Privatlivspolitik

Oplysning om behandling af personoplysninger – Kommune Konsulenterne

Vi, Kommune Konsulenterne, er dataansvarlig for behandlingen af de personoplysninger, som vi har modtaget om dig.

Denne privatlivspolitik beskriver, hvorledes vi, Kommune Konsulenterne (’’Vi’’, ’’Os’’, ’’Vores’’ etc.), CVR-nr.

32814484, indsamler og behandler personoplysninger efter databeskyttelsesforordningen (’’GDPR’’).

 

Det oplyses, hvilke rettigheder du har som, vikar, kunde og/eller samarbejdspartner i forbindelse med vores håndtering af dine personoplysninger.

Hvis din henvendelse drejer sig om indsigt, sletning, berigtigelse, begrænsning, indsigelse eller dataportabilitet, kan du se dine rettigheder som den, hvis personoplysninger vi indsamler og behandler (’’de(n) registrerede’’), i punkt 12.

 

Politikken indgår i vores dokumentation for, at vi som virksomhed er i overensstemmelse med de gældende GDPR-regler, og at vi overholder vores oplysningspligt i GDPR artikel 13.

 

Vi agerer i forskellige henseende som dataansvarlig for dine personoplysninger og behandlingen af samt aktiviteterne forbundet hermed.

Behandlingsaktiviterne udført af os beskrives i punkt 1 og 2. De enkelte behandlingsgrundlag er anført i punkt 1.

 

Vi bruger cookies på hjemmesiden. Se vores cookiepolitik ved at trykke her for formål, leverandører, opbevaringstider og samtykkeindstillinger. Du kan altid ændre eller trække dit samtykke tilbage via cookie-indstillingerne.

 

Generelle henvendelser vedrørende personoplysninger og generel GDPR eller andet, kan alene ske ved kontakt til os.

 

Kontaktoplysninger

Kommune Konsulenterne

Torvegade 3C, 1.

9400 Nørresundby

CVR-nr.: 32 81 44 84

Tlf.: +45 93 30 40 50

E-mail: info@kommunekonsulenterne.dk

 

Vi besvarer henvendelser fra den registrerede, dig, hurtigst muligt og senest 1 måned efter, at vi har modtaget anmodningen. Hvis anmodningen er kompliceret, har vi 3 måneder fra modtagelsen til at svare på anmodningen.

 

Vi sørger for at anmodninger i medfør af dine rettigheder som registreret håndteres uden unødig forsinkelse.

Om betegnelser i denne privatlivspolitik

I denne privatlivspolitik anvendes betegnelsen ”den registrerede”, ’’dig’’, ’’du’’ etc. om de fysiske personer, hvis personoplysninger behandles af os. Dette omfatter følgende kategorier:

  • Ansatte hos brugervirksomheder (kunder), herunder både private virksomheder og offentlige myndigheder såsom kommuner, i det omfang vi behandler personoplysninger om disse personer i forbindelse med vores samarbejde.
  • Vikarer, der er tilknyttet og udsendt af os til brugervirksomheder, herunder kommuner og andre offentlige myndigheder.
  • Vores egne ansatte medarbejdere, hvis personoplysninger behandles som led i ansættelsesforholdet og i forbindelse med opgaveløsning for vores kunder og rekruttering, administration m.v. for tilknytningsforholdet mellem vikaren og brugervirksomheden.

Det bemærkes, at ”den registrerede” i databeskyttelsesretlig forstand alene omfatter identificerbare fysiske personer, jf. databeskyttelsesforordningens artikel 4, nr. 1. Oplysninger om juridiske personer, såsom selskaber og myndigheder, er således ikke omfattet af denne privatlivspolitik, medmindre der er tale om enkeltmandsvirksomheder, hvor oplysningerne ikke kan adskilles fra ejeren som fysisk person.

