GDPR

Databeskyttelsespolitik

For Fotograf Anja, Ådalsparken 21 6710 Esbjerg V. CVR 2965 1191, vers. 0.00 af 7. juni 2018

 

Denne politik er udarbejdet af                                                       Anja Mahon

 

 

  1. Indledning

Fotograf Anja  indsamler og behandler personoplysninger i forbindelse med virksomhedens ledelse og drift.

Disse personoplysninger omfatter [kunder, leverandør, kontraktsparter, medarbejdere, samarbejdspartnere] og andre, som virksomheden er eller skal i kontakt med.

Denne databeskyttelsespolitik beskriver, hvordan disse personoplysninger indsamles, behandles, opbevares og slettes for at leve op til virksomhedens standarder og for at sikre, at virksomheden altid overholder den relevante lovgivning.

  1. Formål

Denne databeskyttelsespolitik har til formål at sikre, at Fotograf Anja

  • Overholder databehandling- og beskyttelseslovgivning, herunder Lov om behandling af persondata, nr. 429 af 31/05/2000 (herefter persondataloven) og EUROPAPARLAMENTETS OG -RÅDETS FORORDNING (EU) 2016/679 af 27. april 2016 (herefter persondataforordningen).
  • Persondataloven
  • At beskytte medarbejdere, kunder og samarbejdspartneres rettigheder og frihedsrettigheder.
  • At føre en gennemsigtig og åben behandling af persondata, herunder bl.a. hvordan vi indsamler og behandler personoplysninger.
  • Begrænse risikoen ved vores indsamling og behandling af persondata samt beskytte organisationen fra risikoen ved en databrud.

 

  1. Databeskyttelseslovgivning

Persondataloven samt persondataforordningen beskriver hvordan organisationer – herunder Fotograf Anja -  må indsamle, behandle og opbevare personoplysninger.

Disse regler gælder for behandlingen af personoplysninger, der helt eller delvist foretages ved hjælp af automatisk databehandling, og på anden ikke-automatisk behandling af personoplysninger, der er eller vil blive indeholdt i et fysisk register.

Det fremgår af lovgivningen, at persondata skal behandles på en rimelig og gennemsigtig måde og skal opbevares sikkert og ikke videregives eller offentliggøres uretmæssigt.

Persondataforordningen og de regler og krav, den stiller til en organisation ved behandling af personoplysninger, er understøttet af følgende principper:

  • at personoplysninger skal behandles lovligt (have et grundlag), rimeligt (på en måde, at man kan forvente) og gennemsigtigt (man skal være åben og klar omkring, hvordan man håndterer dem).
  • Der skal være et konkret og sagligt formål med behandlingen.
  • Organisationen skal minimere de data, de indsamler og behandler til de mest relevante og nødvendige.
  • Data skal være korrekte og ajourført - eller slettet.
  • Persondata må kun opbevares så længe, det er nødvendigt i forhold til formålet
  • Persondata skal behandles med integritet og fortrolighed
  • Der skal iværksættes tilstrækkelige sikkerhedsforanstaltninger for at beskytte og imødegå brud på og krænkelser af personrettigheder og frihedsrettigheder.

 

  1. Personer, risiko og ansvar

Denne databeskyttelsespolitik omfatter

  • Fotograf Anja
  • Medarbejdere hos Fotograf Anja
  • Konsulenter og andre personer eller virksomheder der udfører arbejde for, eller på vegne af Fotograf Anja

 

Denne databeskyttelsespolitik omfatter  alle data, som virksomheden indsamler og behandler, der  vedrører identificerbare personer, selv om disse personoplysninger falder udenfor persondatalovens  eller forordningens rækkevidde.  Disse oplysninger inkluderer:

  • Navn på enkelte personer
  • Post adresser
  • E-mail adresser
  • Telefonnummer
  • …. alle andre oplysninger vedrørende identificerbare personer.

 

  1. Databeskyttelse og risiko

 

Denne databeskyttelsespolitik har til formål at øge datasikkerheden og forhindre og begrænse risici, f.eks.

  • Brud på fortrolighed.  F.eks. at oplysninger videregives eller offentliggøres fejlagtigt eller på en måde, som er uhensigtsmæssig eller ulovlig.
  • Manglende gennemsigtighed og valgmuligheder. F.eks. alle fysiske personer skal have kendskab til og frit kunne vælge hvilken personoplysninger, vi behandler om dem.
  • Skade på omdømme. F.eks. hvis vores it-systemer bliver hacket og uvedkommende får adgang til vores data og evt. også misbruger disse, hvad enten der var tale om alm. eller personfølsomme oplysninger, erhvervshemmeligheder m.v.

 

  1. Ansvar

Alle, der arbejder for eller sammen med Fotograf Anja er ansvarlige for at sikre, at persondata, som de behandler, indsamler og opbevarer behandles lovligt, rimeligt og åbent med integritet og fortrolighed.

Alle, der behandler personoplysninger i egenskab af leder, medarbejder, konsulent, eller databehandler i virksomheden, er ansvarlig for at sikre, at disse data behandles i overensstemmelse med denne politik.

