1. Ansvar
Dit privatliv er vigtigt for os. Derfor vil vi beskytte den information, du deler med os. En af vores højeste prioriteter er, at beskytte den data vi samler om dine besøg rutiner og dine køb, når du besøger www.lakridsbybulow.dk. Denne privatlivspolitik beskriver derfor vores rutiner for at indsamle og anvende visse informationer, blandt andet dine personoplysninger.
2. Dataansvarlig i overensstemmelse med de gældende lovgivning om databeskyttelse.
Lakrids by Johan Bülow A/S CVR-nr: 33041586 Sydholmen 7 2650 Hvidovre Danmark
T: +45 32 17 68 22 E: [email protected] W: lakridsbybulow.dk
Herefter refereret til som “Lakrids”.
3. Personoplysninger
3.1 Det er vigtigt for os at beskytte dine personoplysninger. Vi har lavet en procedure for, hvordan vi indsamler, opdaterer, deler og rydder op i alle personoplysninger for at forhindre forkert anvendelse og uautoriseret adgang, samt at sikre at vi lever op til de nuværende lovkrav.
3.2 Vi garanterer ærlig og transparent kommunikation. Når vi beder om dine personoplysninger, informerer vi dig om hvilke oplysninger, vi kommer til at anvende, samt til hvilket formål oplysningerne har. Denne information får du ved afgivelse af oplysningerne.
3.3 Følgende information giver dig et overblik over hvordan Lakrids sikrer denne data beskyttelse og hvilken type af data, som indsamles til hvilke formål. Hvis du har nogen spørgsmål eller kommentarer til dette, kan du kontakte den dataansvarlige hos Lakrids på [email protected].
4. Typer af personoplysninger
Vi indsamler og behandler følgende personoplysninger, som gælder dig eller den registrerede. Det inkluderer:
Brugerdata Transaktionsdata Købshistorik Unikke numre fra netværksenheder IP-adresse
5. Formål
5.1 Vi indsamler og beholder dine personoplysninger til specifikke formål eller andre legitime forretningsformål.
5.2 Dine personoplysninger indsamles og anvendes til;
At give serviceinformation og nyheder fra Lakrids At støtte Lakrids og de tjenester, vi tilbyder på eller via Lakrids At kontakte dig for at få feedback på vores produkter At gennemføre undersøgelser om Lakrids’ kunder At opfylde dine forventninger og forespørgsler At gennemføre dine betalinger At informere dig om tekniske opdateringer og ændringer i vores vilkår At kontakte dig for at markedsføre og promovere Lakrids At gennemføre konkurrencer eller promoveringer, samt at videregive præmier eller rabatter 5.3 Vi kan også anvende andre oplysninger, som eksempelvis demografisk data for at analyserer og udvikle vores markedsføringsstrategi, videreudvikle www.lakridsbybulow.dk og vores produkter.
6. Den registreredes rettigheder / Dine rettigheder
6.1 Oplysningspligt
6.1.1 De gældende datapersonlighedsregler giver dig en række rettigheder i forhold til dine personoplysninger.
Disse rettigheder indebærer, at du som bruger af www.lakridsbybulow.dk skal informeres om hvornår og hvordan dine personoplysninger behandles, og kan kontrollere dette.
6.1.2 Derfor har du ret til at få dine oplysninger rettet, slettet, blokeret eller flyttet. Dine rettigheder er uddybet og specificeret i Databeskyttelsesforordningen jævnfør persondataloven. Du kan finde mere information om dine rettigheder forneden.
6.1.3 Den dataansvarlige skal handle efter oplysningspligten. Altså, at du kan få adgang til al information som anses i artikel 13 og 14, samt blive kommunikeret til ifølge artikel 15-22 og artikel 34, som refererer til at informationen bliver udtrykt i kortfattet, kort og tydelig, håndgribelig og lettilgængeligt sprog - især til information, der er rettet mod børn. Informationen skal stilles til rådighed skriftlig eller i en anden form, hvor det er relevant elektronisk. Hvis den registrerede beder om de omfattende oplysninger, kan de gives mundtligt forudsat, at den registreredes identitet kan bekræftes.
6.1.4 Den dataansvarlige skal opfylde kravene om den registreredes rettigheder i overensstemmelse med artikel 15-22 i Databeskyttelsesforordningen. Det vil sige, at den dataansvarlige uden unødig forsinkelse og under alle omstændigheder, skal give dig de anmodede oplysninger om foranstaltningerne beskrevet i artikel 15-22 inden for en måned efter modtagelse af anmodningen.
6.2 Ret til indsigt
6.2.1 Ifølge artikel 15 i Databeskyttelsesforordningen om retten til indsigt, skal du, som den registrerede, have retten til at få bekræftet dine personoplysninger og hvordan de behandles. Du kan få adgang til personoplysninger, som indeholder følgende information:
Formålet for behandling De kategorier af personoplysninger, som behandlingen gælder for De modtagere, eller kategori af modtagere, som personoplysningerne vil blive overdraget til. Det gælder især modtagere i et tredjelande eller modtagere, som er en del af en international organisation. Hvis muligt, perioden som personoplysningerne vil blive gemt i eller - hvis dette ikke er muligt - kriteriet for tidsperioden oplysningerne bliver brugt i. 6.2.2 Hvis personoplysningerne overføres til et tredjeland eller en international organisation, skal den registrerede informeres om de passede beskyttelsesforanstaltninger i overensstemmelse med artikel 46.
6.2.3 For at imødekomme en anmodning om oplysninger fra den registrerede, skal alle medier med mulige oplysninger gennemsøges, så den registrerede data kan overdrages til den registrerede.
