Cookie- og privatlivspolitik

Har du svært ved at holde styr på de mange udtryk omkring persondata, så er her en hjælpende hånd:

• Den registrerede: Den person, som vi behandler oplysninger om. De registrerede kan f.eks. være vikarer, kunder eller medarbejdere.
• Personoplysninger: Enhver form for oplysning, som direkte eller indirekte kan bruges til at identificere dig.
• Behandling: Er den aktivitet eller de aktiviteter, som sker med personoplysninger. Enhver anvendelse af personoplysninger, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse.
• Dataansvarlig: Den person eller offentlige myndighed der afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger. F.eks. SOS VIKAR A/S og SKAT.
• Databehandler: Den person eller offentlige myndighed, der behandler personoplysninger på den dataansvarliges vegne. F.eks. kunder og SKAT.

Har du spørgsmål til indhold og brug af vores vejledning, er du velkommen til at kontakte vores Dataansvarlig Lene Hansen på tlf. nr. 55 77 82 08 eller på mail lh@sosvikar.dk

Du kan læse mere om dine rettigheder på Datatilsynets hjemmeside Vejledningen om de registreredes rettigheder

God læselyst!

Det siger reglerne
En oplysning er følsom, hvis den ikke egner sig til offentligt kendskab. Det gælder:

• Helbred
• Religion/filosofisk overbevisning
• Seksualitet
• Etnicitet
• Politisk overbevisning
• Fagforeningsmæssige tilhørsforhold
• Strafbare forhold (grænseland)
• Væsentlige sociale problemer
• Interne familieforhold (fx stridigheder, selvmordsforsøg og ulykkestilfælde)

Herudover kan oplysninger om indtægts- og formueforhold, arbejds-, uddannelses- og ansættelsesmæssige forhold også være fortrolige. Adgang til at indhente og behandle følsomme oplysninger er mere restriktiv end ved almindelige personoplysninger.

Personfølsomme oplysninger: Sådan gør vi
Når du afleverer personfølsomme data til SOS VIKAR, bliver de opbevaret og behandlet med stor omhu.
Vi indhenter kun de oplysninger, vi har behov og hjemmel for.
SOS VIKAR videregiver kun dine personfølsomme oplysninger i forbindelse med lovpligtig indberetning (Fx lønbehandling)
SOS VIKAR indhenter kun personfølsomme oplysninger i forbindelse med lovpligtig indberetning Fx oplysninger fra SKAT vedr. fradrag og trækprocent

Det siger reglerne
Oplysninger om strafbare forhold anses efter Persondataforordningen for almindelige personoplysninger og er særskilt reguleret i databeskyttelsesloven.

Strafbare forhold: Sådan gør vi
Du kan opleve, at vi beder om lov til indhentning af straffeattest og eller børneattest.
Det foregår alene med din accept, og de indsamlede oplysninger behandles på lige fod med andre personfølsomme data.

Det siger reglerne Almindelige personoplysninger kan være identifikationsoplysninger som f.eks. navn og adresse, oplysninger om økonomi, skat, gæld væsentlige sociale problemer, kundeforhold, familieforhold, tjenstlige forhold, bolig, ansøgning og CV.

Almindelige oplysninger: Sådan gør vi
SOS VIKAR A/S har fokus på, hvorvidt almindelige personoplysninger kan kobles til følsomme oplysninger. I sådanne situationer behandles personoplysninger på lige fod med personfølsomme oplysninger.

Det siger reglerne Begrebet "behandling" omfatter enhver form for indsamling, registrering, systematisering, opbevaring, søgning, brug/analyse, videregivelse, samkørsels og/eller sletning af oplysninger. Behandling kan også være offentliggørelse af oplysninger på en hjemmeside eller registrering af oplysninger i et elektronisk sags- og dokumenthåndteringssystem.

