BeHappy BeHappy

BeHappy2Day EU/UK GDPR Bevidstheds- og Overholdelsespolitik Erklæring.

1.0. Introduktion.

1.1. Den Europæiske Unions Generelle Databeskyttelsesforordning ("GDPR") træder i kraft i hele Den Europæiske Union den 25. maj 2018 og medfører de mest betydningsfulde ændringer af databeskyttelseslovgivningen i to årtier. Baseret på privatlivsvenlig design og en risikobaseret tilgang er GDPR designet til at imødekomme digitaliseringens krav.

1.2. Det 21. århundrede medfører en bredere anvendelse af teknologi, nye definitioner af, hvad der udgør personoplysninger, og en betydelig stigning i grænseoverskridende behandling. Den nye forordning har til formål at standardisere databeskyttelseslove og behandling i hele EU; og give enkeltpersoner stærkere, mere ensartede rettigheder til at tilgå og kontrollere deres personlige oplysninger.

2.0. Vores Forpligtelse

Vi er forpligtet til at sikre sikkerheden og beskyttelsen af de personoplysninger, vi behandler, og til at tilbyde en kompatibel og konsekvent tilgang til databeskyttelse. Vi mener, at vi altid har haft et robust og effektivt databeskyttelsesprogram på plads, der overholder gældende lovgivning og følger databeskyttelsesprincipperne. Vi anerkender dog vores forpligtelser til at opdatere og udvide dette program for at imødekomme GDPR's krav og Storbritanniens Databeskyttelseslov.

2.1. BeHappy2Day er dedikeret til at beskytte de personoplysninger, vi har ansvar for, og til at udvikle et databeskyttelsesregime, der er effektivt, formålstjenligt og demonstrerer en forståelse af og værdsættelse for den nye forordning. Vores forberedelse og mål for GDPR-overholdelse er sammenfattet i denne erklæring og omfatter udvikling og implementering af nye databeskyttelsesroller, politikker, procedurer, kontrolmekanismer og foranstaltninger for at sikre maksimal og løbende overholdelse.

3.0. Hvordan vi forbereder os på GDPR

3.1. Vi har allerede et ensartet niveau af databeskyttelse og sikkerhed i hele vores organisation, men det er vores mål at være fuldt overensstemmende med GDPR inden den 25. maj 2018. Vores forberedelse omfatter:

(a) Informationsrevision - gennemførsel af en virksomhedsomfattende informationsrevision for at identificere og vurdere, hvilke personoplysninger vi besidder, hvor de kommer fra, hvordan og hvorfor de behandles, og om og til hvem de videregives.

(b) Politikker & Procedurer - revision/implementering af nye databeskyttelsespolitikker og procedurer for at imødekomme GDPR's krav og standarder samt relevant databeskyttelseslovgivning, herunder:

(c) Databeskyttelse - vores hoveddokument for databeskyttelsespolitikker og procedurer er blevet revideret for at imødekomme GDPR's standarder og krav. Ansvars- og styringsmekanismer er på plads for at sikre, at vi forstår og tilstrækkeligt formidler og dokumenterer vores forpligtelser og ansvar; med et særligt fokus på privatlivsvenlig design og enkeltpersoners rettigheder.

(d) Dataopbevaring & Sletning - vi har opdateret vores opbevaringspolitik og -plan for at sikre, at vi overholder principperne om 'dataminimering' og 'lagringsbegrænsning' og at personoplysninger opbevares, arkiveres og destrueres på en kompatibel og etisk måde. Vi har dedikerede sletningsprocedurer på plads for at imødekomme den nye 'Ret til Sletning'-forpligtelse og er opmærksomme på, hvornår denne og andre datasubjekters rettigheder gælder; sammen med eventuelle undtagelser, svarfrister og meddelelsesforpligtelser.

(e) Databrud - vores brudprocedurer sikrer, at vi har sikkerhedsforanstaltninger på plads til at identificere, vurdere, undersøge og rapportere ethvert personoplysningsbrud så tidligt som muligt. Vores procedurer er robuste og er blevet formidlet til alle medarbejdere, så de er klar over rapporteringslinjerne og de skridt, der skal følges.