6.2.4 Den dataansvarlige skal give den registrerede en kopi af de personoplysninger, som er under behandling. For eventuelle yderligere kopier som den registrerede ønsker, må den dataansvarlige pålægge et rimeligt gebyr for de administrative omkostninger. Hvis den registrerede afgiver en anmodning i elektronisk form, skal oplysningerne også gives til den registrerede i elektronisk form med mindre der er blevet anmodet om andet.
6.2.5 Retten til en kopi af den registreredes oplysninger, påvirker ikke andres rettigheder eller friheder.
6.3 Ret til berigtigelse
6.3.1 Ifølge artikel 16, har du retten til at anmode den dataansvarlige om berigtigelse af dine personoplysninger. Altså, at få rettet urigtige oplysninger om dig selv.
6.3.2 Dette supplement til dine rettigheder, betyder også, at vi fortsat skal sikre, at det er korrekt og opdateret information, der bliver behandlet.
6.3.3 Retten er kun gældende i forhold til objektive personoplysninger, og ikke til subjektive vurderinger.
6.4 Ret til sletning (retten til at blive glemt)
6.4.1 Du har retten til at anmode den dataansvarlige om sletning, inden tidspunktet for vores almindelige generelle sletning indtræffer. Dette er også refereret til som “retten til at blive glemt” ifølge artikel 17 i Databeskyttelsesforordningen. Den ansvarlige for personoplysninger, er forpligtet til at slettet personoplysningerne uden unødig forsinkelse, hvis noget af følgende er gældende:
a) Personoplysninger er ikke længere nødvendige for det formål de indsamles til eller på anden vis behandles b) Den registrerede trækker sit samtykke tilbage, som behandlingen er baseret på i forhold til artikel 6.1 a eller artikel 9.2 a, og der ikke er fortsat grundlag for behandling c) Den registrerede giver gør indsigelse mod behandling i overensstemmelse med artikel 21.1, hvis behandlingen ikke er kritisk eller den registrerede gør indsigelse mod behandlingen i overensstemmelse med artikel 21.2 d) Personoplysningerne behandles på ulovlig vis. e) Personoplysningerne skal slettes for at opfylde en retslig forpligtelse til EU-loven eller i medlemsstaternes nationale lovgivning, som omfatter den dataansvarlige. f) Personoplysningerne er indsamlet i forbindelse med udbud af informationssamfundstjenester, som beskrevet i artikel 8.1.
6.4.2 Retten kan ikke træde i kraft, hvis denne process forhindre nogen form for juridiske forpligtelser eller hvis der skal etableres, udføres eller forsvares juridiske krav.
6.4.3 Ifølge artikel 17, er vi som dataansvarlige forpligtet til at slette personoplysninger, der har været transmitteret til andre dataansvarlige eller dataprocessorer, er det vores pligt at informere disse om anmodningen af sletning af alt information om personoplysningerne.
6.5 Ret til begrænsning af behandling
6.5.1 Ifølge artikel 18, har du i visse tilfælde ret til at få behandlet dine personoplysninger i begrænset format. Hvis du har ret til at få begrænset behandling, må dine personoplysninger fremover kun behandles med dit samtykke.
6.5.2 Dette gælder ikke for opbevaringen af oplysningerne. Dit samtykke kan dog være ugyldigt, hvis behandlingen sker med henblik på at retskrav kan fastlægges, gøres gældende eller forsvares, eller for at beskytte en person og/eller vigtige samfundsinteresser.
6.5.3 Denne ret er en alternativ indblanding i behandlingen sammenlignet med den registreredes ret til at gøre indsigelse under artikel 21 eller 22 og den registreredes “ret til at blive glemt” under artikel 17.
6.5.4 Hvis behandlingen er begrænset i overensstemmelse med punkt 7.7.1, må personoplysningerne, med undtagelse af opbevaring, kun behandles med den registrerede samtykke eller for at etablere, hævde eller forsvare juridiske forpligtelser eller for at beskytte en anden fysisk eller juridisk persons rettigheder eller, hvis der er grund for, at der er stor interesse fra EU eller medlemsstaten.
6.6 Ret til indsigelse
6.6.1 Ifølge artikel 21, har du ret til at gøre indsigelse mod behandlingen af dine personoplysninger. Dette indebærer også retten til at gøre indsigelse mod behandling af dine oplysninger til direkte markedsføring.
6.6.2 Den dataansvarlige må ikke længere behandle personoplysningerne med mindre at denne kan påvise de legitime grunde for behandlingen, der opvejer den registreredes interesse, rettigheder og friheder eller hvis det sker til afgørelse, udøvelse eller forsvar i juridisk sammenhæng.
6.6.3 Senest ved den første etableret kommunikation med den registrerede, skal den ret som anses i punkterne 1 og 2 nævnes udtrykkeligt til den registrerede og rapporteres klar, tydeligt og separat for enhver anden information.
6.6.4 Du har retten til at gøre indsigelse, hvis du er genstand for en afgørelse, der alene er baseret på automatisk behandling - herunder profilering ifølge artikel 22. Der skal som minimum være meningsfyldt information om logikken og ikke mindst vigtigheden, samt de forventede konsekvenser for dig i en sådan behandling.
6.6.5 Ovenstående punkt kan dog ikke anvendes på følgende:
Hvis beslutningen er nødvendig for indgåelse eller udførelse af en aftale mellem den registrerede og den dataansvarlige Hvis beslutningen er tilladt i EU-lovgivningen eller i et medlemslands nationale lovgivning, som den dataansvarlige har ansvar i og som hvis foranstaltningerne er til for at beskytte den registreredes rettigheder, friheder eller legitime interesser eller er baseret på den registreredes udtrykkelige samtykke 6.6.7 Beslutningerne under punkt 6.6.6 er muligvis ikke baseret på bestemte kategorier af personoplysninger, med mindre artikel 9.2 a eller g er gældende og der er truffet passende foranstaltninger, der er til for beskytte den registreredes interesser.
