VESTJYLLANDS HØRECENTER A/S PERSONDATAPOLITIK

Politikken beskriver, hvordan persondata skal behandles i en række typisk forekommende situationer i Vestjyllands Hørecenter. Politikken er udarbejdet som led i Vestjyllands Hørecenters bestræbelser på at overholde gældende lovgivning, herunder EU-forordningen om persondata (herefter kaldet ”GDPR”) samt databeskyttelsesloven.

 

Politikken omfatter indledningsvis en beskrivelse af de gældende regler og dernæst en nærmere beskrivelse af de væsentligste forhold, vi hos Vestjyllands Hørecenter er opmærksomme på.


1.   Hvad er personoplysninger? – almindelige og følsomme oplysninger

 

GDPR indeholder i artikel 4 en række vigtige definitioner, som her omtales.


1.1   Definitioner

Personoplysninger er oplysninger, som vedrører en identificeret eller identificerbar fysisk person (den registrerede). Det vil sige, at man enten umiddelbart ud fra oplysningerne eller via andre tilgængelige oplysninger kan knytte oplysningerne til en bestemt fysisk person.

 

Behandling af persondata er omfattet af persondatalovgivningen, uanset om det sker elektronisk eller manuelt som led i en systematisk behandling. Ved behandling forstås både indsamling, registrering, systematisering, søgning, bearbejdning, opbevaring, videregivelse og sletning af personoplysninger.

 

Både elektronisk lagrede oplysninger, og oplysninger, der er udskrevet på papir, er omfattet af reglerne (undtaget er alene løsrevne papirbaserede oplysninger, f.eks. håndskrevne notater, der ikke indgår i en systematisk behandling). Når du har en pligt til at slette personoplysninger (mere herom senere), er det vigtigt, at der både sker sletning af de elektronisk lagrede oplysninger og de der er udskrevet på papir – disse skal makuleres.

 

Udover den registrerede – som er den fysiske person, oplysningerne vedrører – opererer lovgivningen med 2 andre ”aktører”:

 

·      Den dataansvarlige, som er den, der bestemmer formålene med behandlingen samt midlerne hertil, herunder hvilke oplysninger, der skal indsamles samt hvilke (it)-værktøjer der skal anvendes til at behandle disse.

·      Databehandleren, der kan være antaget af den dataansvarlige til at foretage en behandling af persondata på den dataansvarliges vegne og efter dennes instruks.

 

Se mere om sondringen mellem rollen som dataansvarlig og databehandler samt kravene til databehandleraftaler nedenfor i pkt. 5.


1.2   Følsomme oplysninger

 

De følsomme oplysninger - i GDPR, artikel 9, kaldet ”særlige kategorier af persondata”, er oplysninger om:

 

·      Race eller etnisk oprindelse

·      Politisk, religiøs eller filosofisk overbevisning

·      Fagforeningsmæssigt tilhørsforhold

·      Genetiske og biometriske data

·      Helbredsoplysninger (herunder handicap)

·      Seksuelle forhold eller seksuel orientering

 

Der er skrappere krav til behandling af følsomme oplysninger. Som udgangspunkt må de kun behandles efter udtrykkeligt og specifikt samtykke fra den registrerede i forbindelse med den konkrete behandling, men der kan dog være grundlag for at behandle følsomme oplysninger i andre situationer, jf. pkt. 4.2.

 

Oplysninger om strafbare forhold er omfattet af GDPR artikel 10 og databeskyttelseslovens § 8. Sådanne oplysninger må som udgangspunkt kun behandles efter samtykke fra den registrerede eller hvor det er nødvendigt til varetagelse af en berettiget interesse, der klart overstiger hensynet til den registrerede.

 

Oplysninger om CPR-numre har sin egen bestemmelse i databeskyttelseslovens § 11. Oplysning om cpr-nummer må behandles, hvor det kræves af lov, af en offentlig myndighed eller for at sikre entydig identifikation, eller hvor der er et grundlag, som tillader behandling af følsomme oplysninger - men uanset dette må cpr-numre ikke offentliggøres, herunder i dokumenter, som uvedkommende tredjemand har adgang til.


1.3   De almindelige personoplysninger

 

Personoplysninger, som ikke er enten følsomme oplysninger (artikel 9), oplysninger om strafbare forhold eller cpr-numre, er omfattet af reglerne for almindelige personoplysninger i GDPR artikel 6. Det kan f.eks. være adresse, kontaktoplysninger, (telefon, e-mail, profilnavne på sociale medier etc.), oplysninger om uddannelsesbaggrund, erhvervserfaring, lønforhold, familieforhold mv.

 

De almindelige oplysninger kan godt være fortrolige i den forstand, at man ikke uden videre kan behandle dem – og særligt ikke kan videregive dem.

 

Visse personoplysninger betragtes som ikke-fortrolige. Det er f.eks. almindelige kontaktoplysninger (med mindre personen har adressebeskyttelse) samt stilling, beskæftigelse osv.

 

Det bemærkes, at karakteren af personoplysninger har betydning for, hvornår vi må behandle dem, jf. afsnit 3 og 4, og de sikkerhedsforanstaltninger, vil skal bruge for at beskytte dem (mere herom i afsnit 4).


2.   Grundlæggende behandlingsprincipper

 

Når man vil behandle personoplysninger, er der både nogle generelle principper, man altid skal følge, og derudover skal man have et konkret grundlag – en såkaldt ”hjemmel” til at foretage netop den konkrete behandling. Begge dele skal være opfyldt. Man kan f.eks. ikke basere en behandling af personoplysninger på, at man har ”hjemmel” i form af et samtykke fra den berørte person, hvis man ikke samtidig kan argumentere for, at der er et sagligt behov for behandlingen. Nedenfor beskrives disse principper og grundlag mere generelt.

 

Principperne for behandling af personoplysninger går ud på følgende:

 

·      Personoplysninger skal behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede.

·      Personoplysninger skal indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål.

·      Personoplysningerne skal være tilstrækkelige og relevante for den givne behandling, men der må heller ikke indsamles flere oplysninger end nødvendigt.

·      Personoplysninger skal være korrekte og ajourførte, og fejlagtige oplysninger skal slettes eller berigtiges.

·      Personoplysninger må ikke opbevares i en længere periode end nødvendigt for at opfylde det formål, hvortil de er indsamlet, med mindre der foreligger grundlag for en videre behandling.

·      Personoplysninger skal – gennem anvendelse af passende tekniske og organisatoriske foranstaltninger – opbevares og behandles på en måde, der skaber tilstrækkeligt sikkerhed for, at der ikke sker uautoriseret eller ulovlig behandling, samt at der ikke sker tab, tilintetgørelse eller beskadigelse af oplysninger.

 

Ansvaret for, at de anførte principper overholdes, ligger hos den dataansvarlige (se nærmere i pkt. 5). Ansvaret påhviler Vestjyllands Hørecenter som sådan, men enhver medarbejder, der behandler personoplysninger, har en pligt til at sætte sig ind i disse regler og i tvivlstilfælde at søge tvivlen afklaret hos den person, der i det daglige har det overordnede ansvar for behandlingen af persondata og sikkerheden i forbindelse med denne.

 

Selv om Vestjyllands Hørecenter måtte benytte sig af eksterne samarbejdspartnere til behandling eller opbevaring af personoplysninger påhviler det endelige ansvar fortsat Vestjyllands Hørecenter som dataansvarlig. Det er et lovkrav, at der laves skriftlige databehandleraftaler i sådanne tilfælde. Selvom udkast til databehandleraftaler i mange tilfælde leveres af leverandøren, er det i sidste ende den dataansvarliges ansvar at sikre, at aftalen indgås og lever op til de gældende krav. Vær opmærksom på, at kravene til indholdet af databehandleraftaler er skærpe i henhold til forordningen (Art. 28). Det er den persondataansvarlige medarbejder på kontoret, der har ansvar for at sikre, at databehandleraftaler indgås.

 

Ved spørgsmål omkring den praktiske behandling af personoplysninger er den ansvarlige Lars Braüner.

 

Ved spørgsmål omkring it-sikkerhed er den ansvarlige Lars Braüner.


3.   Grundlag (hjemmel) for behandling af personoplysninger

3.1   Almindelige personoplysninger

Der skal altid være et grundlag for at behandle personoplysninger. Almindelige oplysninger kan efter GDPR artikel 6 behandles efter et af følgende grundlag:

 

·      Hvor behandlingen er nødvendig for at opfylde en kontrakt, som den registrerede er part i. Det er f.eks. nødvendigt at behandle kunders personoplysninger i form af navn og kontaktoplysninger for bl.a. at kunne fremsende tilbud, fakturaer m.v. til dem.

