Privatlivspolitik

EU Privatlivs politik

EU Persondata politik – Gerlevs Autoværksted og Wash-Drive – herefter omtalt Gerlevs Auto.

Formål og indledning
Den 25. maj 2018 er der kommet EU-regler omkring behandling af persondata. I daglig tale kaldet GDPR-forordningen. (Generel Data Protection Regulation).

Politikken er udarbejdet på foranledning af GDPR-forordningen og har til formål at beskrive hvordan Gerlevs Auto sletter og behandler persondata, så vi overholde denne og anden gældende lovgivning og regler omkring persondata.

På den måde vil Gerlevs Auto til hver en tid;

- kun opbevarer og handler persondata, der har et specifikt formål

- behandler persondata så misbrug undgås

- lever op til gældende lovgivning og regler på området.

Politikken gælder for alle persondata, som vi indsamler eller modtager. Det kan være for nuværende og tidligere medarbejdere, men også for persondata for kunder, leverandører eller ansøgere.

Typer af data
Generelt er persondata enhver oplysning, der kan henføres til en fysisk person eller enkelmandsvirksomhed, der kan identificeres.

I forhold til person information kan data opdeles i tre kategorier:

- Følsomme data.
- Eksempler: Religiøst eller filosofisk tilhørsforhold, helbredsoplysninger, race, seksuel orientering, straffeoplysninger og fagforeningsmedlemskab, foto/video.
- Behandling: Disse oplysninger kan kun indsamles med samtykke og behandles kun, hvis det er absolut nødvendigt f.eks. i forbindelse med lovgivning.
- Sletning: Hvis det er absolut nødvendigt at gemme denne type data, skal der laves en nedskrevet proces, der sikrer at ingen uvedkommende kan få adgang til data, og sikrer at data slettes så snart, de ikke længere er relevante.

-Almindelige persondata. Data der kan henføres til bestemt person.
  - Eksempler: Navn, adresse, e-mail, ansættelses-nummer, CV, uddannelse, cpr-nummer, telefonnummer eller kontonummer.
  - Behandling: Behandles efter retningslinjerne i denne politik.
  - Sletning: Efter retningslinjerne i denne politik.

-Ikke persondata. Data der ikke kan henføres til den enkelte person.
  - Eksempler: Statistikker eller gennemsnit, f.eks. resultater fra undersøgelser. Det er også leverandørnavne/virksomhedsnavne.
  - Behandling: Er ikke omfattet af GDPR.
  - Sletning: Er ikke omfattet af GDPR.

Vær opmærksom på at almindelige personoplysninger kan blive særligt følsomme oplysninger, alt efter hvilken sammenhæng, de indgår i.

Generelle retningslinjer for behandling af persondata
Når du behandler person data, skal du altid sikre, at disse generelle retningslinjer er overholdt:

1.Formål. Er der et formål med at gemme data? Når der spørger til eller behandler persondata oplysninger, skal du være klar over hvilket formål oplysningerne indsamles til. Det skal være saglige formål. Man må ikke indsamle oplysninger med den begrundelse, at det måske senere kan vise sig nyttigt at være i besiddelse af oplysningerne. Personoplysninger skal slettes eller gøres anonyme, når det ikke længere er nødvendigt for at have oplysningerne.

2.Dataminimering. Behandlingen af personoplysninger skal begrænses til det, der er nødvendigt for at opfylde formålet.

3.Rigtighed. Oplysningerne skal være rigtige og ajourførte, og hvis oplysningerne viser sig at være urigtige, skal de som udgangspunkt slettes eller opdateres.

4.Bemyndigelse. Har vi lov til at gemme denne type data for disse personer. Hvis ikke vi har bemyndigelsen, så skal data slettes.

5.Videregiver vi data. Hvis vi videresender data til andre (både internt og eksternt), så skal vi være sikre på, at har bemyndigelse til at videregive data og hvis det er til en ekstern databehandler, skal der også forelægge en databehandleraftale.

6.Lovlighed, rimelighed og gennemsigtighed. Det indebærer bl.a., at den person, der behandles oplysninger om, som udgangspunkt skal have oplyst, hvem der er ansvarlig for behandlingen af oplysninger, og hvad der er formålet med behandlingen.

Vores processer med persondata - Artikel 30-fortegnelse (del af GDPR)
Som led i GDPR-reglerne har Gerlevs Auto udarbejdet beskrivelse af alle vores processer, hvor der behandles persondata. Dette er et lovkrav – og processerne vedligeholdes årligt. Disse processer kan indeholde specifikke regler for sletning af persondata, som ikke falder ind under de generelle regler.

Slettedage
Hos Gerlevs Auto har vi indført to årlige slettedage. Første fredag i april og i oktober. Falder disse på weekender/helligdage, vil det være første fredag derefter.
På disse dage skal de ansvarlige tjekke de data, hvor de er ejere og de fællesdrev, som de er ansvarlige for og slette alt persondata som ikke er relevant. Ligeledes skal alle medarbejdere sikre, at de løbende har overholdt retningslinjerne i den gældende slettepolitik.

Datamedier og fysiske print
Behandling af persondata kan ske på en lang række medier. Herunder er en beskrivelse af de væsentligste medier. Listen er ikke komplet, men ved brug af andre medier henvises der til at følge retningslinjerne for et lignende medie.

Mail system
Når en anden person har sendt dig en e-mail har de som udgangspunkt givet samtykke til at du har mailen med de persondata der står i afsender-informationen.
Benyt slettedagen til at få ryddet op i gamle mail og mail du ikke mere har brug for.
Fuld sletning i Outlook
1.Slet mailen
2.Gå i mappen ”Slettet post” og vælg tøm mappe
3.Gå til sidst i PC papirkurven og tøm denne

Z-drev (Personlig mappe)
Persondata kan undervejs i en opgave/behandling af data midlertidigt gemmes på eget personligt drev. Arbejdsdokumenterne med persondata skal slettes så snart opgaven er færdig.

Egne fysiske drev på PC’er (C-drev)
Persondata må ikke gemmes på egne drev.

Flytbare medier (memory stick og eksterne harddiske)
Persondata må ikke gemmes på flytbare medier, som fx USB-stik.

Print
Generelt skal print med persondata minimeres. Hvis vi har mulighed for at behandle digitalt, så gør det. Hvis du har midlertidigt print med persondata, skal de opbevares i aflåst skab. Alt med persondata skal makuleres lige efter brug.

Kontakter på telefoner og tablets

Kontakter er en essentiel del af vores forretning, så dem må vi naturligvis gerne have på arbejdstelefonerne. Skab en god vane med mindst én gang årligt at få slettet kontakter, der ikke er aktuelle eller relevante eller får dem opdateret.

Retningslinjer for specifikke persondata

Medarbejderdata
Nedenfor er beskrevet de retningslinjer for de væsentligste områder, hvor vi gemmer persondata.

- Ansøgninger, CV’ere og testresultater: Slettes straks efter ansættelsesbeslutning
- Løndata: I henhold til regnskabsloven. Medarbejderdata gemmes efter ansættelsesophør i løbende år plus 5 år.
- Ansættelseskontrakter m.m.: I henhold til straffelov, så medarbejderdata gemmes i 5 år efter endt ansættelsesforhold.
- Ansøgninger: For medarbejdere som ikke ansættes, slettes ansøgningen med det samme.

Specifikt om kundedata

Hovedreglen er at data om:
• Data om kunder slettes eller anonymiseret 5 år efter de sidst har været kunder. De 5 år er af hensyn til regnskabsloven.
• Tilbud til potentielle kunder indeholder ofte navn og e-mail på modtager hos kunden. Disse skal slettes efter afvisning eller accept af tilbud.

Sletning eller anonymisering kan foregå på de årlige slettedage.

Husk også at slette mail, hvor du har modtaget fra. Data skal ind i fælles systemer så snart det er muligt.

Arkiver
I papirarkiverne som bl.a. Projektarkiver og dokumentationsarkiver skal også sikres, at der ikke er persondata på, som ikke er nødvendige at gemme. Personnavne eller initialer, som står på tegningsark eller lignende er vanskelige at slette uden at dokumentation ødelægges, så de kan streges over eller må i nogle tilfælde blive stående.

På alle lokationer er der containere til fortroligt materiale, hvor du kan smide print med persondata ud.