6.8 Ret til at transmittere oplysninger (dataportabilitet)
6.8.1 I henhold til artikel 20, har du ret til at modtage dine personoplysninger i et struktureret, almindeligt anvendt og maskinlæsbart format, samt at få overført disse personoplysninger fra én dataansvarlig til en anden uden hindring.
6.8.2 Den registrerede er også berettiget til at transmittere oplysningerne til en anden dataansvarlig selv, uden indvendinger fra virksomheden, når processen har fået samtykke og sker automatisk. Hvis du gør brug af denne rettighed, er du også berettiget til at have personoplysninger transmitteret direkte fra én dataansvarlig til en anden, hvis dette er teknisk muligt.
6.8.3 Rettigheden gælder kun, hvis dette sker automatisk og på baggrund af en forespørgsel fra den registrerede. Transmitteringen som rettighed er begrænset, hvis virksomheden baserer sine rettigheder til at bearbejde personoplysninger på en anden juridisk måde end at bearbejde det ud fra samtykke af den registrerede.
7. Generelle behandlingsprincipper
7.1 Behandlingsprincipper
Ved behandling af personoplysninger gælder følgende:
7.1.1 Oplysningerne skal behandles på et lovligt, korrekt og åbent i forhold til den registrerede (lovlighed, korrekthed og gennemsigtighed).
7.1.2 Data bliver indsamlet til specifikke, udtrykkelige og berettigede formål og behandles ikke efterfølgende på en måde, der er uforenelig med disse formål. Yderligere behandling for arkiveringsformål af generel interesse, videnskabelig eller historiske forskningsmål eller statistiske forskningsmål i overensstemmelse med artikel 89.1, skal ikke anses for værende uforenelig med de oprindelige formål (formålsbegrænsninger).
7.1.3 De skal være tilstrækkelige, relevante og ikke for omfattende i forhold til de formål, de bliver behandlet for (opgave minimering).
7.1.4 De skal være korrekt og opdateret. Alle rimelige foranstaltninger skal tages for at sikre, at personoplysninger, der er unøjagtige i forhold til det oprindelige formål, slettes eller rettes uden forsinkelse (nøjagtighed).
7.1.5 De må ikke lagres i et format, der gør det muligt at identificere den registrerede i en længere periode end nødvendigt for det oprindelige formål, som personoplysningerne skal behandles. Personoplysningerne må lagres under en længere periode med det krav om, at personoplysningerne udelukkende behandles til formål for interesse, videnskaben eller historiske forskningsmål eller statistiske forskningsmål i overensstemmelse med artikel 89.1. Dette er under forudsætning at de relevante tekniske og organisatoriske foranstaltninger som kræves i overensstemmelse med forordningen gennemføres for at sikre den registreredes rettigheder og friheder (lagring minimering).
7.1.6 De skal behandles på en måde, der sikrer tilstrækkelig sikkerhed af personoplysninger, blandt andet beskyttelse mod uautoriseret behandling og sikre mod tab, ødelæggelse eller skade ved et uheld ved hjælp af tekniske eller organisatoriske foranstaltninger (integritet og fortrolighed).
7.1.7 Den dataansvarlige står til ansvar og skal kunne fremvise at ovenstående punkter bliver overholdt (ansvarsskyldighed).
7.2 Risikoanalyse
7.2.1 I forbindelse med vores arbejde, skal vi gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der svarer til de risici, der specifikt er relateret til vores behandling af personoplysninger. Kort sagt, handler det om at vi vil forudse, forhindre risici og derved beskytte folk friheder og rettigheder. Målet er at minimere risici ved sådanne behandlinger af personoplysninger, som indebærer en høj risiko.
7.2.2 Vi har gennemført en risikoanalyse, som ligger til grund for dette privatlivspolitik.
7.3 Databeskyttelse Vurderingen (DPIA)
7.3.1 Artikel 35 i Databeskyttelsesforordningen indeholder et krav om en type behandling, særskilt for anvendelsen af ny teknik og med hensyn til dens art, omfang, sammenhæng og formål. Det vil sandsynligvis medføre en høj risiko for fysiske personers rettigheder og frihed, der kræver at den dataansvarlige inden behandlingen vurderer konsekvenserne af den planlagte behandling for at beskytte personoplysningerne. En vurdering af dette kan omfatte en række lignende behandlinger, der indebærer høj risici.
7.3.2 Den dataansvarlige skal rådføre sig med databeskyttelses officeren, hvis det er angivet, når der er foretaget en konsekvensanalyse vedrørende databeskyttelse.
7.3.3 En konsekvensanalyse af databeskyttelse jævnført punkt 7.3.1 kræves i følgende tilfælde:
En systematisk og omfattende bedømmelse af fysiske personers personlige aspekter, der er baseret på automatisk behandling, indbegrebet af profilering, og på hvilket beslutningsgrundlag, der har juridiske konsekvenser for fysiske personer eller på lignende måde i væsentlig grad påvirker fysiske personer. Hvis behandlingen i stor omfang af særskilte kategorier, som der henvises til i artikel 9.1 eller af personoplysninger, der vedrører domme og strafbare handlinger jævnfør artikel 10. Systematisk overvågning af et offentligt sted 7.3.4 Vi udfører sjældent behandlinger, som opfylder et af ovenstående kriterier. Derfor forventer vi også at bestemmelserne om konsekvensanalyse kommer til at have relativt lille indvirken på vores behandling af personoplysninger.
7.3.5 Hvis en konsekvensanalyse gennemføres, vil resultaterne af vurderingen blive taget i betragtning, når der er behov for passende foranstaltninger.
7.4 Databeskyttelse Officeren (DPO)
7.4.1 Udnævnelsen af en Databeskyttelses Officer er i henhold til artikel 37 i databeskyttelsesforordningen betinget af, at behandlingen af personoplysninger er en “hovedaktivitet”. Dette er ikke tilfældet hos Lakrids, da Lakrids agerer som databehandler eller dataansvarlig.
