GDPR - PROCEDURE/POLITIK FOR PERSONDATABESKYTTELSE Dataansvarlig Vincit Advokater ApS CVR-nr. 29 63 56 33 Trondhjems Plads 3, 4 2100 København Ø (herefter Vincit Advokater ) Tlf.nr.: +45 70 260 264 E-mail: tg@vincitlaw.com 1. Behandlingssikkerhed 1.1. Opbevaring 1.1.1. Fysisk opbevaring af personoplysninger I tilfælde af, at Vincit Advokater opbevarer personoplysninger i fysiske mapper, skal Vincit Advokater sørge for, at disse fysiske mapper sikres med adgangsbegrænsning, eksempelvis i et låst rum eller i aflåste arkivskabe. Derudover må personoplysninger i fysiske mapper kun tilgås af personer, der har et formål med at kunne tilgå de pågældende personoplysninger. 1.1.2. Elektronisk opbevaring af personoplysninger I tilfælde af, at Vincit Advokater opbevarer personoplysninger elektronisk, uanset om det er på mailserver eller i andre systemer, skal adgangen til de pågældende personoplysninger sikres med adgangskode eller anden adgangsbegrænsning, således at personoplysninger er beskyttet mod uautoriseret eller ulovlig behandling. 1.2. Brud på sikkerhed 1.2.1. Anmeldelse af brud på persondatasikkerheden til Datatilsynet
Side 2 af 6 Vincit Advokater skal følge følgende procedure ved anmeldelse af brud på persondatasikkerheden: 1. Brud på persondatasikkerhed skal anmeldes til Datatilsynet uden unødig forsinkelse og om muligt senest 72 timer efter at være blevet bekendt med bruddet, medmindre det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder. 2. Foretager Vincit Advokater ikke anmeldelsen til Datatilsynet inden for 72 timer, skal anmeldelsen ledsages af en begrundelse for forsinkelsen. 3. Anmeldelsen skal mindst: a) beskrive karakteren af bruddet på persondatasikkerheden, herunder hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger; b) angive navn på og kontaktoplysninger på en kontakt, hvor yderligere oplysninger kan indhentes; c) beskrive de sandsynlige konsekvenser af bruddet på persondatasikkerheden; samt d) beskrive de foranstaltninger, som Vincit Advokater har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger. 1.2.2. Underretning om brud på persondatasikkerheden til den registrerede Ved brud på persondatasikkerheden har Vincit Advokater pligt til: 1. at underrette den registrerede uden unødig forsinkelse, når et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder. 2. at underretningen sker i et klart og forståeligt sprog, der mindst: a) angiver navn på og kontaktoplysninger på en kontakt, hvor yderligere oplysninger kan indhentes; b) beskriver de sandsynlige konsekvenser af bruddet på persondatasikkerheden; samt
Side 3 af 6 c) beskriver de foranstaltninger, som Vincit Advokater har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger. Vincit Advokater har ikke pligt til at underrette den registrerede, hvis en af følgende betingelser er opfyldt: a) Vincit Advokater har gennemført passende tekniske og organisatoriske beskyttelsesforanstaltninger, og disse foranstaltninger er blevet anvendt på de personoplysninger, som er berørt af bruddet på persondatasikkerheden, navnlig foranstaltninger, der gør personoplysningerne uforståelige for enhver, der ikke har autoriseret adgang hertil, som f.eks. kryptering; b) Vincit Advokater har truffet efterfølgende foranstaltninger, der sikrer, at den høje risiko for de registreredes rettigheder og frihedsrettigheder sandsynligvis ikke længere er reel; eller c) Det vil kræve en uforholdsmæssig indsats. I et sådant tilfælde skal der i stedet foretages en offentlig meddelelse eller tilsvarende foranstaltning, hvorved de registrerede underrettes på en tilsvarende effektiv måde. 2. Anmodning om indsigt fra den registrerede Såfremt den registrerede anmoder om indsigt, skal Vincit Advokater følge følgende procedure: 1. Vincit Advokater har pligt til at svare på, hvorvidt der behandles personoplysninger om den pågældende, og i bekræftende fald hvilke personoplysninger, der behandles samt følgende information: a) Formålene med behandlingen; b) De berørte kategorier af personoplysninger; c) De modtagere eller kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til, navnlig modtagere i tredjelande eller internationale organisationer; d) Om muligt det påtænkte tidsrum, hvor personoplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes til fastlæggelse af dette tidsrum:
Side 4 af 6 e) At den registrerede har ret til at anmode Vincit Advokater om berigtigelse eller sletning af personoplysninger eller begrænsning af behandling af personoplysninger vedrørende den registrerede eller til at gøre indsigelse mod en sådan behandling; f) At den registrerede har ret til at klage over behandlingen til Datatilsynet; g) Enhver tilgængelig information om, hvorfra personoplysningerne stammer, hvis de ikke indsamles hos den registrerede; samt h) Forekomsten af automatiske afgørelser, herunder profilering, og som minimum meningsfulde oplysninger om logikken heri samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede. 2. I de tilfælde, hvor personoplysninger overføres til tredjelande eller en international organisation, har den registrerede ret til at blive underrettet om de fornødne garantier i forbindelse med overførslen. 3. Vincit Advokater skal udlevere en kopi af de personoplysninger, der behandles, uden beregning. For yderligere kopier, som den registrerede anmoder om, er Vincit Advokater berettiget til at opkræve et rimeligt gebyr baseret på de administrative omkostninger. Sker anmodningen elektronisk, skal oplysningerne udleveres i en almindeligt anvendt elektronisk form, medmindre den registrerede anmodet om andet. 3. Sletning af personoplysninger Vincit Advokater har en pligt til at slette personoplysninger, dels i tilfælde af, at en registreret anmoder herom, og dels af egen drift, når det findes nødvendigt. 3.1. Den registreredes anmodning om sletning Den registrerede har pligt til at få sine personoplysninger slettet, hvilket Vincit Advokater forpligter sig til at gøre uden unødig forsinkelse, hvis et af følgende forhold gør sig gældende: a) Personoplysningerne er ikke længere nødvendige til at opfylde det formål, hvortil de er indsamlet/behandlet; b) Den registrerede trækker det samtykke, der er grundlaget for behandlingen tilbage, og der ikke er et andet grundlag for behandlingen
Side 5 af 6 c) Den registrerede gør indsigelse mod behandlingen i tilfælde af, at den pågældendes personoplysninger behandles med henblik på direkte markedsføring; d) Personoplysningerne er blevet behandlet ulovligt; e) Personoplysningerne skal slettes, når det er for at overholde en retlig forpligtelse i EU-retten eller national ret; eller f) Personoplysninger er indsamlet i forbindelse med udbud af informationssamfundstjenester direkte til børn. 3.1.1. Procedure i tilfælde af den registreredes anmodning om sletning I tilfælde af, at den registrerede anmoder om at få foretaget sletning, skal Vincit Advokater følge følgende procedure uden unødig forsinkelse: 1. Tage stilling til om anmodning om sletning opfylder et af de i punkt 3.1 oplistede forhold; 2. Hvis det vurderes, at der skal ske sletning, skal Vincit Advokater undersøge, hvilke personoplysninger der er tale om, og hvor de befinder sig; 3. Slette personoplysningerne i alle systemer, herunder også i back-up systemer samt fysiske mapper; 4. Orientere modtagere af personoplysninger, fx databehandlere, om, at personoplysningerne skal slettes; samt 5. Kontrol af modtageres sletning af personoplysninger. 3.2. Vincit Advokaters sletning af egen drift Vincit Advokater har pligt til at slette personoplysninger af egen drift i følgende tilfælde: a) Hvis ikke den registrerede har været tilstrækkeligt oplyst om, at Vincit Advokater behandler personoplysninger om den pågældende; b) Hvis der ikke længere er et legitimt formål med behandlingen af personoplysninger; c) Hvis de indsamlede personoplysninger ikke udelukkende er relevante, tilstrækkelige og begrænsede til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles; d) Hvis de er urigtige i forhold til de formål, hvortil de behandles; eller e) Hvis der er gået mere end 5 år, og behandlingen af personoplysninger ikke længere er nødvendig 3.2.1. Procedure for sletning af egen drift
Side 6 af 6 Vincit Advokater skal følge følgende procedure: 1. Løbende vurdere, om den registreredes personoplysninger er omfattet af et af tilfældene anført i pkt. 3.2; 2. Hvis det vurderes, at der skal ske sletning, skal Vincit Advokater undersøge, hvilke personoplysninger, der er tale om, og hvor de befinder sig; 3. Slette personoplysningerne i alle systemer, herunder også i back-up systemer samt fysiske mapper; 4. Orientere modtagere af personoplysninger, fx databehandlere, om, at personoplysningerne skal slettes; samt 5. Kontrol af modtageres sletning af personoplysninger.