Persondatapolitik

Ansvar

Quattro Fontane 4 behandler persondata og har derfor vedtaget denne Persondatapolitik, der fortæller dig, hvordan vi behandler dine data.

Selskab

Selskabet er:

Quattro Fontane 4 ApS
CVR-nr. 35 14 46 92
Blegdamsvej 124 DK-2100
København Ø Danmark
(Herefter benævnt ”QF4”)

T: [+45] 3539 4982
qf2@mail.dk
www.qf4.dk

Persondata

Det er vigtigt for os, at dine Persondata opbevares sikkert og fortroligt. QF4 har procedurer for indsamling, opbevaring, sletning, opdatering og videregivelse af persondata for at hindre uautoriseret adgang til dine Persondata og for at opfylde gældende lovgivning.

Nedenstående retningslinjer beskriver hvilke typer af persondata, QF4 indsamler, hvordan QF4 behandler disse data, og hvem du kan kontakte, såfremt du har spørgsmål eller kommentarer til denne Persondatapolitik.

Typer af persondata

Kunde

  • Almindelige persondata (f.eks. navn, adresse, e-mail, telefonnummer, fødselsdato, lokalisation, m.v.)

Ansat

  • Almindelige Persondata (f.eks. navn, adresse, e-mail, telefonnummer, fødselsdato, profilbillede, lokalisation, m.v.)
  • CPR-nummer
  • Arbejdstider og andre tjenstlige forhold
  • Oplysninger om løn og skat
  • Oplysninger om pensionsforhold
  • Oplysninger om kontonummer, hvortil løn skal anvises
  • E-mails

Formål

QF4 indsamler og opbevarer dine persondata til bestemte formål eller andre lovlige forretningsmæssige formål.

Dine persondata indsamles og anvendes til:

Kunde og leverandører

  • Salg af varer i butikken eller til levering ved events,
  • Forbedring af vores produkter
  • Optimering af hjemmesiden
  • Administration af din relation til QF4
  • Opfyldelse af lovkrav

Den registreredes rettigheder

Indsigtsretten

Den registrerede har i henhold til databeskyttelsesforordningens artikel 15 ret til at få bekræftet, om der behandles Persondata om den pågældende, og vil i givet fald få adgang til Persondata (der skal udleveres en kopi af Persondata).

Derudover har den registrerede ret til at modtage følgende information:

(i) formålene med behandlingen, (ii) de berørte kategorier af Persondata, (iii) de modtagere eller kategorier af modtagere, som Persondata er eller vil blive videregivet til, (iv)om muligt det påtænkte tidsrum, hvor Persondata vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes til fastlæggelse af dette tidsrum (v) retten til at anmode den dataansvarlige om berigtigelse eller sletning af Persondata eller begrænsning af behandling af Persondata vedrørende den registrerede eller til at gøre indsigelse mod en sådan behandling, (vi) retten til at indgive en klage til en tilsynsmyndighed, (vii)enhver tilgængelig information om, hvorfra Persondata stammer, hvis de ikke indsamles hos den registrerede, (viii) forekomsten af automatiske afgørelser, som omhandlet i Databeskyttelsesforordningens artikel 22, stk. 1 og 4, og som minimum meningsfulde oplysninger om logikken heri samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede.

Efter databeskyttelsesloven gælder retten til indsigt ikke, hvis den registreredes interesse i oplysningerne er mindre end afgørende hensyn til private interesser, herunder hensynet til den pågældende selv.

Dataportabilitet

Den registrerede har efter databeskyttelsesforordningens artikel 20 desuden ret til i et struktureret, almindeligt anvendt og maskinlæsbart format at modtage Persondata om sig selv, som den pågældende selv har givet til QF4.

Ret til berigelse

I henhold til databeskyttelsesforordningens artikel 16 har den registrerede ret til at få urigtige Persondata om sig selv berigtiget af den dataansvarlige uden unødig forsinkelse. Under hensyntagen til formålene med behandlingen har den registrerede desuden ret til at få fuldstændiggjort ufuldstændige Persondata, bl.a. ved at fremlægge en supplerende erklæring.

Retten til berigtigelse angår dog alene objektive Persondata, og ikke subjektive vurderinger.

Retten til at blive glemt

Den registrerede har efter databeskyttelsesforordningens artikel 17 ret til at få Persondata om sig selv slettet af QF4, uden unødig forsinkelse. QF4 har i så fald pligt til at slette Persondata uden unødig forsinkelse.

Dog er retten begrænset sådan, at der ikke kan kræves sletning, hvis behandlingen er nødvendig for at overholde en retlig forpligtelse eller for at retskrav kan fastlægges, gøres gældende eller forsvares, jf. artikel 17, stk. 3, litra b og e.