7.4.2 Databehandlere og den dataansvarlige skal under alle omstændigheder udpege en databeskyttelses officer, hvis:
behandlingen gennemføres af en myndighed eller en offentlig person, undtagen når det sker, som en del af domstolens retslige aktiviteter databehandlere eller den dataansvarlige kerneaktivitet kræver fast og systematisk overvågning af de registrerede i stort omfang, eller databehandlere eller den dataansvarlige kerneaktivitet består af består af behandlingen af specifikke kategorier af data i overensstemmelse med artikel 9 og personoplysninger om domme i straffesager og overtrædelsessager jævnfør artikel 10. 7.4.3 Det er ifølge vores bedømmelse ikke tilfældet at Lakrids behandler data i den grad som beskrives under 7.4.2. Vi har derfor valgt ikke at udnævne en Databeskyttelses Officer.
7.4.4 Uanset om vi agerer som databehandlere eller dataansvarlige, har vi en person som er udvalgt til at udføre de bedømmelser eller rådgivninger som en Databeskyttelses Officer på normal vis foretager sig.
7.5 Dataansvarlig
7.5.1 Med hensyn til personoplysninger og information om Lakrids’ medarbejdere og kunder, kommer Lakrids selv til at fungerer som dataansvarlig. Lakrids kommer med en objektiv bedømmelse om grunden til at indsamle/behandle personoplysninger, som er relevante og nødvendige, samt om hvor lang tid personoplysningerne skal lagres.
7.6 Databehandlingsaftale
7.6.1 Når vi som dataansvarlige har bedømt at aftalen med databehandleren udgør en databehandlingsstruktur, udarbejder vi en databehandlingsaftale.
7.6.2 Databehandlingsaftalen skal indgåes mellem os (de dataanvarlige) og den anden part (databehandleren) og skal opfylde kravene på en databehandlingsaftale som er defineret i den generelle Databeskyttelsesforordning jævnfør artikel 28.3. Dette indebærer at en kontrakt eller andet juridisk dokument, som er bindende for databehandleren, skal udarbejdes. Aftalen, der er nævnt i punkt 7.6.2 skal udarbejdes skriftligt og i elektronisk format.
7.6.3 Den generelle Databeskyttelsesforordning indeholder flere specifikke krav til indholdet af en databehandlingsaftale. Aftalen skal blandt andet udvise respekt for den dataansvarlige og beskrive formålet for behandlingen, behandlingens varighed, art og formål, typen af personoplysninger og kategorier af registrerede, samt skal den dataansvarliges skyldigheder og rettigheder angives. I aftalen skal det være forudsat at den dataansvarlige:
kun får behandlet personoplysninger på baggrund af de dokumenteret instruktioner fra den dataansvarlige. Det inkluderer overførsler af personoplysninger til et tredjeland eller en international organisation medmindre denne behandling ikke er omfattet af EU-lovgivningen eller ifølge medlemsstaternes nationale lovgivning som databehandleren omfattes ad, og i så fald skal databehandleren informere den dataansvarlige det retslige krav inden opgaverne behandles. Således kan en sådan information ikke forbyde henvisning til et emne af offentlig interesse, sikrer, at personer, der har kompetencer til at behandle personoplysninger, har forpligtet sig til at overholde fortroligheden eller er underlagt en passende og lovpligtig tavshedspligt, skal tage alle foranstaltninger, der kræves ifølge artikel 32 skal respektere de vilkår, som anses i punkt 2 og 4 for brugen om af en anden databehandlere skal tage behandlingens art i betragtning og hjælpe den dataansvarlige gennem passende tekniske og organisatoriske foranstaltninger i det omfang, det er muligt, så den dataansvarlige kan opfylde sin forpligtelse til at besvare anmodningen om udøvelsen af den registreredes rettigheder i overensstemmelse med kapitel III, skal hjælpe med at sikre, at forpligtelsen i henhold til artikel 32-36 overholdes med hensyn til typen af behandling og den information, som databehandleren har til rådighed alt efter hvad den dataansvarlige vælger, sletter og returnerer alle personoplysninger til den dataansvarlige efter at behandlingen er afsluttet, og sletter eksisterende kopier, medmindre lagring af personoplysninger er påkrævet i henhold til EU-lovgivningen eller medlemsstaten nationale lovgivning, skal have adgang til alle nødvendige oplysninger for at påvise, at forpligtelserne i denne artikel er opfyldt og gør det muligt og bidrage til revisioner, der er godkendt. Med udgangspunkt i punkt h i dette afsnit, skal databehandleren umiddelbart informere den dataansvarlige, hvis han synes at den instruktion strider mod denne forordning eller mod andre af EU’s eller medlemsstaternes databeskyttelsesbestemmelser. 7.6.4 Hvis vi agerer som databehandler for kunden, kræves det at vi udarbejder en databehandlingsaftale med kunden.
7.7 Overførsel til tredjelande
7.7.1 Vi overfører ikke personoplysninger til tredjelande.
7.8 Databehandling - Et overblik
7.8.1 Lakrids’ tekniske drift udføres af eksterne foretagende. Disse foretagende fungerer som databehandlere af de personoplysninger, som vi er dataansvarlige for.
7.8.2 Databehandlingen udføres inden for EU.
7.8.3 Databehandleren handler kun efter vores instruktioner.
7.8.4 Vi anvender følgende databehandlere:
Databehandlere
Lokation: Danmark
Kontrakttype: Databehandlingsaftale
7.8.5 Den seneste udvikling, gennemførelses omkostningerne, behandlingens art, sammenhæng, formål samt risici af forskellig grad af sandsynlighed og alvor for fysiske personers rettigheder og friheder taget i betragtning, skal den dataansvarlige og databehandleren træffe relevante tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der er passende i forhold til risikoen og hvor relevant det er.
