Politik om beskyttelse af personlige oplysninger
Introduction
Dette er en meddelelse om beskyttelse af personlige oplysninger for Arjo AS, en integreret del af Arjo-gruppen af organisationer, der fokuserer på vores forretningsinteresser i Danmark. Denne privatlivsmeddelelse vedrører behandlingen af personoplysninger for repræsentanter for kunders leverandører og kundeemner. Arjo AS informerer de relevante interessenter om hvem, hvad, hvorfor, hvornår, hvor og hvordan vores databehandlingsaktiviteter foregår, samt angiver, hvilke rettigheder enkeltpersoner har i forbindelse med disse behandlingsaktiviteter.
Hvem behandler personoplysningerne?
Som angivet ovenfor er den dataansvarlige for behandlingen af de fleste af vores behandlingsaktiviteter Arjo AS. For at gøre denne meddelelse nemmere at læse, omtales Arjo AS som Arjo i resten af dette dokument. Hvis du som dataansvarlig har spørgsmål, kommentarer eller spørgsmål til dine personoplysninger, kan vi kontaktes ved hjælp af nedenstående oplysninger:
Arjo AS
Vassingerødvej 52, 3540 Lynge
Arjo bestræber sig på at være i overensstemmelse med alle vores krav. Derfor opfordrer vi dig til at kontakte os, når du mener, det er nødvendigt, så vi kan samarbejde med dig om at behandle eventuelle kommentarer eller bekymringer, du måtte have. Vi har udpeget en lokal Data Protection Lead, som også kan hjælpe dig med de spørgsmål, du måtte have. For Arjo AS er dette:
James Stone
Data Compliance Manager
Hvilke personoplysninger behandler vi?
Den type personoplysninger, vi behandler om dig, afhænger af en række faktorer, og som medarbejder er der en række forskellige processer, som dine personoplysninger er involveret i. Behandlingen af dine personoplysninger kan omfatte følgende:
Kunderepræsentanter, leverandørens repræsentanter og kontaktpersoner:
- Identificering –
- Navn
- Jobtitel
- Kontaktinformation –
- nummer
- eMail addresse
- Lokaliseringsdata –
- Postadresse
- IP adresse
Marketingchefer og potentielle ABO'er:
- Identificering –
- Navn
- Jobtitel
- Kontaktinformation –
- Nummer
- eMail addresse
- Lokaliseringsdata –
- Postadresse
Bemærk, at de behandlede kontakt-, lokations- og økonomiske oplysninger vedrører data, der anvendes i professionel forstand og kan komme direkte fra dig eller fra den institution, du arbejder for.
Hvorfor behandler vi personoplysninger?
Arjo behandler personlige data af de årsager, der er anført nedenfor.
Repræsentanter for kunder, kontaktpersoner og leverandører:
- Styring af produktion og distribution af vores produkter og udstyr via vores logistikforsyningskæde.
- For at opfylde vores kundeordrer og -anmodninger samt for at yde support til kunderepræsentanter i tilfælde af en klage eller udstedelse eller håndtering af reklamationer.
- At administrere vores juridiske, regulatoriske og lovbestemte forpligtelser samt at opretholde nøjagtige og pålidelige administrative og regnskabsmæssige optegnelser, som omfatter håndtering af forespørgsler, bekymringer og undersøgelser.
Marketingchefer og potentielle ABO'er:
- At forfølge vores kommercielle interesser gennem markedsføringsaktiviteter.
Der foretages ingen automatiseret beslutningstagning, med undtagelse af overvågning af succesen af marketingaktiviteter og ved brug af MyArjo-portalen. Dette inkluderer generering af en profil baseret på brugen af vores online ressourcer, som udfører en evaluering. Disse oplysninger bruges kun til bedre at informere om, hvordan Arjo kan støtte dig og administrere layoutet af MyArjo-portalen. Oplysningerne bruges kun til disse formål, og ingen individuelle databeskyttelses- eller lovbestemte rettigheder krænkes i denne proces. Enhver evaluering er underlagt menneskelig gennemgang. Hvis du har spørgsmål eller bekymringer om den potentielle brug af automatiseret beslutningstagning, bedes du kontakte dataprivacy@arjo.com.
Hvilket retsgrundlag anvender vi til behandling af personoplysninger?
