GDPR / Urban Organizer CVR.:30453298 – Opdateret maj 2018
Kilder: ASE selvstændig (persondatabehandling) Virk.dk (PrivacyKompasset)
Dataansvarlig og DPO (Data Protection Officer)
Didde Juul – didde@urbanorganizer.dk – +45 50430711

A: Generelle oplysninger om GDPR

  1. Personoplysninger

Personoplysninger er oplysninger, man kan identificere en person ud fra.
1.a. Almindelige personoplysninger

Eksempelvis navn, adresse, telefon, e-mail, stillingsbetegnelse, lønoplysninger, kontonummer, fravær, sygedage, køn, foto, medarbejder-ID, advarsler, påtaler, loginnavn, sko- og tøjstørrelser, eksamenskarakterer, ansættelseskontrakt, CV mv.
1.b. Følsomme personoplysninger

Eksempelvis race eller etnisk oprindelse, politisk og religiøs overbevisning, medlemskab af fagforening, helbredsoplysninger, seksuelle forhold, straffeattest, personlighedstest, væsentlige sociale problemer, bortvisning fra arbejdsplads mv.

  1. Behandling af personoplysninger

Behandling er enhver aktivitet, uanset op det er automatisk, manuel eller digital aktivitet.

Eksempelvis registrering af fravær og sygedage, tilpasning og ændring af medarbejderoplysninger, opbevaring af kontrakter og ansøgninger, søgninger på Facebook mv, søgning i e-mails, anvendelse af kalendersystemer og it-registre, gennemgang af ansøgninger, behandling af løn, indhentelse af lægelige dokumenter mv.

  1. Krav til behandling af personoplysninger

Behandlingen skal altid foregå lovligt, rimeligt og på en gennemsigtig måde for den registrerede.

Virksomheden kan, såfremt det er et led i opfyldelse af samarbejdsforholdet, indhente og behandle almindelige personoplysninger (1.a.) uden at indhente samtykke fra den registrerede.

Virksomheden skal som udgangspunkt indhente samtykke fra den registrerede, hvis virksomheden indhenter og registrerer følsomme personoplysninger (1.b.)

  1. Indhentning af personoplysninger

4.a. Indhentning af personoplysninger hos personen selv.

Virksomheden skal på et klart og tydeligt sprog forklare formålet med at indsamle oplysningerne, samt hvem personen kan kontakte for at få ændret/slettet oplysningerne.

4.b. Indhentning af personoplysninger hos andre end personen selv

Virksomheden skal oplyse personen om indsamlingen.

Virksomheden skal på et klart og tydeligt sprog forklare formålet med at indsamle oplysningerne, på hvilket grundlag virksomheden har ret til at behandle oplysningerne samt hvem personen kan kontakte for at få ændret/slettet oplysningerne.

  1. Personers adgang til de behandlede personoplysninger

Personer har ret til at få udleveret en oversigt over de oplysninger, som virksomheden behandler om vedkommende. På forespørgsel skal dette ske inden for en måned. Virksomheden kan som udgangspunkt ikke kræve betaling for at udarbejde oversigten (medmindre der er tale om chikane).

  1. Ændring af urigtige personoplysninger

Virksomheden er forpligtet til at ændre urigtige oplysninger.

Dette skal ske inden for en måned fra anmodningen.

  1. Sletning af personoplysninger

Virksomheden må gemme oplysninger, så længe det er nødvendigt for at opfylde formålet med opbevaringen/behandlingen.

 

  1. Urban Organizer som dataansvarlig

 

Urban Organizer behandler udelukkende almindelige oplysninger (1.a) i virksomheden.

Urban Organizer behandler ikke følsomme oplysninger (1.b) i virksomheden.

Personoplysninger der behandles er navne, adresser, telefon, e-mail, stillingsbetegnelser, CVR-nummer for personligt ejet virksomheder ( kunder )  fotos, tekstindhold, login information samt databehandler / kontrakter

Formålet med behandlingen er optimering, opdatering, installering af software i egen virksomhed/hjemmeside.
Markedsføring  med e-mailmarketing samt på/fra sociale medier.

Alle formål i forhold til dokumentation overfor offentlige myndigheder samt juridiske aspekter er forældede efter 5 år, så Urban Organizer sletter alle uaktuelle personoplysninger i førstkommende juni måned 5 år efter at de er uaktuelle.
Ønsker en bruger at få foretaget en sletning af dennes data, sker dette senes 30 hverdage efter pågældendes anmodning. Didde Juul er ansvarlig for sletningen.

 

  1. Urban Organizer som databehandler

 

Urban Organizer behandler / deler udelukkende almindelige oplysninger (1.a) i kundens virksomhed.

Urban Organizer behandler ikke følsomme oplysninger (1.b) i kundens virksomhed.

Personoplysninger der behandles er navne, adresser, telefon, e-mail, stillingsbetegnelser, fotos, tekstindhold, login information samt databehandler / kontrakter

Formålet med behandlingen er optimering, opdatering, installering af software i kundens virksomhed på dennes hjemmeside/r og webshop/s, e-mailmarketing programmer, samt sociale medier.

