Fortrolighedspolitik for virksomheder

Denne politik gælder for alle Aeras aktiviteter og alle Aera-virksomheder.

Fortrolighedspolitik for virksomheder

Godkendt dato: 18 okt. 2018

Geografisk anvendelsesområde: EØS

Juridiske enheder: Aera (Alle)

Mål og målgruppe

Denne politik gælder for alle Aeras aktiviteter og alle Aera-virksomheder.

Indhold

1. Introduktion

Denne politik er en del af det interne kontrol- og ledelsessystem i Aera og godkendes af bestyrelsen. Formålet med denne politik er at sikre overholdelse af gældende regler om beskyttelse af personlige oplysninger, og at de registreredes rettigheder beskyttes.

2. Definitioner

Definitioner i GDPR gælder for al fortrolighedsdokumentation i Aera, medmindre andet er defineret i denne politik.

Privacy Terms Table
Term Description Related terms
Personal data means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person Data Subject, Identifiable natural person
Processing means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction

3. Aeras team, der er ansvarlig for privatlivsrelaterede spørgsmål

3.1 Aeras bestyrelse

Bestyrelsen er ansvarlig for tilsyn og styring af Aera, herunder sikring af tilstrækkelig overholdelse af privatlivets fred.

3.2 CEO

Administrerende direktør er ansvarlig for at opretholde et sundt system med intern kontrol, der understøtter opfyldelsen af politikker, værdier og mål, samtidig med at kunder, medarbejdere, aktionærer og andre interessenter beskyttes. Dette inkluderer privatlivets fred.

Den administrerende direktør definerer grænser, principper og direktiver, hvorunder den operative udførelse af risikostyring af privatlivets fred udføres, og fungerer som eskalerings- og afviklingsorgan for kontroversielle operative spørgsmål og for risikoområder med størst indvirkning

Administrerende direktør har bemyndiget Compliance Officeren i Aera til at styre og udføre politikker på daglig basis.

3.3 Databeskyttelsesrådgiver (DPO)

Databeskyttelsesrådgiveren har det daglige ansvar for — i overensstemmelse med artikel 39 i den generelle forordning om databeskyttelse (GDPR) — at overvåge Aeras overholdelse af gældende databeskyttelsesbestemmelser og den dataansvarliges eller databehandlerens politikker vedrørende beskyttelse af personoplysninger, herunder tildeling af ansvar, bevidstgørelse og uddannelse af personale, der er involveret i behandlingsoperationer, og de dertil knyttede revisioner. DPO rapporterer til administrerende direktør [og bestyrelsen].

På grund af det tætte forhold mellem privatliv og it-sikkerhed er der et tæt samarbejde mellem CISO, der (indirekte) rapporterer til administrerende direktør, og DPO, der rapporterer til administrerende direktør og bestyrelsen inden for områderne privatliv og datasikkerhed. Aera støtter den databeskyttelsesansvarlige i udførelsen af de opgaver, der er omhandlet i artikel 39 i GDPR, ved at stille de ressourcer, der er nødvendige for at udføre disse opgaver og adgang til personoplysninger og behandlingsaktiviteter, og for at opretholde hans/hendes ekspertviden.

Aera sikrer, at den databeskyttelsesansvarlige ikke modtager nogen instrukser vedrørende udførelsen af disse opgaver. Han/hun må ikke afskediges eller straffes af Aera for at udføre sine opgaver. DPO kan udføre andre opgaver og pligter. Aera sikrer, at sådanne opgaver og pligter ikke medfører en interessekonflikt.

4. Formål med behandling af personoplysninger og styrende dokumentation

Politikkerne vedrørende Aeras behandling af personoplysninger er illustreret i dokumentet „Dokumenthierarki“, som opdateres fra tid til anden.

Dokument hierarki

5. Retsgrundlag for behandling

GDPR kræver et lovligt grundlag for behandling af personoplysninger. I Aera er dette det lovlige grundlag for behandling af følgende typer personoplysninger.

