X

Persondatapolitik

Persondatapolitik

Hos Collectia er det vigtigt for os, at vores kunder har tillid til os.
I denne persondatapolitik kan du læse om, hvordan vi behandler personoplysninger.

1. Baggrund

Der er i EU og Danmark indført nye regler med ”Europa-Parlamentets og Rådets forordning (EU) 2016/679” for håndtering af personoplysninger. Reglerne er på mange områder en videreførelse af eksisterende lovgivning, men på nogle områder er reglerne strammet væsentligt.

2. Formål

Formålet med denne persondatapolitik er at fastlægge rammerne for behandling af personoplysninger i Collectia A/S, herefter benævnt Collectia. Endvidere har persondatapolitikken til formål at sikre en løbende kontrol med efterlevelsen af krav i gældende lovgivning.

3. Omfang

Denne persondatapolitik finder anvendelse i hele Collectia, samt for samarbejdspartnere, der udfører opgaver på vores vegne. Politikken sætter rammerne for, hvordan vi behandler personoplysninger om kunder, medarbejdere, leverandører, samarbejdspartnere og andre.

4. Definitioner

I denne persondatapolitik benyttes følgende definitioner:

  • Personoplysninger er enhver form for information om en fysisk person, der enten i sig selv identificerer, eller som kan være med til at identificere personen. Der er tale om al information, der direkte eller indirekte kan identificere en person. Også en kombination af forskellige informationer kan være med til at identificere en person. Informationer, som kun særligt indviede personer vil kunne identificere en given person ud fra, er også personoplysninger.
  • Den registrerede er den fysiske person, som personoplysningerne vedrører, fx kunder, medarbejdere, leverandører, samarbejdspartnere og andre.
  • Behandling af personoplysninger skal fortolkes bredt. Begrebet ”behandling” dækker over enhver aktivitet eller en række af aktiviteter, som personoplysninger gøres til genstand for. Det kan fx være indsamling, registrering, organisering, systematisering, opbevaring, ændring, søgning, formidling og sletning.
  • Dataansvarlig er den person eller organisation, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.
  • Databehandler er den, der behandler personoplysninger på den dataansvarliges vegne – dvs. arbejder under instruks af den dataansvarlige.
  • Risiko for den registrerede er risikoen for, at den registrerede bliver udsat for en fysisk, materiel eller immateriel skade, herunder tab af kontrol over sine personoplysninger, begrænsning af sine rettigheder, forskelsbehandling, identitetstyveri, finansielle tab og sociale konsekvenser, så som skade på omdømme.
  • Sikkerhedsforanstaltninger (også kaldet sikkerhedskontroller) dækker over både tekniske og organisatoriske sikkerhedsforanstaltninger. Tekniske sikkerhedsforanstaltninger er blandt andet antivirusprogrammer og firewalls, som sikrer, at uvedkommende ikke kan få adgang til it-systemer med personoplysninger. Organisatoriske sikkerhedsforanstaltninger består blandt andet i, at vores medarbejdere er instrueret i og uddannet til at håndtere behandlingen af personoplysningerne korrekt og sikkert.
  • Collectia er en moderne IT-virksomhed med fokus på inddrivelse. Ydelserne som Collectia udbyder inkluderer bl.a. udsendelse af fakturaer, rykkerskrivelser, inkassovarsler, administration af betalingsaftaler, inkassoservice, samt retslig behandling.

5. Collectias indsamling af personoplysninger

Collectia indsamler og modtager bl.a. personoplysninger på følgende måde:

  • fra den registrerede selv (herunder direktion, ejerkreds, medarbejdere)
  • i forbindelse med den registreredes tilmelding af nyhedsbrev
  • fra en part i sagen
  • via diverse registrerer såsom RKI, CPR-registret, CVR-registret og lignende registre
  • via sociale medier, reklame- og analyseudbydere og diverse offentlig tilgængelige databaser/registre
  • via browser cookies ved brug af Collectias hjemmeside (Læs mere om vores politik for håndtering af cookies på følgende link https://collectia.dk/infocenter/cookiepolitik/)