 

1. Formålene med og retsgrundlaget for indsamlingen og behandlingen af dine personoplysninger

Vi behandler dine personoplysninger til følgende formål:

  • Opfylde en aftale du er part i, eller for at indgå en sådan aftale med dig efter din anmodning, herunder at behandle din sag, vikariat og aftale om tilknytning til brugervirksomhed, hos os.
  • Overholde en retlig forpligtigelse, som påhviler os.
  • Fastlægge, forfølge eller gøre et retskrav gældende.
  • Foretage en nødvendig behandling for at vi eller tredjemand kan forfølge en legitim interesse, og beskyttelsen af dine interesser og rettigheder ikke går forud for vores eller tredjemands legitime interesse. De legitime interesser vi forfølger er:
    • Opfyldelse af vikariat
    • Opfyldelse af tilknytningsaftale
    • Kundetilfredshed og produktudvikling

Vi driver profiler hos Facebook/Instagram (Meta). Her er vi og platformen fælles dataansvarlige for visse behandlingsaktiviteter. Se Metas privatlivspolitik her: https://www.facebook.com/privacy/policy

 

Vores primære formål med indsamlingen og behandlingen er, at vi kan levere den ydelse, som den enkelte kunde har bestilt, herunder også opfyldelse af aftale om tilknytning som vikar, varetage vores medarbejdere, og i øvrigt opfylde vores kontraktuelle forpligtelser.

Retsgrundlagene for vores behandling af dine personoplysninger følger af:

Databeskyttelsesforordningen 2016/679 af 27. april 2016 (GDPR):

  • Artikel 6, stk. 1, litra a) og artikel 9, stk. 2, litra a), når du har givet dit samtykke.
  • Artikel 6, stk. 1, litra b), når behandlingen er nødvendig for at opfylde en aftale du er part i, eller for at indgå en sådan aftale med dig efter din anmodning.
  • Artikel 6, stk. 1, litra c), når behandlingen er nødvendig for at overholde en retlig forpligtigelse, som påhviler os.
  • Artikel 6, stk. 1, litra f), når behandlingen er nødvendig for at vi eller tredjemand kan forfølge en legitim interesse, og beskyttelsen af dine interesser og rettigheder ikke går forud for vores eller tredjemands legitime interesse.
  • Artikel 9, stk. 2, litra e), når behandlingen tydeligvis vedrører personoplysning, som du selv har offentliggjort.
  • Artikel 9, stk. 2, litra f), når behandlingen er nødvendig for at et retskrav kan fastlægges, gøres gældende eller forsvares.

 

Hvorvidt oplysninger er nødvendige for os, afhænger af formålet som personoplysningerne skal anvendes til. Vi begrænser dog vores behandling til hvad der er nødvendigt i forhold til de formål, hvortil personoplysningerne behandles – også kaldet dataminimering efter GDPR artikel 5, stk. 1, litra c.

Vi behandler alene personoplysninger som er tilstrækkelige, relevante og begrænset til nødvendigheden i forhold til de formål, hvorunder behandlingen sker.

 

2. Kategorier af personoplysninger
Vi behandler kun personoplysninger, som er relevante i forhold til formålene oplistet under punkt 1. I de fleste tilfælde betyder dette, at vi kun behandler oplysninger, som er relevante for netop dit konkrete tilfælde.
Nedenfor kan du se, hvilke kategorier af personoplysninger, som vi behandler om dig.

  • Navn
  • Adresse
  • Telefon
  • E-mail
  • Individuelle noter om kundeforholdet
  • Individuelle noter om ansættelsesforhold
  • Oplysninger som du skriver på vores sociale medier i form af kommentarer, beskeder o.l.
  • Ovennævnte også i forbindelse med kandidater til ansættelse og nuværende ansatte
  • Jobansøgning, herunder eventuelt CV, referencer, kvalifikationer o.l.
  • Identitsoplysninger
  • Skattekort
  • Kontonummer

Behandling af følsomme personoplysninger, herunder CPR-nummer, straffeattest og børneattest
Som led i vores virksomhed som vikarbureau behandler vi i visse tilfælde følsomme personoplysninger om dig. Dette omfatter følgende oplysninger:

  • CPR-nummer, hvis det er aftalt med en eller flere af vores kontraktsparter, og opfyldelsen af aftalen er nødvendig for denne behandling
  • Straffeattest, hvis det er aftalt med en eller flere af vores kontraktsparter, og opfyldelsen af aftalen er nødvendig for denne behandling
  • Børneattest, hvis det er aftalt med en eller flere af vores kontraktsparter, og opfyldelsen af aftalen er nødvendig for denne behandling

Ovennævnte behandling sker med hjemmel i GDPR art. 9, stk. 2, og databeskyttelseslovens §§ 7-8.
Vi registrerer som kun, om attesten er indhentet og udfaldet, og opbevarer ikke selve attesten længere end nødvendigt til dokumentation af kontrollen.