Det er QF4s vurdering, at ”retten til at blive glemt” kun meget sjældent vil komme i spil i relation til de Persondata, QF4 selvstændigt indsamler. ”Retten til at blive glemt” finder dog ikke anvendelse, såfremt (og så længe) QF4 opbevarer sådanne Persondata for at kunne modgå et eventuelt retskrav fra kunder.

Ret til indsigelse - også mod automatiserede afgørelser

Det følger af databeskyttelsesforordningens artikel 21, at den registrerede til enhver tid har ret til at gøre indsigelse mod behandling af sine Persondata, hvis behandlingen er baseret på artikel 6, stk. 1, litra e eller f. Disse bestemmelser omhandler adgangen til at behandle almindelige Persondata, hvis behandlingen er nødvendig for at udføre en opgave i samfundets interesser, eller hvis behandlingen er nødvendig for at forfølge en berettiget interesse, og hensynet til den registrerede ikke overstiger denne interesse.

Det er vores vurdering, at denne bestemmelse kun begrænset vil komme i spil i forhold til vores behandling, fordi vores behandling af Persondata i stort omfang kan knyttes op på hjemlen vedrørende opfyldelse af en aftale eller fastlæggelse af et retskrav, ligesom QF4 – hvis behandlingen i øvrigt opfylder de grundlæggende behandlingsregler – oftest vil kunne påvise vægtige legitime grunde til, at Persondata behandles.

Ret til dataminering

I henhold til databeskyttelsesforordningens artikel 18 har den registrerede ret til at få begrænset behandlingen af Persondata, hvis: (i) rigtigheden af Persondata bestrides af den registrerede, men kun i perioden indtil den dataansvarlige har haft mulighed for at fastslå, om Persondata er korrekte, (ii) behandlingen er ulovlig, og den registrerede modsætter sig sletning af Persondata og i stedet anmoder om, at anvendelsen heraf begrænses, (iii) den dataansvarlige ikke længere har brug for Persondata til behandlingen, men de er nødvendige for, at et retskrav kan fastlægges, gøres gældende eller forsvares, (iv) den registrerede har gjort indsigelse mod behandlingen i medfør af artikel 21, stk. 1, men kun i perioden mens det kontrolleres, om den dataansvarliges legitime interesser går forud for den registreredes legitime interesser.

Behandlingsregler - Generelt

Behandlingsprincipper

QF4 vil behandle Persondata lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede.

Vores behandling af Persondata er undergivet en formålsbegrænsning, hvilket vil sige, at Persondata skal indsamles til udtrykkeligt angivne og legitime formål.

QF4 behandler Persondata ud fra et princip om dataminimering, hvilket vil sige at de skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles. Persondata skal behandles ud fra et princip om rigtighed, hvilket vil sige at de skal være korrekte og om nødvendigt ajourførte.

QF4 behandler Persondata ud fra et princip om opbevaringsbegrænsning, hvilket vil sige at Persondata skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål.

Persondata skal behandles ud fra et princip om integritet og fortrolighed. Kun relevante medarbejdere har adgang til Persondata.

Risikoanalyse

Det er vurderet, at der ikke har været behov for gennemførelse af en risikoanalyse.

Konsekvensanalyser vedrørende databeskyttelse (DPIA)

QF4 vil sjældent foretage behandlinger, hvor der kan konstateres en høj risiko for krænkelse af fysiske personers rettigheder og frihedsrettigheder, hvorfor en konsekvensanalyse ikke anses for nødvendig.

Databeskyttelsesrådgiver (DPO)

Det er vores vurdering, at QF4 ikke foretager behandling af persondata i et omfang der nødvendiggør en DPO.

Dataansvarlig

For Persondata om medarbejdere samt information om QF4s kunder og leverandører, vil QF4 som altovervejende udgangspunkt arbejde selvstændigt. QF4 vurderer selvstændigt, om der er grundlag for at indsamle/behandle Persondata, hvilke Persondata der er relevante og nødvendige, og hvor længe Persondata skal opbevares. I denne situation vil QF4 agere som dataansvarlig.

Databehandleraftale

Hvis QF4 er dataansvarlig og anvender databehandlere, skal der udarbejdes en databehandleraftale.

Overførsel til tredjelande

Der sker ikke overførsel af Persondata til tredjelande.

Databehandlere - oversigt

QF4 anvender eksterne virksomheder til at foretage udvalgte elementer af den tekniske drift af QF4. Disse virksomheder fungerer som databehandlere i forhold til de Persondata, som QF4 er dataansvarlig for.

