Persondatapolitik

1. ANSVAR

1.1  Beskyttelse af dine Persondata har vores højeste prioritet, uanset om disse data handler om dig, dine transaktioner, dine produkter eller dine serviceydelser.
1.2  Vi behandler Persondata og har derfor vedtaget denne personoplysningspolitik, der fortæller dig, hvordan vi behandler dine data.

2. SELSKAB

2.1  Selskabet er:
Sinnerup ApS
CVR-nr. 67430611
Nørregade 10
7500 Holstebro
Danmark
(Herefter benævnt ”Sinnerup”)

Telefon: [+45] 36 96 52 52
E-mail: web@sinnerup.dk
Website: www.sinnerup.dk

3. PERSONDATA

3.1 Det er vigtigt for os, at dine Persondata opbevares sikkert og fortroligt. Vi har procedurer for indsamling, opbevaring, sletning, opdatering og videregivelse af Persondata for at forhindre uautoriseret adgang til dine Persondata og for at opfylde gældende lovgivning.
3.2   Vi sikrer fair og transparent databehandling. Når vi beder dig om at stille dine Persondata til rådighed for os, oplyser vi dig om, hvilke data vi behandler om dig og til hvilket formål. Du modtager oplysning herom på tidspunktet for indsamling af dine Persondata.
3.3  Nedenstående retningslinjer beskriver, hvilke typer af Persondata, vi indsamler, hvordan vi behandler disse data, og hvem du kan kontakte, såfremt du har spørgsmål eller kommentarer til denne Persondata Politik.

4. TYPER AF PERSONDATA

4.1  Vi behandler følgende Persondata om dig:
Navn, e-mail, eventuel adresse, postnummer, telefonnummer, fødselsår samt oplysninger om køn, din adfærd og dine køb på Sinnerups hjemmeside.

5. FORMÅL

5.1  Vi indsamler og opbevarer dine Persondata til bestemte formål eller andre lovlige forretningsmæssige formål.
5.2  Dine Persondata indsamles og anvendes i henhold til dit udtrykkelige samtykke til at sende tilbud og oplysninger om produktnyheder og trends, at sende Sinnerups kataloger, at sende invitationer til at deltage i konkurrencer samt at sende invitationer til lokale events og arrangementer.

6. DINE RETTIGHEDER

6.1  Indsigtsretten
6.1.1  Du har, i henhold til databeskyttelsesforordningens artikel 15, ret til at få bekræftet, om der behandles Persondata om dig, og du vil i givet fald få adgang til Persondata ved at få udleveret en kopi heraf.
6.1.2  Derudover har du ret til at modtage følgende:
  • Information om formålene med behandlingen.
  • Information om de berørte kategorier af Persondata.
  • Oplysning om modtagere eller kategorier af modtagere, som Persondata er eller vil blive videregivet til, navnlig modtagere i tredjelande eller internationale organisationer.
  • Om muligt det påtænkte tidsrum, hvor Persondata vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes til fastlæggelse af dette tidsrum.
  • Retten til at anmode om berigtigelse eller sletning af Persondata eller begrænsning af behandling af Persondata om dig eller til at gøre indsigelse mod en sådan behandling.
  • Retten til at indgive en klage til en tilsynsmyndighed.
  • Enhver tilgængelig information om, hvor Persondata stammer fra, hvis de ikke indsamles hos dig.
 6.1.3  Du har endvidere ret til at få oplysninger om fornødne garantier, hvis vi har overdraget Persondata til tredjelande.
 6.1.4  Efter databeskyttelsesloven gælder retten til indsigt ikke hvis din interesse i Persondata findes at burde vige for afgørende hensyn til private interesser.