5.1 Aeras centrale regler for behandling af personoplysninger som dataansvarlig

Ingen behandling af personoplysninger finder sted, medmindre et eller flere af nedenstående retsgrundlag er på plads:

Når grundlaget for behandling som anført ovenfor ikke længere er på plads, anonymiseres eller slettes alle personoplysninger.

Lawful Basis Table
Lawful basis Description GDPR Reference
Consent Explicit, informed[1] consent from the Data Subject to the processing of his or her personal data for one or more specific purposes. Article 6
Contract The processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract Article 6
Legal obligation The processing is necessary for compliance with a legal obligation to which the controller is subject Article 6
Vital interest The processing is necessary in order to protect the vital interests of the data subject or of another natural person Article 6
Public interest or official authority The processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller Article 6
Legitimate interest The processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child. Article 6

Når grundlaget for behandling som anført ovenfor ikke længere er på plads, anonymiseres eller slettes alle personoplysninger.

5.2 Aeras centrale regler for behandling af personoplysninger som databehandler

Ingen behandling af personoplysninger finder sted, medmindre følgende retsgrundlag er på plads:

Data Processing Agreement Table
Lawful basis Description GDPR Reference
Data Processing Agreement When Aera is the processor, the lawful basis for processing will be a contract or other legal act under Union or Member State law that is binding on the processor with regard to the controller and that sets out the subject-matter and duration of the processing, the nature and purpose of the processing, the type of personal data and categories of data subjects and the obligations and rights of the controller. Article 28

Når grundlaget for behandling som anført ovenfor ikke længere er på plads, anonymiseres personoplysninger eller slettes fra Aeras systemer.

Alle leverandører skal overholde disse regler eller lignende regler, der er godkendt af Aera for at opfylde Aeras krav heri.

5.3 Retsgrundlag for behandling af medarbejdernes personoplysninger
Aera Processing Table
Who is controller? Who is data subject? What is Aera’s lawful basis for processing?
Aera Aera's employees Contract: the Employee contract

Aeras medarbejdere underskriver en ansættelsesaftale med følgende indhold:

• Vilkår og betingelser, der er ens for alle Aeras medarbejdere
• Individuelle oplysninger, der henviser til specifikke oplysninger om den respektive medarbejders opgaver, individuel rolle, løn og ydelser, pensionsordning, arbejdssted, arbejdstid, ferie- og feriebetaling, sygefravær, barselsorlov mv.
• Prøveperiode
• Opsigelsesperiode i prøveperioden og derefter
• Handlinger ved opsigelse — Offboarding
• Konkurrenceklausul
• Fortrolighedspligt
• IPR-rettigheder til intellektuelle ejendomsrettigheder som følge af ansættelsen
• Informationsopgaver efter ansættelse
• Tilgængelighed for arbejdsgiver og aktiviteter uden for ansættelsen

Derudover præsenteres alle medarbejdere med medarbejderhåndbogen, et dokument, der indeholder vigtige politikker og regler for den dataansvarlige.

5.4 Retsgrundlag for behandling af Kundens personoplysninger
Aera Lawful Basis Table
Who is controller? Who is data subject? What is Aera’s lawful basis for processing?
Aera Employees of Aera's customers Legitimate interest, and contract with the customers
Aera Employees of Aera's prospects and other business contacts Legitimate interest
Aera Individuals who visit Aera's homepage to get information or get in touch with Aera Consent
Aera Consumers who are customers of Aera (Financial Services) Consent, Contract and Legal obligation

Aeras kunder indgår aftaler om forskellige serviceleverancer og om at modtage support og i nogle tilfælde modtage konsulenttjenester. Kundekontrakterne kan indeholde følgende dokumenter:

  • NDA
  • Kundeaftale
  • Serviceleveringsaftale

Kunder insisterer ofte på at anvende egne standarder, som Aera undertiden overholder.