Følgende kategorier af personer har det overordnede ansvar på følgende nøgleområder:

  • Fotograf Anja har det overordnede ansvar for at sikre, at lovgivning omkring behandling af persondata overholdes, og at de nødvendige ressourcer til etablering og vedligeholdelse af relevante sikkerhedsforanstaltninger samt kontrolforanstaltninger, er til rådighed.
  • Vores dataansvarlige, Anja Mahon er ansvarlig for følgende:
  • at holde virksomheden opdateret om virksomhedens ansvar i forhold til databehandling og beskyttelse samt risici herved og forhold, der påvirker dette ansvar.
  • Gennemgå alle databeskyttelsesprocedurer og relaterede politikker i henhold til en på forhånd aftalt tidsplan.

 

  • Håndtering af spørgsmål om databehandling og beskyttelse fra ledere, medarbejdere og konsulenter
  • Håndtering samt svar på anmodninger fra registrerede personer, herunder anmodninger om indsigt, berigtigelse, dataportabilitet, begrænsning, og indsigelse i, af og over de oplysninger, som virksomheden behandler og den måde, de gør det på.
  • Forhandling og godkendelse af alle databehandleraftaler, der indgås med personer og virksomheder, der behandler persondata på [indsat virksomhedens navn] vegne.

 

  • Vores It-ansvarlig, Anja Mahon, er ansvarlig for:

 

  • At sikre, at alle it-systemer, tjenester og udstyr, som anvendes til opbevaring af persondata, opfylder de sikkerhedsstandarder, som kræves for at opretholde en tilstrækkelig sikkerhed i forhold til de risici, der er ved virksomhedens behandlinger af personoplysninger.
  • At udføre løbende sikkerhedskontrol af hardware og software for at sikre, at disse fungerer.
  • Evaluere og vurdere tredjeparts tjenesteudbydere som virksomheden overvejer at gøre brug af til opbevaring og behandling af persondata, f.eks. cloudløsninger, ekstern server m.v.
  • Vores marketingansvarlig, Anja Mahon er ansvarlig for:
  • At godkende privat politikker og anden kommunikation omkring persondatabehandling og beskyttelse i e-mails og breve, på hjemmesiden, de sociale medier m.v.
  • At sikre, at vores marketingsafdeling og medarbejderne og de marketingsinitiativer, der iværksættes i øvrigt, overholder gældende persondatalovgivning og principper, herunder bl.a. sikring af indhentning af lovpligtige samtykkeerklæringer m.v.

 

 

Opbevaring af data

Følgende afsnit beskriver hvordan og hvor vores persondata er opbevaret. Spørgsmål vedrørende opbevaring af persondata kan rettes til vores dataansvarlige.

Når persondata er opbevaret fysisk i papirform, skal disse papirer opbevares et sikkert sted, hvor uautoriserede personer ikke har adgang til dem.

Disse retningslinjer gælder i øvrigt for persondata, som oprindeligt har været opbevaret digitalt, men er printet ud:

  • Når papir, der indeholder persondata, ikke er i brug, skal de opbevares i en låst skuffe eller skab.
  • Medarbejdere skal sikre sig, at de ikke efterlader papirer, der indeholder persondata, hvor andre uautoriserede personer har adgang til dem, f.eks. ved en printer, på sit skrivebord,når man er væk m.v.
  • Papirer, der indeholder persondata, skal makuleres når de ikke længere skal bruges.

 

Når persondata er opbevaret elektronisk eller på et andet digitalt media, skal de beskyttes mod uautoriserede adgang, utilsigtet sletning og forsøg på hacking.

  • It-systemer, hvor der opbevares persondata, skal være beskyttet med stærke adgangskoder, der ændres løbende, og som ikke deles med andre medarbejdere.
  • Hvis persondata er opbevaret på flytbare medier (f.eks. en cd, dvd, usb-pind), skal disse være låst inde i et skab el.lign., når de ikke er i brug.
  • Persondata må kun opbevares på bestemte drev og servere, der er udpeget af ledelsen og må kun uploades til en af virksomheden godkendt cloud-løsning.
  • En server, hvor der opbevares persondata, skal være placeret et sikkert sted, væk fra kontorarealet m.v.
  • Der skal tages en backup af persondata regelmæssigt efter aftalte intervaller, og der skal testes i henhold til virksomhedens standard backup procedurer.
  • Persondata skal aldrig gemmes direkte på lap tops eller andre mobile enheder såsom tablets, iPads, smartphones m.v.
  • Alle servere samt computere, hvor der behandles persondata, skal være beskyttet af godkendte sikkerhedssoftware samt firewall.

Anvendelse af data

Persondata er værdifulde for virksomheden alene, når de kan anvendes til de nævnte formål, men når vi indsamler og behandler persondata, vil der altid være en risiko for, at de behandlede oplysninger tabes, beskadiges eller stjæles.