(f) Internationale dataoverførsler & Tredjepartsoplysninger - hvor BeHappy2Day opbevarer eller overfører personoplysninger uden for EU, har vi robuste procedurer og sikkerhedsforanstaltninger på plads for at sikre, kryptere og opretholde dataintegriteten. Vores procedurer omfatter en løbende gennemgang af lande med tilstrækkelige beskyttelsesniveauer samt bestemmelser om bindende virksomhedsregler; standard databeskyttelsesklausuler eller godkendte adfærdsregler for lande uden. Vi gennemfører strenge due diligence-kontroller med alle modtagere af personoplysninger for at vurdere og verificere, at de har passende sikkerhedsforanstaltninger på plads for at beskytte oplysningerne, sikre håndhævelige rettigheder for datasubjekter og have effektive retsmidler for datasubjekter, hvor det er relevant.

(g) Adgangsforespørgsler (SAR) - Du har ret til at vide, hvilke oplysninger vi har om dig. Vi har revideret vores SAR-procedurer for at imødekomme den reviderede 30-dages frist for at fremskaffe de anmodede oplysninger og for at gøre denne ydeelse gratis. Vores nye procedurer specificerer, hvordan datasubjektet verificeres, hvilke skridt der skal tages for behandling af en adgangsforespørgsel, hvilke undtagelser der gælder, og en række svarskabeloner for at sikre, at kommunikationen med datasubjekter er overensstemmende, konsekvent og tilstrækkelig.

(h) Retsgrundlag for behandling - vi gennemgår alle behandlingsaktiviteter for at identificere det retlige grundlag for behandlingen og sikre, at hvert grundlag er passende for den aktivitet, det vedrører. Hvis relevant fører vi også optegnelser over vores behandlingsaktiviteter for at sikre, at vores forpligtelser i henhold til artikel 30 i GDPR og bilag 1 til databeskyttelsesloven er opfyldt.

(i) Privatlivspolitik - vi har revideret vores privatlivspolitik(ker) for at overholde GDPR og sikre, at alle personer, hvis personoplysninger vi behandler, er informeret om, hvorfor vi har brug for dem, hvordan de bruges, hvad deres rettigheder er, hvem oplysningerne videregives til, og hvilke beskyttelsesforanstaltninger der er på plads for at beskytte deres oplysninger.

(j) Indhentning af samtykke - vi reviderer vores mekanismer for indhentning af samtykke til personoplysninger for at sikre, at enkeltpersoner forstår, hvad de giver, hvorfor og hvordan vi bruger det, og for at give klare, definerede måder at give samtykke til, at vi behandler deres oplysninger. Vi har udviklet strenge processer for registrering af samtykke for at sikre, at vi kan dokumentere et aktivt tilvalg sammen med tids- og datooptegnelser samt en nem og tilgængelig måde at trække samtykke tilbage på til enhver tid.

(k) Direkte markedsføring - vi reviderer formuleringer og processer for direkte markedsføring, herunder klare tilmeldingsmekanismer til markedsføringsabonnementer; en klar meddelelse og metode for fravalg samt fravalgsfunktioner på alle efterfølgende markedsføringsmaterialer.

(l) Databeskyttelsesvurderinger (DPIA) - når vi behandler personoplysninger, der anses for at være højrisiko, omfatter behandling i stor skala eller særlige kategorier/straffedommende data, har vi udviklet strenge procedurer og vurderingsskabeloner til gennemførelse af konsekvensvurderinger, der fuldt ud overholder artikel 35 i GDPR. Vi har implementeret dokumentationsprocesser, der registrerer hver vurdering, giver os mulighed for at vurdere den risiko, behandlingsaktiviteten udgør, og implementere risikominimerende foranstaltninger for at reducere risikoen for datasubjekt(et).

