Datapolitik for virksomheden: Dyrlægegruppen Dania A/S
Virksomhedens GDPR-ansvarlige: Ditte Heidemann Nielsen
Fysisk sikkerhed
Al hardware, som anvendes til opbevaring af personoplysninger, er forsynet med firewall og virusbeskyttelse.
Kun personer, som af virksomheden er bemyndiget til at behandle personsager, herunder administrere ansatte og deres lønforhold, har adgang til den hardware, hvorpå personoplysninger opbevares.
Sådanne personer skal sikre deres adgang med password, som skal opbevares omhyggeligt og ikke må deles med andre.
Hardware, som indeholder personoplysninger, skal være slukket eller sikret med adgangskontrol (password), når de forlades.
Indsamling af personoplysninger
Oplysninger om personforhold, som modtages af virksomheden, må kun gemmes, hvis
Oplysningerne er nødvendige for at opfylde en kontrakt, som påhviler virksomheden.
Oplysningerne tjener til opfyldelse af et lovkrav.
Oplysningerne er nødvendige, for at virksomheden kan beskytte egne interesser.
Den person, som oplysningerne vedrører, har givet samtykke til det.
Oplysninger, som modtaget på mail, skal inden for en uge enten slettes helt, eller flyttes over i det system, som af virksomheden er indrettet til at håndtere oplysningerne. Det system som håndterer oplysningerne kan godt være mailprogrammet, som har en mappestruktur der organiserer mails med persondata.
Videregivelse af personoplysninger
Oplysninger om personforhold må kun videregives til andre, hvis
Det er nødvendigt for at opfylde en kontrakt, som påhviler virksomheden.
Det tjener til opfyldelse af et lovkrav.
Det er nødvendigt, for at virksomheden kan beskytte egne interesser.
Den person, som oplysningerne vedrører, har givet samtykke til det.
Hvis virksomheden har sine systemer hostet hos tredjemand eller har backup, skal der foreligge en databehandleraftale.
Information til den registrerede
Virksomheden skal give oplysninger til de personer, som man har registreret oplysninger om, med hvilket formål oplysningerne er indsamlet, herunder hvem de videregives til, medmindre den pågældende person i forvejen ved dette.
Virksomheden skal derudover oplyse den registrerede om, at vedkommende
har ret til at få indsigt i, hvad der er registeret,
har ret til at kræve eventuelle fejl rettet, og
har ret til at få oplyst, hvornår oplysningerne slettes.
Sletning af oplysninger
Overordnet slettes personoplysninger, når ingen af de grunde, som var til oprindeligt at gemme dem, ikke længere er til stede.
Som vejledende retningslinjer agter virksomheden af følge disse regler:
Oplysninger om ansøgere til ledige stillinger slettes, når ansøgningsproceduren er afsluttet, for så vidt angår de ansøgere, som ikke blev ansat, og senest ½ år efter modtagelsen af ansøgningen.
Oplysninger om ansatte slettes, når ansættelsesforholdet ophører, dog bevares oplysninger om løn, skat og – for så vidt angår udlændinge – pasoplysninger – i 5 år efter ansættelsesforholdets ophør af hensyn til myndighedernes kontrol med virksomheden. Andre oplysninger slettes senest 1 år efter fratrædelsen.
Brud på datasikkerheden
Bliver virksomheden opmærksom på,
at der har været uautoriseret adgang til virksomhedens personregistreringer
at personoplysninger uden lovlig grund er videregivet til udenforstående
skal virksomheden omgående vurdere på, om der derved er sket et brud på personers rettigheder og frihedsrettigheder.
Medfører vurderingen, at det ikke er muligt for virksomheden uden videre at få kontrol med bruddet og hindre spredning af personoplysninger til uvedkommende, skal der ske indberetning til Datatilsynet inden for 72 timer.
Uanset om der er pligt til at indberette til Datatilsynet, skal virksomheden foretage følgende:
Der skal udarbejdes en rapport over bruddet på datasikkerheden, som skal være tilgængelig for Datatilsynet ved et evt. efterfølgende tilsyn
De personer, hvis data er bragt i risiko for en utilsigtet spredning, skal have skriftlig besked om, hvad der er sket
Virksomheden har desuden vedtaget, at der til vurdering af bruddet skal søges assistance hos følgende rådgiver: Jysk IT 76602323