 

·      Hvor behandlingen er nødvendig for at opfylde en retlig forpligtelse, som påhviler den dataansvarlige. Ved retlig forpligtelse forstås forpligtelser, der følger af lovgivningen. Der kan ikke umiddelbart tænkes på tilfælde hvor behandlingen af kunders, leverandørers og samarbejdspartneres personoplysninger sker iht. lovgivningen.  

 

·      Hvor den registrerede har givet samtykke til behandlingen af personoplysningerne. Et samtykke skal som udgangspunkt gives udtrykkeligt, men i nogle sammenhænge – hvor oplysningerne kommer fra den registrerede selv – kan samtykket ligge implicit i overgivelsen af oplysningerne, men i så fald kun til behandling i det omfang, den registrerede klart måtte forudse.

Et sådant samtykke kan f.eks. foreligge, hvis Vestjyllands Hørecenters kunder takker ja til at modtage nyhedsbreve. Et samtykke kan altid trækkes tilbage. Sker det, må Vestjyllands Hørecenter stoppe med at fremsende nyhedsbreve til den pågældende med øjeblikkelig virkning.

 

·      Hvor behandling er nødvendig, for at arbejdsgiveren eller tredjemand kan forfølge en legitim interesse, med mindre den registreredes interesser eller grundlæggende rettigheder går forud herfor. Dette er den såkaldte ”interesseafvejningsregel”, som kan anvendes i en lang række sammenhænge. Vestjyllands Hørecenter forfølger en legitim interesse, når der behandles oplysninger om kontaktpersoner hos samarbejdspartnere ved f.eks. kommuner og regioner, idet Vestjyllands Hørecenter har en interesse i at kontakte dem med henblik på at løse opgaver omkring tilskud til høreapparater m.m.


3.2   Følsomme personoplysninger

 

GDPR artikel 9 indeholder som udgangspunkt et forbud mod at behandle disse. De relevante undtagelser er:

 

·      Hvor den berettigede har givet et udtrykkeligt og specifikt samtykke. Det vil sige, at samtykket skal gå specifikt på den konkrete behandling af de konkrete, følsomme oplysninger.

 

·      Hvor behandlingen vedrører oplysninger, som den berettigede selv allerede har offentliggjort, kan oplysningerne behandles (naturligvis forudsat de i pkt. 2 omtalte behandlingsprincipper overholdes). Bemærk, at oplysningerne ikke må behandles, hvis det er andre end den berettigede selv, der har offentliggjort oplysningen. Oplysninger på sociale medier skal derfor behandles med stor varsomhed, idet der ikke er sikkerhed for, at det er den registrerede selv, der har offentliggjort dem.

 

·      Hvor behandlingen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares.

 

·      Hvor behandlingen er nødvendig for at overholde den dataansvarliges eller den registreredes arbejds-, sundheds- og socialretlige forpligtelser og specifikke rettigheder, for så vidt den har hjemmel i EU-retten eller medlemsstaternes nationale ret eller en kollektiv overenskomst i medfør af medlemsstaternes nationale ret, som giver fornødne garantier for den registreredes grundlæggende rettigheder og interesser.  Denne hjemmel er f.eks. relevant i tilfælde hvor Vestjyllands Hørecenter behandler medarbejderes cpr. numre.


4.   Dataansvarlig ctr. databehandler


Vestjyllands Hørecenter behandler alene personoplysninger i tilfælde, hvor det er relevant for sagsbehandlingen og bestemmer således formålet med behandlingen. Vestjyllands Hørecenter er ikke underlagt instruks fra andre i forhold til hvilke personoplysninger, der skal behandles, eller hvorledes disse skal behandles. Når Vestjyllands Hørecenter behandler oplysninger om vores samarbejdspartnere, kunder, leverandører eller medarbejdere er vi således utvivlsomt dataansvarlige.

 

Sondringen mellem databehandlere og dataansvarlige er yderligere forklaret af datatilsynet i deres vejledning herom:

 

https://www.datatilsynet.dk/fileadmin/user_upload/dokumenter/Vejledninger/Vejledning_om_dataansvarlige_og_databehandlere_-_endelig_version.pdf

 

Det er den dataansvarlige, der har ansvaret for at sikre, at der er lovligt grundlag for behandling af personoplysningerne, jf. pkt. 3 og 4, også hvor databehandlingen helt eller delvist overlades til en databehandler.