Sådan gør vi
Følsomme oplysninger må ikke fremgå af Outlook i mere end 30 dage. Når mails med følsomme oplysninger modtages (via sikker e-post), gemmes data på de relevante placerin¬ger. Ved oprydning i Outlook kontrollerer vi både indbakke, udgående mails og arkivmapper for korrespondance indehol-dende følsomme oplysninger. Herefter slettes mail fra postkasse, og slettet post tømmes. Generelle oplysninger, som let kan kobles med følsomme oplysninger, behandles som værende følsomme. Der må ikke gemmes følsomme oplysninger i åbne mapper på dokumentdrev. Følsomme oplysninger der skal være til rådighed for at varetage en bestemt opgave, gemmes på Teamets lukkede MS Teamsite.

Når man behandler personoplysninger, skal man overholde følgende grundlæggende principper:

• Lovlighed, rimelighed og gennemsigtighed: Man skal overholde reglerne for behandling af oplysninger og give let tilgængelig information om denne behandling. Det betyder blandt andet, at den person, der behandles oplysninger om, som udgangspunkt skal have oplyst, hvem der er ansvarlig og hvad der er formålet med databehandlingen.
• Formålsbegrænsning: Man skal sikre sig, at alle oplysninger kun bliver indsamlet til saglige formål. Der må ikke indsamles oplysninger med den begrundelse, at det måske senere kan vise sig nyttigt at have oplysningerne.
• En vurdering heraf foretages blandt andet ved at bedømme, om indsamlingen sker i forbindelse med løsningen af en opgave, som man som myndighed skal løse.
• Dataminimering: Behandlingen af personoplysninger skal begrænses til det, der er nødvendigt for at opfylde formålet.
• Rigtighed: Oplysningerne skal være rigtige og ajourførte, og hvis oplysningerne viser sig at være urigtige, skal de som udgangspunkt slettes eller berigtiges.
• Opbevaringsbegrænsning: Personoplysninger skal slettes eller gøres anonyme, når det ikke længere er nødvendigt for den dataansvarlige at have oplysningerne.
• Integritet og fortrolighed: Oplysninger skal beskyttes mod uautoriseret eller ulovlig databehandling, ligesom det skal sikres, at oplysninger ikke går tabt eller bliver beskadiget. Dette sikres bl.a. gennem adgangskontrol til systemer og backup af data.

Det siger reglerne
Persondataforordningen nævner en række betingelser for, at man lovligt kan behandle personoplysninger.
Det skal f.eks. være tydeligt, hvem der har hjemmel til at indsamle og efterfølgende behandle data.

Der skelnes mellem tre former for hjemmel:

• Hjemmel via lov.
• Hjemmel via myndighedsudøvelse.
• Hjemmel via samtykke.

Hvis man behandler personoplysninger, er man "dataansvarlig" eller "databehandler", alt efter hvilken rolle man har. Og ens hjemmel afhænger af hvilken type oplysninger, der er tale om og af hvorfor oplysningerne skal behandles.

Ved følsomme personoplysninger
Særlige kategorier af følsomme personoplysninger kan behandles uden samtykke, hvis den registrerede tydeligt selv har offentliggjort samme oplysninger på forhånd.
Særlige kategorier af følsomme oplysninger kan desuden behandles, hvis det er nødvendigt af hensyn til:

• Den dataansvarliges eller den registreredes arbejds-, sundheds-, og socialretlige forpligtelser og rettigheder.
• Den registreredes eller en anden fysisk persons vitale interesser, hvis det er umuligt at give samtykke.
• En politisk, filosofisk, religiøs eller fagforeningsmæssig non-profit organisations behandling af medlemsoplysninger eller regelmæssige kontaktoplysninger. (Omfatter ikke videregivelse uden for organisationen).
• Et retskravs fastlæggelse eller behandling.
• Væsentlige samfundsinteresser.
• Behandling af sundhedsfaglig karakter inden for sundhedssektoren.

Behandling til arkiv, videnskabelige eller historiske forskningsformål eller til statistiske formål.

Sådan gør vi
Når du fremsender personfølsomme data til SOS VIKAR elektronisk (mail) eller på papir, bliver dine oplysninger registreret, og opbevaret sikkert i brugerbegrænset elektronisk miljø eller i aflåst skab.
Oplysningerne er kun til rådighed for de personer, der skal behandle din henvendelse.
Færdigbehandlede mails fjernes fra indgående postkasse senest næst følgende arbejdsdag.
Fremsendt papir behandles og makuleres i sikkert miljø, samme dag de modtages.