6.2  Dataportabilitet
6.2.1  Du har efter databeskyttelsesforordningens artikel 20 desuden ret til i et struktureret, almindeligt anvendt og maskinlæsbart format at modtage Persondata om dig selv, som du selv har givet til os.
6.2.2  Du har desuden ret til selv at transmittere disse Persondata til en anden dataansvar-lig uden hindring fra os, når behandlingen er baseret på samtykke, og behandlingen foretages automatisk. Hvis du udøver denne ret til dataportabilitet, har du også ret til at få transmitteret Persondata direkte fra en dataansvarlig til en anden, hvis det er teknisk muligt.
 6.2.3  Adgangen til dataportabilitet omfatter kun Persondata, du selv har givet, og vil kun omfatte behandlinger, der foretages automatisk.


6.3  Ret til berigtigelse
 6.3.1  I henhold til databeskyttelsesforordningens artikel 16 har du ret til at få urigtige Persondata om dig selv berigtiget af os uden unødig forsinkelse. Under hensyntagen til formålene med behandlingen har du desuden ret til få fuldstændiggjort ufuldstændige Persondata, bl.a. ved at fremlægge en supplerende erklæring.
 6.3.2  Denne ret supplerer vores egen grundlæggende forpligtelse til kontinuerligt at sikre os, at der alene behandles korrekte og ajourførte Persondata, jf. artikel 5, stk. 1, litra d.
 6.3.3  Retten til berigtigelse angår dog alene objektive Persondata og ikke subjektive vurderinger.


6.4  Retten til at blive glemt
  6.4.1  Du har efter databeskyttelsesforordningens artikel 17 ret til at få Persondata om dig selv slettet af os uden unødig forsinkelse. Vi har i så fald pligt til at slette Persondata uden unødig forsinkelse.
 6.4.2  Dog er retten begrænset sådan, at der ikke kan kræves sletning, hvis behandlingen er nødvendig for at overholde en retlig forpligtelse, eller for at retskrav kan fastlægges, gøres gældende eller forsvares, jf. artikel 17, stk. 3, litra b og e.
 6.4.3  Hvis vi er forpligtet til efter artikel 17 at slette Persondata, som har været overladt til andre dataansvarlige eller databehandlere, skal vi underrette sådanne dataansvarlige eller databehandlere, som behandler Persondata, om, at du har anmodet om at få slettet alle link til eller kopier eller gengivelser af de pågældende Persondata.

6.5  Ret til at tilbagekalde samtykke
  6.5.1  Du kan på et hvilket som helst tidspunkt trække dit samtykke tilbage. Det er vores opgave at sikre os, at du kan trække dit samtykke tilbage på en enkel og lettilgængelig måde. Vi tilbyder flere muligheder for at tilbagetrækning af dit samtykke. Hvis du ønsker at tilbagekalde et eller flere af dine samtykker, kan du gøre dette ved at kontakte Sinnerup på mail: web@sinnerup.dk eller ved at ændre dine samtykkeindstillinger på ”Min Sinnerup” på Sinnerups hjemmeside. Tilbagekaldelse af et samtykke kan også ske via link i e-mails fra Sinnerup.
  6.5.2  Du kan tilbagekalde dit samtykke uden betaling af gebyrer.
  6.5.3  Hvis du vælger at trække dit samtykke tilbage, påvirker det ikke lovligheden af den behandling, der er baseret på samtykke inden tilbagekaldelsen. Tilbagekaldelse af samtykke vedrører kun den fremtidige behandling af dine Persondata.
  6.5.4  Vi skal ophøre med at behandle Persondata så hurtigt som muligt, hvis du tilbagekalder sit samtykke. Det gælder dog kun de Persondata, der er behandlet på grundlag af samtykket, men derimod ikke Persondata, hvor behandlingsgrundlaget er et andet end samtykke – eksempelvis en kontrakt mellem dig og os.
  6.5.5  Har vi et andet lovligt grundlag for behandling end samtykke med et selvstændigt formål – eksempelvis opbevaring af Persondata af hensyn til overholdelse af reglerne om bogføring – vil denne behandling endvidere fortsat kunne finde sted.
  6.5.6  Fortsættes behandlingen på et andet grundlag, skal du have information om behandlingsgrundlag, formål mv.

