Datansvarlig og databehandler
For at kunne behandle personoplysninger på en ordentlig måde, er det vigtigt at være opmærksom på de forskellige roller, herunder dataansvarlige og databehandlere. Behandling dækker over alt slags behandling herunder indsamling, registrering, videregivelse eller sletning af personoplysninger. Man kan enten være dataansvarlig eller databehandler, og kravene til de to er forskellige.
En dataansvarlig er den, der afgør, til hvilke formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger. Den dataansvarlige afgør også, hvem der må behandle personoplysningerne.
En databehandler er den, der behandler personoplysningerne på den dataansvarliges vegne.
Det er den dataansvarlige, der har ansvaret for, at behandlingen af personoplysninger lever op til reglerne i persondataforordningen. Den dataansvarlige skal sikre, at denne:
-
Har lov til at behandle de personoplysninger, som den dataansvarlige og databehandleren er i besiddelse af.
-
Er i stand til at efterleve registrerede personers rettigheder. Se mere under afsnittet den registreredes rettigheder.
-
Får indberettet eventuelle brud på persondatasikkerheden til Datatilsynet inden for 72 timer.
Dataindsamling og databehandling
Indsamling
Vi indsamler data med henblik på at kunne levere et korrekt og skræddersyet produkt til vores kunder.
Vi indsamler data via flere formularer, som kunden udfylder, eller pr. e-mail, såfremt vi har brug for supplerende oplysninger.
Vi indsamler kun data i tilstrækkeligt og nødvendigt omfang for at kunne imødekomme vores formål med indsamlingen.
Vi sørger for, at dine oplysninger er korrekte, og vi ajourfører dem om nødvendigt.
Behandling
Vi behandler data med henblik på at opfylde vores formål, som er at levere et korrekt og skræddersyet produkt til vores kunder.
Vi behandler dine personoplysninger på lovlig og retfærdig vis, og vi sørger for at behandlingen er gennemsigtig, således at den registrerede ved, hvordan dennes personoplysninger bliver behandlet, og hvilket formål behandlingen beror på.
Vi opbevarer kun dine personoplysninger, så længe det er nødvendigt for os at være i besiddelse af oplysningerne, og vi sletter under alle omstændigheder dine personoplysninger efter [måneder/år]…
Vi behandler dine personoplysninger med hjemmel i persondatalovens artikel 6, litra a (samtykke).
Oplysningspligt
Vi er forpligtede til at give den registrerede en række oplysninger, når vi indsamler personoplysninger om vedkommende. Dette sker skriftligt, når vi indhenter samtykke fra vores kunder. Oplysninger modtages i en samtykkeerklæring, som kunden underskriver, hvorved der gives samtykke til, at vi indsamler og behandler personoplysninger om vedkommende.
Databehandleraftaler
Vi benytter både interne og eksterne databehandlere. Vi sørger for at lave databehandleraftaler med alle databehandlere, som behandler de registreredes personoplysninger på vores vegne.
Aftalen fastsætter de rettigheder og forpligtelser, som databehandleren er underlagt, når denne behandler personoplysninger på vegne af den dataansvarlige. Aftalen indgås med henblik på, at lovgivning bliver overholdt samt med henblik på, at databehandleren behandler oplysningerne i overensstemmelse med vores formål for behandlingen og for at imødekomme vores indbyrdes aftale.
Kontaktoplysninger på Amtrup Webs dataansvarlige:
Sabrina Amtrup
sabrina@webjura.dk
Samtykkeerklæringer
Vi sørger for at indhente udtrykkeligt samtykke, før vi indsamler og behandler personoplysninger om den registrerede. Samtykket indsamles via en samtykkeerklæring, som alle kunder modtager, når de gennemfører et køb på Webjura.dk. Samtykkeerklæringen indeholder en række oplysninger, som vi er forpligtede til at give kunden, når vi indhenter et samtykke. Erklæringen skal underskrives, før der foreligger et gyldigt samtykke.
Vi opbevarer alle samtykkeerklæringer elektronisk under krypterede forhold på sikre servere. Vi opbevarer ingen fysiske dokumenter, som indeholder personoplysninger
Vi sletter alle samtykkeerklæringer samt alle andre oplysninger om den registrerede, når vi ikke længere har brug for dem. Det vil normalt være senest efter 5 år.
Et samtykke kan til enhver tid trækkes tilbage, og dermed forhindre at den behandling af personoplysninger, der er givet samtykke til, ikke sker fremover. Du kan læse mere om dette under afsnittet samtykke.
Fortegnelse over behandlingsaktiviteter
Vi er forpligtede til at føre en fortegnelse over de behandlinger af personoplysninger, vi foretager. Formålet med dette er, at vi skal kunne bevise over for Datatilsynet, at vi følger persondataforordningens regler, såfremt de anmoder om dette.
Disse fortegnelser er interne og opbevares med henblik på udlevering til Datatilsynet. Fortegnelsen indeholder ikke personoplysninger om den enkelte registrerede.
Procedure for anmeldelse af brud på persondatasikkerheden
Vi er forpligtede til at anmelde brud på persondatasikkerheden uden unødig forsinkelse og om muligt senest 72 timer efter, at vi er blevet bekendt med bruddet. Anmeldelsen sker til Datatilsynet.
Et brud på persondatasikkerheden kan f.eks. være et hackerangreb.
Vi er forpligtede til som udgangspunkt at underrette de registrerede i tilfælde af brud på persondatasikkerheden. Formålet med dette er, at give den registrerede mulighed for at træffe de fornødne forholdsregler i tilfælde af, at vedkommende personoplysninger er blevet kompromitteret.
Vi underretter den registrerede så snart det er muligt, efter at bruddet er påvist. I underretningen beskriver vi karakteren af bruddet samt:
-
Angiver navn på og kontaktoplysninger for en kontaktperson, hvor yderligere oplysninger kan indhentes
-
Beskriver de sandsynlige konsekvenser af bruddet
-
Beskriver de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger
Vi underretter den registrerede på den mest hensigtsmæssige måde i forhold til vedkommende, f.eks. pr. e-mail, brev, sms eller lignende.
Der er situationer, hvor vi ikke er forpligtede til at underrette den registrerede. Dette er f.eks. situationer:
-
Hvor bruddet ikke indebærer en høj risiko for den registrerede
-
Hvor der er gennemført passende tekniske og organisatoriske foranstaltninger
-
Hvor den høje risiko for de registrerede sandsynligvis ikke længere er reel
-
Hvor det kræver en uforholdsmæssig indsats