Persondatapolitik Medlemmer, deltagere i foreningens aktiviteter og øvrige interessenter Jf. Databeskyttelsesforordningens kategorisering af persondata 1, administrerer Vindmølleindustrien personoplysninger, som tilhører kategorien almindelige personoplysninger. Almindelige personoplysninger er per definition oplysninger, der ikke falder ind under kategorien følsomme personoplysninger. Det drejer sig om basale identifikationsoplysninger som f.eks. navn og adresse, oplysninger om økonomiske forhold, kundeforhold eller lignende ikke-følsomme oplysninger. Jf. databeskyttelsesforordningens artikel 4, stk. 7, indtager Vindmølleindustrien rollen som dataansvarlig ved behandling af personoplysninger på ansatte i foreningens medlemsorganisationer og øvrige interessenter. Vindmølleindustrien er derfor ansvarlig for at opfylde kravene som dataansvarlig. Disse krav omfatter bl.a: Behandlingsbetingelser for lovlig behandling af persondata (behandlingshjemmel) Overholdelse og efterlevelse af registrerede personers rettigheder Forpligtelse til indberetning af eventuelle brud på persondatasikkerheden til Datatilsynet 1. Den dataansvarliges kontaktoplysninger Vindmølleindustrien Vodroffsvej 59, 2. sal 1900 Frederiksberg Lysbrohøjen 24 8600 Silkeborg CVR-nr. 31407117 Telefon: +45 3373 0330 Mail: Danish@windpower.org Web: www.windpower.org 2. Dine rettigheder Vindmølleindustriens persondatapolitik tager hensyn til de registreredes rettigheder jf. Databeskyttelsesforordningen (forordningens kapitel 3, afdeling 2, 3 og 4) 2. Dette indebærer følgende: Retten til oplysning (oplysningspligt) Du har ret til at modtage oplysninger om vores behandling af dine persondata. Retten til at få indsigt i sine personoplysninger (indsigtsret) Du har ret til at få indsigt i de oplysninger, vi behandler om dig, samt en række yderligere oplysninger såsom tidsrum for behandlingen, oplysningens kilde osv. 1 https://eur-lex.europa.eu/legal-content/da/txt/pdf/?uri=celex:32016r0679&from=da 2 https://eur-lex.europa.eu/legal-content/da/txt/pdf/?uri=celex:32016r0679&from=da Side 1 af 8
Retten til at trække samtykke tilbage I visse tilfælde er vores behandling af dine personoplysninger baseret på et andet retsgrundlag end samtykke. I det omfang vi måtte have indhentet et samtykke fra dig til en given behandling af dine personoplysninger, gælder, at du til enhver tid har ret til at trække dit samtykke tilbage. Dette kan du gøre ved at kontakte os på ovenstående kontaktoplysninger (se afsnit 1). Retten til berigtigelse (rettelse) Du har ret til at få urigtige oplysninger om dig selv rettet. Retten til sletning (retten til at blive glemt) I særlige tilfælde har du ret til at få slettet oplysninger om dig, inden tidspunktet for vores generelle sletning indtræffer. Retten til indsigelse Du har i visse tilfælde ret til at gøre indsigelse mod vores lovlige behandling af dine personoplysninger. Du kan også gøre indsigelse mod behandling af dine oplysninger til direkte markedsføring. Retten til at flytte sine personoplysninger (dataportabilitet) Du har i visse tilfælde ret til at modtage dine personoplysninger i et struktureret, almindeligt anvendt og maskinlæsbart format samt at få overført disse personoplysninger fra én dataansvarlig til en anden uden unødvendig hindring. 4. Hvorfra indsamler Vindmølleindustrien persondata? Vindmølleindustrien behandler persondata, som foreningen hovedsageligt har tilegnet sig via tilmeldingsblanketter, deltagelse i netværk, projekter, arrangementer, modtaget i direkte mailkorrespondance eller visitkort udleveret fra kontaktpersonerne selv. Vindmølleindustrien forvalter følgende almindelige personoplysninger på ansatte i foreningens medlemsvirksomheder, deltagere i foreningens aktiviteter og øvrige interessenter: Fornavn Efternavn Stilling Status Telefon Mailadresse Primær kontaktperson 3 Historik Dokumenter Billetbestillinger til foreningens events Deltagelse i foreningens netværk, udvalg, projekter og arbejdsgrupper Deltagelse i foreningens events Abonnement på Vindmølleindustriens nyhedsbreve og direct mails Firmanavn og -adresse 3 Primær kontaktperson for medlemsorganisationen og det pågældende medlemskab Side 2 af 8
5. Formålene med og retsgrundlag af forvaltet persondata Retsgrundlaget for vores behandling af dine personoplysninger følger af: Ved behandling af medlemmers- og aktivitetsdeltageres personoplysninger har Vindmølleindustrien behandlingshjemmel i Databeskyttelsesforordningens artikel 6, stk. 1, litra a, idet den registrerede har givet samtykke til behandling af sine oplysninger til et eller flere specifikke formål. Behandlede data og behandlingsformålene udgør følgende: Fornavn og efternavn Kontaktpersonens fulde navn benyttes af foreningen som primær identifikation af kontaktpersoner i de respektive organisationer. Status Kontaktpersonens status angiver, hvorvidt vedkommende er aktiv eller har fratrådt sin stilling hos den pågældende organisation. Stilling Jobtitel beskriver kontaktpersonens stilling i den pågældende organisation. Jobtitlen benyttes af foreningen til at identificere relevante kontaktpersoner i specifikke henseende. Telefon Såfremt begge numre er oplyst, behandler foreningen kontaktpersonens nummer på henholdsvis direkte- og mobiltelefon. Mailadresse Kontaktpersonens e-mail behandles og anvendes med henblik på kommunikation vedrørende medlemskab og anden foreningsrelateret aktivitet. Primær kontaktperson Foreningen registrerer, hvorvidt en person er udpeget som primær kontaktperson, dvs. den person som varetager den primære kommunikation vedrørende og forvaltning af medlemskab i den respektive medlemsvirksomhed. Medlemsvirksomheden angiver selv ønske til, hvem den primære kontaktperson til enhver tid skal være. Historik Foreningen behandler historik vedrørende kontaktpersoner, der har relevans for denne persons og/eller medlemsvirksomheds engagement i foreningen og dens aktiviteter. Dette gælder f.eks. enkeltstående køb af sponsorater, prøvedeltagelse i netværksgrupper, eller når en kontaktperson skifter fra én medlemsvirksomhed til en anden. Dokumenter Foreningen behandler dokumenter, korrespondancer og kontrakter vedrørende kontaktpersoner, som har relevans til deres og/eller deres virksomheds engagement i foreningen og dens aktiviteter. Billetbestillinger til foreningens events Foreningen behandler oplysninger vedrørende kontaktpersoners bestilling af billetter til foreningens events, netværksmøder o. lign. Side 3 af 8
Deltagelse i foreningens netværk, udvalg, projekter og arbejdsgrupper Foreningen behandler informationer vedrørende kontaktpersoners deltagelse i netværk-, udvalg-, projekter og arbejdsgrupper til administration af relaterede events og aktiviteter. Deltagelse i foreningens events Foreningen behandler informationer vedrørende kontaktpersonernes deltagelse i Vindmølleindustriens events og anden form for aktivitet i foreningen. Foreningen bruger oplysningerne til at afvikle aktiviteter professionelt, til planlægning, udmøntning og promovering af fremtidige events, samt til udførelse af opfølgende spørgeskemaundersøgelser. Abonnement på vindmølleindustriens nyhedsbreve 4 Foreningen behandler informationer vedrørende tilmelding af 4 forskellige nyhedsbreve samt invitationer til events. Det drejer sig om følgende nyhedsbreve: Megawatt Nyt, Medlemsnyt, Market Watch og Energipolitiks Indsigt. Kontaktpersonernes fulde navn og mailadresse registreres for modtagelse af nyhedsbrevene. Foreningens nyhedsbreve sendes ud via Vindmølleindustriens CRM-system. I systemet afsendes nyhedsbreve jf. de samtykker, som er registreret for den enkelte person. Administration af og tilmeldinger til nyhedsbreve behandles i henhold til markedsføringsloven. Direkte mail CRM Direkte mails vedrører personliggjorte, medlemsspecifikke e-mails fra sekretariatet, der falder under kategorien (segmenteret) masseudsendelse. Udsendelser af direct mails beror på samtykker opsamlet via webformularer, tilmeldingsblanketter m.fl. og modtager har altid mulighed for at trække dette samtykke tilbage. Dog kan primære kontaktpersoner ikke fravælge direct mails, da disse kan indeholde vigtige informationer ift. medlemskab, fx indkaldelse til generalforsamling, ændring i kontingenter etc., og derfor er essentielle for administration og kommunikation med foreningens medlemmer. Administration af til- og afmeldinger af direct mails behandles i henhold til markedsføringsloven. Firmanavn og adresse Vindmølleindustrien forvalter persondata vedrørende firmatilknytning til identifikation af kontaktpersoner i de respektive medlemsvirksomheder. Endvidere fremgår firmaets adresse ved eventuel aftale om møde med vedkommende. 6. Øvrige interessenter 5 Potentielle medlemmers ansatte Vindmølleindustrien registrerer og behandler persondata på ansatte hos virksomheder, som er potentielle medlemmer af foreningen I forhold til potentielle medlemmer, behandler Vindmølleindustrien persondata, som foreningens sekretariat har erhvervet via: Dialog med ansatte af det potentielle medlem. 4 Punkterne Abonnement på Vindmølleindustriens nyhedsbreve og Direkte mail CRM definerer ikke lovligheden af udsendte nyhedsbreve eller direct mails, men blot lovligheden af den forvaltede persondata, som er nødvendig for udsendelsen. 5 Indbefatter potentielle medlemmer, samarbejdspartnere, leverandører og aktører i Vindmølleindustriens Udviklingsprogram for underleverandører til vindmølleindustrien Side 4 af 8
Online tilmeldinger til foreningens events, som inkluderer persondata på ansatte af det potentielle medlem. Vindmølleindustriens sekretariat vurderer internt, hvorvidt en given organisation oprettes som potentielt medlem. Behandling af persondata på ansatte hos det potentielle medlem sker med hjemmel i forordningens artikel 6, stk. 1, litra f. Dvs. at behandlingen af disse persondata er af legitim interesse, der ikke vurderes at overstige den registreredes interesse eller grundlæggende rettigheder. For yderligere forklaring omkring foreningens anvendelse af artikel 6, stk. 1, litra f, se afsnittet Den legitime interesse. Potentielle medlemmers ansatte registreres i Vindmølleindustriens CRM-system. Samarbejdspartneres ansatte I forhold til samarbejdspartnere, behandler vindmølleindustrien persondata, som foreningens sekretariat har erhvervet via: Dialog med ansatte hos samarbejdspartnere Online tilmeldinger til foreningens events, som inkluderer persondata på ansatte hos samarbejdspartneren Vindmølleindustriens sekretariat vurderer internt, hvorvidt en given organisation oprettes som samarbejdspartner i Vindmølleindustriens CRM-system. Behandling af persondata på ansatte hos samarbejdspartneren sker med hjemmel i forordningens artikel 6, stk. 1, litra f; omhandlende interesseafvejning. Dvs. at behandlingen af denne persondata er af legitim interesse, idet denne ikke vurderes at overstige den registreredes interesse eller grundlæggende rettigheder. For yderligere forklaring omkring foreningens anvendelse af artikel 6, stk. 1, litra f, se afsnittet Den legitime interesse. Leverandører til Vindmølleindustrien I forhold til leverandører, registrerer Vindmølleindustrien persondata, som foreningens sekretariat har erhvervet via: Dialog med ansatte hos den pågældende leverandør ved brug af leverandørens tjenester Vindmølleindustriens sekretariat opretter leverandører i CRM-systemet såfremt foreningen gør brug af leverandøren jævnligt. Behandling af persondata på ansatte hos leverandøren sker med hjemmel i forordningens artikel 6, stk. 1, litra f; omhandlende interesseafvejning. Dvs. at behandlingen af denne persondata er af legitim interesse, idet denne ikke vurderes at overstige den registreredes interesse eller grundlæggende rettigheder. For yderligere forklaring omkring foreningens anvendelse af artikel 6, stk. 1, litra f, se afsnittet Den legitime interesse. Udviklingsprogram for underleverandører til vindmølleindustrien I forhold til aktører i Udviklingsprogram for underleverandører til vindmølleindustrien behandler Vindmølleindustrien persondata med hjemmel i forordningens Artikel 6, stk. 1, litra c. Som et EU-medfinansieret program foretager Vindmølleindustrien dermed lovlig behandling af persondata relateret til programmet, da der i forbindelse med denne kontrakt påhviler foreningen en forpligtigelse om at registrere og opbevare relevante persondata. Den legitime interesse Som beskrevet i ovenstående anvender Vindmølleindustrien artikel 6, stk. 1, litra f som behandlingsgrundlag ved visse behandlingssager omhandlende leverandører og samarbejdspartnere, samt i særtilfælde også potentielle medlemmer. Vindmølleindustrien betragter interessen for behandling af sådan persondata som værende af legitim karakter, idet den behandlede data omhandler personer, og den pågældende virksomhed, der på en eller anden hvis har et samarbejde med foreningen. Der vil dermed være en gensidig interesse mellem foreningen og de registrerede, i at behandle disse persondata, for tilstrækkeligt at kunne varetage samarbejdet. Side 5 af 8
7. Hvor opbevarer Vindmølleindustrien persondata og hvem har adgang? Vindmølleindustrien gemmer data på medlemsvirksomheder, deres ansatte og øvrige relevante interessenter på en række servere, der alle er sikre og drives af eksterne leverandører (databehandlere). Data opbevares inden for EU og kan kun tilgås med login fra Vindmølleindustriens medarbejdere med personlige legitimationsoplysninger eller vores leverandører. Både hos Vindmølleindustrien og dennes tjenesteudbydere træffes der alle rimelige foranstaltninger med henblik på at sikre, at personoplysninger altid er beskyttede. Selve sikkerheden på servere forestås af leverandører 6. 8. Hvor længe gemmer Vindmølleindustrien persondata? Jf. forordningens princip vedrørende opbevaringsbegrænsning, forvalter Vindmølleindustrien persondata i henhold til nedenstående termin med mindre foreningen med hjemmel i de persondataretslige regler kan legitimere fortsat behandling af de pågældende data: Så længe kontaktpersonerne er ansat hos medlemmer af Vindmølleindustrien, står vedkommende registreret i foreningens systemer og servere. Ved opsigelse af medlemskab opbevarer foreningen persondata på ansatte af den pågældende medlemsorganisation i op til to år efter endt medlemskab. Potentielle medlemmer Tidsfristen for sletning eller anonymisering af persondata gælder også potentielle medlemmer, som ikke har tilmeldt sig og /eller benyttet foreningens tilbud i løbet af de to år, hvor virksomheden og tilhørende persondata er registreret i Vindmølleindustriens systemer. Den toårige periode afdækker det tidsrum, hvori foreningen fortsat vurderer, at genoptagelse/optagelse af medlemskab, og dermed opbevaring af tilhørende persondata, er aktuelt. Samarbejdspartnere og leverandører Den toårige periode gælder ikke persondata for samarbejdspartnere og leverandører. Foreningen forvalter persondata på ansatte hos samarbejdspartnere og leverandører i det omfang, sekretariatet vurderer, at det er nødvendigt for den daglige varetagelse af foreningens arbejde. Fratrådte personer Såfremt sekretariatet modtager henvendelse om fratrædelse af stilling, slettes den pågældende kontaktperson i foreningens systemer omgående. I tilfælde af, at persondata på vedkommende optræder i sammenhænge, som har relevans for varetagelsen af medlemskabet, forbeholder foreningen sig retten til at gemme den pågældende data for det enkelte medlem til fortsat forvaltning af virksomhedens medlemskab. Dette indbefatter sammenhænge såsom kontrakter, e-mails, log, kommentarer og indmeldelsesblanketter mm. 6 Beskrives yderligere i det fulde dokument over foreningens datapolitik. Side 6 af 8
Vindmølleindustrien foretager to typer slet/opdatering af persondata: 1. Slet/opdatering af persondata ved årsskifte 2. Slet/opdatering af persondata løbende ved henvendelse Følgende persondata, der går mere end to år tilbage, opdateres eller slettes manuelt som minimum ved årsskifte: Deltagelse i Vindmølleindustriens aktiviteter Deltagelse i netværk, udvalg, projekter og arbejdsgrupper Persondata registreret i foreningens filserver Persondata registreret i Eventbuizz Persondata registreret i NPS.Today Ansatte hos udmeldte medlemmer 7 Ansatte hos potentielle medlemmer Følgende persondata opdateres eller slettes manuelt løbende: Fornavn Efternavn Status Jobtitel Telefon Mailadresse Primær kontaktperson Log Kommentar Historik Dokumenter Abonnement på Vindmølleindustriens nyhedsbreve og direct mails Rolle Samtykker Deltagelse i aktiviteter 9. Hvor længe gemmer Vindmølleindustrien e-mails? Vindmølleindustrien har efter forordningen pligt til at sikre, at der kun opbevares persondata, som foreningen har behov for at behandle ud fra et sagligt formål. Derfor skal alle persondata slettes permanent, når de ikke er nødvendige i forhold til formålet med behandling. Alle ansatte skal slette e-mails og lignende, der indeholder fortrolige og følsomme oplysninger uden unødig forsinkelse efter afsendelse/modtagelse. 7 I tilfælde af, at medlemmet er en enkeltmandsvirksomhed, slettes både medlem og den ansatte. Side 7 af 8
10. Hvordan besvarer Vindmølleindustrien en henvendelse om indsigt? Ved henvendelse om indsigt besvarer Vindmølleindustrien med udtræk over følgende data: Link til foreningens GDPR-portal, med overblik over de data, der gemmes på vedkommende, herunder basale kontaktoplysninger, samtykker og behandlingsgrundlag, oversigt over dokumenter, historik og markedsføring (dvs. deltagelse i events) og roller Anden persondata gemt på foreningens exchange- samt filserver. Bekræftelse på, hvorvidt vedkommendes fulde navn og mailadresse er registreret i foreningens NPS-system. Udtræk fra BizWizard med overblik over de almindelige personoplysninger, der gemmes på vedkommende. Udtræk fra Eventbuizz med overblik over de almindelige personoplysninger, der gemmes på vedkommende. Såfremt forordningens sletningsgrundlag er opfyldt, imødekommer Vindmølleindustrien, uden unødig forsinkelse, alle henvendelser om indsigt og/eller anmodninger om at få rettet og slettet egen persondata jf. retten til at blive glemt. Ønskes der indsigt i persondata bedes man sende en mail vedrørende dette til medlem@windpower.org. 11. Klager Du har ret til at indgive en klage til Datatilsynet, hvis du er utilfreds med den måde, vi behandler dine personoplysninger på. Du finder Datatilsynets kontaktoplysninger på www.datatilsynet.dk eller i nedenstående: Datatilsynet Borgergade 28, 5 1300 København K Tlf.: 3319 3200 E-mail: dt@datatilsynet.dk Side 8 af 8