5.5 Retsgrundlag for behandling af personoplysninger på vegne af kunden
Customer Controller Table
Who is controller? Who is data subject? What is Aera’s lawful basis for processing?
Customer Any individual who is customer of the customer Data Processing Agreement with Customer

Aeras kunder indgår aftaler om, at Dataansvarlig kan levere betalingsservice, modtage support og i nogle tilfælde modtage konsulenttjenester. Ud over servicekontrakterne indgås en databehandleraftale. Aera leverer sine skabeloner til databehandlingsaftaler, men kunderne insisterer ofte på at anvende egne standarder, hvilket Aera undertiden accepterer.

Det fremgår klart i alle kontrakter, at kunden er dataansvarlig i forhold til kundernes kundedata, og at kunden derfor er forpligtet til at sikre, at alle data indsamles og behandles i overensstemmelse med gældende lovgivning.

Aera udarbejder sine databehandleraftaler for at sikre overholdelse af GDPR.

Ud over ovenstående giver Aera et overblik over sin behandling for kundernes kunder i sin sikkerhedserklæring, der er tilgængelig på sin hjemmeside.

5.6 Retsgrundlag for behandling af Leverandørens personoplysninger
Suppliers and Partners Table
Who is controller? Who is data subject? What is Aera’s lawful basis for processing?
Aera Employees of Aera's suppliers, partners and re-sellers Contract

Aeras leverandører varierer meget og indgår aftaler, der passer til de pågældende ydelser.

Alle leverandører skal forpligte sig til Aeras adfærdskodeks. Leverandører, der kan behandle personoplysninger på vegne af Aera, vil i alle tilfælde være forpligtet til at underskrive en databehandleraftale.

5.7 Retsgrundlag for behandling af besøgendes personoplysninger
Office Visitors Table
Who is controller? Who is data subject? What is Aera’s lawful basis for processing?
Aera Employees of Aera's customers or prospects, or any other persons who visit Aera's offices for training purposes or meetings Legitimate interest: Aera has a legitimate interest to process personal data in order to be able to ensure building security, provide documentation, serve food etc.

Aera giver kunder og interesserede mulighed for at give oplysninger på hjemmesiden, så de kan modtage opdateringer, information, invitationer mv.

6. Oplysninger til registrerede

Oplysninger til registrerede, for hvilke Aera er dataansvarlig, vil som minimum omfatte følgende:

  • Navn og adresse på den Aera-enhed, der er den dataansvarlige
  • Navn og adresse på den person, der er ansvarlig for databehandlingen i Aera, eller Aeras databeskyttelsesrådgiver
  • Formålene med behandlingen, herunder kontraktbetingelserne, hvor den dataansvarlige er afhængig af kontraktens opfyldelse som det legitime grundlag for behandlingen, og de legitime interesser, der påberåbes, alt efter hvad der er relevant
  • den periode, hvor dataene vil blive behandlet
  • eksistensen af rettigheder til at anmode om adgang, berigtigelse og sletning eller til at gøre indsigelse mod behandlingen
  • retten til at indgive en klage til tilsynsmyndigheden og kontaktoplysninger; modtagere eller kategorier af modtagere af personoplysningerne, og
  • eventuelle yderligere oplysninger, der er nødvendige for at sikre en rimelig behandling.

Disse oplysninger er generelt tilgængelige på Aeras hjemmeside. Alle leverandører skal overholde disse regler eller lignende regler, der er godkendt af Aera for at opfylde Aeras krav heri.

For forbrugerne, et mere detaljeret sæt oplysninger, som findes på forbrugerportalen.

7. Dokumentation af data- og behandlingsfaciliteter

Dette afsnit beskriver personoplysninger, der behandles i Aera, og Aeras behandlingsfaciliteter.