(m) Databehandleraftaler - når vi bruger tredjeparter til at behandle personoplysninger på vores vegne (f.eks. løn, rekruttering, hosting osv.), har vi udarbejdet overensstemmende databehandleraftaler og due diligence-procedurer for at sikre, at de (såvel som vi) opfylder og forstår deres/vores GDPR-forpligtelser. Disse foranstaltninger omfatter indledende og løbende gennemgange af den leverede service, behandlingsaktivitetens nødvendighed, de tekniske og organisatoriske foranstaltninger samt overholdelse af GDPR.

(n) Særlige kategorier af data - når vi indhenter og behandler oplysninger om særlige kategorier, gør vi det i fuld overensstemmelse med kravene i artikel 9 og har højniveaukryptering og beskyttelse af alle sådanne data. Data i særlige kategorier behandles kun, når det er nødvendigt, og kun når vi først har identificeret det relevante grundlag i artikel 9(2) eller betingelsen i bilag 1 til databeskyttelsesloven. Når vi støtter os til samtykke til behandling, er dette eksplicit og verificeret med en underskrift, og retten til at ændre eller tilbagekalde samtykke er tydeligt markeret.

4.0. Datasubjekters rettigheder

4.1. Ud over de ovenfor nævnte politikker og procedurer, der sikrer, at enkeltpersoner kan håndhæve deres databeskyttelsesrettigheder, giver vi nem adgang til information via vores hjemmeside om en persons ret til at få adgang til personoplysninger, som BeHappy2Day behandler om dem, og til at anmode om information om:

  • Hvilke personoplysninger vi har om dem
  • Formålet med behandlingen
  • De kategorier af personoplysninger, det drejer sig om
  • De modtagere, som personoplysningerne er/vil blive videregivet til
  • Hvor længe vi har til hensigt at opbevare dine personoplysninger
  • Hvis vi ikke har indsamlet dataene direkte fra dem, information om kilden
  • Retten til at få ufuldstændige eller unøjagtige data om dem rettet eller udfyldt samt processen for at anmode herom
  • Retten til at anmode om sletning af personoplysninger (hvis relevant) eller begrænsning af behandling i overensstemmelse med databeskyttelseslovgivningen samt retten til at gøre indsigelse mod direkte markedsføring fra os og til at blive informeret om enhver automatiseret beslutningstagning, vi anvender
  • Retten til at indgive en klage eller søge juridisk råd og hvem man skal kontakte i sådanne tilfælde

5.0. Informationssikkerhed & Tekniske og organisatoriske foranstaltninger

5.1. BeHappy2Day tager privatlivets fred og sikkerhed for enkeltpersoner og deres personoplysninger meget alvorligt og træffer alle rimelige foranstaltninger og forholdsregler for at beskytte og sikre de personoplysninger, vi behandler. Vi har robuste politikker og procedurer for informationssikkerhed på plads for at beskytte personoplysninger mod uautoriseret adgang, ændring, videregivelse eller ødelæggelse og har flere lag af sikkerhedsforanstaltninger, herunder SSL, adgangskontrol, adgangskodepolitik, kryptering, pseudonymisering, praksis, begrænsning, IT, godkendelse osv.

6.0. GDPR-roller og medarbejdere

6.1. Vi har udpeget Marina Bobrova som vores databeskyttelsesansvarlige og har nedsat et team for databeskyttelse til at udvikle og implementere vores handlingsplan for overholdelse af den nye databeskyttelsesforordning. Teamet er ansvarlig for at fremme bevidstheden om GDPR i hele organisationen, vurdere vores GDPR-parathed, identificere eventuelle huller og implementere de nye politikker, procedurer og foranstaltninger.

6.2. BeHappy2Day forstår, at løbende medarbejderbevidsthed og -forståelse er afgørende for den fortsatte overholdelse af GDPR og har involveret vores medarbejdere i vores forberedelsesplaner. Vi har implementeret et medarbejderbevidsthedsprogram specifikt rettet mod ovenstående, som vil blive rullet ud til alle medarbejdere inden den 25. maj 2018. Dette udgør en løbende del af vores introduktions- og årlige træningsprogram.

Hvis du har spørgsmål til vores forberedelse til GDPR, skal du kontakte Marina Bobrova, som er vores databeskyttelsesansvarlige, på admin@behappy2day.com

[ 0.0374 ]