Arjo behandler kun personlige data, hvis der er et retsgrundlag for behandlingen. Til den behandling, der er beskrevet i denne meddelelse om beskyttelse af personlige oplysninger, anvender Arjo følgende lovlige behandlingsgrundlag:
Retsgrundlag for behandling |
Behandlingsaktiviteter |
Dit udtrykkelige samtykke. Du kan til enhver tid trække dit samtykke tilbage. Det kan du gøre ved at kontakte dataprivacy@arjo.com. |
Markedsføringsaktiviteter, herunder direct marketing. |
Juridisk forpligtelse. |
Aktiviteter, der er forbundet med vores lovgivningsmæssige og lovmæssige krav. |
Legitim interesse |
Markedsføringsaktiviteter, herunder håndtering af vores forhold til dig som kontaktperson hos Arjo. Behandling af kunderepræsentanters personoplysninger er nødvendig for at administrere og distribuere produkter og udstyr via vores logistikforsyningskæde og for at opfylde vores kunders ordrer og anmodninger. |
Hvis vi påberåber os en retlig forpligtelse til at retfærdiggøre behandlingen af dine personoplysninger, er dette for at sikre, at vores lovgivningsmæssige og lovmæssige krav opfyldes. Dette er vigtigt for at opretholde kvaliteten af den service og de produkter, som mange interessenter er afhængige af.
Der kan også være tidspunkter, hvor legitim interesse er den passende begrundelse for at behandle dine personoplysninger. I denne situation har vi foretaget en vurdering af legitime interesser, hvor alle parters behov, forventninger, rettigheder og frihedsrettigheder er blevet overvejet. Før vi baserer os på legitime interesser, har vi sikret os, at vores interesser er overbevisende nok og ikke vil forårsage uberettiget skade.
Hvor længe behandler vi dine personoplysninger?
Vi gemmer oplysninger, så længe oplysningerne er nødvendige for at opfylde de formål, hvortil oplysningerne blev indsamlet. Oplysningerne kan gemmes i længere tid, hvis det kræves i henhold til gældende lovgivning, f.eks. EU’s forordning om medicinsk udstyr. Arjo har etableret rutiner for at sikre, at vi ikke opbevarer unødvendige oplysninger om dig.
Oplysninger om repræsentanter for kunder og kontaktpersoner:
- De fleste kommercielle, kunde- eller økonomiske oplysninger, f.eks. om Indkøbs-, ordre- og ordrehistorik gemmes i fem år.
- Som en global organisation inden for et meget reguleret område har vi brug for at opbevare oplysninger vedrørende produktion, distribution, kvalitet eller ydeevne af vores produkter i 15 år i overensstemmelse med strenge europæiske og globale lovgivningsmæssige forpligtelser. De personoplysninger, der er indeholdt i disse optegnelser, er normalt begrænset til personoplysninger med lav risiko, hvor der overhovedet er personoplysninger.
- Oplysninger vedrørende en kundeservicesag gemmes indtil sagen er løst og opbevares i afidentificeret format i 15 år.
- Oplysninger indsamlet efter samtykket er gemt så længe det er relevant eller senest 6 måneder efter samtykket er tilbagekaldt.
Information om kundeemner og kundeemner:
- Oplysninger indsamlet efter samtykket er gemt så længe det er relevant eller senest 6 måneder efter samtykket er tilbagekaldt.
Hvor behandler vi persondata, og hvem overfører vi persondata til?
Vi kan lejlighedsvis overføre dine personoplysninger uden for EU/EØS ved brug af en bestemt databehandler. Hvor det er relevant, vil vi bestræbe os på kun at overføre og behandle personoplysninger i lande, hvor der er truffet en afgørelse om tilstrækkelighed. Det betyder, at den lovgivningsmæssige ramme i det tredje Danmark giver samme niveau af retsbeskyttelse som et Danmark inden for EU/EØS. For at få mere at vide om lande, der træffer afgørelser om tilstrækkeligheden af beskyttelsesniveauet, henvises der til Det Europæiske Databeskyttelsesråds hjemmeside. Der er tilfælde, hvor vi er nødt til at behandle personoplysninger uden for sådanne lande, som vi samarbejder med databehandlere, der behandler personoplysninger i Indien. I disse tilfælde har vi foretaget konsekvensanalyser vedrørende beskyttelse af personlige oplysninger og overført konsekvensanalyser for at identificere passende yderligere foranstaltninger, der skal implementeres, før der indgås databehandlingsaftaler, herunder godkendte standardkontraktbestemmelser. Hvis de kontraktlige og organisatoriske foranstaltninger stadig er utilstrækkelige, vil vi bede om dit samtykke til at foretage den foreslåede behandling.