 

Det er også den dataansvarlige, der har pligt til at sikre, at den registreredes rettigheder, jf. pkt. 6, overholdes, uanset om den praktiske opfyldelse af disse måtte blive overladt til en databehandler efter aftale med denne.


5.   De registreredes rettigheder

 

Det almindelige princip om gennemsigtighed indebærer en række konkrete pligter over for de registrerede, som er beskrevet i EU-forordningens kapitel III. Generelt indebærer bestemmelserne heri, at den dataansvarlige skal assistere den registrerede med at udnytte sine rettigheder.


5.1   Oplysningspligt

 

Der gælder efter GDPR artikel 13-14 en oplysningspligt ved enhver indsamling af personoplysninger, uanset om disse indsamles fra den registrerede selv eller tredjemand. Der skal altid gives oplysning om:

 

·      Den dataansvarliges identitet og kontaktinformation – herunder på en person, der i Vestjyllands Hørecenter er udpeget som ansvarlig for persondata

·      Formålet med og grundlaget for behandlingen

·      Den legitime interesse, hvis grundlaget er interesseafvejningsregel

·      Eventuelle modtagere af personoplysningerne eller kategorier af modtagere (herunder eksterne lønbureauer og koncernforbundne virksomheder)

·      Om der sker overførsel til tredjelande (udenfor EU/EØS)

·      Hvor længe oplysningerne opbevares (frist eller kriterier for sletning)

·      Retten til at kræve indsigt i egne oplysninger (art. 15)

·      Retten til at kræve berigtigelse (art. 16) eller sletning (art. 17) af oplysninger, begrænsning af behandling (art. 18) samt retten til dataportabilitet (art. 20).

·      Eksistensen af evt. profilering og automatiserede afgørelser (art. 21-22)

·      Muligheden for at trække et evt. samtykke tilbage

·      Muligheden for at klage til Datatilsynet

 

Ved oplysninger indhentet fra den registrerede selv, skal der yderligere afgives oplysning om:

 

·      Hvorvidt den registreredes afgivelse af oplysningerne er nødvendige for at opfylde en kontrakt eller lovmæssige forpligtelser

·      Hvorvidt oplysningerne kan forventes anvendt til et andet formål, end de er indhentet

 

Ved oplysninger indhentet fra tredjemand, skal der yderligere afgives oplysning om:

 

·      Hvilken tredjemand, der har givet oplysningerne

·      Hvilke kategorier af oplysninger, der er indhentet (fra tredjemand)

 

Den nævnte oplysningspligt skal opfyldes i forbindelse med indsamling af oplysningerne hos den registrerede eller senest en måned efter indsamlingen, hvor denne sker hos tredjemand. Oplysningerne skal gives i et let forståeligt sprog og bør gives på skrift.

 

Vestjyllands Hørecenter opfylder oplysningspligten over for kunder, leverandører og samarbejdspartnere ved at fremsende en skrivelse indeholdende de relevante oplysninger til den registrerede, pr. e-mail straks ved indsamlingen af oplysningerne.


5.2   Indsigtsret

 

Den registrerede har efter GDPR artikel 15 desuden en indsigtsret, dvs. vedkommende har til enhver tid ret til at kræve de oplysninger, som er anført i pkt. 6.1, også selv om Vestjyllands Hørecenter har opfyldt sin oplysningspligt.

 

Anmodninger om indsigt skal besvares skriftligt inden 1 måned efter, de fremsættes.

 

Indsigtsanmodninger skal fremsættes over for Vestjyllands Hørecenters persondataansvarlige Lars Braüner.


5.3   Ret til berigtigelse

 

Den registrerede har efter GDPR artikel 16 ret til at få berigtiget urigtige oplysninger uden unødig forsinkelse. Vestjyllands Hørecenter besvarer berigtigelsesanmodninger inden for en måned.


5.4   Retten til at blive glemt

 

Den registrerede har efter GDPR artikel 17 endvidere ret til at få slettet personoplysninger, som ikke længere er nødvendige for det formål, de er indsamlet til, eller hvor der ikke længere er et lovligt grundlag for at behandle dem, herunder hvor et meddelt samtykke, som behandlingen baseres på, trækkes tilbage. Dette kaldes ”retten til at blive glemt”. Sletning bør ske inden for en 1 måned, forudsat anmodningen er berettiget og sletning ikke strider mod andre regler.

 

Ved modtagelse af en begæring om sletning, skal du kontakte Vestjyllands Hørecenters persondataansvarlige Lars Braüner, som skal tage stilling til eventuel sletning forinden den gennemføres. Der kan således være hensyn, som betyder, at en begæring om sletning ikke skal imødekommes eller kun imødekommes delvist.


5.5   Ret til begrænsning af behandling

 

Den registrerede kan efter GDPR artikel 18 endvidere kræve, at behandlingen af personoplysninger begrænses til de formål, der er lovlige, ligesom det kan kræves, at behandlingen suspenderes, mens rigtigheden af personoplysninger undersøges, en interesseafvejning foretages, eller et retskrav fastlægges. I sidstnævnte tilfælde må oplysningerne ikke slettes, men skal opbevares, mens den anførte afklaring finder sted.


5.6   Underretningspligt overfor tredjemand ved berigtigelse, sletning eller begrænsning.


Når vi berigtiger, sletter eller begrænser behandlingen af personoplysninger, jf. pkt. 6.3 - 6.5, har vi efter GDPR artikel 19 pligt til at orientere de tredjemænd, hvortil oplysningerne måtte være videregivet, herom, med mindre en sådan orientering er umulig eller uforholdsmæssig vanskelig.


5.7   Ret til dataportabilitet


GDPR artikel 20 giver den registrerede ret til at modtage de oplysninger, som vedkommende selv har forsynet os med på et elektronisk medie i et almindeligt læsbart format. Denne ret gælder, hvor behandlingen er baseret på samtykke eller en kontrakt/aftale med den registrerede.


5.8   Forbud mod profilering og automatiske afgørelser


Der gælder efter GDPR artikel 21 – 22 et forbud mod at træffe rent automatiserede afgørelser baseret på personoplysninger, som har væsentlig retsvirkning for den pågældende. Dette rammer f.eks. automatisk screening af jobansøgere alene ud fra karaktergennemsnit. Beslutningsprocessen kan godt være understøttet af delvis automatisering, men der er altså krav på en menneskelig vurdering.

 


6.   Adgangsbegrænsning af sager

 

GDPR’s principper om fortrolighed indebærer, at adgangen til sagsoplysninger i et vist omfang bør begrænses. Dette gælder i sager, hvor der behandles følsomme oplysninger, eller oplysninger der i øvrigt anses for fortrolige, jf. indledningen.

 

Vestjyllands Hørecenter behandler følsomme oplysninger i personalesager. Der er udarbejdet en særskilt persondatapolitik for så vidt angår personalesager, som der henvises til i den forbindelse.

 

 

6.1   Adgangsbegrænsning i sagssystemet

 

Vestjyllands Hørecenter har vedtaget følgende;


I og med Vestjyllands Hørecenter ikke har en størrelse, hvor det er muligt stringent at opdele vores medarbejdere i særskilte afdelinger med hvert sit speciale, finder vi det nødvendigt, at alle sagsbehandlende medarbejdere har fuld adgang til alle sager i vort STRATO system, da der er et udpræget behov for fleksibilitet i arbejdsgangen og et hensyn til at sikre, at vi effektivt kan levere ydelser og rådgivning til vores kunder, leverandører og samarbejdspartnere.


6.2   Fysiske sagsakter

 

Så vidt det er muligt skal du undgå at have fysiske dokumenter indeholdende personoplysninger. Såfremt du har fysiske dokumenter med sådanne oplysninger, er det vigtigt, at du sørger for, at sagsmapperne håndteres fortroligt, hvilket f.eks. indebærer, at du – når du forlader dit skrivebord i længere tid – skal sikre, at sager med sådanne oplysninger er pakket sammen og lagt til side.  Dokumenterne opbevares i aflåst skab. Af de i pkt. 7.1 anførte grunde kan alle medarbejdere få adgang til de fysiske dokumenter i det omfang, det er nødvendigt for deres levering af rådgivning og ydelser til vore kunder.


6.3   Arkivering af kommunikation

 

Al kommunikation i sager skal journaliseres i STRATO, og herefter slettes i mailindbakken såvel i indbakke, sendt post og slettet post.

 

Vestjyllands Hørecenter har vedtaget følgende politik vedrørende sletning af mails:

 

Du skal sørge for at gemme sagsrelaterede mails på den pågældende kunde i STRATO og herefter slette mails i indbakke, sendt post og slettet post. Dette bør så vidt muligt ske hver dag, således at indbakke og sendt post hele tiden er reduceret til at indeholde helt nye mails, og gerne således, at der ikke ligger mails, som er mere end 1 måned gamle.

 


7.   Håndtering af indsigtsanmodninger mv.

 

Såfremt du modtager en indsigtsbegæring fra en kunde eller tredjepart, skal Vestjyllands Hørecenters persondataansvarlige kontaktes med henblik på at tage stilling til henvendelsen og bistå med den praktiske besvarelse i henhold til særskilt instruks herom.

 

Indsigtsbegæringer skal fremsættes over for Lars Braüner.

 

I forbindelse med modtagelse af en indsigtsbegæring, er det vigtigt at sikre sig, vedkommende er den, han / hun giver sig ud for at være. Det er derfor vigtigt, at der ikke udleveres oplysninger om kunder før vi har sikret os, at kunden er den, som personen giver sig ud for at være.

 

Såfremt der er tale om en kunde og henvendelsen har en karakter, der giver anledning til nærmere overvejelse, skal den pågældende kontaktes telefonisk med henblik på at sikre, at henvendelsen reelt stammer fra den pågældende. Eksempler på forhold, der kan give anledning til nærmere overvejelse:

 

·      Hvis pågældende skriver fra en anden e-mail end sædvanligt

·      Hvis pågældende skriver fra en e-mail, som giver udtryk for at være en fællesmail, f.eks. ”familienjensen@gmail.com”

 

Det følger af GDPR, at en dataansvarlig ikke skal besvare indsigtsbegæringer, hvis besvarelsen krænker andres rettigheder og frihedsrettigheder eller en lovbestemt tavshedspligt.


8.   Sagsafslutning samt sletning og makulering af sager

 

Personoplysninger må ikke opbevares i en længere periode end nødvendigt for at opfylde det formål, hvortil de er indsamlet, med mindre der foreligger grundlag for en videre behandling.

 

Vestjyllands Hørecenter har konkret besluttet, at personoplysninger skal slettes senest 6 måneder efter formålet med behandlingen er opfyldt, medmindre fortsat opbevaring af personoplysningen kan være relevant, herunder f.eks. i relation til fortløbende garanti- og serviceforpligtelser. Netop garanti-og serviceforpligtelserne medfører, at en række oplysninger om kunderne og deres hørehandicap opbevares i op til 6 år.

 

 

Ovennævnte gælder ikke medarbejderes personoplysninger. Der henvises til persondatapolitikken for rekruttering vedrørende slettefrister for medarbejderoplysninger.

 

Du skal i forbindelse med afslutningen af en sag/et salg følge nedenstående fremgangsmåde i forbindelse med sletning af kunders oplysninger:

 

1.    Umiddelbart efter afslutning af sagen, og efter særskilt sletning af alle personoplysninger, hvor fortsat opbevaring ikke er relevant, skal alle dokumenter, mails mv. vedrørende sagen/salget scannes ind på STRATO, således at der ikke gemmes fysiske dokumenter. De fysiske dokumenter skal makuleres så snart de er scannet ind på STRATO med undtagelse af originale dokumenter hvis opbevaring er nødvendig. Oplysning om indscanning og sagens afslutning gives til Vestjyllands Hørecenters dataansvarlige, Lars Braüner.

 

Vestjyllands Hørecenter har vurderet, at fortsat opbevaring af personoplysninger i form af navne og oplysninger om hørehandicap er nødvendigt for at kunne opfylde de Vestjyllands Hørecenter påhvilende garanti- og serviceforpligtelser.

 

2.    Vestjyllands Hørecenters dataansvarlige, Lars Braüner sørger for at notere i sin kalender, at sagen og de opbevarede personoplysninger skal slettes fra STRATO 6 år efter sagen/salget er afsluttet overfor kunden og sørger for at sletning af sager, der har passeret slettefristen foretages mindst en gang årligt.