7.1 Oversigt

I forbindelse med sin virksomhed behandler Aera personoplysninger fra Aeras kunder, Aeras medarbejdere, ansøgere til stillinger, tjenesteudbydere, leverandører, underleverandører, besøgende og potentielle kunder. For sådanne data er Aera den dataansvarlige, som defineret i EU's generelle databeskyttelsesforordninger (GDPR). Behandlingen af sådanne data er beskrevet i følgende politikker:

  • Databehandlerens persondatapolitik
  • Persondatapolitik for medarbejdere
  • Politik om beskyttelse af personlige data for kunder
  • Leverandørens persondatapolitik

Disse politikker er godkendt af administrerende direktør.

Derudover behandler Aera personoplysninger i forbindelse med de ydelser, der leveres til sine kunder. Sådanne data kontrolleres af Aeras kunder og kan være personoplysninger fra Aeras kunder eller kundernes kunder alt efter omstændighederne. For sådanne data er Aera databehandler som defineret i EU's generelle databeskyttelsesforordninger (GDPR). Behandlingen af sådanne data er beskrevet i Databehandlerens Persondatapolitik. Denne politik er godkendt af administrerende direktør.

En opdateret oversigt over systemer og komponenter, hvor personoplysninger opbevares eller behandles, findes i Aeras virksomhedsarkitekturarkiv.

7.2 Overførsel af personoplysninger til tredjepart/underbehandling
  • Underbehandling af personoplysninger i rollen som databehandler er underlagt den databehandleraftale, der er indgået med hver dataansvarlig, på hvis vegne den“ Dataansvarlige“ fungerer som databehandler.
  • Overførsel og underbehandling af medarbejderpersondata, kundepersonoplysninger, leverandørpersonoplysninger og besøgendes personoplysninger er underlagt den respektive databeskyttelsespolitik (Ref afsnit 1).
7.3 Rettelse og sletning

Aeras processer for at sikre, at data korrigeres eller slettes i henhold til GDPR følger for hver kategori af registrerede fra retningslinjerne i følgende politikker:

  • Databehandlerens persondatapolitik
  • Persondatapolitik for medarbejdere
  • Politik om beskyttelse af personlige data for kunder
  • Leverandørens persondatapolitik
7.4 Overførsel af controller til controller

Overførsel af data til eller fra andre dataansvarlige (dataansvarlig-dataansvarlig overførsler) bør altid ske på grundlag af en skriftlig dataoverførselsaftale.

8. Procedurer for revision og kontrol

8.1 Ledelsesgennemgang

En gennemgang af Aeras håndtering af privatlivets fred er en del af en årlig minimumsundersøgelse foretaget af ledelsen.

8.2 Revision og intern revision

Persondatapolitikken er omfattet af Aeras interne kontrolområde. Processen for revision er beskrevet i revisionsstyringspolitikken.

8.3 Manglende overensstemmelse

Aera har procedurer og rutiner for at reagere i henhold til overtrædelser og andre ikke-kompatible hændelser. Aeras adfærdskodeks, der indeholder whistleblower-bestemmelser, gælder for alle områder i Aera, herunder privatlivsområdet.

Hvis der opdages et brud som led i ledelsesgennemgangen eller som led i en revision, skal rapportering til CISO og til databeskyttelsesrådgiveren ske uden forsinkelse.

8.4 Forbedringstiltag og opfølgning

Enhver overtrædelse vurderes af databeskyttelsesrådgiveren. Rapportering til den øverste ledelse skal ske uden forsinkelse.

I tilfælde, hvor indberetninger til myndigheder, kunder eller registrerede er påkrævet i henhold til gældende lovgivning, vil en sådan indberetning blive udført inden for de krævede tidsrammer.

I tilfælde, hvor indberetning til kunder eller registrerede er påkrævet i henhold til en aftale med kunden, udføres en sådan indberetning inden for de krævede tidsrammer.

9. Underskrifter

Dette dokument om virksomhedspersondatapolitik er godkendt af bestyrelsen i Aera, senest opdateret december 2020.

Lad os bygge fremtiden for betalinger sammen.

Ræk ud og lad os tale.

Tal med sælgerne
Bliv partner