6.6  Ret til indsigelse – også mod automatiserede afgørelser
  6.6.1  Det følger af databeskyttelsesforordningens artikel 21, at du til enhver tid har ret til at gøre indsigelse mod behandlingen af dine Persondata, hvis behandlingen – herunder profilering – er baseret på artikel 6, stk. 1, litra e eller f. Disse bestemmelser omhandler adgangen til at behandle almindelige Persondata, hvis behandlingen er nødvendig for at udføre en opgave i samfundets interesser, eller hvis behandlingen er nødvendig for at forfølge en berettiget interesse og hensynet til dig ikke oversti-ger denne interesse.
  6.6.2  Hvis der gøres indsigelse, må vi ikke længere behandle de pågældende Persondata, medmindre vi kan påvise vægtige, legitime grunde til den behandling, der går forud for dine interesser, eller hvis behandlingen er nødvendig for, at retskrav kan fastlæg-ges, gøres gældende eller forsvares.
  6.6.3  Supplerende til artikel 21, har du i henhold til artikel 22 ret til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering, som har retsvirkning eller på tilsvarende vis betydeligt påvirker dig.

6.7  Ret til dataminimering
  6.7.1  I henhold til databeskyttelsesforordningens artikel 18 har du ret til at få begrænset behandlingen af Persondata, hvis:
  • Rigtigheden af Persondata bestrides af dig, men kun i perioden indtil vi har haft mulighed for at fastslå, om Persondata er korrekte.
  • Behandlingen er ulovlig, og du modsætter dig sletning af Persondata og i stedet anmoder om, at anvendelsen heraf begrænses.
  • Vi ikke længere har brug for Persondata til behandlingen, men de er nødvendige for, at et retskrav kan fastlægges, gøres gældende eller forsvares.
  • Du har gjort indsigelse mod behandlingen i medfør af artikel 21, stk. 1, men kun i den periode hvor det kontrolleres, om vores legitime interesser går forud for dine legitime interesser.
  6.7.2  Det følger af bestemmelsens stk. 2, at hvis en behandling er blevet begrænset, så må sådanne Persondata, bortset fra opbevaring, stadig behandles, forudsat at du giver samtykke hertil, eller hvis behandlingen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares.

7. BEHANDLINGSREGLER - GENERELT

 7.1  Behandlingsprincipper
  7.1.1  Vi vil behandle Persondata lovligt, rimeligt og på en gennemsigtig måde i forhold til dig.
  7.1.2  Vores behandling af Persondata er undergivet en formålsbegrænsning, hvilket vil sige, at Persondata skal indsamles til udtrykkeligt angivne og legitime formål. De må ikke viderebehandles på en måde, der er uforenelig med disse formål.
  7.1.3  Vi behandler Persondata ud fra et princip om dataminimering, hvilket vil sige, at de skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles.
 7.1.4  Persondata skal behandles ud fra et princip om rigtighed, hvilket vil sige, at de skal være korrekte og om nødvendigt ajourførte.
 7.1.5  Vi behandler Persondata ud fra et princip om opbevaringsbegrænsning, hvilket vil sige, at Persondata skal opbevares på en sådan måde, at det ikke er muligt at identificere dig i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende Persondata behandles.
 7.1.6  Persondata skal behandles ud fra et princip om integritet og fortrolighed, hvilket vil sige, at de skal behandles på en måde, der sikrer tilstrækkelig sikkerhed for Persondata, herunder at de skal beskyttes mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse under anvendelse af passende tekniske eller organisatoriske foranstaltninger.

7.2  Risikoanalyse
  7.2.1  Vi har forbindelse med vores sagsbehandling gennemført passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, som konkret er forbundet med vores behandling af Persondata.
 7.2.2  Vi har gennemført en risikoanalyse, som ligger til grund for denne Persondatapolitik.

