Gyldighed
Behandling af persondata om fysiske personer vedrørende medarbejdere, bestyrelse, kunder, kontaktpersoner hos kunder, leverandører og samarbejdspartnere.
Behandlingen omfatter både elektronisk og manuel behandling.
Alle behandlinger kræver hjemmel og overholdelse af de grundlæggende principper som beskrevet i pkt. 3 i denne procedure.
Direktøren er ansvarlig for behandlingen af persondata.
Medarbejdere har adgang og tilladelse eller hjemmel til at behandle nødvendige persondata.
Tilknyttet ledelsessystem
Ejv. larsen & Søn KLS system
Tilknyttede flowdiagrammer
Ingen
Kortlægning af persondata
Følsomme persondata:
- Helbredsforhold
- Fagforeningsforhold
- Race- eller etnisk baggrund
- Politisk, religiøs eller filosofisk overbevisning
- Seksuel orientering
- Genetiske data
- Biometriske data
Behandlingsgrundlaget er samtykke eller hjemmel i lov. Behandlingsgrundlaget kan hvis nødvendigt også være varetagelse af en berettiget interesse, og denne interesse klart overstiger hensynet til den registrerede.
Almindelige persondata:
- Navn
- Adresse
- Arbejdstid
- Sygefravær
- Løn
- Skatteoplysninger
- Indkøbshistorik
- Kundeoplysninger
- Faktureringsoplysninger
- Medarbejder-ID
- Telefonnummer
Behandlingsgrundlaget er samtykke eller nødvendigt for udførelsen af en kontrakt. Behandlingsgrundlaget kan også være opfyldelsen af en retlig forpligtelse eller for at forfølge en berettiget interesse
CPR-nr:
- Hele CPR-nr.
Behandlingsgrundlaget er samtykke eller hjemmel i lov.
Strafbare forhold:
- Straffedomme
- Straffelovsovertrædelser
- Underbyggede politianmeldelser
Behandlingsgrundlaget er samtykke eller hjemmel i lov. Behandlingsgrundlaget kan hvis nødvendigt også være varetagelse af en berettiget interesse, og denne klart overstiger hensynet til den registrerede.
- Behandling af persondata
Ejv. larsen & Søn bruger følgende grundlæggende principper for behandling af persondata:
- Behandlingen skal være lovlig, rimelig og gennemsigtig overfor den registrerede
- Behandlingen skal begrænses til formålet, som skal være udtrykkeligt angivet og legitimt
- Dataminimering, dvs. kun relevante, tilstrækkelige og nødvendige persondata behandles
- Datakvalitet, persondata skal være verificeret som korrekte før behandling
- Sletning, persondata slettes når der ikke længere er behov for behandling. Urigtige data slettes omgående
- Integritet, persondata behandles fortroligt og sikkert med passende tekniske eller organisatoriske foranstaltninger
Følsomme persondata
Medarbejdernes følsomme persondata behandles og opbevares på direktørens drev som er beskyttet af personligt password. Derudover opbevares følsomme persondata i et ringbind under et skilleblad for hver ansat medarbejder. Ringbindet opbevares i et aflåst skab på direktørens kontor hvortil kun direktøren har nøgle.
Følsomme persondata vedrørende medarbejdernes helbred behandles i en Arbejdsmiljømappe, om opbevares i aflåst skab på sekretærens kontor. Nøglen til skabet opbevares, på et for alle faste medarbejdere, kendt sted.
Almindelige personoplysninger vedrørende medarbejdere
Personoplysninger behandles af direktøren og opbevares i en elektronisk personalemappe på direktørens drev.
Derudover forefindes almindelige personoplysninger som uddannelsesbeviser, CV og lignende for hver medarbejder i et ringbind på direktørens kontor. Ringbindet er tilgængeligt for faste medarbejdere.
Medarbejdere må ikke oprette profiler på Facebook eller tilsvarende platforme, ved anvendelse af e-mail fra Ejv. larsen & Søn.
Personoplysninger vedrørende kunder
Personoplysninger behandles i vores elektroniske administrationssystem under hver enkelt kundes navn og adresse. Hver fastansat medarbejder har personlig adgangskode for privilegeret adgang til administrationssystemet.
Personoplysninger vedrørende kunder der opbevares af medarbejdere på den af Ejv. larsen & Søn udleverede pc og mobil tlf. skal være beskyttet af en personlig kode.
Personoplysninger i papirform der af medarbejdere medbringes fra Ejv. larsen & Søns kontor, skal opbevares sikkert og være beskyttet mod uvedkommendes adgang. Personoplysninger i papirform må ikke opbevares af medarbejdere udover det tidsrum der er nødvendigt for løsning af en opgave. Når opbevaring af personoplysninger ikke længere er nødvendig skal disse destrueres eller makuleres på Mette Nybo Larsen eller på faktura@ejv-larsen.dk kontor.
- Registreredes rettigheder
Medarbejderen har følgende rettigheder efter databeskyttelsesforordningen i forhold til de personoplysninger, Ejv. larsen & Søn behandler:
- Indsigt i hvilke oplysninger Ejv. larsen & Søn har registreret
- Berigtigelse af hvilke persondata Ejv. larsen & Søn har registreret
- Sletning af persondata
- Begrænsning af behandlingen af persondata
- Indsigelsesret
- Ret til dataportabilitet (transmittere oplysninger).
Anmodninger om ovennævnte imødekommes i den udstrækning anmodningen ikke strider mod anden lovgivning.
Persondata, hvortil der er juridisk grundlag i samtykke eller kontrakt, må overføres digitalt.
Medarbejderen kan læse mere om rettigheder og databeskyttelsesreglerne i Datatilsynets vejledning om de registreredes rettigheder, som du finder på www.datatilsynet.dk.
Der er mulighed for at indgive klage til Datatilsynet, Borgergade 28, 5, 1300 København K, hvis medarbejderen mener, at Ejv. larsen & Søn ikke behandler personoplysninger i overensstemmelse med databeskyttelsesreglerne.
Slettepoliti
Persondata for medarbejdere, bestyrelsesmedlemmer slettes 5 år efter medarbejderens eller bestyrelsesmedlemmets fratrædelse. Persondata i jobansøgninger slettes senest 6 måneder efter modtagelsen.
Persondata for kunder opbevares i 10 år efter kundeforholdets ophør.
Personfølsomme data i papirform makuleres og elektroniske slettes ved at overføre til ”papirkurv” som derefter tømmes.
Ejv. larsen & Søn behandler ikke personfølsomme data fra kunder og jobansøgere. Hvis der utilsigtet modtages personfølsomme data i e-mail eller brev, overstreges/slettes CPR-nr. og eventuelle andre personfølsomme data, inden behandling.
Almindelige oplysningstekster
Alle registrerede orienteres om Ejv. larsen & Søn håndtering af persondata, herunder håndteringen af klager på https://www.ejv-larsen.dk
Sikkerhedsniveau
Der oprettes et passende sikkerhedsniveau for persondata ved følgende:
- Ejv. larsen & Søn kontor og fysisk arkiv er bemandet og dermed underlagt fysisk adgangskontrol indenfor normal arbejdstid. Kontor og fysisk arkiv er udenfor arbejdstiden aflåst og under alarm
- Ejv. larsen & Søn administrationssystem er beskyttet af firewall og et personligt password for hver enkelt medarbejder
- Faste medarbejdere har fået udleveret mobiltelefon og bærbar pc med adgang til administrationssystemet og en personlig firma e-mail. IT udstyr er beskyttet med personlige og sikre adgangskoder, der fornys 3. måned
Der er indgået skriftlige aftaler om datasikkerhed og fortrolighed med følgende eksterne operatører med adgang til Ejv. larsen & Søn persondata:
- Aaen & Co
Byggeriets Kvalitetskontrol har som led i certificeringsaktiviteter adgang til persondata. Adgangen følger af hjemmel i lovgivning.
Ved sikkerhedsbrud (fx bortkommet mobiltelefon) kontaktes direktøren, som foretager en vurdering af risikoen ved det konstatererede sikkerhedsbrud. Direktøren iværksætter alle nødvendige aktiviteter for beskyttelse af truede persondata.
Ved sikkerhedsbrud underrettes Datatilsynet om sikkerhedsbruddet indenfor 72 timer. Derudover skal den registrerede underrettes uden unødig forsinkelse.
Samtykke
Der indhentes skriftligt samtykke fra medarbejderne for Ejv. larsen & Søn behandling af følgende persondata:
- CPR-nr. (medmindre behandlingen har hjemmel i anden lov)
- Oplysninger om medarbejderes helbred (medmindre behandlingen har hjemmel i anden lov eller er nødvendig af hensyn til et retskrav)
Der er indhentet samtykke til brug af CPR-nr. i den enkelte medarbejders ansættelseskontrakt.
Helbredsoplysninger og tilladelse til brug af portrætbillede på hjemmeside er afgivet skriftligt og frivilligt af hver enkelt medarbejder. Samtykke hertil kan til enhver tid tilbagekaldes af medarbejderen.