Dine data slettes, når de ikke længere er aktuelle for behandling af din henvendelse. Hvis der er lovpligtig hjemmel for at opbevare dine fremsendte data, bliver dette gjort sikkert og med hensyn til dine rettigheder iflg. GDPR.

Ved strafbare forhold og CPR-numre
Oplysninger om strafbare forhold og CPR må ikke behandles, med mindre det er nødvendigt for at varetage en myndigheds opgave.
Oplysningerne må heller ikke videregives, medmindre:

• Den registrerede har givet sit udtrykkelige samtykke til videregivelsen.
• Videregivelsen sker for at varetage private eller offentlige interesser, der klart overstiger hensynet til de interesser, der begrunder hemmeligholdelse, herunder hensynet til den, oplysningen angår.
• Videregivelsen er nødvendig for at udføre en myndigheds virksomhed eller påkrævet for en afgørelse, som myndigheden skal træffe.
• Videregivelse er nødvendig for at udføre en persons eller virksomheds opgaver for det offentlige.

Offentlige myndigheder kan behandle oplysninger om CPR med henblik på en entydig identifikation eller som journalnummer.
CPR-numre må ikke offentliggøres, medmindre der er givet samtykke.

Ved almindelige personoplysninger
Almindelige personoplysninger kan behandles uden samtykke, hvis det er nødvendigt af hensyn til:

• En kontrakt.
• Den dataansvarliges retlige forpligtelser.
• Den registreredes eller en anden persons vitale interesser.
• En opgave i samfundets interesse eller offentlig myndighedsudøvelse.
• En legitim interesse, som ikke overgås af den registreredes interesser eller rettigheder.

Det sidste punkt gælder ikke for offentlige myndigheders behandling af personoplysninger, og bør som oftest ikke anvendes ved behandling af personoplysninger om børn.

SOS VIKAR A/S anvender altid skriftligt samtykke, for at vi kan efterleve kravet om dokumentation.
SOS VIKAR A/S opbevarer alle følsomme data på sikre servere eller på andet lovmæssigt opbevarings sted, som kun kan tilgås af medarbejdere med godkendelse.

Data, som skal ses af 3. part uden for huset, leveres altid i lukket system og kan kun ses i det tidsrum, som modtager (3. part) har hjemmel for det - derefter vil data blive slettes igen.

Det siger reglerne
Som udgangspunkt skal børn være over 15 år, før de kan give samtykke selv. Det afhænger dog altid af en vurdering af modenhed og om der arbejdes efter serviceloven eller sundhedsloven.
Hvis børn og unge ikke selv kan give samtykke, skal deres forældre give samtykke.
Dog må sundhedsplejersker gerne tale med yngre børn uden deres forældres samtykke.

Sådan gør vi
I situationer, hvor vi behandler og indsamler personfølsomme data på børn under 15 år, indhenter vi samtykke fra forældrene.
Børn fra 16-17 år giver selv samtykke, men ofte indhenter vi forældrenes samtykke også. Ved tvivl tager vi en jurist med på råd.
I nogle situationer, er det den kunde vi arbejder for, der har indhentet samtykke.
Vi har naturligvis tavshedspligt i forhold til de oplysninger vi kommer i besiddelse af en sådan situation.

Det siger reglerne
Der skal indgås databehandleraftaler med de data-behandlere, som behandler personoplysninger på den dataansvarliges vegne. I Persondataforordningen er der nye krav til Databehandleraftalerne (Artikel 28 stk. 3).

Sådan gør vi
SOS VIKAR A/S indhenter/ udarbejder databehandleraftaler i alle tilfælde, hvor data bliver behandlet i en anden organisation, end den der har det juridiske ansvar/er dataansvarlig.