6. Collectias behandling af personoplysninger

Forud for en kundeaftale kan der være diverse drøftelser pr. mail, telefon eller via chat. Collectia behandler også oplysninger til brug for vurdering af kundens behov og dermed til vurdering af korrekt produktvalg. I den forbindelse behandler Collectia bl.a. følgende oplysninger:

  • Navn på virksomhed og navne på eventuelle kontaktpersoner i virksomheden
  • Adresse på virksomhed
  • E-mail
  • Telefonnummer

Ved indgåelse af samarbejdsaftale, herunder kundeaftale, behandler Collectia en lang række oplysninger til sikring af at der bliver leveret en korrekt ydelse, og at både kunden, samarbejdspartneren samt disses kontaktpersoner bliver korrekt identificeret. Oplysninger bruges også til at sikre tilpasning af kommunikation samt til forbedring og udvikling af services. Collectia behandler bl.a. følgende oplysninger:

  • Navn på virksomhed og eventuelle kontaktpersoner, herunder virksomhedsansvarlige og registrerede med personlig hæftelse
  • CVR-nummer
  • CPR-nummer på personer med personlig hæftelse
  • Adresse på virksomhed og eventuelle virksomhedsansvarlige og registrerede med personlig hæftelse
  • E-mail
  • Telefonnummer
  • Bank- og betalingsoplysninger
  • Virksomhedens branche
  • Virksomhedens regnskabsoplysninger tilgængelige i offentlige registre

For at sikre at der bliver leveret en rigtig og tilfredsstillende service samt sker korrekt fakturering behandler Collectia løbende en række oplysninger.

  • Alle ovennævnte (under punkt 6) oplistede oplysninger
  • Diverse henvendelser hvori der kan være indeholdt personoplysninger
  • Anonymiseret data til brug for rapporter, statistik m.m.
  • Betalingshistorik

7. Roller og ansvar

Nedenstående skema giver et overblik over roller og ansvar i Collectia. Ledelse og medarbejdere er forpligtede til at handle i henhold til nedenstående i forhold til efterlevelse af gældende regler for beskyttelse af personoplysninger.

Gruppe / funktion Roller og ansvar
Øverste ledelsesniveau/ Direktionen Det er den øverste ledelse/direktionen, der har det endelige ansvar for, at Collectia efterlever gældende regler for beskyttelse af personoplysninger, herunder Persondataforordningen. Den øverste ledelses/direktionens rolle er at foretage dokumenterede ledelsesmæssige beslutninger om beskyttelsen af personoplysninger i Collectia.
Daglig leder Den daglige leder er ansvarlig for, at formålene med behandling af personoplysninger inden for dennes forretningsområde, samt at retningslinjerne til understøttelse af politikken, er kommunikeret klart og tydeligt til medarbejderne.
Persondatakoordinator team Teamets rolle er at udarbejde politik og retningslinjer for beskyttelse af personoplysninger, kommunikere disse og medvirke til implementering heraf.
Systemejer Systemejeren har ansvaret for driften og vedligeholdelse af div. Systemer, der behandler personoplysninger.
Dataejer Dataejere er medarbejdere, der ikke er DPO eller leder, men som har en koordinerende rolle i forhold til at implementere de sikkerhedstiltag, det er vurderet, der er behov for i forhold til beskyttelsen af personoplysninger. Dataejere er typisk medarbejdere, der er ansvarlige for en forretningsenhed. De har dermed ansvaret for de sikkerhedstiltag, som skal implementeres i deres enhed. De er ligeledes ansvarlige for de personoplysninger, der behandles i enheden.
Medarbejdere Medarbejdere, der behandler personoplysninger, er ansvarlige for at gøre sig bekendt med formålene med behandlingen og de retningslinjer, der er relevante for udførelsen af deres arbejde.

8. Ansvarlighed

Vi udviser altid ansvarlighed, når vi behandler personoplysninger. Det gør vi bl.a. ved at dokumentere:

  • de beslutninger, vi træffer
  • de foranstaltninger og aktiviteter, vi udfører
  • de retningslinjer og kontroller, vi implementerer om behandlingen af personoplysninger.