7.3  Databehandleraftale
  7.3.1  Hvis vi benytter os af en databehandler, er der være udarbejdet en databehandleraftale med den pågældende databehandler, der lever op til databeskyttelsesforordningens krav til databehandleraftaler, jf. forordningens artikel 28, stk. 3. Det indebærer, at der skal udarbejdes en kontrakt eller andet retligt dokument, som er bindende for da-tabehandleren. Det er desuden et krav, at databehandleraftalen er skriftlig, herunder elektronisk.
  7.3.2  Databeskyttelsesforordningen fastsætter herudover en række specifikke krav til indholdet af databehandleraftalen. Aftalen skal bl.a. indeholde oplysninger om genstanden for og varigheden af behandlingen, behandlingens karakter og formål, typen af Persondata, kategorierne af registrerede – herunder vores – forpligtelser og rettigheder som dataansvarlig samt de pligter, som databehandleren har som led i at varetage opgaven. Kravene er specifikt beskrevet i databeskyttelsesforordningens artikel 28, stk. 3, litra a-h.

7.4 Databehandlere - oversigt

  7.4.1 Vi anvender eksterne virksomheder til at foretage den tekniske drift af Sinnerup. Disse virksomheder fungerer som databehandler i forhold til de Persondata, som vi er dataansvarlige for.
  7.4.2  Databehandling foretages inden for den Europæiske Union.
  7.4.3 Databehandleren handler alene efter instruks fra os.
  7.4.4  Vi benytter følgende databehandlere:
   
Databehandlere:
     MCB, FLUID, MediaPrint, ActiveCampaign, TrustPilot, Raptor, Zendesk.
   
Lokalisation:
     Danmark
   
Aftaletype:
     Databehandleraftale
 
7.4.5 Databehandleren har truffet de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger, mod at Persondata hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af Persondata.


7.5 Videregivelse til sociale netværk
Der videregives ikke Persondata til sociale netværk.


7.6 Anden videregivelse
Såfremt vi modtager henvendelse fra politi (eller anden lignende offentlig myndighed) eller retsvæsen om udlevering af Persondata, vil vi foretage udlevering af dine Persondata i overensstemmelse med gældende lovgivning.


7.7 Profilering
Vi anvender ikke dine Persondata til profilering.

7.8 Generelle tekniske foranstaltninger
  7.8.1 Datatilsynets IT-sikkerhedstekster, jf. nedenfor, danner grundlag for de overvejelser og vurderinger, vi har foretaget efter databeskyttelsesforordningen.
  7.8.2  Adgang til Persondata er begrænset til personer, der har et sagligt behov for adgang til Persondata. Det skal være så få personer som muligt, dog med behørigt hensyn til driften – der skal være et tilstrækkeligt antal medarbejdere til at sikre driften af de pågældende opgaver ved sygdom, ferier, personaleudskiftning m.v. Data vil alene blive tilgået på ”need to know”-basis.
  7.8.3  Medarbejdere, der håndterer Persondata, er instrueret og oplært i, hvad de må gøre med Persondata, og hvordan de skal beskytte Persondata.
  7.8.4  Persondata på papir – f.eks. i kartoteker og ringbind – opbevares aflåst, når de ikke er i brug.
  7.8.5  Når dokumenter (papirer, kartotekskort mv.) med Persondata smides ud, anvendes makulering eller anden foranstaltning, der forhindrer, at uvedkommende kan få adgang til Persondata.
  7.8.6  Der anvendes adgangskoder til at få adgang til pc’er og andet elektronisk udstyr med Persondata. Alene personer, der skal have adgang, får en kode og da kun til de systemer, den pågældende har brug for at anvende. De personer, der har adgangskode, må ikke overgive koden til andre eller lade den ligge, så andre kan se den. Kontrol af tildelte koder skal foretages mindst en gang hvert halve år.
  7.8.7  Det registreres, hvis der konstateres forgæves forsøg på at få adgang til it-systemer med Persondata. Hvis der registreres et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg, skal der blokeres for yderligere forsøg.
  7.8.8  Sinnerup har udpeget en ansvarlig, der kan overvåge sådanne forgæves adgangsforsøg. Under hensyntagen til den teknologiske udvikling er der anskaffet programmel, der kan afdække, hvem der har forsøgt at skaffe sig adgang til Persondata.
  7.8.9  Hvis Persondata lagres på en USB-nøgle, skal Persondata beskyttes. Der kan f.eks. bruges en USB-nøgle med adgangskode og kryptering. Ellers skal USB-nøglen opbe-vares i aflåst skuffe eller skab. Tilsvarende gælder ved opbevaring af Persondata på andre bærbare datamedier.
  7.8.10  PC’er koblet til internettet har en opdateret firewall og viruskontrol installeret.

7.8.11  Ved opkobling til wifi, hvortil der er fri adgang, sikrer vi passende sikkerhedsmæssige foranstaltninger under hensyntagen til det aktuelle teknologiske udviklingstrin på it-området.
  7.8.12  Hvis følsomme Persondata eller personnummer sendes med e-mail via internettet, skal sådanne e-mails krypteres. Hvis du sender Persondata til os via e-mail, skal du være opmærksom på, at afsendelse til os ikke er sikker, såfremt dine e-mails ikke er krypteret.
  7.8.13  I forbindelse med reparation og service af dataudstyr, der indeholder Persondata, og når datamedier skal sælges eller kasseres, træffer vi de fornødne foranstaltninger, så Persondata ikke kan komme til uvedkommendes kendskab.
  7.8.14  I de situationer, hvor en computer indleveres til reparation, og hvor der på computeren ligger Persondata, etablerer vi flere koder til forskellige sektioner af data. En reparatør vil eksempelvis ikke have behov for at kunne tilgå Persondata, der måtte ligge på computeren. En sådan ordning med flere koder vil kunne imødegå, men ikke fjerne, risikoen for misbrug af Persondata. Herudover bør det også ved aftale og kontrol sikres, at reparatører ikke uretmæssigt tilgår Persondata. Det kan f.eks. være ved brug af fortrolighedserklæringer.
  7.8.15  Ved brug af en ekstern databehandler til håndtering af Persondata underskrives en skriftlig databehandleraftale mellem os og databehandleren. Det gælder eksempelvis, når der anvendes et eksternt dokumentarkiv, eller hvis der anvendes cloud-systemer i forbindelse med behandlingen af Persondata – herunder kommunikation med kunden. På samme vis indgås der altid en skriftlig aftale mellem os og vores kunde, såfremt vi agerer som databehandler. Databehandleraftalerne er også tilgængelige elektronisk.
  7.8.16  Vi har vedtaget interne regler om informationssikkerhed, som indeholder instrukser og foranstaltninger, der beskytter Persondata mod at blive tilintetgjort, gå tabt eller blive ændret, mod uautoriseret offentliggørelse, og mod at uvedkommende får adgang eller kendskab til dem. Sinnerup vil sørge for, at de indsamlede Persondata behandles varsomt og beskyttes i henhold til gældende sikkerhedsstandarder. Vi har strenge sikkerhedsprocedurer for indsamling, opbevaring og overførsel af Persondata for at forhindre uautoriseret adgang, og for at overholde gældende lovgivning.
  7.8.17  Vi har truffet de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger for at beskytte dine Persondata mod utilsigtet eller ulovlig destruktion, tab eller ændring og mod uautoriseret offentliggørelse, misbrug eller anden handling i strid med gældende lovgivning.
  7.8.18  Systemerne er placeret på servere i sikrede lokaler.
  7.8.19  Vi bruger industristandarder som firewalls og autentificeringsbeskyttelse for at beskytte dine Persondata.
  7.8.20  Alle data overført mellem kunde (browser og web-app) og server(er) krypteres efter HTTPS-protokollen.

7.9  Back-up
  7.9.1  Sinnerup tager back-up af alle databaser og filer på fællesdrev hver nat. Back-up´en opbevares dels på en intern server, dels på et eksternt datacenter.
  7.9.2  Vi foretager følgende typer af backup:
 a)  backup rullende: Med denne metode, tages der dagligt backup af alle fil- og dataopdateringer og oprettes en sikkerhedskopi af alle de nye data. Dette skaber en historie af ændringer, således at muligheden for at genvinde tabte data forøges.
 b)  backup klon: Denne backup-strategi skaber en perfekt kopi af hver enhed på netvær-ket.
 c)  backup offsite: Denne backup sikrer mod tab af data, hvis backup opbevares on site. Alle data og filer sikkerhedskopieres og backup opbevares offsite.
  7.9.3  Alle backup data og filer overskrives med intervaller på 30 dage. Det er ikke teknisk muligt at gennemføre sletning af enkelte filer på en foretagen backup inden sådan overskrivning ske. Det vil sige, at har du anmodet Sinnerup om sletning af dine Persondata, vil sådanne Persondata blive slettet i live miljø, jf. nedenfor, men vil for-blive på backup indtil den specifikke backup efter 30 dage er overskrevet. Sinnerup har dog indført interne processer og procedurer til at sikre, at dine Persondata ikke genintroduceres som live data ved at genindlæse data og filer fra en backup, såfremt dine data er blevet slettet i henhold til din ”ret til at blive glemt”.

7.10  Sletning - hvornår
  7.10.1  Ved tilbagekaldelse af dit samtykke slettes dine Persondata. En række andre hensyn samt særregler indebærer dog, at Persondata ikke bør eller ikke må slettes, førend der er gået et nærmere defineret tidsrum.
  7.10.2  Bogføringsreglerne indebærer, at Persondata knyttet til en betaling skal opbevares i 5 år + løbende kalenderår efter regnskabsårets afslutning.
  7.10.3  Hensynet til et eventuelt retskrav kan indebære, at Persondata opbevares i 3 år efter afslutningen af opgaven.
  7.10.4  Stamdata om dig vil – for at sikre logisk synergi til også den regnskabsmæssige behandling – opbevares i 5 år fra kundeforholdets ophør.
  7.10.5  Kontaktinformation – CRM – vil løbende blive slettet og opdateret. E-mails, som kan have betydning for fastlæggelse af et retskrav, skal gemmes i 5 år og herefter slettes, medmindre retskrav er rejst mod, eller tænkes rejst af, Sinnerup.

8. ÆNDRING AF PERSONOPLYSNINGSPOLITIK

8.1 Sinnerup kan til enhver tid og uden varsel ændre denne persondatapolitik med virk-ning for fremtiden. Ved sådanne ændringer sker der orientering af Sinnerups brugere www.Sinnerup.dk. Sinnerups nye persondatapolitik vil herefter være gældende for din brug af Sinnerup.

9. HENVENDELSER

9.1 Hvis du har spørgsmål til nærværende persondatapolitik, vores behandling af Persondata, berigtigelse eller dit forhold til os i øvrigt, er du velkommen til at rette henvendelse til os på følgende adresse: Sinnerup ApS, CVR-nr. 67430611, Nørregade 10, 7500 Holstebro, Danmark, T: [+45] 36 96 52 52, E: web@sinnerup.dk, W: www.sinnerup.dk

10. DATATILSYNET

10.1 Retten til at klage
Du har mulighed for at klage til Datatilsynet over Sinnerups indsamling og behandling af dine Persondata:

Datatilsynet
Borgergade 28, 5.
1300 København K

Telefon 3319 3200
Mail: dt@datatilsynet.dk
www.datatilsynet.dk