Behandlingen af disse oplysninger sker udelukkende, når det er nødvendigt for at opfylde vores kontraktlige forpligtelser, overholde gældende lovgivning og efter dit udtrykkelige samtykke, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra a, b eller c, samt artikel 9, stk. 2, litra a, b eller f.

For behandling af oplysninger om strafbare forhold, herunder straffeattest og børneattest, sker dette kun, hvis adgangen hertil følger af lovgivningen, eller hvis du har givet dit udtrykkelige samtykke, jf. databeskyttelseslovens § 8. Behandling af CPR-nummer sker kun, når det er nødvendigt for entydig identifikation, eller når det følger af lovgivningen, jf. databeskyttelseslovens § 11.

Vi indhenter og behandler kun straffeattest og børneattest, hvis det er sagligt og proportionalt i forhold til den konkrete stilling eller opgave, og kun når det er nødvendigt for at opfylde krav fra vores kunder eller myndigheder. Oplysningerne behandles fortroligt og opbevares sikkert i overensstemmelse med gældende regler om dataminimering og beskyttelse af personoplysninger.

 

3. Modtagere eller kategorier af modtagere
Vi videregiver eller overlader dine personoplysninger til følgende modtagere, hvis det er relevant i forhold til behandlingens formål, og vi har lovlig adgang hertil, jf. punkt 5 og punkt 9:

  • Vores kontraktsparter, idet en sådan videregivelse er nødvendig for at opfylde aftalen om vikariat med dig
  • Vores databehandlere
  • Offentlige myndigheder
  • Danmarks domstole, voldgiftsnævn, ankenævn mv.

Tredjepater, som du anmoder os om at videregive oplysninger til

4. Kontaktformular
Når du benytter vores kontaktformularindsendelsesmuligheder på hjemmesiden, lagres disse samt sendes til vores mailsystem, for at vi kan besvare dine spørgsmål. Kontaktformularerne benyttes ikke til markedsføring, tilmelding til nyhedsbreve eller lign. uden du efterspørger dette og din data videresendes ikke uden for organisationen, uden at det er relevant for emnet, samt har din fulde godkendelse.

5. Overførsel til modtagere i tredjelande, herunder internationale organisationer
I forbindelse med vores anvendelse af visse databehandlere og underdatabehandlere kan der ske overførsel af personoplysninger til lande uden for EU/EØS (tredjelande), herunder USA og Israel. Dette gælder for de i punkt 5.1. nævnte data- og underdatabehandlere.

Overførsel af personoplysninger til tredjelande sker kun, når det er nødvendigt for at opfylde vores kontraktlige forpligtelser, og når der er etableret et lovligt overførselsgrundlag i henhold til databeskyttelsesforordningens kapitel V. For de nævnte leverandører anvender vi Europa-Kommissionens standardkontraktbestemmelser (Standard Contractual Clauses, SCC) som overførselsgrundlag, hvilket sikrer, at der er fornødne garantier for beskyttelsen af dine personoplysninger. Overførslen sker således på baggrund af en databehandleraftale, jf. GDPR art. 28, samt SCC, jf. GDPR art. 46, stk. 2, litra c.
Ved overførsel til tredjelande (fx USA via Google Workspace/Monday/Zapier, jf. punkt 5.1. og punkt 9) anvender vi EU’s standardkontraktbestemmelser (SCC) og gennemfører en Transfer Impact Assessment (TIA) samt relevante supplerende foranstaltninger.

Vi vurderer løbende, om vores leverandører i tredjelande opretholder et tilstrækkeligt beskyttelsesniveau, og vi foretager risikovurderinger i overensstemmelse med Datatilsynets vejledning og gældende praksis. Hvis der sker væsentlige ændringer i leverandørernes beskyttelsesniveau eller i de gældende overførselsgrundlag, vil vi informere de registrerede herom og opdatere denne privatlivspolitik.

5.1. Databehandlere og underdatabehandlere i tredjelande
Monday.com
Service: Projekt- og opgavestyring.
Overførsel til: Israel og USA
Retligt grundlag: Standardkontraktbestemmelse for overførsel af personoplysning (SCC).