Endvidere sørger vi aktivt for at holde os opdaterede i henhold til denne persondatapolitik, samt kravene i underliggende retningslinjer:

  1. Klassificering og grundprincipperne for behandling af personoplysninger
  2. Lovlig behandling af personoplysninger
  3. Overførsel af oplysninger til lande uden for EU/EØS
  4. Fortegnelser over behandlingsaktiviteter
  5. Registreredes rettigheder
  6. Dataansvarlig- og databehandleransvar
  7. Registreredes risikovurdering
  8. Konsekvensanalyse
  9. Behandlingssikkerhed af personoplysninger
  10. Brud på persondatasikkerheden

Såfremt der kommer nye retningslinjer, er ledelse og medarbejdere ansvarlige for at gøre sig bekendt med disse, hvis det er relevant for udførelsen af deres arbejde.

9. Klassifikation og grundprincipperne for behandling af personoplysninger

Formålet er at sætte de overordnede rammer for, hvordan vi behandler personoplysninger forsvarligt.

Persondataforordningens artikel 5 og 9

9.1. Klassifikation af personoplysninger

I Collectia har vi truffet beslutning om at klassificere personoplysninger, når vi behandler personoplysninger.

Klassifikationen har bl.a. betydning, når vi vurderer, hvilket behandlingsgrundlag der gør en behandling lovlig, idet vi sondrer mellem behandling af almindelige og følsomme personoplysninger. Endvidere benytter vi klassifikationen, når vi vurderer, designer og implementerer tekniske og organisatoriske sikkerhedsforanstaltninger og kontroller for at beskytte personoplysningerne. Klassifikationsmodellen er uddybet i ”Retningslinje om klassifikation og grundprincipperne for behandling af personoplysninger”.

9.2. Grundprincipperne for behandling af personoplysninger

Vi behandler personoplysninger i henhold til de gældende regler i forordningen på området. Det betyder bl.a., at vi kun behandler personoplysninger til lovlige, rimelige og legitime formål, som vi kan dokumentere.

Vi indsamler, opbevarer og behandler kun personoplysninger, der er nødvendige for opfyldelsen af det angivne formål for behandlingen. Vi sørger derfor aktivt for at minimere indsamlingen og behandlingen af personoplysninger til det, der er absolut nødvendigt.

Vi begrænser behandlingen af personoplysninger, så vi ikke behandler dem på en måde, der er uforeneligt med det oprindelige formål. Endvidere sikrer vi, at personoplysningerne ikke opbevares i et længere tidsrum end det, der er nødvendigt for at opfylde formålet med behandlingen. Når personoplysningerne ikke længere er nødvendige, sikrer vi, at de enten slettes i henhold til vores regler om sletning, eller at der træffes andre tekniske og organisatoriske foranstaltninger som fx anonymisering, således at den registrerede ikke længere kan identificeres ud fra oplysningerne.

Såfremt personoplysningerne er urigtige eller ufuldstændige/mangelfulde i forhold til de formål, hvortil de behandles, sørger vi for at rette, opdatere eller slette disse.

Kravene til grundprincipperne for behandling af personoplysninger er uddybet i ”Retningslinje om klassifikation og grundprincipperne for behandling af personoplysninger”.

10. Lovlig behandling af personoplysninger

Formålet er at sikre, at vi kun behandler personoplysninger lovligt. Persondataforordningens artikel 6-10

Vi sikrer os, at der er et lovligt grundlag, når vi behandler personoplysninger. Mindst ét af følgende grundlag for behandling af personoplysninger skal dermed gøres gældende.

Grundlagene for almindelige personoplysninger:

  • Samtykke – den registrerede har givet samtykke til behandling af personoplysninger.
  • Kontrakt – behandlingen er nødvendig for at kunne opfylde eller indgå en kontrakt, som den registrerede er en del af.
  • Retlig forpligtelse – behandlingen er nødvendig for at overholde en retlig forpligtelse.
  • Vitale interesser – behandlingen er nødvendig for at beskytte den registreredes vitale interesser.
  • Interesseafvejning – behandlingen er nødvendig for at forfølge en legitim interesse.

Grundlagene for følsomme personoplysninger (afviger fra grundlagene for almindelige personoplysninger):

  • Samtykke – den registrerede har givet udtrykkeligt samtykke til behandling af personoplysninger.
  • Vitale interesser – behandlingen er nødvendig for at beskytte den registrerede eller en anden persons vitale interesser, i tilfælde hvor vedkommende er ude af stand til selv at afgive samtykke til behandlingen.
  • Offentliggjort af registrerede – den registrerede har selv offentliggjort personoplysningerne.
  • Retskrav – behandlingen er relevant i forbindelse med et retskrav.

Samtykke

Såfremt behandlingen foretages på baggrund af et indhentet samtykke fra den registrerede, sikrer vi, at samtykket er afgivet frivilligt og er formuleret i et let forståeligt sprog, så den registrerede ikke er tvivl om, hvad der gives samtykke til. Endvidere sikrer vi, at samtykket er afgivet ved en aktiv handling, således at den registrerede fx skal klikke ok, skrive under eller lign. for at acceptere samtykket.

Herudover sikrer vi, at den registrerede bliver oplyst om, at samtykket altid kan trækkes tilbage.

Kravene til behandlingsgrundlagene, herunder samtykke, er uddybet i ”Retningslinje om lovlig behandling af personoplysninger”.

11. Overførsel af personoplysninger til lande uden for EU og EØS (tredjelande)

Formålet er at sikre, at der ikke overføres personoplysninger til lande uden for EU/EØS, uden at vi har et lovligt grundlag herfor.

Persondataforordningens artikel 44-50

Vi overfører kun personoplysninger til lande uden for EU og EØS (Det Europæiske Økonomiske Samarbejde), såfremt vi har et lovligt, rimeligt og legitimt grundlag herfor, og vi kan sikre et tilstrækkeligt beskyttelsesniveau.

Kravene til overførsel af personoplysninger til lande uden for EU og EØS er uddybet i ”Retningslinje om overførsel af personoplysninger til lande uden for EU og EØS”.

12. Fortegnelser over behandlingsaktiviteter

Formålet er at sikre, at vi fører de nødvendige fortegnelser over behandlingsaktiviteter, som kan stilles til rådighed for Datatilsynet ved eventuelle tilsyn. Endvidere er formålet at sikre, at der foreligger et grundlag for vurdering af risikoen ved behandling af de registreredes personoplysninger.

Persondataforordningens artikel 30

Vi fører en fortegnelse over de behandlinger af personoplysninger, vi foretager, og sørger aktivt for at holde fortegnelsen opdateret. For at sikre, at fortegnelsen opdateres løbende, har vi udnævnt nogle ansvarlige (Anya Cordes, Mogens Pedersen, Karina Achton, Charlotte Møller og Charlotte Boysen) i Collectia, der står for vedligeholdelsen af fortegnelsen. Fortegnelsen anvendes bl.a. som en del af dokumentationspligten, såfremt Datatilsynet kommer på tilsyn, samt som grundlag for vurdering af risici for den registrerede ved behandling af dennes personoplysninger.

Medarbejdere, der behandler personoplysninger, er forpligtede til at underrette de ansvarlige (Anya Cordes, Mogens Pedersen, Karina Achton, Charlotte Møller og Charlotte Boysen) om ændringer og lign. i forhold til den måde, hvorpå personoplysninger behandles.

Kravene til udarbejdelsen af fortegnelsen er uddybet i ”Retningslinje om fortegnelse over behandlingsaktiviteter”.

13. Den registreredes rettigheder

Formålet er at sikre, at behandlingen af personoplysninger tilgodeser den registreredes ret til at kontrollere hvornår, hvordan og i hvilket omfang dennes personoplysninger bliver behandlet, samt hvem den registrerede ønsker, har adgang til sine personoplysninger.

Persondataforordningens artikel 12-23

Vi sikrer den registreredes rettigheder ved bl.a. at behandle dennes personoplysninger på en åben og oplyst måde. Det betyder, at vi oplyser den registrerede om, at vi behandler dennes personoplysninger, samt om hvordan, så den registrerede har mulighed for at gøre sine rettigheder gældende.

Herudover hjælper vi den registrerede med at udøve sine rettigheder, og vi håndterer den registreredes anmodning om at gøre sine rettigheder gældende, hvad enten vi skal efterkomme den registreredes anmodning eller ej. Når vi kommunikerer med den registrerede, gør vi det i en kortfattet form og i et klart og letforståeligt sprog.

Nedenfor er listet, hvilke rettigheder vi hjælper den registrerede med, såfremt de anmoder om det:

  • Indsigt i de behandlinger af personoplysninger, vi foretager om denne
  • Berigtigelse, såfremt personoplysningerne er forkerte eller mangelfulde
  • Sletning af de personoplysninger vi behandler (se afsnit 14 ”Sletning af data”)
  • Begrænsning af behandlingen af personoplysninger
  • Udlevering af personoplysninger eller overførsel internt eller til eksternt selskab
  • Behandling af indsigelse mod behandling af personoplysninger.

Såfremt vi træffer afgørelser, som betydeligt påvirker den registrerede, sikrer vi, at en sådan afgørelse ikke udelukkede er truffet ved en automatisk behandling eller profilering.

Vi videregiver ikke personoplysninger til samarbejdspartnere eller andre eksterne organisationer, medmindre den registrerede har givet samtykke til dette, eller vi er retligt forpligtet til at videregive personoplysningerne.

Såfremt vi har videregivet personoplysninger til selskaber uden for Collectia, sikrer vi, at selskaberne informeres om enhver berigtigelse, sletning eller begrænsning, som der er truffet foranstaltninger om.

Kravene til den registreredes rettigheder er uddybet i ”Retningslinje om den registreredes rettigheder”.

14. Sletning af data

Ønsker du at gøre brug af dine rettigheder i henhold til ovenstående afsnit, bedes du sende en mail til gdpr@collectia.dk.

Vi bestræber os på at svare inden for 1 måned efter modtagelsen af din anmodning.

Vi gør opmærksom på, at du af sikkerhedsmæssige årsager vil skulle verificere din identitet før din anmodning kan behandles

15. Dataansvarlig og databehandler

Formålet er at sikre, at det er afklaret, hvorvidt vi er dataansvarlige eller databehandlere i forhold til alle behandlinger af personoplysninger. Endvidere er formålet at sikre, at der er overblik over, hvilke databehandlere der benyttes, og at der er indgået databehandleraftaler med dem.

Persondataforordningens artikel 24-29

Når vi behandler personoplysninger, vurderer vi, hvornår vi er dataansvarlig, databehandler eller har delt ansvar (fælles dataansvarlige).

15.1. Dataansvarlig

Såfremt vi er dataansvarlige, sikrer vi, at alle databehandlere, vi benytter, kan stille de fornødne sikkerhedsgarantier for behandling af personoplysninger. Endvidere sikrer vi, at de er instrueret i, hvordan de må behandle personoplysninger på vores vegne, samt at der er indgået en databehandleraftale, der lever op til kravene i de gældende regler.

15.2. Databehandler

Såfremt vi er databehandlere, sikrer vi, at vi kun behandler personoplysninger under instruks fra den dataansvarlige.

Endvidere sikrer vi, at vi ikke gør brug af andre databehandlere (underdatabehandlere), uden at vi har fået dette godkendt af den dataansvarlige.

Såfremt vi har fået en skriftlig godkendelse fra den dataansvarlige, sikrer vi, at vi underretter den dataansvarlige, såfremt vi planlægger at udskifte anvendte databehandlere, eller indgå aftaler med nye, således at den dataansvarlige får mulighed for at gøre indsigelse mod sådanne ændringer.

Såfremt den dataansvarlige har godkendt, at vi bruger andre databehandlere (underdatabehandlere), sikrer vi, at de som minimum lever op til de krav, som den dataansvarlige har stillet os.

15.3. Fælles dataansvarlige

Hvis vi er fælles dataansvarlige med en anden organisation, sikrer vi, at vi har fastlagt det delte ansvar i forhold til overholdelse af gældende regler på området. Vi sikrer endvidere, at de forpligtelser, vi har overfor den registrerede, overholdes, herunder hvem der gør oplysningerne tilgængelige for den registrerede, samt at dette sker på en åben og oplyst måde. Den registrerede kan dog frit vælge, hvilken dataansvarlig denne vil udøve sine rettigheder overfor.

Kravene, der stilles til dataansvarlige og databehandlere, er uddybet i ”Retningslinje om dataansvarlige og databehandler”.

16. Registreredes risikovurdering

Formålet er at identificere potentielle risici for den registrerede ved behandling af dennes personoplysninger.

Når vi behandler personoplysninger, vurderer vi risiciene for den registrerede ved behandlingen af dennes personoplysninger. Vi foretager vurderingen på baggrund af de behandlingsaktiviteter, vi foretager, herunder anvendte systemer, således at vi får et samlet overblik over risiciene. Risiciene er beregnet og identificeret på baggrund af en mulig konsekvens for den registrerede ved behandlingen af dennes personoplysninger, samt sandsynligheden for at konsekvensen indtræffer.

Risikovurderingen er dokumenteret og godkendes af det øverste ledelsesniveau.

Metoden til vurdering af risici for registrerede ved behandling af personoplysninger er uddybet i ”Retningslinje om registreredes risikovurdering”.

17. Konsekvensanalyse

Formålet er at sikre, at der foretages en konsekvensanalyse forud for behandling af personoplysninger, der sandsynligvis indebærer høj risiko for den registrerede, for dermed at identificere tiltag, der kan reducere denne risiko.

Persondataforordningens artikel 35+36

Hvis det er vurderet i registreredes risikovurdering, at en type behandling af personoplysninger sandsynligvis vil indebære høj risiko for de registreredes rettigheder eller frihedsrettigheder, udfører vi en konsekvensanalyse. Konsekvensanalysen skal hjælpe med at fastlægge de foranstaltninger, vi påtænker, kan imødegå disse risici. Såfremt de påtænkte tekniske og organisatoriske sikkerhedsforanstaltninger ikke kan imødegå risiciene i tilstrækkeligt omfang, rådfører vi os hos Datatilsynet, inden vi foretager behandling af personoplysningerne.

Kravene til udarbejdelse af konsekvensanalyser er uddybet i ”Retningslinje om konsekvensanalyse”.

18. Behandlingssikkerhed

Formålet er at sikre, at der er tilstrækkelig sikkerhed ved behandling af personoplysninger, som afdækker de identificerede risici i risiko- og konsekvensanalysen.

Persondataforordningens artikel 32 og 25

Vi sikrer, at der opretholdes et tilstrækkeligt sikkerhedsniveau både teknisk og organisatorisk ved behandling af personoplysninger.

18.1. Sikkerhedsstyring

På baggrund af den udarbejdede risikoanalyse og konsekvensanalyse definerer vi, hvilket sikkerhedsniveau og hvilke sikkerhedstiltag, der skal være implementeret for at sikre et tilstrækkeligt beskyttelsesniveau, når vi behandler personoplysninger.

I den forbindelse overvejer vi følgende forhold:

  • Brugen af pseudonymisering, kryptering og anonymisering.
  • Sikring af fortrolighed og integritet.
  • Systemernes tilgængelighed og modstandsdygtighed (robusthed).
  • Muligheden for at kunne genskabe tilgængelighed og adgang til behandlede personoplysninger inden rimelig tid (backup).
  • De identificerede risici, som behandling af personoplysninger indebærer, såsom hændelig eller ulovlig tilintetgørelse, tab, ændring eller uautoriseret videregivelse af eller adgang til de behandlede personoplysninger, som kan føre til fysisk, materiel eller immateriel skade.

Vi revurderer løbende proceduren for sikkerhedstiltag, og ved ændringer testes og evalueres sikkerheden, for at sikre at sikkerhedsniveauet fortsat er tilstrækkeligt.

18.2. Privacy by design/default

Vi sikrer os, at løsninger, der anvendes til behandling af personoplysninger, er designet, således at de reducerer graden af indgriben i den registreredes privatliv.

Endvidere sikrer vi, at løsninger, der anvendes til behandling af personoplysninger, har sikkerhedsindstillingerne slået til som standard, således at der ikke indhentes eller behandles flere personoplysninger, end hvad der er nødvendig til behandlingens formål, samt at personoplysninger ikke opbevares i længere tid end nødvendigt.

Herudover sikrer vi, at personoplysninger ikke stilles til rådighed for andre, uden der har været en fysisk person involveret, hvilket betyder, at udlevering af personoplysninger til andre ikke må ske automatisk, fx som følge af en proces.

Kravene, der sikrer tilstrækkelig behandlingssikkerhed af personoplysninger, er uddybet i ”Retningslinje om behandlingssikkerhed af personoplysninger”.

19. Brud på persondatasikkerheden

Formålet er at sikre, at brud på persondatasikkerheden håndteres korrekt, herunder at der sker anmeldelse til Datatilsynet, og at den registrerede underrettes, såfremt bruddet har høj konsekvens for den registrerede.

Persondataforordningens artikel 33 og 34

19.1. Anmeldelse til Datatilsynet

Såfremt der skulle ske et brud på persondatasikkerheden, anmelder vi det uden unødig forsinkelse og senest 72 timer, efter vi har opdaget det, til Datatilsynet. Hvis det er usandsynligt, at bruddet indebærer en risiko for de registreredes rettigheder eller frihedsrettigheder, er vi ikke forpligtet til at anmelde det.

19.2. Underretning til den registrerede

Hvis bruddet sandsynligvis vil indebære høj risiko for de registreredes rettigheder eller frihedsrettigheder, underretter vi endvidere de registrerede om bruddet uden unødig forsinkelse og oplyser om, hvad konsekvensen for dem er.

Kravene, der sikrer en korrekt håndtering af brud på persondatasikkerheden er uddybet i ”Retningslinje om brud på persondatasikkerheden”.

20. Persondatakoordinator (PDK)

Formålet er, at der er udpeget en person, der har opgaven med at udarbejde politik og retningslinjer, kommunikere disse og medvirke til implementering heraf.

Collectia er i henhold til de gældende regler ikke forpligtet til at udpege en databeskyttelsesrådgiver. Men idet vi tager ansvar for behandlingen af personoplysninger, har vi valgt at udpege et PDK-team. PDK-teamet har ansvaret for at sikre, at Collectia er bekendt med og overholder de til en hver tid gældende regler på persondatabeskyttelsesområdet. PDK-teamet har derudover det overordnede ansvar for, at de nødvendige politikker og retningslinjer er udarbejdet, kommunikeret og implementeret i Collectia.

Medarbejdere, der er i tvivl om indholdet i denne persondatapolitik eller retningslinjerne, herunder hvordan personoplysninger skal behandles, hvordan de registreredes rettigheder skal efterleves eller lign., skal til enhver tid kontakte PDK-teamet. PDK-teamet kan desuden deltage som specialist i projekter med personoplysninger.

Kontaktoplysninger til PDK:

Navn: GDPR Team (Mogens Pedersen, Charlotte Møller, Nanna Fabild, Tan Møhl-Hansen og Julie Boldsen)

E-mail: gdpr@collectia.dk

Telefonnr.: 77 30 14 00

PDK-teamets rolle, herunder opgaver og ansvar er uddybet i ”Retningslinje om PDK”.

21. Kontakten til Datatilsynet

Formålet er at sikre, at eventuelle tilsyn og henvendelser fra Datatilsynet håndteres korrekt, herunder at Datatilsynet får den rette dokumentation.

Persondataforordningens kapitel VI

Såfremt Datatilsynet skulle foretage tilsyn eller rette henvendelse til Collectia, sikrer det øverste ledelsesniveau, at de får den efterspurgte og rette information, herunder fortegnelserne over behandlingsaktiviteter.

Endvidere sikrer vi, at vi til enhver tid overholder de tidsfrister, som Datatilsynet måtte stille i forbindelse med et tilsyn eller en henvendelse.

Hvis du ønsker at klage til datatilsynet, kan de kontaktes her; https://www.datatilsynet.dk/generelt-om-databeskyttelse/klage-til-datatilsynet/ .