7.9 Overførsel af kundedata
7.9.1 Vi må kun videregive personoplysninger til andre virksomheder eller enkeltpersoner under følgende omstændigheder:
Hvis det er nødvendigt at dele information for at give eller muliggøre funktioner eller en tjeneste, som du har anmodet om hos Lakrids. For at holde dig opdateret om produkter, softwareopdateringer, specialtilbud eller anden information, som vi tror at du vil høre om enten fra os eller fra vores samarbejdspartnere (hvis du ikke aktivt har modtaget denne type af kommunikation). Vær opmærksom på, at det ikke er muligt at kunne modsige kommunikation fra servicemeddelelser, der indeholder vigtig information, der er relevant for din brug af Lakrids, men som ikke er markedsføring.
Hvis vi i god tro mener, at vi er berettiget til at dele din information ved tvister, for at forhindre en forbrydelse eller for at beskytte personlige ejendele, offentligheden eller Lakrids. Ved eventuelt salg eller fusion med en anden enhed, konsolidering, omstrukturering, salg af forretningsaktiviteter, finansiering eller anden forretning forandring, inklusive under due diligence-procedurer, eller hvis Lakrids nogensinde skulle ligge en konkursbegæring eller lignende. Når vi har den registreredes tilladelse til at dele informationen. Lakrids kan dele ikke-personlige informationer med tredjepart (f.eks. aggregeret eller demografisk data)
7.10 Overførsel til sociale netværk
7.10.1 Ingen personoplysninger overføres til det sociale netværk.
7.11 Andre overførsler
7.11.1 Hvis vi får en begæring fra politiet (eller anden lignende offentlige myndighed) eller domstolssystemet om at overdrage personoplysninger, kommer dine personoplysninger til at blive overdraget i overensstemmelse med gældende lovgivning.
7.12 Videregivelse af personoplysninger af juridiske årsager
7.12.1 Vi videregiver personoplysninger til virksomheder, organisationer eller enkeltpersoner uden for vores omgangskreds af virksomheder, hvis vi i god tro mener at adgang, brug, opbevaring og videregivelse er nødvendigt for at:
følge loven, reglerne, den juridiske process eller tvangsfuldbyrdelig regeringsanmodning håndhæve brugsbetingelser, herunder efterforskning af potentielle overtrædelser registrere, forhindre eller på anden måde beskytte mod adresse svindel, sikkerheds- og tekniske problemer forsvare os, vores brugere eller offentlighedens rettigheder, ejendom og sikkerhed 7.13 Andre delinger
7.13.1 Lakrids deler ikke dine personoplysninger for profilering,
7.14 Tekniske og organisatoriske foranstaltninger
7.14.1 Vores sikkerhedsretningslinjer ligger til grund for vores overvejelser og vurderinger, som har implementeret i overensstemmelse med Databeskyttelsesforordningen.
7.14.2 Adgangen til personoplysninger er begrænset til personer, som har et væsentligt behov for denne adgang.
7.14.3 Medarbejdere, som håndterer personoplysninger, instrueres og oplæres i hvordan de skal behandle disse oplysninger og hvordan man beskytter dem.
7.14.4 Der skal være så få personer som muligt med adgang til personoplysningerne. Der skal imidlertid findes tilstrækkelig mange medarbejdere for at sikre at de berørte oplysninger kan blive håndteret når der er sygdom, ferie, personaledage etc.
7.14.5 Personoplysninger på papir - f.eks. i kasser eller mapper - skal opbevares lukket og låst, når de ikke er i brug.
7.14.6 Når dokumentet (papir, diagram etc.) kasseres, anvendes fragmenteringen og andre foranstaltninger til, at forhindre uautoriseret adgang til personlige data.
7.14.7 Vi anvender adgangskoder for at tilgå computerer og anden elektronisk virkemiddel, der indeholder personoplysninger. Det er kun de medarbejdere, der skal have adgangskoden som en nødvendighed af deres daglige arbejde, har den. De, som har en adgangskode, må ikke overdrage eller fortælle den til andre eller efterlade den synligt for andre. Koderne skal ændres mindst 1 gang hvert halve år.
7.14.8 Vi har udvalgt en person, som er ansvarlig for at overvåge mislykkede forsøg på adgang. Vi benytter os af et program, som kan identificerer hvem, der har forsøgt at få adgang til personoplysningerne.
7.14.9 Hvis personoplysningerne lagres på en USB-nøgle, skal oplysningerne beskyttes, f.eks. ved hjælp af et kodeord eller en krypteringsnøgle. Ellers skal USB-nøglen gemmes i en låst boks eller skab. Lignende krav gælder også lagring af personoplysninger på andre bærbare harddiske eller lignende emner.
7.14.10 Computere, som er tilsluttet internettet, skal have en opdateret firewall og antivirusprogram installeret. Når vi tilslutter til WiFi med fri adgang, opfylder vi de relevante sikkerhedsforanstaltninger i forhold til udviklingen på IT-området.
7.14.11 Hvis følsomme personoplysninger eller CPR-nummer bliver sendt via mail via internettet, skal mailen krypteres. Hvis du sender personlige informationer til os via mail, bemærk venligst, at det ikke er en sikker metode, hvis dine mails ikke er krypteret.
7.14.12 Ved reparation og service af IT udstyr, der indeholder personoplysninger, eller hvis IT udstyret skal sælges eller kasseres, tager vi de nødvendige forholdsregler for at forhindre at informationen bliver lækket til en tredjepart.