SOS VIKAR A/S har indgået databehandleraftaler med bl.a.:

• Temponizer ApS
• XDC Gruppe A/S
• Ipvision A/S
• IT-terminalen ApS
• Nymannn HR
• NemTilmeld ApS
• Sherlock ApS
• Fjernarkiv Danmark ApS

SOS VIKAR A/S er kritisk i forhold til valg af samarbejdspartnere, og indgår kun samarbejde med anerkendte virksomheder, der kan fremlægge dokumentation for korrekt håndtering af de data vi skal dele.

Ved brug af eksterne data-behandlere er vi forpligtet til at kontrollere, at de eksterne databehandlere overholder lovgivningen, og er derfor meget opmærksomme på det. SOS VIKAR A/S er i dialog med vores eksterne databehandlere mindst én gang om året.
Vi modtager kopi af Internationale standarderklæringer som fx ISAE 3402 og ISAE 3000 fra vores to største samarbejdspartnere.

Det siger reglerne
Ifølge Persondatabeskyttelsesforordningens §10 skal der være et specifikt formål med at indhente oplysninger/data, og efterfølgende må disse oplysninger/data kun bruges til det indsamlede formål.

Sådan gør vi
Vikar: SOS VIKAR A/S indhenter kun de data, der er nødvendige for lønadministration og andre lovpligtige indberetninger som følge heraf samt til faglig og personlig dokumentation over for kunden, der køber din arbejdskraft.

Fast ansat:
SOS VIKAR A/S indhenter data til brug for lønadministration og lovpligtig indberetning som følge heraf samt data, der sikrer, at dit ansættelsesforhold kan opretholdes på det niveau SOS VIKAR A/S har behov for i forhold til fx.strategi og markedsføring. (Se personalehåndbog, der udleveres før ansættelse.)
Du kan også altid læse om disse data i din ansættelseskontrakt og i tillæg til denne.

Kunde (Privat):
SOS VIKAR A/S indhenter kun de data, der er nødvendige for at tilbyde den korrekte hjælp og pleje i den aftalte situation.

Kunde (Offentlig):
SOS VIKAR A/S indhenter Navn og arbejdsgiver administreret mailadresse på brugere i vores registreringssystem Temponizer.
Disse data slettes ved henvendelse eller ved inaktivitet i 3 måneder.
I det omfang navn og mailadresse har været anvendt til bestilling af vikarer, vil disse fremgå af vagten, så længe der er hjemmel for at opbevare den.

SOS VIKAR A/S videregiver eller anvender ikke data/oplysninger, der er indsamlet til ét projekt til andre projekter uden forudgående ansøgning og godkendelse.

Det siger reglerne
Vi skal kunne dokumentere overfor Datatilsynet, at vi har sikret data/personoplysninger med passende tekniske og organisatoriske foranstaltninger, så utilsigtede og/eller ulovlige behandlinger undgås. Reglerne for opbevaring af data varierer alt efter typen af data (se definition af data).

Cloud-løsninger:
Hos SOS VIKAR A/S benytter vi forskellige Cloud-løsningen

Temponizer ApS:
SOS VIKAR benytter Temponizer APS som samarbejdspartner i forhold til booking og registreringssystem. Temponizer er et webbaseret booking- og administrationssystem der tilgås via tildelt brugerrettighed.

XDC Gruppen A/S:
SOS VIKAR har hostingaftale med XDC Gruppen. Aftalen omfatter:

• Hosting
• Fjernskrivebord
• Mail (Office365)*
• Backup
• Overvågning
• Adgang til 24/7 365support
• Egen virtuel dedikeret server
• SSD storage rack
• *Fra Office365 benyttes ud over Outlook, Teamsits og SharePoint til fildeling og filopbevaring.
• XDC Gruppen er et moderne IT-hus.

IT-terminalen:
SOS VIAKR bruger C5 økonomisystem til bogføring samt aflønning af faste medarbejdere IT-terminalen leverer support og XDC-gruppen leverer adgang til Økonomisystemet

Deltaplan:
SOS VIKAR benytter Deltaplan til vagtplanlægning for vores fastansatte personaler.
Deltaplan er et webbaseret vagtplansystem med tildelt brugerrettigheder.