Databehandling foretages indenfor den Europæiske Union.

Databehandleren handler alene efter instruks fra os.

QF4 benytter følgende databehandlere:

Databehandler
Danløn

Lokalisation
Danmark

Aftaletype
Databehandleraftale

Databehandler
Microsoft

Lokalisation
Ukendt

Aftaletype
Databehandleraftale

Videregivelse til sociale netværk

Der videregives ikke Persondata til sociale netværk uden samtykke.

Anden videregivelse

Såfremt QF4 modtager henvendelse fra politi (eller anden lignende offentlig myndighed) eller retsvæsen om udlevering af Persondata, vil QF4 foretage udlevering af dine Persondata i overensstemmelse med gældende lovgivning.

Profilering

QF4 anvender ikke dine Persondata til profilering.

Generelle tekniske foranstaltninger

Adgang til Persondata er begrænset til personer, der har et sagligt behov for adgang til Persondata. Data vil alene blive tilgået på ”need to know” basis.

Persondata på papir – f.eks. i kartoteker og ringbind –opbevares aflåst, når de ikke er i brug.

Når dokumenter med Persondata smides ud, anvendes makulering i aflåst beholder eller anden foranstaltning, der forhindrer, at uvedkommende kan få adgang til Persondata.

Der anvendes adgangskoder til at få adgang til pc’er og andet elektronisk udstyr med Persondata. Kun de personer, der skal have adgang, får en kode og da kun til de systemer, den pågældende har brug for at anvende. De personer, der har adgangskode, må ikke overlade koden til andre eller lade den ligge, så andre kan se den.

PC’er koblet til internettet har en opdateret firewall og viruskontrol installeret.

Hvis følsomme Persondata eller personnummer sendes med e-mail via internettet, skal sådanne e-mails krypteres. Hvis du sender Persondata til os via e-mail, skal du være opmærksom på, at afsendelse til os ikke er sikker, såfremt dine e-mails ikke er krypteret.

I forbindelse med reparation og service af dataudstyr, der indeholder Persondata, og når datamedier skal sælges eller kasseres, træffer QF4 de fornødne foranstaltninger, så oplysninger ikke kan komme til uvedkommendes kendskab.

Ved brug af en ekstern databehandler til håndtering af Persondata underskrives en skriftlig databehandleraftale mellem QF4 og databehandleren.

Systemerne er placeret på servere i sikrede lokaler.

Alle data overført mellem kunde (browser og web-app) og server(e) krypteres efter HTTPS-protokollen.

Åbnes der for adgang til lokalerne, f.eks. ved transport, sker dette under overvågning af en QF4 medarbejder.

Til alle adgange til QF4s lokaler anvendes fysiske nøgler. Der foretages ikke registrering af udefrakommende personer, der dog altid ledsages af en QF4 ansat.

Backup

QF4 tager backup af alle databaser og filer på fællesdrev. Back-up’en opbevares dels på en intern server, dels på et eksternt datacenter.

QF4 foretager følgende typer af backup:

  • Backup rullende. Med denne metode, tages der dagligt backup af alle filer og data-opdateringer og oprettes en sikkerhedskopi af alle de nye data. Dette skaber en historie af ændringer, således at muligheden for at genvinde tabte data forøges.
  • Backup klon. Denne backup-strategi skaber en perfekt kopi af hver enhed på netværket.
  • Backup off-site. Denne backup sikrer mod tab af data, hvis backup opbevares on-site. Alle data og filer sikkerhedskopieres og backup opbevares off-site.

Alle backup data og filer overskrives med intervaller på 30 dage. Det er ikke teknisk muligt at gennemføre sletning af enkelte filer på en foretagen backup inden sådan overskrivning sker. QF4 har indført interne processer og procedurer til at sikre, at dine Persondata ikke genintroduceres som live data ved at genindlæse data og filer fra en backup, såfremt dine data er blevet slettet i henhold til din ”ret til at blive glemt”.

Oplysningspligt - Kunde

Hver kunde kan få adgang til vores Persondatapolitik.

Sletning - hvornår

Ved afslutning af opgave for en kunde, har QF4 i princippet ikke længere behov for at behandle Persondata, dog medmindre at et kunde bliver syg eller mener at have et andet krav gældende mod QF4.

En række andre hensyn samt særregler indebærer dog, at Persondata ikke bør eller ikke må slettes, førend der er gået et tidsrum.

Det skal konkret overvejes, hvor længe Persondata opbevares, inden de slettes.

Bogføringsreglerne indebærer, at Persondata knyttet til en betaling skal opbevares i 5 år + løbende kalenderår efter regnskabsårets afslutning.

Hensynet til at QF4 kan varetage sine interesser ved et muligt ansvar kan indebære, at oplysninger opbevares i 5 år efter afslutningen af opgaven.

Stamdata for kunden bør – for at sikre logisk synergi til også den regnskabsmæssige behandling – opbevares i 5 år fra kundeforholdets ophør.

Sletning – hvordan

Al korrespondance mv. fra Outlook overføres til en specifik elektronisk folder og slettes i det hele fra Outlook, ligesom alle redegørelser/præsentationer mv. på diverse bærbare medier og lokale drev skal overføres til den elektroniske sag og slettes i øvrigt.

Derved kan den samlede folder til sin tid (efter endt opbevaringsperiode) i det hele blive slettet.

Efter sletning/anonymisering vil QF4 foretage behørigt krydstjek i form af søgninger på navn mv. for at sikre, at der ikke kommer noget frem.

Detaljerede behandlingsregler - Kunde/leverandør

Behandlingshjemmel

Vores hjemmel til at behandle Persondata ligger først og fremmest i relationen til kunden/ leverandøren og at kunne administrere indgåede aftaler. På disse områder vil QF4 inden for dette opdrag i udgangspunktet have hjemmel til at behandle de nødvendige oplysninger.

QF4 behandler ikke personnumre eller andre typer af særlige kategorier af Persondata (persondata om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering) om sine kunder.

Det er vores vurdering, at den behandling af Persondata QF4 foretager i relation til en kunde, i vidt omfang vil være hjemlet efter forordningen.

IP-adresser og browserindstillinger

I forbindelse med hvert besøg på QF4’ hjemmeside, registreres din computers anvendte IP-adresse og browserindstillinger. Din IP-adresse er adressen på den computer du anvender til at besøge QF4. Browserindstillinger er f.eks. den browse-type du anvender, browser-sprog, tidszone mv. IP-adressen og browserindstillinger registreres for at sikre, at QF4 altid kan finde tilbage til den anvendte computer, såfremt der måtte ske misbrug eller ulovligheder i forbindelse med besøget på eller anvendelsen af QF4’ hjemmeside.

Almindelige kontaktoplysninger

Kontaktoplysninger behandles i QF4’ CRM-system. Kontaktoplysninger vil typisk være navn, telefonnummer og e-mail. Oplysningerne opdateres løbende og slettes senest 5 år efter ophør af en kunderelation.

Nyhedsbrev

QF4 udsender ikke nyhedsbreve.

Cookies

Vi indsamler på forskellig vis Persondata om dig i forbindelse med driften af www.qf4.dk. Vi indhenter Persondata om dig på Hjemmesiden og ved din brug af www.qf4.dk på to måder: Gennem såkaldte ‘cookies’ og gennem registrering og brug af www.qf4.dk.

Hvis vi placerer cookies, bliver du informeret om anvendelsen og formålet med at indsamle data via cookies. Før vi placerer cookies på dit udstyr, beder vi om dit samtykke. Nødvendige cookies til sikring af funktionalitet og indstillinger kan dog anvendes uden dit samtykke.

De fleste browsere tillader dig at slette cookies fra din harddisk, blokere for alle cookies eller modtage en advarsel, før der gemmes en cookie.

Ved at bruge www.QF4.dk giver du samtykke til, at vi benytter cookies som beskrevet. Hvis du ikke længere ønsker at give samtykke til brugen af cookies, skal du fravælge cookies ved at ændre indstillingerne i din browser.

Ændring af persondatapolitik

QF4 kan til enhver tid og uden varsel ændre denne persondatapolitik med virkning for fremtiden. Ved sådanne ændringer sker der orientering ved opdatering af dokumentet, som kan findes på www.qf4.dk. QF4’ nye persondatapolitik vil herefter være gældende for din brug af QF4.

Henvendelser

Hvis du har spørgsmål til nærværende persondatapolitik, vores behandling af persondata, berigtigelse eller dit forhold til os i øvrigt, er du velkommen til at rette henvendelse til os på følgende adresse:

QF4
CVR-nr. 35 14 46 92
Blegdamsvej 124
DK-2100 København Ø
Danmark
T: [+45] 3539 4082
E: qf2@mail.dk
W: www.qf4.dk.

Datatilsynet

Du har mulighed for at klage til Datatilsynet over QF4 indsamling og behandling af dine persondata:

Datatilsynet
Telefon 3319
3200 Borgergade 28, 5.
1300 København K
Mail: dt@datatilsynet.dk
www.datatilsynet.dk

Sidst opdateret d. 2 Maj – 2019.