningens artikel 30.

Det sikres, at der er en klar sammenhæng mellem informationerne i fortegnelsen og informationerne i privatlivspolitikken. Såfremt der påtænkes påbegyndelse af behandlingsaktiviteter, som ikke er omfattet af fortegnelsen og/eller privatlivspolitikken, opdateres dokumentationen hurtigst muligt så den stort set altid er tidssvarende.

3.3  Registreredes rettigheder

HR7 er til enhver tid i stand til at imødekomme anmodninger fra registrerede.

Som registreret har man blandt andet ret til at få udleveret, rettet og slettet sine personoplysninger, ligesom man kan gøre indsigelse mod en behandling.

Såfremt HR7 modtager sådanne anmodninger fra registrerede, tages der uden unødigt ophold skridt til at imødekomme anmodningen.

Tidsfrister for HR7 i tilfælde af anmodninger er som følger:

  • Retten til udlevering: 1 måned
  • Retten til at få rettet sine oplysninger: 1 måned
  • Retten til at få slettet sine oplysninger: Uden unødigt ophold
  • Retten til at begrænse en behandling: Uden unødigt ophold
  • Retten til dataportabilitet: 1 måned
  • Retten til at gøre indsigelse: På tidspunktet hvor indsigelsen

3.4  Sikkerhedsforanstaltninger

HR7 etablerer og implementerer sikkerhedsforanstaltninger, som er tilstrækkelige til at beskytte mod tab af tilgængelighed, fortrolighed og integritet.

Sikkerhedsforanstaltningerne udgør til enhver tid som minimum:

  • HR7 gennemfører som minimum årligt en risikovurdering med henblik på at identificere og mitigere (reducere) risici for de personer, der behandles personoplysninger omkring.
  • Det sikres, at adgangsrettigheder udelukkende tildeles ud fra et arbejdsbetinget
  • Det sikres, at individuelle brugerkonti anvender stærke passwords og således er minimum 12 karakterer langt.
  • Der anvendes fler-faktor-autentifikation på al adgang til forretningskritiske systemer samt systemer med følsomme personoplysninger som fx helbredsdata.
  • Det sikres, at al forretningskritisk data, herunder personoplysninger, er underlagt
  • Det sikres, at PC’er som anvendes til behandling af personoplysninger, er krypteret på disk-
  • Det sikres, at udveksling af e-mails med fortrolige oplysninger, herunder fortrolige og følsomme personoplysninger, er krypteret i transit via som minimum TLS 1.2.
  • Det sikres, at der er implementeret effektiv antivirus- og antimalware software på computere og netværksenheder.
  • Det sikres, at browsere og andet relevant software jævnligt
  • Det sikres, at PC’er låses når de forlades – selv for korte øjeblikke – at de altid opbevares på sikre lokationer.

3.5  Brug af databehandlere

Der anvendes udelukkende databehandlere, som kan sikre et passende niveau af databeskyttelse for de registrerede. Der indgås desuden databehandleraftaler med alle databehandlere. Databehandleraftalerne opfylder minimumskravene i Persondataforordningens artikel 28.

Der indhentes løbende revisionserklæringer af HR7s underdatabehandlere for at sikre, at retningslinjerne i databehandleraftalen mellem HR7 og databehandleren fortsat overholdes. Såfremt en databehandler ikke tilbyder revisionserklæringer, foretages der egenkontrol, eksempelvis i form af spørgeskemaer.

I tilfælde af, at et engagement med en databehandler ophører, sikres der sletning og eventuelt udlevering af relevante personoplysninger.

3.6  Sletning og udlevering af oplysninger

HR7 sletter løbende personoplysninger, når det ikke længere er nødvendigt at opbevare dem af hensyn til de formål hvormed de er indsamlet. Til vurderingen af sletningsfrister tages både udgangspunkt i forretningsmæssige behov og eventuel lovgivning, som måtte kræve opbevaring/sletning inden for visse tidspunkter.

Personoplysninger udleveres og slettes når registrerede anmoder herom, medmindre der eksempelvis er lovgivning der forpligter HR7 til fortsat at opbevare oplysningerne, jf. også afsnit 3.3.

3.7  Overførsel til tredjelande

Det sikres løbende, at personoplysninger udelukkende behandles inden for EU/EØS’ grænser.

Såfremt der anvendes, eller påtænkes anvendt, løsninger som medfører at personoplysninger behandles uden for EU/EØS sikres det, at der er passende garantier på plads til at beskytte oplysningerne. Disse passende garantier kan eksempelvis udgøre EU’s standardkontraktbestemmelser eller at et bestemt land er vurderet som værende sikkert af EU-Kommissionen.

I det tilfælde, hvor en ydelse eller service er forretningskritisk, og hvor denne vil indebære overførsler af personoplysninger til tredjelande, undersøger HR7 altid om der findes alternative løsninger inden for EU/EØS, som kan imødekomme det aktuelle behov og prioriterer disse løsninger. Hvis overførsler til usikre tredjelande er nødvendige og forretningskritiske, følges retningslinjerne i straks ovenstående afsnit.

3.8 Brud på persondatasikkerheden

HR7s personale er til alle tider bekendt med definitionen på et brud på persondatasikkerheden, og har en klar viden om hvordan brud skal håndteres.

I medfør af Persondataforordningen defineres et brud på persondatasikkerheden som: ”Et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet”.

Brud på persondatasikkerheden håndteres hurtigt og effektivt, og i overensstemmelse med HR7s beredskabspolitik på området:

  1. Identificér brud på persondatasikkerheden gennem eksempelvis kommunikation fra kunder eller ved, at en e-mail med persondata er blevet sendt forkert;
  2. Vurdér bruddets omfang gennem kommunikation med interessenter samt gennemgang af eksempelvis systemlogs eller lign;
  3. Begræns bruddet hvis det er muligt og relevant;
  4. Håndtér bruddet gennem eksempelvis at bede forkerte modtagere slette mails eller ved at fjerne den uberettigede adgang mv.
  5. Hvis bruddet slet ikke er risikabelt, noteres bruddet internt og så gøres der ikke yderligere;
  6. Hvis bruddet sandsynligvis indebærer en vis risiko, men ikke er ”høj-risiko”, så underrettes Datatilsynet om bruddet via Datatilsynets hjemmeside. Bruddet noteres desuden internt, hvilket det altid gøres uanset risikoniveau.
  7. Hvis bruddet involverer en høj grad af risiko, underrettes Datatilsynet og de personer, der er berørt af bruddet underrettes som minimum om følgende: Hvornår og hvor bruddet er sket; konsekvenserne af bruddet den registrerede, samt de foranstaltninger, der er truffet for at mitigere bruddet nu og her samt i Hvis der er tale om et større nedbrud som omfatter personoplysninger, og som formodes at tage lang tid at løse, gøres dette så tidligt som muligt i processen.
  8. Monitorér løbende for lignende scenarier, særligt i tiden umiddelbart efter

4.   Implementering af persondatapolitikken

De retningslinjer, der er beskrevet i dette dokument er blevet gennemgået og godkendt af HR7s direktion og skal følges løbende.