Vi bruger forskellige systemer og platforme til at håndtere de data, vi behandler, og en liste over de vigtigste databehandlere er anført nedenfor:
- Advanced Applications.
- AWS.
- CEVA.
- Digital Space.
- ON24.
- Salesforce.
- Tech Mahindra.
- Visma.
- Andre datterselskaber af Arjo-gruppen som en del af globale funktioner.
Derudover bruger vi Microsoft Office-lagrings- og produktivitetsværktøjer til at behandle personoplysninger i forbindelse med vores kommercielle, produktions-, logistiske, driftsmæssige, forsknings- og administrative aktiviteter.
Vi kan også dele personoplysninger med partnere og i overensstemmelse med vores lovgivningsmæssige eller lovmæssige forpligtelser. I alle tilfælde vil data kun blive delt på grundlag af et passende lovligt behandlingsgrundlag. Datadeling foretages ofte efter en konsekvensanalyse af privatlivets fred og en risikovurdering af overførsel for at sikre, at de nødvendige sikkerhedsforanstaltninger og kontrolforanstaltninger er på plads, før der deles data.
Hvordan behandler vi personoplysninger?
Arjo har tilpasset følgende for at muliggøre sikker håndtering og behandling af data i overensstemmelse med reglerne:
- Arjo har en IT-politik, informationssikkerhedsdirektivet, databeskyttelsesdirektivet og direktivet om acceptabel brug af IT-enheder.
- Adgangsstyring baseret på minimumsrettigheder med adgangsgennemgange, der udføres kvartalsvist, derudover vil hver bruger have unikke og individuelle brugernavne, hvor ingen deles.
- Admin-adgang gives kun til system- og databaseejere, der har de korrekte færdigheder og uddannelse, normalt senior-IT-medarbejdere.
- Robust forandringsledelsesproces.
- Alle data og systemer krypteres i hvile og under transport, hvor systemerne/dataene kun kan tilgås via vores VPN-løsning for hver navngiven bruger.
- Alle tredjeparter, der hoster eller arbejder med Arjo-systemer, er underlagt en risikovurdering på årsbasis.
- Arjo har også en overordnet Incident Management-proces, der drives af vores Service Management-team.
- Patch management; som en del af vores service management.
- Pennetest og sårbarhedsstyring.
- IT-revisioner udføres årligt af tredjepart.
Hvad er dine rettigheder i forbindelse med denne databehandling?
I henhold til databeskyttelsesloven har du rettigheder, herunder:
- Din indsigtsret – Du har ret til at bede os om kopier af dine personlige oplysninger, som vi behandler om dig. Med denne kopi vil du kunne forstå, hvilke af dine personoplysninger vi har og behandler. Retten til adgang gælder, når en post indeholder oplysninger, hvor en person kan identificeres, og oplysningerne er om dem. Det betyder, at optegnelser, der er tilgængelige for dig, vil få personoplysninger om andre personer redigeret, hvor det er relevant, for at beskytte deres ret til privatliv. Dine personoplysninger vil blive slettet, hvis en anden anmoder om adgang til en post, der indeholder dine personoplysninger. Lovgivningen indeholder andre undtagelser, der kan være gældende, f.eks. optegnelser, hvor retlige privilegier skal overholdes, eller der er en forpligtelse til fortrolighed under særlige omstændigheder. Enhver gældende undtagelse har et relevant retsgrundlag og vil blive forklaret for dig, hvis det var nødvendigt.
For mere information om retten til indsigt henvises til Datatilsynets hjemmeside.
- Din ret til at blive informeret – Du har ret til at få oplyst, hvordan vi behandler dine personoplysninger. Denne privatlivsmeddelelse er en indledende måde at informere dig om behandlingen af dine personoplysninger. Yderligere metoder til at holde dig informeret omfatter ofte stillede spørgsmål, kontraktlige aftaler og diskussioner – hvis du har spørgsmål om, hvordan vi behandler dine personoplysninger, kan du kontakte os ved at skrive til dataprivacy@arjo.com.
For mere information om retten til at blive informeret henvises til Datatilsynets hjemmeside.