Sygdom
Ved modtagelse af sygemelding fra medarbejdere, registreres sygemeldingen som ”sygdom” i medarbejderes Outlook kalender. Medarbejderen registrerer sit sygefravær i ugeseddel. Sekretær sender de registrerede data til lønkontoret som e-mail. Ugesedler opbevares i ringbind på sekretærens kontor i 5 år hvorefter de makuleres.
Træning og uddannelse i behandlingen af personoplysninger
Denne procedure gennemgås grundigt på et årligt møde, hvor alle medarbejdere deltager. På mødet evalueres og dokumenteres, om alle medarbejdere har forstået proceduren for behandlingen af persondata.
Efterlevelsen af denne procedure indgår i Ejv. larsen & Søn kvalitetsledelsessystem. Ved konstaterede afvigelser foretages forbedringsaktiviteter ved at iværksætte enhver nødvendig korrektion og korrigerende handlinger. Effekten af forbedringsaktiviteter indgår i ledelsens evaluering.
Behandlingen af medarbejdernes personoplysninger som led i ansættelsen
Som led i ansættelsen behandles en række personoplysninger om medarbejderne. Behandlingen omfatter blandt andet indsamling, registrering, opbevaring og videregivelse.
Ejv. larsen & Søn behandler oplysningerne som ”dataansvarlig”, og kontaktdetaljer er følgende:
Fenrisvej 13, 3000 Helsingør, tlf. 49 21 02 38 eller thomas@ejv-larsen.dk
Formålet med behandlingen af personoplysninger er først og fremmest at kunne håndtere ansættelsesforholdet, herunder løn, pensionsordning, øvrige ansættelsesvilkår, ferie samt andre forhold, der løbende og naturligt opstår som led i ansættelsen. Desuden er formålet at sikre korrekt opfyldelse af Ejv. larsen & Søn forpligtelser i forhold til medarbejderne, samt opfylde forpligtelser i henhold til lovgivning. For det tredje er formålet med behandlingerne, at fastslå om der er et retskrav enten for medarbejderen eller Ejv. larsen & Søn. Endvidere vil formålet være sikkerhedsmæssige hensyn og med henblik på udarbejdelse af statistik.
De oplysninger som Ejv. larsen & Søn behandler, er oplysninger som medarbejderen selv har givet i forbindelse med sin ansættelse eller under sin ansættelse. Det er derudover oplysninger, som opstår som led i ansættelsen. Endelig kan det være oplysninger, som Ejv. larsen & Søn modtager eller indhenter hos andre, herunder offentlige myndigheder.
Ejv. larsen & Søn behandler kun oplysninger, som er relevante for medarbejdernes ansættelsesforhold.
Hvis medarbejderen ikke vil meddele de personoplysninger, som er nødvendig for, at Ejv. larsen & Søn kan håndtere ansættelsesforholdet, er det ikke muligt at opretholde ansættelsen.
Almindelige personoplysninger
De oplysninger, som Ejv. larsen & Søn primært behandler som led i et ansættelsesforhold, er såkaldt almindelige personoplysninger, herunder oplysninger om navn, adresse, telefonnummer, fødselsdato, billede, nærmeste pårørende, løn, bankoplysninger, sygefravær og andet fravær, faglige kvalifikationer, personlige kompetencer, arbejdsindsats og nærmere omkring medarbejderens arbejde, påtaler, advarsler, eksamensbeviser eller andre oplysninger om uddannelse og tidligere ansættelser samt indkøbs- og rejsehistorik i regi af virksomheden.
Som udgangspunkt vil behandlingen af almindelige oplysninger være nødvendig for at opfylde ansættelsesaftalen og dermed selve ansættelsesforholdet. Behandlingsgrundlaget for langt de fleste oplysninger er derfor databeskyttelsesforordningens artikel 6, stk.1, litra b og c, samt databeskyttelseslovens § 12, stk. 1.
I visse tilfælde vil behandlingsgrundlaget for de almindelige personoplysninger dog være, at behandlingen er nødvendig, for at Ejv. larsen & Søn eller en tredjemand kan forfølge en legitim interesse, og denne interesse samtidig vurderes at gå forud for medarbejderens interesse eller grundlæggende rettigheder og frihedsrettigheder, jf. databeskyttelsesforordningens artikel 6, stk.1, litra f. De legitime interesser som forfølges, er i den forbindelse at almindelige driftsmæssige forhold i relation med medarbejdere i Ejv. larsen & Søn.
Endelig vil behandlingsgrundlaget for de almindelige personoplysninger i enkelte tilfælde også være et samtykke fra medarbejderen. Det gælder fx offentliggørelse af portrætbillede på vores hjemmeside. Medarbejderen gøres opmærksom på, at medarbejderen altid har ret til at tilbagekalde et samtykke.
Personnummer (CPR-nr.)