7.14.13 Når vi anvender en ekstern databehandlings agent til at håndtere personoplysninger, underskrives der en skriftlig databehandlingsaftale mellem os og databehandleren. Dette gælder for eksempel når vi anvender et eksternt dokumentarkiv eller om cloud-systemet anvendes til behandling af personoplysninger - inklusiv kommunikation med kunden. På samme måde indgås der altid en skriftlig aftale mellem os og vores kunder, hvis vi agerer som databehandlere. Disse databehandlingsaftaler er også tilgængelig elektronisk.
7.14.14 Vi har interne regler for informationssikkerhed, som indeholder instruktioner og foranstaltninger, der betyder personoplysninger fra at blive ødelagt, tabt eller ændret af uautoriseret videregivelse og mod uautoriseret adgang. Vi sikrer at de indsamlede personoplysninger behandles med omsorg og beskyttes i overensstemmelse med gældende sikkerhedsstandarder. Vi har strenge sikkerhedsprocedurer for indsamling, lagring og overførsel af personoplysninger for at forhindre uberettiget adgang og overholdelse af gældende love.
7.14.15 Vi taget de nødvendige tekniske og organisatoriske beskyttelsesforanstaltninger for at beskytte dine personoplysninger fra uforsætlig eller ulovlig destruktion, tab eller ændring, samt mod uautoriseret videregivelse, misbrug eller anden handling, der er i strid med loven.
7.14.16 Systemer er placeret i sikre lokaler på en server.
7.14.17 Vi anvender beskyttelsesstandarder, som brandvægge og autentiserings beskyttelse for at beskytte dine oplysninger.
7.14.18 Alle data, der bliver overført mellem kunden (browser og webapps) og servere er krypteret i henhold til HTTPS-protokollen.
7.14.19 Alle faciliteter er låst og det er kun personale, som har underskrevet en erklæring om hemmeligholdelse, der har adgang til faciliteterne. Efter arbejdsdagen er slut, bliver produkt faciliteterne aflåst. Adgangs til faciliteterne foregår altid under tilsyn af en medarbejder.
7.14.20 Vi tager sikkerhedskopier af alle databaser og filer på delte enheder hver aften. Sikkerhedskopien gemmes på en intern server.
7.15 Sikkerhedskopiering
7.15.1 Vi gennemfører følgende typer af sikkerhedskopiering:
Kontinuerlig sikkerhedskopiering. Denne metoden udfører en daglig sikkerhedskopi af alle fil- og dataopdateringer. Den opretter en sikkerhedskopi af alle nye data. Dette skaber en historie af ændringer, så evnen til at gendanne mistede data øges. Kloning. Denne back-up strategi skaber en perfekt kopi af alle enheder på netværket. Sikkerhedskopiering offsite. Denne sikkerhedskopi beskytter mod tab af data, hvis sikkerhedskopien er gemt på webstedet. Alle data og filer sikkerhedskopieres og gennem udenfor hjemmesiden. 7.15.2 Alle sikkerheds data og filer overskrives med 40-dages intervaller. Det er ikke teknisk muligt at lave en komplet sletning af individuelle filer på en sikkerhedskopiering, inden vi gennemfører overskrivningen. Hvis du har anmodet om, at vi sletter personlige data, slettes sådanne personlige data fra vores aktive lager, men beholder den på en sikkerhedskopi, inden vi overskriver den efter 40 dage. Vi har midlertidigt indført interne processer for, at sikre at personoplysningerne ikke bliver genoprettet som livedata, gennem at læse om data og filer fra en sikkerhedskopi efter at personoplysninger er blevet slettet i forbindelse med “retten til at blive glemt”.
7.16 Sletning - hvornår?
7.16.1 Når en opgave fra en kunde er afsluttet, behøver vi ikke yderligere at behandle personoplysninger.
7.16.2 Flere andre overvejelser og særlig bestemmelser betyder imidlertidig, at personoplysninger ikke bør eller kan slettes før efter et bestemt tidspunkt.
7.16.3 Perioden for hvor længe personoplysningerne lagres inden sletning skal fastsættes.
7.16.4 I henhold til at regnskabsreglerne, skal personlige data relateret til en betaling opbevares i 5 år ud over det aktuelle kalenderår efter regnskabsåret afslutning.
7.16.5 For at sikre at vi kan præsentere vores interesser i tilfælde af en retssag eller en juridisk proces, kan personlige data opbevares i tre år efter afslutningen af opgaven.
7.16.6 For at sikre at den logiske synergi ved kontostyring, skal kundedata lagres i 5 år efter afslutningen af kundeforholdet.
7.16.7 Oplysninger i CRM-systemer skal slettet og opdateres løbende. Emails, der kan være vigtige ved afgørelsen af et juridisk sagsmål, skal opbevares i 5 år og derefter slettes, medmindre, der er indgivet juridiske krav mod eller af Lakrids.
7.17 Sletning - hvordan?
7.17.1 Sletningen af personoplysninger indebærer at personoplysningerne uigenkaldeligt fjernes fra alle lagringsmedier, som de befinder sig på og at personoplysningerne ikke kan genskabes i nogen form. I den sammenhæng er det nødvendigt at være opmærksom på alle lagringsmedier - det inkluderer bærbare lagringsmedier, som bærbare computere, USB-stik etc. som sikkerhedskopier.
7.17.2 For at gøre sletningsprocessen lettere, skal alt fysisk materiale makuleres eller returneres til kunden.
7.17.3 Alternativt kan personoplysningerne anonymiseres fuldstændigt, som betyder at det ikke kan tilskrives en bestemt person. I dette tilfælde finder den generelle databeskyttelsesforordning ikke anvendelse og en fuldstændig anonymisering er derfor et alternativ til sletning. Det er vigtigt at huske på, at anonymiseringen som et alternativ til sletning, er sletning af alle spor i data, der kan føre til den gældende person. Det er dog ofte en meget vanskelig opgave.
7.17.4 Efter sletning / anonymiseringen, udfører vi en opfølgningskontrol i form af søgninger på navn/CPR-nummer og andre informationer, der vedrører kunden og sagen for at sikre, at ingen oplysninger vises.
7.18 Oplysningspligt - Kunden
7.18.1 Vores kunder får et link til vores privatlivspolitik efter ønske, men privatlivspolitikken er også tilgængelig på lakridsbybulow.dk.
8. Detaljerede behandlingsregler
8.1 Ret til at behandle
8.1.1 Vores ret til at behandle personoplysninger er baseret på forholdet til at vores kunder og vores evne til at administrere de aftaler, der er indgået. Generelt har vi autoriteten at at behandle nødvendige data inden for rammerne af opgaven. Dette fremgår af Databeskyttelsesforordningen i artikel 6.1.a, b og f, samt artikel 9.2.a og f.
8.1.2 Disse bestemmelser regulerer retten til at behandle personoplysninger (i) hvis der er samtykke, (ii) hvis behandlingen er nødvendig for at opfylde betingelserne i aftalen, (iii) hvis behandlingen er nødvendig for at sikre at et juridisk krav kan etableres, udøves eller forsvares.
8.1.3 Vi har kompetencerne til at behandle CPR-nummer (i) når det følger loven, (ii) hvis der findes samtykke eller (iii) hvis det er nødvendigt for at oprette et retsligt krav.
8.1.4 Vi mener at vores behandling af personoplysninger i forhold til en kunde, vil være tilladt i følge af ovenstående bestemmelser.
8.2 Aktivering
8.2.1 Vi indsamler personoplysninger fra den registrerede, når du besøger og anvender lakridsbybulow.dk.
8.3 Besøg på vores hjemmeside
8.3.1 Når du besøger lakridsbybulow.dk, indsamler vi også ikke-personlige informationer, som ikke kan anvendes til at identificere eller kontakte dig - for eksempel demografisk information (f.eks. alder og køn) eller brugsoplysninger (f.eks. browser, den webadresse, der henviste dig til Lakrids og de sider på Lakrids du besøger). Vi kan også samle oplysninger fra andre kilder for at hjælpe os med at evaluere og forbedre vores platform og tilbud.
8.4 IP-adresser og browserindstillinger
8.4.1 Hvert besøg på lakridsbybulow.dk bliver registreret gennem din IP-adresse samt browserindstillingerne. Din IP-adresse er adressen som computeren anvender for at besøge vores hjemmeside. Browserindstillinger er for eksempel browsertypen du benytter, browsersprog, tidszone etc. IP-adressen og browserindstillingerne bliver registreret for at sikre at Lakrids altid kan identificerer den computer, som bliver benyttet til at opdage misbrug eller ulovlig anvendelse ved besøget eller anvendelse af lakridsbybulow.dk. IP-adressen bliver også brugt til at finde din placering (på IP-adresseniveau)
8.5 Nyhedsbrev
8.5.1 Hvis du abonnerer på Lakrids’ nyhedsbrev, bliver dine personoplysninger registreret direkte hos Lakrids. Hvis du ikke længere vil modtage vores nyhedsbreve, kan du afmelde dem ved at kontakte Lakrids By Bülow på [email protected].
8.6 Anonymisering
8.6.1 Lakrids anvender anonymisering af data fra kunder til statistik- og forskningsformål, samt for at bedre vores system, processer og produkter.
8.6.2 Lakrids anonymiserer uigenkaldelige personoplysninger på en sådan måde, at den registrerede ikke længere kan identificeres. F.eks. erstattes navn, adresse og CPR-nummer med en kode, serienummer osv. Tilfældigt valgte koder tildeles og kan ikke nulstilles ved hjælp af lister, nøgler osv., som viser forholdet mellem serienummeret og den faktisk identificeringsinformation. Det indebærer også at personoplysninger, billeder, personens stemme, fingeraftryk eller genetiske egenskaber slettes i en anonymiseringsprocess.
8.7 Kontaktinformation
8.7.1 Kontaktinformationen bliver opdateret og slettes kontinuerligt. Mails, der kan påvirke afgørelsen af juridisk krav, skal opbevares i 5 år og derefter slettet, medmindre der er rejst juridisk krav eller Lakrids har mistanke om, at det vil blive taget op.
9. Cookies
9.1 Vi indsamler information om dig i forbindelse med driften af lakridsbybulow.dk. Vi indsamler information på to måder - gennem cookies og gennem registerering og anvendelse af lakridsbybulow.dk
9.2 En cookie er en tekstfil som sendes til vores webserver og som gemmes på din browser eller enhed. Vi anvender også cookies for at forbedre din brugeroplevelse, når du besøger vores hjemmeside. Du vælger selv om du vil tillade anvendelsen af cookies. Hvis du vælger ikke at accepterer cookies, kan funktionaliteterne på vores hjemmeside være begrænset på visse sider.
9.3 Der findes to typer af cookies:
en permanent cookie, der forbliver på den besøgendes enhed i en bestemt periode (indtil den udløber eller bliver fjernet) en sessionscookie midlertidigt lagres i enhedens hukommelse, mens den besøgende befinder sig på hjemmesiden. Sessionscookies forsvinder, når du lukker din browser. Vi bruger både permanent cookies og sessionscookies. 9.4 Vi anvender lignende teknikker, som lagres og læser information i browseren eller på enheden, der bruger lokale enheder og lokal lagring, som HTML 5-cookies, Flash eller andne teknologi. I visse tilfælde, bliver denne teknologi ikke styret af browseren, men kræver specielle værktøjer. Vi bruger disse teknikker til at gemme information, der bruges til at sikre kvaliteten af anmeldelser og til at opdage uregelmæssigheder i din brug af lakridsbybulow.dk
9.5 En cookie indeholder tekst, tal eller f.eks. en dato. Den indeholder ikke personoplysninger. Det er heller ikke et program og kan ikke indeholde virus.
9.6 Når du besøger lakridsbybulow.dk for første gang, får du automatisk en cookie. Vi anvender cookies til at tilpasse og skærpe indholdet og tjenesterne, så de matcher dine interesser og ønsker. Vi anvender også cookies for at skabe demografisk og brugbart statistik of for at kunne bestemme hvem som besøger lakridsbybulow.dk. Vi registrerer kun anonym information som IP-adresse, antal byte som sendes og modtages, hosting-tid, browsertypen, version, sprog etc.
9.7 Vi anvender cookies for at:
Skabe statistik, altså måle trafik på lakridsbybulow.dk, inklusiv antallet af besøgende på hjemmesiden, hvilke domæner de besøgende kommer fra, hvilke sider de kigger på og hvilket generelt geografisk område brugeren befinder sig i. Forbedre funktionaliteten og optimerer din oplevelse på lakridsbybulow.dk og hjælpe dig med at huske dit brugernavn og kodeord, så du ikke behøver logge ind igen, når du kommer tilbage til hjemmesiden. Integrerer med de sociale medier, eksempelvis Facebook. Kvalitetssikre anmeldelser og forebygge misbrug og uregelmæssigheder i forbindelse med anmeldelser og anvendelse af lakridsbybulow.dk
Målrette markedsføring, altså vise specifik markedsføring på lakridsbybulow.dk, som vi tror du kommer til at finde interessant. 9.8 Lakridsbybulow.dk giver adgang til tredjepartsleverandøre for at inspicerer indholdet fra cookies som indsamlet på lakridsbybulow.dk. Denne information må kun anvendes på vegne af lakridsbybulow.dk og må ikke anvendes til tredjepartens egne formål.
9.9 Vores hjemmeside anvender cookies fra følgende tredjeparter:
Google Analytics: til statistiske formål. Du kan nægte at anvende cookies fra Google Analytics ved at klikke her. Facebook Twitter 9.10 De fleste browsere tillader dig at slette cookies fra din harddisk, blokerer alle cookies eller få en advarsel, inden cookies lagres. Hold øje med, at hvis du vælger at blokerer eller slette cookies, kan nogle tjenester og funktioner ikke anvendes af dig, eftersom de kræver cookies for at kunne huske de valg du tager. Vi håber derfor at du vil godkende vores brug af cookies, eftersom de hjælper os med at forbedre din oplevelse på lakridsbybulow.dk
9.11 Du har altid mulighed for at slette cookies, som gemmes på din computer.
Se, hvordan man fjerner cookies fra Internet Explorer her. Se, hvordan man fjerner cookies fra Mozilla Firefox her. Se, hvordan man fjerner cookies fra Google Chrome her. Se, hvordan man fjerner cookies fra Opera her. Se, hvordan man fjerner flash cookies - gælder alle browsere - her. 9.12 lakridsbybulow.dk bruger Google Analytics til at analysere hvordan brugerne anvender lakridsbybulow.dk. Informationen som kommer fra cookies om din brug af siden (trafikdata, inklusive din IP-adresse) overføres og lagres på Googles servere i USA. Google bruger denne information til at evaluere din brug af lakridsbybulow.dk, udarbejdelse af rapporter om aktivitet på lakridsbybulow.dk og andre tjenester, der handler om driften på lakridsbybulow.dk. Google kan også overføre denne information til en tredjepart, hvis det kræves af loven eller, hvis tredjeparten behandler informationerne på Google vegne.
9.13 Google Analytics indsamler to typer af cookies: (a) permanente cookies, som giver information om brugeren vender tilbage, hvor brugeren kommer fra, hvilke søgemaskiner som bruges, nøgleord osv. Og (b) sessionscookien, der bruges til at vise hvornår og hvordan en bruger bruger lakridsbybulow.dk. Sessioscookien udløber efter hver session, det vil sige, at når du lukker din fane eller browser. Google behandler ikke din IP-adresse med andre oplysninger leveret af Google.
9.14 De fleste browsers tillader dig at slette cookies fra Google Analytics. Læs mere om Google Analytics-cookies her.
9.15 Ved at bruge lakridsbybulow.dk giver du dit samtykke til vores brug af cookies som beskrevet ovenfor. Hvis du ikke længere vil accepterer anvendelsen af cookies, skal du fravælge cookies ved at ændre indstillingerne i din browser.
10. Spørgsmål
Hvis du har spørgsmål om denne privatlivspolitik eller vores behandling af dine personoplysninger, rettelser, sletning eller lignende, kontakt os venligst på:
Lakrids by Johan Bülow A/S CVR-nr: 33041586 Sydholmen 7 2650 Hvidovre Danmark
T: +45 32 17 68 22 E: [email protected] W: lakridsbybulow.dk
11. Ændringer
11.1 Vi kan ændre vores privatlivspolitik når som helst. Du bør derfor gennemgå den regelmæssigt. Ændringerne træder i kraft med øjeblikkelig virkning. I forbindelse med en konflikt mellem privatlivspolitikken og de modificeret vilkår, skal de ændrede vilkår gælde. Din fortsatte brug af de tjenester, som er stillet til rådighed af os efter den dato, som de ændrede vilkår gælder fra, er det som udgør din accept af den ændrede privatlivspolitik.
12. Ret til at indgive en klage
12.1 Den registrerede har altid ret til at tage kontakt til tilsynsmyndighed og klage, hvis denne privatlivspolitik ikke er i overensstemmelse med hvordan Lakrids håndterer den registreredes personoplysninger. Tilsynsmyndigheden er i dette tilfælde Datatilsynet.
Vil du klage over Lakrids behandling af dine personoplysninger, kan du henvende dig til Datatilsynet, som er tilsynsmyndighed inden for dette område. Du kan finde kontaktoplysningerne her.