Google LLC (Gmail og Google Workspace)
Service E-mail og cloud-lagring.
Overførsel til: USA
Retligt grundlag: Standardkontraktbestemmelse for overførsel af personoplysning (SCC).

Zapier, Inc.
Service: Integrationsplatform.
Overførsel til: USA
Retligt grundlag: Standardkontraktbestemmelse for overførsel af personoplysning (SCC).

For alle øvrige databehandlere og underdatabehandlere (Payday, Stepto, DataLøn, DataLøn TID, Danica Pension, Addo Sign, Smartplan, Terapeut Booking, WebCRM, e-conomic) sker behandlingen og opbevaringen af personoplysninger som udgangspunkt inden for EU/EØS, medmindre andet fremgår af punkt 9.

Vi sikrer, at alle overførsler til tredjelande sker i overensstemmelse med gældende databeskyttelsesret, og at der er indgået de nødvendige databehandleraftaler og SCC’er med de relevante leverandører. Vi fører løbende tilsyn med vores databehandlere og underdatabehandlere for at sikre, at personoplysninger behandles fortroligt og sikkert.

 

6. Hvor dine personoplysninger stammer fra
De personoplysninger vi behandler om dig er hovedsageligt de oplysninger, som vi har modtaget fra dig i forbindelse med en ansættelse, et vikariat, tilknytnings- og/eller kundeforhold.
De øvrige kilder, som vi bruger til at indhente oplysninger om dig er generelt:

  • Oplysninger som du selv har afgivet via vores kontaktformular, pr. e-mail, ved fysisk fremmøde eller ved telefonisk henvendelse

7. Opbevaring af dine personoplysninger og slettefrister
Vi opbevarer personoplysninger i overensstemmelse med gældende frister i dansk lovgivning og efter de principper, der følger af databeskyttelsesforordningen (GDPR), herunder princippet om opbevaringsbegrænsning (artikel 5, stk. 1, litra e).
Konkret gælder følgende opbevaringsperioder:

Behandlingsaktivitet / System Registrerede Slette-/opbevaringstrigger Opbevaringsperiode Hjemmel / begrundelse Bemærkninger
Regnskabs- og fakturaoplysninger (e-conomic) Kunder, vikarer (navn/initial) Regnskabsårets udløb 5 år fra udgangen af regnskabsåret Bogføringsloven § 10, stk. 1 Kan opbevares længere ved verserende krav/tvister
Kontaktformularer (website) Alle henvendende Modtagelse af henvendelse Op til 1 år Saglig opfølgning; GDPR art. 6(1)(f) Overføres til e-mail; bruges ikke til markedsføring uden samtykke
Kundekartotek (CRM) Kunder/kontaktpersoner Kundeforhold ophør eller inaktivitet 24 måneder Nødvendighed/interesseafvejning; GDPR art. 6(1)(b)/(f) Slettet tidligere, hvis ikke sagligt formål foreligger
Jobansøgere (rekruttering) Ansøgere til ansættelse Stillingen besat / modtagelse af ansøgning 3 mdr. efter besat eller 6 mdr. efter modtagelse GDPR art. 6(1)(b)/(f); evt. samtykke art. 6(1)(a) Med samtykke kan opbevares op til 6 mdr. ekstra efter besat
Medarbejdere (HR-arkiv) Nuværende/tidligere ansatte Ansættelsesophør Slettes/anonymiseres løbende (dele typisk op til 5 år) Lovkrav; GDPR art. 6(1)(c)/(f) Frister afhænger af dokumenttype i intern slettepolitik
Potentielle kunder (WebCRM) Leads/kontaktpersoner Anmodning eller formål bortfalder Slettet ved anmodning eller manglende formål GDPR art. 6(1)(f) Dokumentér opt-out og indsigelser
Udsendte vikarer og ansøgere til vikariater (Terapeutbooking, WebCRM, Monday) Vikarer/ansøgere til vikariat Vikariat/tilknytning ophør Senest 5 år – ved 5 års inaktivitet GDPR art. 6(1)(b)/(f) Længere opbevaring kun ved lovkrav eller kravshåndtering
Løndata og ansættelsesoplysninger (PayDay, Stepto, DataLøn, Dataløn TID) Vikarer/ansatte Regnskabsårets udløb 5 år fra udgangen af regnskabsåret Bogføringsloven; GDPR art. 6(1)(c) Omfatter lønsedler, skat, AM-bidrag, tidsregistrering mv.
Pensionsoplysninger (Danica Pension) Vikarer/ansatte Pensionsforhold ophør Typisk 5 år efter ophør Lovkrav/branchepraksis; GDPR art. 6(1)(c) Efter konkret vurdering og krav fra pensionsleverandør
Dokumenter og kontrakter (Addo Sign) Vikarer, kunder, ansatte Kontraktens ophør Op til 5 år Forældelsesregler; GDPR art. 6(1)(f) Længere ved tvister eller garantiperioder
E-mails og korrespondance (Gmail/Workspace) Alle Sagens afslutning eller formål bortfald Formålsbaseret GDPR art. 6(1)(b)/(f) Slettes eller arkiveres når der ikke længere er sagligt formål
Integrationsdata (Zapier) Ansøgere, vikarer, kunder (transit) Fuldført integration Straks slettet eller anonymiseret Dataminimering; GDPR art. 5(1)(c)/(e) Ingen varig lagring; kun midlertidig behandling under integration

 

7.1. Generelt om vores opbevaring af personoplysninger og slettefrister
Såfremt vi konkret vurderer, at der ikke er en legitim grund til at gemme oplysningerne, sletter vi dine oplysninger på et tidligere tidspunkt. Ved vurderingen lægger vi vægt på, om der i lovgivningen er en ret eller forpligtelse til, at vi gemmer oplysningerne, om du har en rimelig interesse i, at oplysninger slettes, som overstiger vores interesse i at gemme oplysningerne, samt om den fortsatte lagring af oplysningerne medfører en risiko for dig som registreret.

Når opbevaringsperioden udløber, slettes eller anonymiseres personoplysningerne, medmindre fortsat opbevaring er nødvendig for at overholde retlige forpligtelser eller for at fastlægge, gøre gældende eller forsvare eller fastlægge et retskrav.

8. Automatiske afgørelser, herunder profilering
Vi anvender ikke dine personoplysninger til automatiske afgørelser eller profilering. Det betyder, at vi ikke træffer beslutninger udelukkende baseret på automatiserede processer, som kan have juridiske eller væsentlige konsekvenser for dig.

Hvis vi på et tidspunkt ændrer denne praksis, vil vi informere dig på forhånd i overensstemmelse med GDPR artikel 22, og vi vil sikre os, at alle lovens krav i den forbindelse overholdes, herunder indhentning af samtykke eller sikre af andet gyldigt grundlag, hvis påkrævet.

 

9. Under- og databehandlere
Vi kan i visse tilfælde anvende under- og databehandlere for opfyldelsen af indgåede kontrakter med os, samt når der foreligger samtykke eller andre legitime interesser, som begrunder databehandling i samarbejde med vores under- og databehandlere.

For nuværende har vi følgende under- og databehandlere:

Databehandler Adresse Service Retligt grundlag
Payday A/S Bøgeskovvej 13, 3490 Kvistgård, Danmark Lønadministration for udsendte vikarer Databehandleraftale, GDPR art. 28
Stepto A/S Porsborgparken 39, 9530 Støvring, Danmark Lønadministration og HR-assistance (benytter DataLøn som underdatabehandler) Databehandleraftale, GDPR art. 28
Visma DataLøn A/S (DataLøn) Gærtorvet 1-5, 1799 København V, Danmark Lønsystem (lønkørsler, lønsedler, skat mv.) Databehandleraftale, GDPR art. 28
Visma DataLøn TID Gærtorvet 1-5, 1799 København V, Danmark Tidsregistreringssystem for vikarer Databehandleraftale, GDPR art. 28
Danica Pension Parallelvej 17, 2800 Kongens Lyngby, Danmark Pensionsadministration Databehandleraftale, GDPR art. 28
Visma Addo Sign Nørgaardsvej 32, 2800 Kongens Lyngby, Danmark Digital underskrift og dokumenthåndtering Databehandleraftale, GDPR art. 28
Smartplan ApS Skolegade 7B, 3. tv, 8000 Aarhus C, Danmark Vagtplanlægning og tidsregistrering for kontormedarbejdere Databehandleraftale, GDPR art. 28
EasyPractice ApS (Terapeut Booking) Mejlgade 48, 8000 Aarhus, Danmark Vikar-database og bookingsystem Databehandleraftale, GDPR art. 28
WebCRM A/S Lyngbyvej 2, 2100 København Ø, Danmark CRM-system til kundedata og salg Databehandleraftale, GDPR art. 28
Monday.com Hovedkontor i Tel Aviv, Israel; datacenter i bl.a. USA Projekt- og opgavestyring Databehandleraftale, GDPR art. 28 + SCC
Google LLC (Gmail og Workspace) 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA E-mail og cloud-lagring Databehandleraftale, GDPR art. 28 + SCC
Visma e-conomic A/S Gærtorvet 1-5, 1799 København V, Danmark Økonomisystem (fakturering og regnskab) Databehandleraftale, GDPR art. 28
Zapier, Inc. 548 Market St #62411, San Francisco, CA 94104, USA Integrationsplatform mellem systemer Databehandleraftale, GDPR art. 28 + SCC

 

Bemærk: Ovenstående liste kan blive ændret løbende i takt med, at vi får nye leverandører eller ændrer vores systemer. Vi opdaterer denne privatlivspolitik og informerer de registrerede, hvis vi indgår aftale med nye databehandlere eller underdatabehandlere, der skal behandle dine oplysninger. Enhver brug af databehandlere og eventuelle videregivelser til underdatabehandlere vil altid ske i overensstemmelse med GDPR’s krav og på et lovligt grundlag (GDPR art. 6).

10. Retten til at trække samtykke tilbage
Du har til enhver tid ret til at trække dit samtykke tilbage. Dette kan du gøre ved at kontakte os på de kontaktoplysninger, der fremgår ovenfor i punkt 1.

Hvis vores behandling af dine personoplysninger baserer sig på dit samtykke, har du til enhver tid ret til at trække dette samtykke tilbage. Dette kan du gøre ved at kontakte os på de kontaktoplysninger, der fremgår ovenfor (se evt. indledningen eller vores hjemmeside for kontaktinfo).

Hvis du vælger at trække dit samtykke tilbage, påvirker det ikke lovligheden af den behandling, som allerede er sket på baggrund af dit tidligere meddelte samtykke og frem til tidspunktet for tilbagetrækningen. Det betyder med andre ord, at din eventuelle tilbagetrækning af samtykke først får virkning for vores fremadrettede behandlinger efter det tidspunkt, hvor du har tilbagekaldt samtykket.

Bemærk, at hvis du tilbagetrækker et samtykke, og vi ikke har et andet lovligt grundlag for fortsat at behandle de pågældende personoplysninger, vil vi ophøre med behandlingen og evt. slette oplysningerne, medmindre vi er retligt forpligtede til at gemme dem.

11. Dine rettigheder
Du har efter databeskyttelsesforordningen en række rettigheder i forhold til vores behandling af oplysninger om dig. Hvis du vil gøre brug af dine rettigheder, skal du kontakte os.
Dine rettigheder omfatter:

11.1. Ret til indsigt
Du har ret til at få indsigt i de personoplysninger, vi behandler om dig. Det betyder, at du kan bede om at få oplyst, hvilke data vi har registreret om dig, formålene med behandlingen, hvilke modtagere eller kategorier af modtagere, oplysningerne evt. er videregivet til, opbevaringsperiode osv. (jf. GDPR artikel 15). Du har også ret til at få udleveret en kopi af de personoplysninger, vi har om dig, i et almindeligt anvendt elektronisk format (dataportabilitet).

11.2. Ret til berigtigelse
Du har ret til at få urigtige eller ufuldstændige personoplysninger om dig rettet eller ajourført, så de bliver korrekte (jf. GDPR artikel 16). Hvis du bliver opmærksom på, at vi har oplysninger om dig, som er forkerte, beder vi dig informere os herom, så vi kan rette dem.

11.3. Ret til sletning (“retten til at blive glemt”)
I visse tilfælde har du ret til at få slettet personoplysninger om dig inden vores generelle slettefrister indtræffer (jf. GDPR artikel 17). Du kan anmode om sletning, hvis f.eks. oplysningerne ikke længere er nødvendige til de formål, vi indsamlede dem til, hvis du tilbagetrækker et samtykke og vi ikke har andet retsgrundlag, hvis du gør indsigelse og vi ikke har en tungtvejende legitim grund til at fortsætte behandlingen, eller hvis oplysningerne er blevet behandlet ulovligt. Vær opmærksom på, at retten til sletning kan være underlagt visse lovpligtige undtagelser, f.eks. skal vi opbevare visse oplysninger i en vis periode for at overholde lovkrav. Hvis vi ikke kan imødekomme en sletteanmodning af sådan en grund, vil vi informere dig om årsagen.

11.4. Ret til begrænsning af behandling
Du har i visse tilfælde ret til at få “frosset” behandlingen af dine personoplysninger midlertidigt (jf. GDPR artikel 18). Det betyder, at vi kun må opbevare dine oplysninger, men ellers midlertidigt stoppe med at bruge dem (udover opbevaring), hvis betingelserne herfor er opfyldt. Du kan f.eks. have ret til begrænsning mens vi undersøger, om oplysningerne er korrekte, eller i perioden hvor vi vurderer en indsigelse fra dig.

11.5. Ret til indsigelse
Du har i visse tilfælde ret til at gøre indsigelse mod vores behandling af dine personoplysninger (jf. GDPR artikel 21). Du kan især til enhver tid protestere mod behandling, der sker med henblik på direkte markedsføring. Hvis du gør indsigelse, vil vi vurdere, om dine interesser vejer tungere end vores legitime grundlag for den pågældende behandling. Med hensyn til direkte markedsføring vil vi altid respektere en indsigelse, så du ikke længere modtager sådan kommunikation.

11.5. Ret til dataportabilitet
For de oplysninger, du selv har givet os, og som vi behandler automatisk på baggrund af dit samtykke eller en kontrakt med dig, har du ret til at få udleveret disse oplysninger i et struktureret, almindeligt anvendt og maskinlæsbart format. Du har endvidere – hvor det er teknisk muligt – ret til at få overført disse oplysninger direkte til en anden dataansvarlig, hvis du ønsker det (jf. GDPR artikel 20).

Du kan læse mere om dine rettigheder i Datatilsynets vejledning om de registreredes rettigheder, som du finder på www.datatilsynet.dk.

12. Behandling af anmodninger
Vi bestræber os på at besvare henvendelser fra dig vedrørende dine rettigheder hurtigst muligt og som udgangspunkt senest 1 måned efter, at vi har modtaget din anmodning.
Hvis en anmodning er kompleks eller vi modtager mange anmodninger, kan fristen forlænges med yderligere 2 måneder (dvs. op til i alt 3 måneder), men i så fald vil vi give dig besked om forlængelsen inden udløbet af den første måned.

Vi håndterer alle anmodninger fra registrerede uden unødig forsinkelse og vederlagsfrit for dig. Vær opmærksom på, at vi af sikkerhedsmæssige grunde kan bede dig om at bekræfte din identitet, før vi udleverer oplysninger eller foretager ændringer, så vi sikrer, at vi kun giver adgang til personoplysninger til den rette person.

13. Sikkerhedsforanstaltninger
Vi tager datasikkerhed meget alvorligt og har implementeret passende tekniske og organisatoriske foranstaltninger for at beskytte dine personoplysninger, jf. GDPR artikel 24, 25 og 32. Det indebærer, at vi løbende vurderer risiciene og sikrer, at der er et sikkerhedsniveau, der passer til risiciene ved vores behandling af dine data.

13.1. Tekniske og organisatoriske tiltag
Vi har truffet foranstaltninger for at beskytte dine oplysninger mod hændelig eller ulovlig tilintetgørelse, tab, ændring, forringelse, uautoriseret offentliggørelse eller adgang, misbrug eller anden behandling i strid med lovgivningen.

Vores sikkerhedsforanstaltninger inkluderer:

Adgangskontrol og fysisk sikkerhed
Vores kontorlokaler har elektronisk kodelås i stedet for nøgler, og kun autoriserede personer har koden. Direktøren har mulighed for at føre log over, hvem der går ind og ud. Uden for åbningstid opbevares kontorets firmatelefoner samt fysiske dokumenter (notater, papirer mv.) aflåst på kontoret.

IT-adgang og adgangsstyring
Alle medarbejderes computere er beskyttet med adgangskode, og computerne slukkes eller låses, når de ikke er i brug, specielt uden for arbejdstid. Dette forhindrer uautoriseret adgang, fx i tilfælde af indbrud. Vi har endvidere aktiveret to-faktor-godkendelse (2FA) på alle vigtige systemer, herunder Terapeut Booking, Monday.com, WebCRM og Google/Gmail, for at højne sikkerheden ved login.

Fortrolig håndtering af persondata
Når vi skal videregive følsomme eller fortrolige oplysninger om en vikar til en kunde, sker det enten telefonisk (direkte til en betroet kontakt) eller via krypteret e-mail. Vi undgår at sende CPR-numre og lignende personfølsomme data ukrypteret over åbne netværk.

Sletning og destruktion
Vi sørger for forsvarlig bortskaffelse af personoplysninger, der ikke længere er nødvendige. På kontoret har vi en makulator til at destruere papirer, der indeholder fortrolige eller personlige oplysninger. Makuleret materiale bortskaffes sikkert (vores rengøringspersonale tømmer makulatoren hver uge).

Opdatering og vedligeholdelse
Vi holder vores IT-udstyr og software opdateret med de nyeste sikkerhedsopdateringer. Både computere, telefoner og tablets (fx iPads) opdateres løbende, så kendte sikkerhedshuller lukkes.

Overordnet databeskyttelse
Vi anvender principperne om privacy by design og privacy by default i vores systemer og arbejdsprocesser. Det betyder, at vi fra start indbygger databeskyttelse i vores IT-løsninger og som standard indstiller systemer til at beskytte privatlivets fred bedst muligt. Kun de nødvendige data behandles, og adgangen til personoplysninger er begrænset til de medarbejdere, der har et arbejdsbetinget behov.

 

Medarbejderinstruktion
Alle vores medarbejdere er oplært og instrueret i korrekt håndtering af personoplysninger. Vi har interne retningslinjer og politikker for informationssikkerhed, som medarbejderne skal følge. Dette indebærer bl.a. retningslinjer for brug af stærke adgangskoder, håndtering af e-mails med persondata, identificering af mulige sikkerhedsbrud osv. Vi sørger for, at både ansatte og relevante samarbejdspartnere løbende er opmærksomme på kravene om fortrolighed og databeskyttelse.

13.2 Håndtering af sikkerhedsbrud
Skulle det uheldige ske, at vi oplever et sikkerhedsbrud, der kompromitterer personoplysninger, har vi procedurer på plads til at håndtere det effektivt.

I tilfælde af et sikkerhedsbrud, der medfører en høj risiko for dig (fx risiko for diskrimination, identitetstyveri, økonomisk tab, tab af omdømme el.lign.), vil vi uden unødig forsinkelse og senest inden 72 timer underrette både de berørte registrerede og Datatilsynet, i overensstemmelse med GDPR’s krav.

Underretningen til dig vil beskrive arten af bruddet, hvilke data det vedrører, hvilke konsekvenser det kan have for dig, og hvilke tiltag vi har iværksat (eller anbefaler, at du iværksætter) for at begrænse eventuelle skader. Vores førsteprioritet ved et eventuelt brud er altid at få lukket eventuelle sikkerhedshuller og begrænse omfanget, så skaden minimeres.

Samlet set gør vi vores ypperste for at sikre, at dine personoplysninger behandles fortroligt og sikkert. Skulle du have spørgsmål til vores datasikkerhed eller opleve noget, der giver anledning til bekymring, er du altid velkommen til at kontakte os.

14. Klage til Datatilsynet
Du har ret til at indgive en klage til Datatilsynet, hvis du er utilfreds med den måde, vi behandler dine personoplysninger på.

Skulle du ønske dette, vil vi gerne opfordre til, at du først retter henvendelse til os for at finde en løsning på en eventuel problemstilling.
Klage om vores behandling af dine personoplysninger kan indgives til Datatilsynet:
E-mail: dt@datatilsynet.dk
Klageformular: https://www.datatilsynet.dk/generelt-om-databeskyttelse/klage-til-datatilsynet/.

Du kan læse mere om dine rettigheder i Datatilsynets vejledning om de registreredes rettigheder, som du finder på www.datatilsynet.dk.

 

Privatlivspolitikken er udarbejdet af Skafsgaard Law ApS, CVR-nr. 45218171.
Privatlivspolitikken er senest opdateret den 15. september 2025.
© 2025 Kommune Konsulenterne

Samarbejdspartnere