NemTilmeld:
SOS VIKAR benytte NemTilmeld til administration af kurser og arrangementer NemTilmeld er et webbaseretsystem, der hjælper med at samle og håndtere mange af de opgaver, der har med tilmelding og håndtering af arrangementer at gøre.

Oplysningerne på papir
SOS VIKAR A/S arbejder hen mod at være 100 % digitale.
Vi har enkelte arbejdsopgaver, hvor der indgår dokumenter med personfølsomme oplysninger. I perioden hvor opgaven er aktiv, er dokumenter med følsomme oplysninger låst inde i et sikret skab, når der ikke arbejdes på sagen.
Når opgaven er fuldført, makuleres dokumenterne straks, eller sendes til opbevaring på et sikkert fjernarkiv. (SOS VIAKR benytter Fjernarkiv Danmark ApS)

Sikker E-mail
SOS VIKAR sender krypteret mail via Office365 og via vores digitale e-postkasse

Databearbejdning i statistikprogrammer
(Temponizer/Sherlock)
SOS VIKAR benytter de ovenfor nævnte programmer til at analysere data.
Disse programmer beholder dataene bag koder og der arbejdes direkte i programmerne. Hvis det er nødvendigt at trække resultatet af analysen ud af programmet, vil disse blive slettet straks efter afslutning af projektet.

Sociale medier
SOS VIKAR A/S benytter sociale medier til information og annoncering.
Vi benytter ikke sociale medier til formidling af personfølsomme data uden de medvirkendes samtykke.

Facebook:
SOS VIKAR vi har en virksomhedsside, der benyttes til information og virksomhedens daglige aktiviteter, kurser og jobannoncer.
SOS VIKAR opretter ikke lukkede grupper, og kan derfor ikke tage ansvar for grupper der oprettes og administreres i vores navn uden vores viden og deltagelse.

Instagram:
Benyttes til at vise vores faste medarbejderes daglige aktiviteter.
Følgende er SOS VIKAR A/S retningslinjer for brug af billeder og film på de sociale medier:

• Stemningsbilleder og film af borgere/brugere (f.eks. ved en event eller konference) må behandles frit, hvis blot deltagerne har fået en generel information om, at der vil blive taget billeder/film. F.eks. med et skilt ved indgangen eller som tekst i en invitation forud for den enkelte event).
• Billeder, film og beskrivelser hvor det enkelte individ udgør den primære del af et foto/film, kræver tydeligt samtykke, hvor det præciseres hvad billederne må bruges til og hvor længe.
• Billeder af medarbejdere (ansat internt i huset) deles frit, under forudsætning af skriftligt samtykke ved ansættelse. Hvis samtykket skal trækkes tilbage, er det medarbejderens ansvar at give besked til resten af SOS VIKAR A/S

Det siger reglerne
I Persondataforordningen skal dataansvarlige foretage og dokumentere egenkontrol af både egen praksis samt af eksterne data-behandlere.

Sådan gør vi:
Eksterne data behandlere:
SOS VIKAR A/S sikrer sig 1 gang om året, at vores leverandører lever op til de forhold, der er beskrevet i de respektive databehandleraftaler.

Vores to største datasamarbejdspartnere er certificeret, og herfra modtager vi bevis for fornyelse af denne efter årlig audit.

Interne arbejdsgange:
SOS VIKAR A/S har nedsat en GDPR-gruppe, bestående af en repræsentant fra hver enkelt afdeling mhp. at gennemgå udførelsen og overholdelsen af GDPR i SOS VIKAR.
Der afholdes månedlige møder, hvor hverdagens GDPR relaterede opgaver kortlægges og korrekte arbejdsgange beskrives og besluttes.

Eksisterende procedurer gennemgås ved aktuelle ændringer og ellers hv. 6. måned, og de enkelte afdelinger laver risikoanalyser.

Dette, skal på sigt, sikres via dokumenthåndtering i Sherlock.

Datatilsynet:
https://www.datatilsynet.dk/

EU, GDPR org:
https://eugdpr.org/