  • Når en medarbejder behandler persondata, skal vedkommende altid sørge for at dennes computerskærm er låst, når den er uden opsyn.
  • Persondata skal ikke deles indbyrdes uden et konkret formål, f.eks. for at kunne løse fælles opgave, og skal ikke sendes via e-mail, m.m. dette sendes krypteret.
  • Alle persondata skal sendes krypteret, når de sendes elektronisk. Vores IT-afdeling (eller ansvarlige) vil altid kunne bistå medarbejderne i, hvordan man sender persondata til autoriserede eksterne kontakter, herunder samarbejdspartner, kunder og leverandører.
  • Medarbejdere bør ikke gemme persondata på deres arbejdscomputer men skal bruge adgangen til og opdatere i de centralt liggende persondata.

 

Rigtigheden af data

Fotograf Anja er forpligtet til at sikre, at persondata til enhver tid er korrekte og opdaterede, og at vi tager de nødvendige skridt for at berigtige forkert eller misvisende persondata.

Jo mere betydningsfuld rigtigheden af persondata er for personen, f.eks. når der træffes afgørelse på baggrund heraf, jo større krav stilles der til, at vi som virksomhed overholder denne forpligtelse.

Som medarbejder hos [virksomhedens navn], er man, når man behandler persondata i forbindelse med udførelsen af sit arbejde, ansvarlig for at sikre, at de behandlede persondata er korrekte og opdaterede så vidt muligt.

  • Persondata skal opbevares på så få steder som muligt. Medarbejdere skal undgå at oprette indtil flere datasæt, hvis muligt.
  • Medarbejdere skal gøre alt, hvad de kan for at sikre, at persondata er opdateret, herunder f.eks. altid få bekræftet rigtigheden, når man tager kontakt til vedkommende.
  • Fotograf Anja vil altid gøre det nemt for et datasubjekt (den registrerede) til at berigtige og ændre sine personoplysninger hos os, f.eks. via hjemmesiden.
  • Så snart det konstateres, at bestemte persondata er urigtig eller vildledende skal disse opdateres uden ugrundet ophold og ellers straks. Dette kan f.eks. ske, hvis en person ikke længere kan træffes på det registrerede telefonnummer. I dette tilfælde, skal det registrerede telefonnummer slettes fra databasen.

 

Anmodninger fra datasubjekts (de registrerede)

Alle fysiske personer, hvorom der i virksomheden er behandlet persondata, har ret til følgende:

  • Indsigt i de personoplysninger, som vi behandler om vedkommende og formålet hermed.
  • Indsigt i, hvordan de selv kan få adgang til disse oplysninger
  • Indsigt i, hvordan de selv kan opdatere og berigtige disse oplysninger
  • Information om, hvordan virksomheden lever op til sine forpligtelser i henhold til persondataloven og persondataforordningen og at vi kan stille garanti for en tilstrækkelig sikring af data, og at vi har de nødvendige ressourcer og kompetencer hertil.

I øvrigt har en registrerede ret til at anmode om følgende:

  • At virksomheden berigtiger forkerte eller misvisende personoplysninger
  • At virksomheden videresender vedkommendes personoplysninger til personen selv til eget brug eller til en anden databehandler.
  • At gøre indsigelse mod virksomhedens behandling af vedkommendes personoplysninger
  • At begrænse virksomhedens behandling af vedkommendes personoplysninger, f.eks. til kun at omfatte evt. reklamation eller tvister
  • At klage over vores behandling af deres personoplysninger

Hvis en person kontakter virksomheden med en anmodning om indsigt i disse oplysninger, er der tale om en anmodning fra en registreret.

En anmodning fra en registreret bør fremsendes via e-mail, til vores dataansvarlig Fotograf Anja, anja@anja-fotograf .dk

Den dataansvarlig kan fremsende en standard form til den registrerede, men vedkommende er ikke forpligtet til at anvende denne.  Den registrerede skal dog gøres opmærksom på, at dette vil kunne fremskynde processen.

Den dataansvarlig skal svare på alle anmodninger fra en registreret så vidt muligt inden for 14 dage fra modtagelse af en anmodning, dog senest indenfor en måned.

Den dataansvarligt skal alle tilfælde, hvor der kan opstå tvivl om en registrerets identitet, bekræfte vedkommendes identitet inden der videregives information til vedkommende.

 

Offentliggørelse af data

Under visse omstændigheder, skal Fotograf Anja videregive personoplysninger til offentlige myndigheder eller private virksomheder eller organisationer i henhold til lov eller dom. Dette sker oftest uden den registreredes forudgående samtykke eller viden.

Inden den dataansvarlig videregiver disse personoplysninger, som beskrevet, skal vedkommende sikre at anmodningen er lovlig og legitim, herunder efter at have forespurgte ledelsen og / eller søgte juridisk bistand.

Oplysningspligt ved indsamling af persondata

Fotograf Anja  vil altid sikre, at fysiske personer, herunder enkeltmandsvirksomheder o. lign. bliver gjort opmærksom på, at man indsamler og behandler oplysninger om dem, samt hvorfor man gøre det. Det er vigtigt at de forstår:

  • Hvordan og hvorfor vi behandler deres personoplysninger
  • Og hvordan de udøver deres individuelle rettigheder