Urban Organizer benytter sig af, med kundes samtykke, aftalte og godkendte underdatabehandlere.

Personoplysningerne indhentes som udgangspunkt hos kunden selv.

Alle formål i forhold til dokumentation overfor offentlige myndigheder samt juridiske aspekter er forældede efter 5 år, så Urban Organizer sletter alle uaktuelle personoplysninger i førstkommende juni måned 5 år efter at de er uaktuelle.
Ønsker en kunde at få foretaget en sletning af dennes data, sker dette senes 30 hverdage efter pågældendes anmodning. Didde Juul er ansvarlig for sletningen.

 

  1. Urban Organizer’s forretningsforbindelser / samarbejdspartnere

Urban Organizer behandler / deler udelukkende almindelige oplysninger (1.a) med virksomhedens forretningsforbindelser.

Urban Organizer behandler ikke følsomme oplysninger (1.b)  med virksomhedens forretningsforbindelser.

Personoplysninger der behandles er / kan være navne, adresser, telefon, e-mail, stillingsbetegnelser, CVR-nummer for personligt ejet virksomhed, kontonummer, køn, fotos, loginnavne samt samhandelskontrakt og databehandlerkontrakter.

Formålet med behandlingen er / kan være som  underleverandør af ovenstående ”Urban Organizer som databehandler”  eller som  rene henvisnings aftaler hvor Urban Organizer ingen data behandler.

Alle formål i forhold til dokumentation overfor offentlige myndigheder samt juridiske aspekter er forældede efter 5 år, så Urban Organizer sletter alle uaktuelle personoplysninger i førstkommende juni måned 5 år efter at de er uaktuelle.
Ønsker en samarbejdspartner at få foretaget en sletning af dennes data, sker dette senes 30 hverdage efter pågældendes anmodning. Didde Juul er ansvarlig for sletningen.

 

Skriftlig risikovurdering & beredskabsplan

Risikovurdering: LAV
Da vi ikke ligger inde med personfølsom data, fortrolig data eller økonomisk data,
som kreditkort oplysninger vurderer vi at risikoen er lav. Vores sikkerheds niveau
passer derfor til den data vi skal passe på.

• Hændelig eller ulovlig tilintetgørelse, tab, ændring eller uautoriseret videregivelse
– Det er ikke muligt med mindre vi bliver hacket.

For at forhindre et eventuelt hacker angreb er de nødvendige sikkerhedsforanstaltninger
taget i form af: spam filter, anti-virus og firewall, samt individuelle brugeradgange samt log in til
software programmer og på hjemmeside/r og webshop

Organisatoriske sikkerhedsforanstaltninger
Alle i virksomheden informeres om og i DGPR og hvad det betyder for virksomheden.
Såfremt et hændelig eller ulovlig tilintetgørelse, tab, ændring eller uautoriseret videregivelse opleves, adviserer databehandleren den dataansvarlige samt virksomhedens DPO, som kontakter de på rørte samt datatilsynet inden for 72 timer og påbegynder den nødvendige ”oprydning”
Vi har dertil udformet en beredskabsplan og tjekliste i anledning af et datalæk.

 

Beredskabsplan og tjekliste i anledning af datalæk

1. Klarlæg hvor lækket er og stop skaden
– Hvilket it-system er data lækket fra?

Er det et system, vi selv kontrollerer/ejer
eller skal vi have en it-leverandør til at hjælpe os med at stoppe lækket?

2. Få overblik over skaden (faktum)
– Hvilke data?
– Hvilke personer angår de lækkede data?
– Hvor længe har lækket stået på? – Hvem har kunnet set data, de ikke skulle se?
– Hvori består lækket?
– I hvilken forbindelse er lækket sket?
– Er lækket sket fra vores systemer eller fra en it-leverandørs systemer?
(Tjek databehandleraftale for hjælp til restore og evt. sanktioner)

3. Hvad er årsagen?
– Menneskelig, teknisk, fysisk, hackerangreb?

4. Har vi sikkerhedsprocedurer for de funktioner/arbejdsgange, der førte til datalækket?
– Er disse fulgt?
– Er de dækkende/ajourført?
– Bør de opdateres?
– Kan et tilsvarende læk ske igen?

5. Er lækket ophørt eller er der fortsat risiko for, at uvedkommende kan se de lækkede data?
– Er der grund til at tro, at data er blevet delt i en større kreds?
– Bemærk: når der er tale om digitale data kan man aldrig garantere, at data ikke er blevet kopieret –
Fjern de oplysninger, du kan, fra google: https://support.google.com/webmasters/answer/6332384?hl=da&ref_topic=1724262&visit_id=0- 636243983313660821-2943132857&rd=1

6 Orienter de berørte og vejled dem om, hvad de kan gøre for at beskytte sig selv fremadrettet