- Din ret til berigtigelse – Du har ret til at bede os om at rette oplysninger, som du mener er unøjagtige. Du har også ret til at bede os om at udfylde oplysninger, som du mener er ufuldstændige. Denne ret gælder i forbindelse med et af principperne for databeskyttelse. Enhver anmodning om berigtigelse af dine personoplysninger vil også blive overført og håndteret af enhver databehandler, som dine personoplysninger er blevet delt med. Denne proces styres af os og kræver ikke yderligere handling fra din side for at udøve din ret fuldt ud.
For mere information om retten til berigtigelse henvises til Datatilsynets hjemmeside.
- Din ret til sletning – Du har ret til at bede os om at slette dine personoplysninger, når oplysningerne ikke længere er nødvendige for at opfylde formålet med at behandle oplysningerne eller opbevare dem, eller hvis du trækker dit samtykke tilbage. Arjo er forpligtet til at føre omfattende optegnelser i overensstemmelse med vores juridiske forpligtelser. Arjo kan derfor muligvis ikke slette alle journaler, der behandles om dig, men dette vil blive forklaret, hvor det er relevant. Enhver anmodning om at blive glemt vil også blive håndteret af Arjo sammen med enhver databehandler, der behandler dine personlige data på vores vegne.
For mere information om retten til sletning henvises til Datatilsynets hjemmeside.
- Din ret til begrænsning af behandling – Du har ret til at bede os om at begrænse behandlingen af dine oplysninger under visse omstændigheder, f.eks. hvis de ikke er relevante for at opfylde vores juridiske forpligtelser.
For mere information om retten til begrænsning af behandling henvises til Datatilsynets hjemmeside.
- Din ret til at gøre indsigelse mod behandling – Du har ret til at gøre indsigelse mod behandlingen af dine personoplysninger. Retten kan gøres gældende, når retsgrundlaget er legitim interesse, herunder profilering. Hvis der gøres indsigelse, skal Arjo udvise tungtvejende legitime interesser i at fortsætte behandlingen af personlige data til det specifikke formål.
For mere information om retten til indsigelse henvises til Datatilsynets hjemmeside.
- Din ret til dataportabilitet – Du har ret til at bede om, at vi overfører de oplysninger, du har givet os, til en anden organisation eller til dig. Det giver dig mulighed for at overføre den i et maskinlæsbart format til en anden modtager. Retten til dataportabilitet gælder for personoplysninger, der behandles på grundlag af dit samtykke eller for at opfylde en kontrakt. Det gælder kun for sådanne personlige data, som du selv har givet Arjo.
For mere information om retten til dataportabilitet henvises til Datatilsynets hjemmeside.
- Din ret til automatiseret beslutningstagning – Du har ret til at anmode om, at en gennemgang af enhver profilering, der foretages ved hjælp af dine personoplysninger, foretages af et menneske.
For mere information om generelle rettigheder i forbindelse med automatiseret beslutningstagning henvises til Datatilsynets hjemmeside.
- Din ret til at trække dit samtykke tilbage – Du har ret til at trække dit samtykke tilbage, hvis dette er det retmæssige grundlag for behandlingen af dine personoplysninger, dvs. når de indsamles til visse markedsføringsaktiviteter.
For mere information om fortrydelsesret henvises til Datatilsynets hjemmeside.
Du skal ikke betale noget gebyr for at udøve dine rettigheder i de fleste tilfælde. Hvis du anmoder om det, har vi en måned til at svare dig.
Kontakt os ved hjælp af nedenstående oplysninger, hvis du ønsker at anmode om det.
Arjo AS
Vassingerødvej 52, 3540 Lynge
Endelig har du ret til at klage til en databeskyttelsesmyndighed. For Arjo AS er den relevante tilsynsmyndighed Datatilsynet og kan kontaktes ved hjælp af nedenstående oplysninger:
Datatilsynet
Carl Jacobsens Vej 35, 2500 Valby
+45 33 19 32 00
Hvis dette ikke også er din lokale databeskyttelsesmyndighed, kan du kontakte din lokale databeskyttelsesmyndighed, som vil rådgive dig om, hvordan du bedst kommer videre. I nogle tilfælde, f.eks. inden for EØS, kan du rapportere til din lokale databeskyttelsesmyndighed og ikke have yderligere behov for at kommunikere med databeskyttelsesmyndigheden hos Arjo AS. Arjo har hovedsæde i Malmö, Sverige. Derfor er vores tilsynsmyndighed Integritetsskyddsmyndigheten (IMY).
IMY’s kontaktoplysninger er:
Integritetsskyddsmyndigheten
Box 8114, 104 20 Stockholm
0046 (0)8-657 61 00