 

 

Retningslinjer for makulering af fysiske sager:

Det anbefales generelt at undgå opbevaring af fysiske sager. Alle oplysninger bør således ligge elektronisk, hvilket gør det noget lettere at imødekomme indsigtsanmodninger mv.

 

Har kontoret imidlertid fysiske arkivsager, skal det sikres, at disse makuleres, hvis slettefristen er overskredet.

 

Retningslinjer for sletning af elektroniske sager:

For at sikre, at gamle sager ikke opbevares efter sletningsfristen, vil en af Vestjyllands Hørecenter udpeget betroet medarbejder årligt gennemgå alle sager i STRATO med henblik på at slette personoplysninger vedr. sager/salg, som er afsluttede for mere end 6 år siden.


9.   Vestjyllands Hørecenters markedsføring/CRM

 

Behandling af personoplysninger som led i markedsføring, herunder eventuel oprettelse og opretholdelse af CRM-database skal ske i henhold til følgende retningslinjer:

 

Selve registreringen af en fysisk person med tilhørende kontaktoplysninger i en CRM-database med henblik på markedsføring er i orden ud fra en interesseafvejningsregel, men husk oplysningspligten - der skal orienteres om registreringen senest en måned efter registreringen eller ved første kontakt – afhængig af, hvad der kommer først.

 

Hvad du så kan bruge registreringen til i form af markedsføring, afhænger af, hvilken form for markedsføring du påtænker, jf. nedenfor.

 

Husk i denne sammenhæng, at såkaldt imagemarkedsføring - herunder udsendelse af nyhedsbreve eller indbydelse til gratis arrangementer – sidestilles med markedsføring, hvor der reklameres for en konkret ydelse.

 

Direkte markedsføring via fysisk post:

 

·      Vi må gerne sende direkte markedsføring til navngivne personer med fysisk post

·      Vi skal respektere, hvis modtagerne frabeder sig at modtage yderligere henvendelser fra os. Dette skal således registreres i CRM-databasen.

 

 

Direkte elektronisk markedsføring (e-mail, SMS, messenger m.v.):

 

Elektronisk markedsføring må som udgangspunkt kun ske overfor personer efter forudgående samtykke fra modtageren. Er der tidligere indhentet samtykke til udsendelse af nyhedsbreve, er det tilladt at markedsføre tilsvarende produkter og services, hvis den pågældende er gjort opmærksom på, at denne kan modsætte sig markedsføring.


10.   Rekruttering af medarbejdere

 

Deltager du i rekruttering af nye medarbejdere til Vestjyllands Hørecenter, skal du sætte sig ind i den særskilte persondatapolitik for rekruttering, som findes på Vestjyllands Hørecenters hjemmeside. Link


11.   Personoplysninger om Vestjyllands Hørecenter medarbejdere – under og efter ansættelsen

 

Vil du som medarbejder i Vestjyllands Hørecenter vide hvordan Vestjyllands Hørecenter behandler dine personoplysninger, kan du læse nærmere herom i Vestjyllands Hørecenters medarbejderoplysning om persondata, som kan fås udleveret på kontoret.


12.   Overførsel af oplysninger til udlandet

 

Vestjyllands Hørecenter benytter sig af følgende databehandlere uden for EU:

-       Dropbox

 

Det er vurderet, at Dropbox har etableret et tilstrækkeligt sikkerhedsniveau til at beskytte personoplysninger fordi det af databehandleraftalen fremgår, at de har truffet foranstaltninger for at sikre, at dine oplysninger ikke hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.

 

Datatilsynet har udtalt, at personoplysninger sikkert kan overføres til tredjelande, herunder USA i det omfang virksomhederne har tilsluttet sig EU-U.S. Privacy Shield, hvilket Dropbox har gjort.[1] Det vurderes derfor tillige på denne baggrund, at Dropbox har etableret fornøden sikkerhed.


13.   Tvivlsspørgsmål

Er du i tvivl om forståelse af denne instruks, så spørg den person, der i Vestjyllands Hørecenter er udpeget som persondataansvarlig. Endvidere kan der henvises til vejledninger og udtalelser udstedt af Datatilsynet på følgende hjemmeside:

 

·      Datatilsynet www.datatilsynet.dk.


[1] Jf. Datatilsynets vejledning om overførsel af personoplysninger til tredjelande

Share by: