Cookie- og privatlivspolitik for SOS VIKAR A/S

Her kan du læse vores formål med en cookie- og privatlivspolitik samt hvordan vi anvender data i SOS VIKAR A/S. God læselyst.

Forord

Den 25. maj 2018 trådte Databeskyttelsesforordningen i kraft.
Den bliver populært kaldet Persondataforordningen eller GDPR efter det engelske navn: General Data Protection Regulation.

Forordningen udgør sammen med supplerende dansk lovgivning og vejledninger nu den samlede lovpallet.
Som noget nyt skal vi fremover dokumentere skriftligt, hvordan vi overholder loven.

Vi har derfor samlet overvejelser, procedurer og interne regler for, hvordan vi indsamler, håndterer, anonymiserer og sletter data i denne vejledning.

Ordforklaring

Har du svært ved at holde styr på de mange udtryk omkring persondata, så er her en hjælpende hånd:

  • Den registrerede: Den person, som vi behandler oplysninger om. De registrerede kan f.eks. være vikarer, kunder eller medarbejdere.
  • Personoplysninger: Enhver form for oplysning, som direkte eller indirekte kan bruges til at identificere dig.
  • Behandling: Er den aktivitet eller de aktiviteter, som sker med personoplysninger. Enhver anvendelse af personoplysninger, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse.
  • Dataansvarlig: Den person eller offentlige myndighed der afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger. F.eks. SOS Vikar A/S og SKAT.
  • Databehandler: Den person eller offentlige myndighed, der behandler personoplysninger på den dataansvarliges vegne. F.eks. kunder og SKAT.

Har du spørgsmål til indhold og brug af vores vejledning, er du velkommen til at kontakte vores Dataansvarlig Lene Hansen på tlf. nr. 55 77 82 08 eller på mail lh@sosvikar.dk

Du kan læse mere om dine rettigheder på Datatilsynets hjemmeside Vejledningen om de registreredes rettigheder

God læselyst!

Om: Følsomme personoplysninger

Det siger reglerne
En oplysning er følsom, hvis den ikke egner sig til offentligt kendskab. Det gælder:

  • Helbred
  • Religion/filosofisk overbevisning
  • Seksualitet
  • Etnicitet
  • Politisk overbevisning
  • Fagforeningsmæssige tilhørsforhold
  • Strafbare forhold (grænseland)
  • Væsentlige sociale problemer
  • Interne familieforhold (fx stridigheder, selvmordsforsøg og ulykkestilfælde)

Herudover kan oplysninger om indtægts- og formueforhold, arbejds-, uddannelses- og ansættelsesmæssige forhold også være fortrolige. Adgang til at indhente og behandle følsomme oplysninger er mere restriktiv end ved almindelige personoplysninger.

Personfølsomme oplysninger: Sådan gør vi
Når du afleverer personfølsomme data til SOS VIKAR, bliver de opbevaret og behandlet med stor omhu.
Vi indhenter kun de oplysninger, vi har behov og hjemmel for.
SOS VIKAR videregiver kun dine personfølsomme oplysninger i forbindelse med lovpligtig indberetning (Fx lønbehandling)
SOS VIKAR indhenter kun personfølsomme oplysninger i forbindelse med lovpligtig indberetning Fx oplysninger fra SKAT vedr. fradrag og trækprocent

Strafbare forhold

Det siger reglerne
Oplysninger om strafbare forhold anses efter Persondataforordningen for almindelige personoplysninger og er særskilt reguleret i databeskyttelsesloven.

Strafbare forhold: Sådan gør vi
Du kan opleve, at vi beder om lov til indhentning af straffeattest og eller børneattest.
Det foregår alene med din accept, og de indsamlede oplysninger behandles på lige fod med andre personfølsomme data.

Almindelige personoplysninger

Det siger reglerne Almindelige personoplysninger kan være identifikationsoplysninger som f.eks. navn og adresse, oplysninger om økonomi, skat, gæld væsentlige sociale problemer, kundeforhold, familieforhold, tjenstlige forhold, bolig, ansøgning og CV.

Almindelige oplysninger: Sådan gør vi
SOS Vikar A/S har fokus på, hvorvidt almindelige personoplysninger kan kobles til følsomme oplysninger. I sådanne situationer behandles personoplysninger på lige fod med personfølsomme oplysninger.

Behandling af oplysninger

Det siger reglerne Begrebet ”behandling” omfatter enhver form for indsamling, registrering, systematisering, opbevaring, søgning, brug/analyse, videregivelse, samkørsels og/eller sletning af oplysninger. Behandling kan også være offentliggørelse af oplysninger på en hjemmeside eller registrering af oplysninger i et elektronisk sags- og dokumenthåndteringssystem.

Sådan gør vi
Følsomme oplysninger må ikke fremgå af Outlook i mere end 30 dage. Når mails med følsomme oplysninger modtages (via sikker e-post), gemmes data på de relevante placerin¬ger. Ved oprydning i Outlook kontrollerer vi både indbakke, udgående mails og arkivmapper for korrespondance indehol-dende følsomme oplysninger. Herefter slettes mail fra postkasse, og slettet post tømmes. Generelle oplysninger, som let kan kobles med følsomme oplysninger, behandles som værende følsomme. Der må ikke gemmes følsomme oplysninger i åbne mapper på dokumentdrev. Følsomme oplysninger der skal være til rådighed for at varetage en bestemt opgave, gemmes på Teamets lukkede MS Teamsite.

Når man behandler personoplysninger, skal man overholde følgende grundlæggende principper:

  • Lovlighed, rimelighed og gennemsigtighed: Man skal overholde reglerne for behandling af oplysninger og give let tilgængelig information om denne behandling. Det betyder blandt andet, at den person, der behandles oplysninger om, som udgangspunkt skal have oplyst, hvem der er ansvarlig og hvad der er formålet med databehandlingen.
  • Formålsbegrænsning: Man skal sikre sig, at alle oplysninger kun bliver indsamlet til saglige formål. Der må ikke indsamles oplysninger med den begrundelse, at det måske senere kan vise sig nyttigt at have oplysningerne.
  • En vurdering heraf foretages blandt andet ved at bedømme, om indsamlingen sker i forbindelse med løsningen af en opgave, som man som myndighed skal løse.
  • Dataminimering: Behandlingen af personoplysninger skal begrænses til det, der er nødvendigt for at opfylde formålet.
  • Rigtighed: Oplysningerne skal være rigtige og ajourførte, og hvis oplysningerne viser sig at være urigtige, skal de som udgangspunkt slettes eller berigtiges.
  • Opbevaringsbegrænsning: Personoplysninger skal slettes eller gøres anonyme, når det ikke længere er nødvendigt for den dataansvarlige at have oplysningerne.
  • Integritet og fortrolighed: Oplysninger skal beskyttes mod uautoriseret eller ulovlig databehandling, ligesom det skal sikres, at oplysninger ikke går tabt eller bliver beskadiget. Dette sikres bl.a. gennem adgangskontrol til systemer og backup af data.

Hjemmel til indsamling og behandling af personoplysninger

Det siger reglerne
Persondataforordningen nævner en række betingelser for, at man lovligt kan behandle personoplysninger.
Det skal f.eks. være tydeligt, hvem der har hjemmel til at indsamle og efterfølgende behandle data.

Der skelnes mellem tre former for hjemmel:

  • Hjemmel via lov.
  • Hjemmel via myndighedsudøvelse.
  • Hjemmel via samtykke.

Hvis man behandler personoplysninger, er man ”dataansvarlig” eller ”databehandler”, alt efter hvilken rolle man har. Og ens hjemmel afhænger af hvilken type oplysninger, der er tale om og af hvorfor oplysningerne skal behandles.

Ved følsomme personoplysninger
Særlige kategorier af følsomme personoplysninger kan behandles uden samtykke, hvis den registrerede tydeligt selv har offentliggjort samme oplysninger på forhånd.
Særlige kategorier af følsomme oplysninger kan desuden behandles, hvis det er nødvendigt af hensyn til:

  • Den dataansvarliges eller den registreredes arbejds-, sundheds-, og socialretlige forpligtelser og rettigheder.
  • Den registreredes eller en anden fysisk persons vitale interesser, hvis det er umuligt at give samtykke.
  • En politisk, filosofisk, religiøs eller fagforeningsmæssig non-profit organisations behandling af medlemsoplysninger eller regelmæssige kontaktoplysninger. (Omfatter ikke videregivelse uden for organisationen).
  • Et retskravs fastlæggelse eller behandling.
  • Væsentlige samfundsinteresser.
  • Behandling af sundhedsfaglig karakter inden for sundhedssektoren.

Behandling til arkiv, videnskabelige eller historiske forskningsformål eller til statistiske formål.

Sådan gør vi
Når du fremsender personfølsomme data til SOS VIKAR elektronisk (mail) eller på papir, bliver dine oplysninger registreret, og opbevaret sikkert i brugerbegrænset elektronisk miljø eller i aflåst skab.
Oplysningerne er kun til rådighed for de personer, der skal behandle din henvendelse.
Færdigbehandlede mails fjernes fra indgående postkasse senest næst følgende arbejdsdag.
Fremsendt papir behandles og makuleres i sikkert miljø, samme dag de modtages.

Dine data slettes, når de ikke længere er aktuelle for behandling af din henvendelse. Hvis der er lovpligtig hjemmel for at opbevare dine fremsendte data, bliver dette gjort sikkert og med hensyn til dine rettigheder iflg. GDPR.

Ved strafbare forhold og CPR-numre
Oplysninger om strafbare forhold og CPR må ikke behandles, med mindre det er nødvendigt for at varetage en myndigheds opgave.
Oplysningerne må heller ikke videregives, medmindre:

  • Den registrerede har givet sit udtrykkelige samtykke til videregivelsen.
  • Videregivelsen sker for at varetage private eller offentlige interesser, der klart overstiger hensynet til de interesser, der begrunder hemmeligholdelse, herunder hensynet til den, oplysningen angår.
  • Videregivelsen er nødvendig for at udføre en myndigheds virksomhed eller påkrævet for en afgørelse, som myndigheden skal træffe.
  • Videregivelse er nødvendig for at udføre en persons eller virksomheds opgaver for det offentlige.

Offentlige myndigheder kan behandle oplysninger om CPR med henblik på en entydig identifikation eller som journalnummer.
CPR-numre må ikke offentliggøres, medmindre der er givet samtykke.

Ved almindelige personoplysninger
Almindelige personoplysninger kan behandles uden samtykke, hvis det er nødvendigt af hensyn til:

  • En kontrakt.
  • Den dataansvarliges retlige forpligtelser.
  • Den registreredes eller en anden persons vitale interesser.
  • En opgave i samfundets interesse eller offentlig myndighedsudøvelse.
  • En legitim interesse, som ikke overgås af den registreredes interesser eller rettigheder.

Det sidste punkt gælder ikke for offentlige myndigheders behandling af personoplysninger, og bør som oftest ikke anvendes ved behandling af personoplysninger om børn.

Samtykke

SOS Vikar A/S anvender altid skriftligt samtykke, for at vi kan efterleve kravet om dokumentation.
SOS Vikar A/S opbevarer alle følsomme data på sikre servere eller på andet lovmæssigt opbevarings sted, som kun kan tilgås af medarbejdere med godkendelse.

Data, som skal ses af 3. part uden for huset, leveres altid i lukket system og kan kun ses i det tidsrum, som modtager (3. part) har hjemmel for det – derefter vil data blive slettes igen.

Samtykke ved børn

Det siger reglerne
Som udgangspunkt skal børn være over 15 år, før de kan give samtykke selv. Det afhænger dog altid af en vurdering af modenhed og om der arbejdes efter serviceloven eller sundhedsloven.
Hvis børn og unge ikke selv kan give samtykke, skal deres forældre give samtykke.
Dog må sundhedsplejersker gerne tale med yngre børn uden deres forældres samtykke.

Sådan gør vi
I situationer, hvor vi behandler og indsamler personfølsomme data på børn under 15 år, indhenter vi samtykke fra forældrene.
Børn fra 16-17 år giver selv samtykke, men ofte indhenter vi forældrenes samtykke også. Ved tvivl tager vi en jurist med på råd.
I nogle situationer, er det den kunde vi arbejder for, der har indhentet samtykke.
Vi har naturligvis tavshedspligt i forhold til de oplysninger vi kommer i besiddelse af en sådan situation.

Databehandleraftaler

Det siger reglerne
Der skal indgås databehandleraftaler med de data-behandlere, som behandler personoplysninger på den dataansvarliges vegne. I Persondataforordningen er der nye krav til Databehandleraftalerne (Artikel 28 stk. 3).

Sådan gør vi
SOS VIKAR A/S indhenter/ udarbejder databehandleraftaler i alle tilfælde, hvor data bliver behandlet i en anden organisation, end den der har det juridiske ansvar/er dataansvarlig.

SOS Vikar A/S har indgået databehandleraftaler med bl.a.:

  • Temponizer ApS
  • XDC Gruppe A/S
  • Ipvision A/S
  • IT-terminalen ApS
  • Nymannn HR
  • NemTilmeld ApS
  • Sherlock ApS
  • Fjernarkiv Danmark ApS

SOS VIKAR A/S er kritisk i forhold til valg af samarbejdspartnere, og indgår kun samarbejde med anerkendte virksomheder, der kan fremlægge dokumentation for korrekt håndtering af de data vi skal dele.

Ved brug af eksterne data-behandlere er vi forpligtet til at kontrollere, at de eksterne databehandlere overholder lovgivningen, og er derfor meget opmærksomme på det. SOS VIKAR A/S er i dialog med vores eksterne databehandlere mindst én gang om året.
Vi modtager kopi af Internationale standarderklæringer som fx ISAE 3402 og ISAE 3000 fra vores to største samarbejdspartnere.

Formålsbegrænsning

Det siger reglerne
Ifølge Persondatabeskyttelsesforordningens §10 skal der være et specifikt formål med at indhente oplysninger/data, og efterfølgende må disse oplysninger/data kun bruges til det indsamlede formål.

Sådan gør vi
Vikar: SOS VIKAR A/S indhenter kun de data, der er nødvendige for lønadministration og andre lovpligtige indberetninger som følge heraf samt til faglig og personlig dokumentation over for kunden, der køber din arbejdskraft.

Fast ansat:
SOS VIKAR A/S indhenter data til brug for lønadministration og lovpligtig indberetning som følge heraf samt data, der sikrer, at dit ansættelsesforhold kan opretholdes på det niveau SOS VIKAR A/S har behov for i forhold til fx.strategi og markedsføring. (Se personalehåndbog, der udleveres før ansættelse.)
Du kan også altid læse om disse data i din ansættelseskontrakt og i tillæg til denne.

Kunde (Privat):
SOS VIKAR A/S indhenter kun de data, der er nødvendige for at tilbyde den korrekte hjælp og pleje i den aftalte situation.

Kunde (Offentlig):
SOS VIKAR A/S indhenter Navn og arbejdsgiver administreret mailadresse på brugere i vores registreringssystem Temponizer.
Disse data slettes ved henvendelse eller ved inaktivitet i 3 måneder.
I det omfang navn og mailadresse har været anvendt til bestilling af vikarer, vil disse fremgå af vagten, så længe der er hjemmel for at opbevare den.

SOS Vikar A/S videregiver eller anvender ikke data/oplysninger, der er indsamlet til ét projekt til andre projekter uden forudgående ansøgning og godkendelse.

Opbevaring, behandling og deling af personoplysninger hos SOS Vikar A/S

Det siger reglerne
Vi skal kunne dokumentere overfor Datatilsynet, at vi har sikret data/personoplysninger med passende tekniske og organisatoriske foranstaltninger, så utilsigtede og/eller ulovlige behandlinger undgås. Reglerne for opbevaring af data varierer alt efter typen af data (se definition af data).

Cloud-løsninger:
Hos SOS Vikar A/S benytter vi forskellige Cloud-løsningen

Temponizer ApS:
SOS VIKAR benytter Temponizer APS som samarbejdspartner i forhold til booking og registreringssystem. Temponizer er et webbaseret booking- og administrationssystem der tilgås via tildelt brugerrettighed.

XDC Gruppen A/S:
SOS VIKAR har hostingaftale med XDC Gruppen. Aftalen omfatter:

  • Hosting
  • Fjernskrivebord
  • Mail (Office365)*
  • Backup
  • Overvågning
  • Adgang til 24/7 365support
  • Egen virtuel dedikeret server
  • SSD storage rack
  • *Fra Office365 benyttes ud over Outlook, Teamsits og SharePoint til fildeling og filopbevaring.
  • XDC Gruppen er et moderne IT-hus.

IT-terminalen:
SOS VIAKR bruger C5 økonomisystem til bogføring samt aflønning af faste medarbejdere IT-terminalen leverer support og XDC-gruppen leverer adgang til Økonomisystemet

Deltaplan:
SOS VIKAR benytter Deltaplan til vagtplanlægning for vores fastansatte personaler.
Deltaplan er et webbaseret vagtplansystem med tildelt brugerrettigheder.

NemTilmeld:
SOS VIKAR benytte NemTilmeld til administration af kurser og arrangementer NemTilmeld er et webbaseretsystem, der hjælper med at samle og håndtere mange af de opgaver, der har med tilmelding og håndtering af arrangementer at gøre.

Oplysningerne på papir
SOS Vikar A/S arbejder hen mod at være 100 % digitale.
Vi har enkelte arbejdsopgaver, hvor der indgår dokumenter med personfølsomme oplysninger. I perioden hvor opgaven er aktiv, er dokumenter med følsomme oplysninger låst inde i et sikret skab, når der ikke arbejdes på sagen.
Når opgaven er fuldført, makuleres dokumenterne straks, eller sendes til opbevaring på et sikkert fjernarkiv. (SOS VIAKR benytter Fjernarkiv Danmark ApS)

Sikker E-mail
SOS VIKAR sender krypteret mail via Office365 og via vores digitale e-postkasse

Databearbejdning i statistikprogrammer
(Temponizer/Sherlock)
SOS Vikar benytter de ovenfor nævnte programmer til at analysere data.
Disse programmer beholder dataene bag koder og der arbejdes direkte i programmerne. Hvis det er nødvendigt at trække resultatet af analysen ud af programmet, vil disse blive slettet straks efter afslutning af projektet.

Sociale medier
SOS Vikar A/S benytter sociale medier til information og annoncering.
Vi benytter ikke sociale medier til formidling af personfølsomme data uden de medvirkendes samtykke.

Facebook:
SOS VIKAR vi har en virksomhedsside, der benyttes til information og virksomhedens daglige aktiviteter, kurser og jobannoncer.
SOS VIKAR opretter ikke lukkede grupper, og kan derfor ikke tage ansvar for grupper der oprettes og administreres i vores navn uden vores viden og deltagelse.

Instagram:
Benyttes til at vise vores faste medarbejderes daglige aktiviteter.
Følgende er SOS Vikar A/S retningslinjer for brug af billeder og film på de sociale medier:

  • Stemningsbilleder og film af borgere/brugere (f.eks. ved en event eller konference) må behandles frit, hvis blot deltagerne har fået en generel information om, at der vil blive taget billeder/film. F.eks. med et skilt ved indgangen eller som tekst i en invitation forud for den enkelte event).
  • Billeder, film og beskrivelser hvor det enkelte individ udgør den primære del af et foto/film, kræver tydeligt samtykke, hvor det præciseres hvad billederne må bruges til og hvor længe.
  • Billeder af medarbejdere (ansat internt i huset) deles frit, under forudsætning af skriftligt samtykke ved ansættelse. Hvis samtykket skal trækkes tilbage, er det medarbejderens ansvar at give besked til resten af SOS Vikar A/S

Egenkontrol

Det siger reglerne
I Persondataforordningen skal dataansvarlige foretage og dokumentere egenkontrol af både egen praksis samt af eksterne data-behandlere.

Sådan gør vi:
Eksterne data behandlere:
SOS Vikar A/S sikrer sig 1 gang om året, at vores leverandører lever op til de forhold, der er beskrevet i de respektive databehandleraftaler.

Vores to største datasamarbejdspartnere er certificeret, og herfra modtager vi bevis for fornyelse af denne efter årlig audit.

Interne arbejdsgange:
SOS Vikar A/S har nedsat en GDPR-gruppe, bestående af en repræsentant fra hver enkelt afdeling mhp. at gennemgå udførelsen og overholdelsen af GDPR i SOS VIKAR.
Der afholdes månedlige møder, hvor hverdagens GDPR relaterede opgaver kortlægges og korrekte arbejdsgange beskrives og besluttes.

Eksisterende procedurer gennemgås ved aktuelle ændringer og ellers hv. 6. måned, og de enkelte afdelinger laver risikoanalyser.

Dette, skal på sigt, sikres via dokumenthåndtering i Sherlock.

Privatlivspolitik SOS Vikar

Forord

Den 25. maj 2018 trådte Databeskyttelsesforordningen i kraft.
Den bliver populært kaldet Persondataforordningen eller GDPR efter det engelske navn: General Data Protection Regulation.

Forordningen udgør sammen med supplerende dansk lovgivning og vejledninger nu den samlede lovpallet.
Som noget nyt skal vi fremover dokumentere skriftligt, hvordan vi overholder loven.

Vi har derfor samlet overvejelser, procedurer og interne regler for, hvordan vi indsamler, håndterer, anonymiserer og sletter data i denne vejledning.

Ordforklaring

Har du svært ved at holde styr på de mange udtryk omkring persondata, så er her en hjælpende hånd:

  • Den registrerede: Den person, som vi behandler oplysninger om. De registrerede kan f.eks. være vikarer, kunder eller medarbejdere.
  • Personoplysninger: Enhver form for oplysning, som direkte eller indirekte kan bruges til at identificere dig.
  • Behandling: Er den aktivitet eller de aktiviteter, som sker med personoplysninger. Enhver anvendelse af personoplysninger, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse.
  • Dataansvarlig: Den person eller offentlige myndighed der afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger. F.eks. SOS Vikar A/S og SKAT.
  • Databehandler: Den person eller offentlige myndighed, der behandler personoplysninger på den dataansvarliges vegne. F.eks. kunder og SKAT.

Har du spørgsmål til indhold og brug af vores vejledning, er du velkommen til at kontakte vores Dataansvarlig Lene Hansen på tlf. nr. 55 77 82 08 eller på mail lh@sosvikar.dk

Du kan læse mere om dine rettigheder på Datatilsynets hjemmeside Vejledningen om de registreredes rettigheder

God læselyst!

Om: Følsomme personoplysninger

Det siger reglerne
En oplysning er følsom, hvis den ikke egner sig til offentligt kendskab. Det gælder:

  • Helbred
  • Religion/filosofisk overbevisning
  • Seksualitet
  • Etnicitet
  • Politisk overbevisning
  • Fagforeningsmæssige tilhørsforhold
  • Strafbare forhold (grænseland)
  • Væsentlige sociale problemer
  • Interne familieforhold (fx stridigheder, selvmordsforsøg og ulykkestilfælde)

Herudover kan oplysninger om indtægts- og formueforhold, arbejds-, uddannelses- og ansættelsesmæssige forhold også være fortrolige. Adgang til at indhente og behandle følsomme oplysninger er mere restriktiv end ved almindelige personoplysninger.

Personfølsomme oplysninger: Sådan gør vi
Når du afleverer personfølsomme data til SOS VIKAR, bliver de opbevaret og behandlet med stor omhu.
Vi indhenter kun de oplysninger, vi har behov og hjemmel for.
SOS VIKAR videregiver kun dine personfølsomme oplysninger i forbindelse med lovpligtig indberetning (Fx lønbehandling)
SOS VIKAR indhenter kun personfølsomme oplysninger i forbindelse med lovpligtig indberetning Fx oplysninger fra SKAT vedr. fradrag og trækprocent

Strafbare forhold

Det siger reglerne
Oplysninger om strafbare forhold anses efter Persondataforordningen for almindelige personoplysninger og er særskilt reguleret i databeskyttelsesloven.

Strafbare forhold: Sådan gør vi
Du kan opleve, at vi beder om lov til indhentning af straffeattest og eller børneattest.
Det foregår alene med din accept, og de indsamlede oplysninger behandles på lige fod med andre personfølsomme data.

Almindelige personoplysninger

Det siger reglerne Almindelige personoplysninger kan være identifikationsoplysninger som f.eks. navn og adresse, oplysninger om økonomi, skat, gæld væsentlige sociale problemer, kundeforhold, familieforhold, tjenstlige forhold, bolig, ansøgning og CV.

Almindelige oplysninger: Sådan gør vi
SOS Vikar A/S har fokus på, hvorvidt almindelige personoplysninger kan kobles til følsomme oplysninger. I sådanne situationer behandles personoplysninger på lige fod med personfølsomme oplysninger.

Behandling af oplysninger

Det siger reglerne Begrebet ”behandling” omfatter enhver form for indsamling, registrering, systematisering, opbevaring, søgning, brug/analyse, videregivelse, samkørsels og/eller sletning af oplysninger. Behandling kan også være offentliggørelse af oplysninger på en hjemmeside eller registrering af oplysninger i et elektronisk sags- og dokumenthåndteringssystem.

Sådan gør vi
Følsomme oplysninger må ikke fremgå af Outlook i mere end 30 dage. Når mails med følsomme oplysninger modtages (via sikker e-post), gemmes data på de relevante placerin¬ger. Ved oprydning i Outlook kontrollerer vi både indbakke, udgående mails og arkivmapper for korrespondance indehol-dende følsomme oplysninger. Herefter slettes mail fra postkasse, og slettet post tømmes. Generelle oplysninger, som let kan kobles med følsomme oplysninger, behandles som værende følsomme. Der må ikke gemmes følsomme oplysninger i åbne mapper på dokumentdrev. Følsomme oplysninger der skal være til rådighed for at varetage en bestemt opgave, gemmes på Teamets lukkede MS Teamsite.

Når man behandler personoplysninger, skal man overholde følgende grundlæggende principper:

  • Lovlighed, rimelighed og gennemsigtighed: Man skal overholde reglerne for behandling af oplysninger og give let tilgængelig information om denne behandling. Det betyder blandt andet, at den person, der behandles oplysninger om, som udgangspunkt skal have oplyst, hvem der er ansvarlig og hvad der er formålet med databehandlingen.
  • Formålsbegrænsning: Man skal sikre sig, at alle oplysninger kun bliver indsamlet til saglige formål. Der må ikke indsamles oplysninger med den begrundelse, at det måske senere kan vise sig nyttigt at have oplysningerne.
  • En vurdering heraf foretages blandt andet ved at bedømme, om indsamlingen sker i forbindelse med løsningen af en opgave, som man som myndighed skal løse.
  • Dataminimering: Behandlingen af personoplysninger skal begrænses til det, der er nødvendigt for at opfylde formålet.
  • Rigtighed: Oplysningerne skal være rigtige og ajourførte, og hvis oplysningerne viser sig at være urigtige, skal de som udgangspunkt slettes eller berigtiges.
  • Opbevaringsbegrænsning: Personoplysninger skal slettes eller gøres anonyme, når det ikke længere er nødvendigt for den dataansvarlige at have oplysningerne.
  • Integritet og fortrolighed: Oplysninger skal beskyttes mod uautoriseret eller ulovlig databehandling, ligesom det skal sikres, at oplysninger ikke går tabt eller bliver beskadiget. Dette sikres bl.a. gennem adgangskontrol til systemer og backup af data.

Hjemmel til indsamling og behandling af personoplysninger

Det siger reglerne
Persondataforordningen nævner en række betingelser for, at man lovligt kan behandle personoplysninger.
Det skal f.eks. være tydeligt, hvem der har hjemmel til at indsamle og efterfølgende behandle data.

Der skelnes mellem tre former for hjemmel:

  • Hjemmel via lov.
  • Hjemmel via myndighedsudøvelse.
  • Hjemmel via samtykke.

Hvis man behandler personoplysninger, er man ”dataansvarlig” eller ”databehandler”, alt efter hvilken rolle man har. Og ens hjemmel afhænger af hvilken type oplysninger, der er tale om og af hvorfor oplysningerne skal behandles.

Ved følsomme personoplysninger
Særlige kategorier af følsomme personoplysninger kan behandles uden samtykke, hvis den registrerede tydeligt selv har offentliggjort samme oplysninger på forhånd.
Særlige kategorier af følsomme oplysninger kan desuden behandles, hvis det er nødvendigt af hensyn til:

  • Den dataansvarliges eller den registreredes arbejds-, sundheds-, og socialretlige forpligtelser og rettigheder.
  • Den registreredes eller en anden fysisk persons vitale interesser, hvis det er umuligt at give samtykke.
  • En politisk, filosofisk, religiøs eller fagforeningsmæssig non-profit organisations behandling af medlemsoplysninger eller regelmæssige kontaktoplysninger. (Omfatter ikke videregivelse uden for organisationen).
  • Et retskravs fastlæggelse eller behandling.
  • Væsentlige samfundsinteresser.
  • Behandling af sundhedsfaglig karakter inden for sundhedssektoren.

Behandling til arkiv, videnskabelige eller historiske forskningsformål eller til statistiske formål.

Sådan gør vi
Når du fremsender personfølsomme data til SOS VIKAR elektronisk (mail) eller på papir, bliver dine oplysninger registreret, og opbevaret sikkert i brugerbegrænset elektronisk miljø eller i aflåst skab.
Oplysningerne er kun til rådighed for de personer, der skal behandle din henvendelse.
Færdigbehandlede mails fjernes fra indgående postkasse senest næst følgende arbejdsdag.
Fremsendt papir behandles og makuleres i sikkert miljø, samme dag de modtages.

Dine data slettes, når de ikke længere er aktuelle for behandling af din henvendelse. Hvis der er lovpligtig hjemmel for at opbevare dine fremsendte data, bliver dette gjort sikkert og med hensyn til dine rettigheder iflg. GDPR.

Ved strafbare forhold og CPR-numre
Oplysninger om strafbare forhold og CPR må ikke behandles, med mindre det er nødvendigt for at varetage en myndigheds opgave.
Oplysningerne må heller ikke videregives, medmindre:

  • Den registrerede har givet sit udtrykkelige samtykke til videregivelsen.
  • Videregivelsen sker for at varetage private eller offentlige interesser, der klart overstiger hensynet til de interesser, der begrunder hemmeligholdelse, herunder hensynet til den, oplysningen angår.
  • Videregivelsen er nødvendig for at udføre en myndigheds virksomhed eller påkrævet for en afgørelse, som myndigheden skal træffe.
  • Videregivelse er nødvendig for at udføre en persons eller virksomheds opgaver for det offentlige.

Offentlige myndigheder kan behandle oplysninger om CPR med henblik på en entydig identifikation eller som journalnummer.
CPR-numre må ikke offentliggøres, medmindre der er givet samtykke.

Ved almindelige personoplysninger
Almindelige personoplysninger kan behandles uden samtykke, hvis det er nødvendigt af hensyn til:

  • En kontrakt.
  • Den dataansvarliges retlige forpligtelser.
  • Den registreredes eller en anden persons vitale interesser.
  • En opgave i samfundets interesse eller offentlig myndighedsudøvelse.
  • En legitim interesse, som ikke overgås af den registreredes interesser eller rettigheder.

Det sidste punkt gælder ikke for offentlige myndigheders behandling af personoplysninger, og bør som oftest ikke anvendes ved behandling af personoplysninger om børn.

Samtykke

SOS Vikar A/S anvender altid skriftligt samtykke, for at vi kan efterleve kravet om dokumentation.
SOS Vikar A/S opbevarer alle følsomme data på sikre servere eller på andet lovmæssigt opbevarings sted, som kun kan tilgås af medarbejdere med godkendelse.

Data, som skal ses af 3. part uden for huset, leveres altid i lukket system og kan kun ses i det tidsrum, som modtager (3. part) har hjemmel for det – derefter vil data blive slettes igen.

Samtykke ved børn

Det siger reglerne
Som udgangspunkt skal børn være over 15 år, før de kan give samtykke selv. Det afhænger dog altid af en vurdering af modenhed og om der arbejdes efter serviceloven eller sundhedsloven.
Hvis børn og unge ikke selv kan give samtykke, skal deres forældre give samtykke.
Dog må sundhedsplejersker gerne tale med yngre børn uden deres forældres samtykke.

Sådan gør vi
I situationer, hvor vi behandler og indsamler personfølsomme data på børn under 15 år, indhenter vi samtykke fra forældrene.
Børn fra 16-17 år giver selv samtykke, men ofte indhenter vi forældrenes samtykke også. Ved tvivl tager vi en jurist med på råd.
I nogle situationer, er det den kunde vi arbejder for, der har indhentet samtykke.
Vi har naturligvis tavshedspligt i forhold til de oplysninger vi kommer i besiddelse af en sådan situation.

Databehandleraftaler

Det siger reglerne
Der skal indgås databehandleraftaler med de data-behandlere, som behandler personoplysninger på den dataansvarliges vegne. I Persondataforordningen er der nye krav til Databehandleraftalerne (Artikel 28 stk. 3).

Sådan gør vi
SOS VIKAR A/S indhenter/ udarbejder databehandleraftaler i alle tilfælde, hvor data bliver behandlet i en anden organisation, end den der har det juridiske ansvar/er dataansvarlig.

SOS Vikar A/S har indgået databehandleraftaler med bl.a.:

  • Temponizer ApS
  • XDC Gruppe A/S
  • Ipvision A/S
  • IT-terminalen ApS
  • Nymannn HR
  • NemTilmeld ApS
  • Sherlock ApS
  • Fjernarkiv Danmark ApS

SOS VIKAR A/S er kritisk i forhold til valg af samarbejdspartnere, og indgår kun samarbejde med anerkendte virksomheder, der kan fremlægge dokumentation for korrekt håndtering af de data vi skal dele.

Ved brug af eksterne data-behandlere er vi forpligtet til at kontrollere, at de eksterne databehandlere overholder lovgivningen, og er derfor meget opmærksomme på det. SOS VIKAR A/S er i dialog med vores eksterne databehandlere mindst én gang om året.
Vi modtager kopi af Internationale standarderklæringer som fx ISAE 3402 og ISAE 3000 fra vores to største samarbejdspartnere.

Formålsbegrænsning

Det siger reglerne
Ifølge Persondatabeskyttelsesforordningens §10 skal der være et specifikt formål med at indhente oplysninger/data, og efterfølgende må disse oplysninger/data kun bruges til det indsamlede formål.

Sådan gør vi
Vikar: SOS VIKAR A/S indhenter kun de data, der er nødvendige for lønadministration og andre lovpligtige indberetninger som følge heraf samt til faglig og personlig dokumentation over for kunden, der køber din arbejdskraft.

Fast ansat:
SOS VIKAR A/S indhenter data til brug for lønadministration og lovpligtig indberetning som følge heraf samt data, der sikrer, at dit ansættelsesforhold kan opretholdes på det niveau SOS VIKAR A/S har behov for i forhold til fx.strategi og markedsføring. (Se personalehåndbog, der udleveres før ansættelse.)
Du kan også altid læse om disse data i din ansættelseskontrakt og i tillæg til denne.

Kunde (Privat):
SOS VIKAR A/S indhenter kun de data, der er nødvendige for at tilbyde den korrekte hjælp og pleje i den aftalte situation.

Kunde (Offentlig):
SOS VIKAR A/S indhenter Navn og arbejdsgiver administreret mailadresse på brugere i vores registreringssystem Temponizer.
Disse data slettes ved henvendelse eller ved inaktivitet i 3 måneder.
I det omfang navn og mailadresse har været anvendt til bestilling af vikarer, vil disse fremgå af vagten, så længe der er hjemmel for at opbevare den.

SOS Vikar A/S videregiver eller anvender ikke data/oplysninger, der er indsamlet til ét projekt til andre projekter uden forudgående ansøgning og godkendelse.

Opbevaring, behandling og deling af personoplysninger hos SOS Vikar A/S

Det siger reglerne
Vi skal kunne dokumentere overfor Datatilsynet, at vi har sikret data/personoplysninger med passende tekniske og organisatoriske foranstaltninger, så utilsigtede og/eller ulovlige behandlinger undgås. Reglerne for opbevaring af data varierer alt efter typen af data (se definition af data).

Cloud-løsninger:
Hos SOS Vikar A/S benytter vi forskellige Cloud-løsningen

Temponizer ApS:
SOS VIKAR benytter Temponizer APS som samarbejdspartner i forhold til booking og registreringssystem. Temponizer er et webbaseret booking- og administrationssystem der tilgås via tildelt brugerrettighed.

XDC Gruppen A/S:
SOS VIKAR har hostingaftale med XDC Gruppen. Aftalen omfatter:

  • Hosting
  • Fjernskrivebord
  • Mail (Office365)*
  • Backup
  • Overvågning
  • Adgang til 24/7 365support
  • Egen virtuel dedikeret server
  • SSD storage rack
  • *Fra Office365 benyttes ud over Outlook, Teamsits og SharePoint til fildeling og filopbevaring.
  • XDC Gruppen er et moderne IT-hus.

IT-terminalen:
SOS VIAKR bruger C5 økonomisystem til bogføring samt aflønning af faste medarbejdere IT-terminalen leverer support og XDC-gruppen leverer adgang til Økonomisystemet

Deltaplan:
SOS VIKAR benytter Deltaplan til vagtplanlægning for vores fastansatte personaler.
Deltaplan er et webbaseret vagtplansystem med tildelt brugerrettigheder.

NemTilmeld:
SOS VIKAR benytte NemTilmeld til administration af kurser og arrangementer NemTilmeld er et webbaseretsystem, der hjælper med at samle og håndtere mange af de opgaver, der har med tilmelding og håndtering af arrangementer at gøre.

Oplysningerne på papir
SOS Vikar A/S arbejder hen mod at være 100 % digitale.
Vi har enkelte arbejdsopgaver, hvor der indgår dokumenter med personfølsomme oplysninger. I perioden hvor opgaven er aktiv, er dokumenter med følsomme oplysninger låst inde i et sikret skab, når der ikke arbejdes på sagen.
Når opgaven er fuldført, makuleres dokumenterne straks, eller sendes til opbevaring på et sikkert fjernarkiv. (SOS VIAKR benytter Fjernarkiv Danmark ApS)

Sikker E-mail
SOS VIKAR sender krypteret mail via Office365 og via vores digitale e-postkasse

Databearbejdning i statistikprogrammer
(Temponizer/Sherlock)
SOS Vikar benytter de ovenfor nævnte programmer til at analysere data.
Disse programmer beholder dataene bag koder og der arbejdes direkte i programmerne. Hvis det er nødvendigt at trække resultatet af analysen ud af programmet, vil disse blive slettet straks efter afslutning af projektet.

Sociale medier
SOS Vikar A/S benytter sociale medier til information og annoncering.
Vi benytter ikke sociale medier til formidling af personfølsomme data uden de medvirkendes samtykke.

Facebook:
SOS VIKAR vi har en virksomhedsside, der benyttes til information og virksomhedens daglige aktiviteter, kurser og jobannoncer.
SOS VIKAR opretter ikke lukkede grupper, og kan derfor ikke tage ansvar for grupper der oprettes og administreres i vores navn uden vores viden og deltagelse.

Instagram:
Benyttes til at vise vores faste medarbejderes daglige aktiviteter.
Følgende er SOS Vikar A/S retningslinjer for brug af billeder og film på de sociale medier:

  • Stemningsbilleder og film af borgere/brugere (f.eks. ved en event eller konference) må behandles frit, hvis blot deltagerne har fået en generel information om, at der vil blive taget billeder/film. F.eks. med et skilt ved indgangen eller som tekst i en invitation forud for den enkelte event).
  • Billeder, film og beskrivelser hvor det enkelte individ udgør den primære del af et foto/film, kræver tydeligt samtykke, hvor det præciseres hvad billederne må bruges til og hvor længe.
  • Billeder af medarbejdere (ansat internt i huset) deles frit, under forudsætning af skriftligt samtykke ved ansættelse. Hvis samtykket skal trækkes tilbage, er det medarbejderens ansvar at give besked til resten af SOS Vikar A/S

Egenkontrol

Det siger reglerne
I Persondataforordningen skal dataansvarlige foretage og dokumentere egenkontrol af både egen praksis samt af eksterne data-behandlere.

Sådan gør vi:
Eksterne data behandlere:
SOS Vikar A/S sikrer sig 1 gang om året, at vores leverandører lever op til de forhold, der er beskrevet i de respektive databehandleraftaler.

Vores to største datasamarbejdspartnere er certificeret, og herfra modtager vi bevis for fornyelse af denne efter årlig audit.

Interne arbejdsgange:
SOS Vikar A/S har nedsat en GDPR-gruppe, bestående af en repræsentant fra hver enkelt afdeling mhp. at gennemgå udførelsen og overholdelsen af GDPR i SOS VIKAR.
Der afholdes månedlige møder, hvor hverdagens GDPR relaterede opgaver kortlægges og korrekte arbejdsgange beskrives og besluttes.

Eksisterende procedurer gennemgås ved aktuelle ændringer og ellers hv. 6. måned, og de enkelte afdelinger laver risikoanalyser.

Dette, skal på sigt, sikres via dokumenthåndtering i Sherlock.

Generelt

Personoplysninger er alle slags informationer, der i et eller andet omfang kan henføres til dig. Når du benytter vores hjemmeside, indsamler og behandler vi (eller nogle af dem, vi benytter til den slags, f.eks Google) en række sådanne informationer. Det sker f.eks. ved at du klikker ind på noget af vores indhold, hvis du tilmelder dig vores nyhedsbrev, deltager i konkurrencer eller undersøgelser, registrerer dig som bruger eller abonnent, eller i øvrigt bruger vores services.

Det er typisk følgende typer af oplysninger, der bliver indsamlet og behandlet: Et unikt ID og tekniske oplysninger om din computer, tablet eller mobiltelefon, dit IP-nummer, geografisk placering, samt hvilke sider du klikker på (interesser). I det omfang du selv giver eksplicit samtykke hertil og selv indtaster informationerne behandles desuden: Navn, telefonnummer, e-mail og adresse. Det vil typisk være i forbindelse med tilmelding til nyhedsbrev eller afsendelse af kontakt formular.

Sikkerhed

Vi har selvfølgelig truffet både nogle tekniske og organisatoriske foranstaltninger mod, at dine oplysninger hændeligt eller ulovligt bliver slettet, offentliggjort, fortabt, forringet eller kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lovgivningen.

Formål

Oplysningerne bruges til at identificere dig som bruger og vise dig de annoncer, som vil have størst sandsynlighed for at være relevante for dig, samt at kunne levere de ønskede services.
Herudover anvender vi oplysningerne til at optimere vores services og indhold.

Periode for opbevaring

Oplysningerne opbevares i det tidsrum, der er tilladt i henhold til lovgivningen, og vi sletter dem, når de ikke længere er nødvendige. Perioden afhænger af karakteren af oplysningen og baggrunden for opbevaring. Det er derfor ikke muligt at angive en generel tidsramme for, hvornår informationer slettes.

Videregivelse af oplysninger

Data om din brug af websitet, hvilke annoncer, du modtager og evt. klikker på, geografisk placering, køn og alderssegment m.v. videregives til tredjeparter i det omfang disse oplysninger er kendt. Du kan se hvilke tredjeparter, der er tale om, i afsnittet om ”Cookies” ovenfor. Oplysningerne anvendes til målretning af annoncering, hvis vi benytter os af dette.

Vi benytter herudover en række tredjeparter til opbevaring og behandling af data. Disse behandler udelukkende oplysninger på vores vegne og må ikke anvende dem til egne formål.
Vi anvender kun databehandlere i EU eller i lande, der kan give dine oplysninger en tilstrækkelig beskyttelse.

Indsigt og klager

Du har ret til at få oplyst, hvilke personoplysninger, vi behandler om dig. Du kan desuden til enhver tid gøre indsigelse mod, at oplysninger anvendes. Du kan også tilbagekalde dit samtykke til, at der bliver behandlet oplysninger om dig. Hvis de oplysninger, der behandles om dig, er forkerte har du ret til at de bliver rettet eller slettet. Hvis du vil klage over vores behandling af dine personoplysninger, har du også mulighed for at tage kontakt til Datatilsynet.