Ejv. larsen & Søn vil behandle medarbejderens CPR-nr., idet Ejv. larsen & Søn er forpligtet til at behandle CPR-nr. som led i håndtering af løn og indberetning til SKAT mv. Behandlingsgrundlaget for denne behandling er databeskyttelseslovens § 11, stk. 2.
Ejv. larsen & Søn behandler ikke CPR-nr. til andre formål, medmindre det i øvrig følger af lovgivningen, eller medarbejderen har givet sit samtykke, jf. ligeledes databeskyttelseslovens § 11, stk. 2.
Følsomme personoplysninger
Det kan, i forbindelse med ansættelsesforholdet, blive nødvendigt at behandle oplysninger om medarbejderens helbred.
Behandlingen af disse personoplysninger sker i udgangspunktet kun i det omfang, medarbejderen har givet samtykke hertil, jf. databeskyttelsesforordningens artikel 9, stk. 2, litra a. Medarbejderen gøres opmærksom på, at medarbejderen i så fald altid har ret til at tilbagekalde sit samtykke.
Behandlingen af følsomme oplysninger vil dog ske uden samtykke, såfremt behandlingen har hjemmel i lov, eller såfremt behandlingen er nødvendig for at et retskrav kan fastlægges, gøres gældende eller forsvares, jf. databeskyttelsesforordningens artikel 9, stk. 2, litra b og f, samt databeskyttelseslovens § 12, stk. 1.
Oplysninger om strafbare forhold
Ejv. larsen & Søn behandler som udgangspunkt ikke oplysninger om strafbare forhold vedrørende medarbejdere.
Ejv. larsen & Søn vil dog i konkrete tilfælde behandle oplysninger om strafbare forhold, hvis der opstår mistanke om, at medarbejderen har begået noget strafbart.
Behandlingen af følsomme oplysninger vil ske uden medarbejderens samtykke, fordi behandlingen er nødvendig for at et retskrav kan fastlægges, gøres gældende eller forsvares, jf. databeskyttelseslovens § 8, stk. 3-5, og § 12, stk. 1 og jf. databeskyttelsesforordningens artikel 9, stk. 2, litra b og f.Særligt om indsamling fra andre samt videregivelse og overførsel
Ejv. larsen & Søn indsamler enkelte personoplysninger hos fx SKAT for at kunne udbetale korrekt løn.
Data vil som udgangspunkt ikke blive videregivet til tredjemand. Ejv. larsen & Søn vil dog videregive oplysninger i det omfang, Ejv. larsen & Søn er forpligtet til det. Dette kan for eksempel være videregivelse af oplysninger til offentlige myndigheder, fx SKAT, som Ejv. larsen & Søn er forpligtet til at give i forbindelse med udbetaling af løn mv. Derudover videregiver BK oplysninger, herunder CPR-nr., som led i anmeldelse af sygefravær og barselsfravær og som led i ansøgning om refusion. Endvidere videregiver Ejv. larsen & Søn oplysninger i forbindelse med etablering af pensionsordning og oprettelse af mobiltelefonabonnementer mv.
Endelig kan det være videregivelse af oplysninger i forbindelse med revision eller lignende.
Ejv. larsen & Søn overfører ikke personoplysninger til tredjelande.
Opbevaring af medarbejdernes personoplysninger
Data vil blive slettet når der ikke længere er et legitimt og arbejdsrelateret behov for at opbevare dem til opfyldelse af ovennævnte forpligtelser eller opgaver, eller når der i øvrigt ikke længere er hjemmel til at opbevare oplysningerne.
Det betyder, at Ejv. larsen & Søn som udgangspunkt opbevarer personoplysninger i 5 år efter medarbejderens fratrædelse. Enkelte oplysninger kan dog beholdes i længere tid end 5 år, hvis der er særlig grund til det i forbindelse med fx retskrav og eventuelle arbejdsskader o. lign.
Automatiserede afgørelser
Data om medarbejdere vil på intet tidspunkt blive anvendt til at foretage automatiske afgørelser, herunder profilering.
Indsigelse vedrørende behandling af oplysninger med hjemmel i interesseafvejningen
Medarbejderen har ret til – af grunde, der vedrører medarbejderens særlige situation – at gøre indsigelse mod Ejv. larsen & Søn behandling af personoplysninger, hvor hjemmelen er den såkaldte interesseafvejning efter artikel 6, stk. 1, litra e) eller f). Det vil betyde, at Ejv. larsen & Søn som dataansvarlige ikke længere må behandle personoplysningerne, medmindre Ejv. larsen & Søn påviser vægtige legitime grunde til behandlingen, der går forud for medarbejderens interesser, rettigheder og frihedsrettigheder, eller behandlingen er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares.