Webinar om GDPR torsdag den 28. november 2024 kl. 10.00.
Tilmeld dig her
Pexels lukas rychvalsky 670720

Persondatapolitik

1 ANSVAR

1.1 Beskyttelse af dine Persondata har vores højeste prioritet, uanset hvad disse Persondata vedrører.

1.2 Vi behandler Persondata og har derfor vedtaget denne Persondatapolitik, der beskriver, hvordan vi behandler dine Persondata.

2 SELSKAB

2.1 Selskabet er:

Baker Tilly Legal Advokatfirma P/S
CVR-nr: 41330236
Poul Bundgaards Vej 1E
DK-2500 Valby
Danmark

(Herefter benævnt ”Baker Tilly Legal Advokatfirma”)

E: info@bakertillylegal.dk
W: www.bakertillylegal.dk

3 PERSONOPLYSNINGER

3.1 Vi har procedurer for indsamling, opbevaring, sletning, opdatering og videregivelse af Persondata for at hindre uautoriseret adgang til dine Persondata, og for at opfylde gældende lovgivning.

3.2 Vi sikrer fair og transparent databehandling. Når vi beder dig om at stille dine Persondata til rådighed for os, oplyser vi dig om, hvilke Persondata vi behandler om dig og til hvilket formål. Du modtager oplysning herom på tidspunktet for indsamling af dine Persondata. Vi indsamler ikke oplysninger, som ikke er relevante for sagen. Indsamles unødige Persondata, slettes disse Persondata omgående. Nedenstående retningslinjer beskriver, hvilke typer af Persondata, vi indsamler, hvordan vi behandler disse Persondata, og hvem du kan kontakte, såfremt du har spørgsmål eller kommentarer til denne Persondata Politik.

4 TYPER AF PERSONDATA

KUNDER / LEVERANDØRER

Nedenstående er eksempler på Persondata, som Baker Tilly Legal Advokatfirma kan have registreret om dig. Vi gør opmærksom på, at listen ikke er udtømmende.

  • Almindelige Persondata (f.eks. navn og/eller brugernavn, adresse, e-mailadresse, fødselsdato, køn, profilbillede, lokalisation, m.v.)
  • CPR-nummer
  • Bankinformationer mv.
  • Transaktionsdata
  • Oplysninger til/fra sociale netværk
  • Rapportadgang
  • Kontaktinformationer (CRM-oplysninger)
  • Newsletter
  • Skatteberegningsfiler
  • Excel-filer
  • E-mails
  • Regnskaber
  • Oplysninger fra SKAT
  • Årsopgørelser
  • Forskudsopgørelser
  • R75 skatteudgifter
  • Indkomst- og formueopgørelser
  • Bankudskrifter
  • Korrespondance, herunder e-mails
  • Oplysninger i e-Boks

ANSAT

  • Stamdata, almindelige Persondata (f.eks. navn og/eller brugernavn, adresse, e-mailadresse, fødselsdato, køn, profilbillede, lokalisation, m.v.)
  • CPR-nummer
  • Oplysninger om nær familie
  • Oplysninger om uddannelse
  • Udtalelser
  • Tidligere beskæftigelse
  • Nuværende stilling
  • Arbejdsopgaver
  • Arbejdstider og andre tjenstlige forhold
  • Oplysninger til brug for lønberegning, f.eks. løn, skat, lønudbetalingskonto mv.
  • Oplysninger om sygefravær og andet fravær fra arbejde
  • Pensionsoplysninger
  • Unikke numre på netværksenheder
  • Korrespondance, herunder e-mails
  • Lægeerklæring, fraværsperiode, opbevaring til andre formål end rapportering vedrørende dagpenge, Danmarks Statistik, m.v.
  • Tidsregistrering
  • Fratrædelsessamtaler
  • Performanceregistrering
  • Straffeattest
  • Lønstatistik (Danmark Statistik)
  • MUS/PU Samtaler
  • Ansøgninger og rekruttering
  • Personlighedstest, personlige karakteristika
  • Billeder af ansatte – markedsføring
  • Billeder af ansatte – sociale arrangementer i Baker Tilly Legal Advokatfirma-regi
  • Arbejdsgiverbetalt mobiltelefon, herunder mulighed for indhentning af opkaldshistorik med anonymiserede telefonnummer på modtager af opkald
  • Kvalitetsstyring

5 FORMÅL

5.1 Vi indsamler og opbevarer dine Persondata til bestemte formål.

5.2 Dine Persondata indsamles og anvendes til:

KUNDER / LEVERANDØRER

  • Behandling af dit køb og levering af vores ydelse
  • Opfyldelse af din anmodning om produkter eller tjenester
  • Forbedring af Baker Tilly Legal Advokatfirma-produkter og -tjenester
  • Direkte markedsføringsaktiviteter
  • Optimering af hjemmesiden
  • Gennemførelse af din aftale og relation med os
  • Opfyldelse af lovkrav
  • Andet

ANSAT

  • Gennemførelse af en aftale eller foranstaltninger efter din anmodning herom
  • Administration af din relation til os
  • Opfyldelse af lovkrav
  • Andet

6 BEHANDLINGSREGLER

6.1 Behandlingsprincipper

6.1.1 Vi vil behandle Persondata lovligt, rimeligt og på en gennemsigtig måde.

6.1.2 Vores behandling af Persondata er undergivet en formålsbegrænsning, hvilket vil sige, at Persondata skal indsamles til udtrykkelige angivne og legitime formål. Persondata må ikke viderebehandles på en måde, der er uforenelig med disse formål.

6.1.3 Vi behandler Persondata ud fra et princip om dataminimering, hvilket vil sige at Persondata skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles.

6.1.4 Persondata skal behandles ud fra et princip om rigtighed, hvilket vil sige at de skal være korrekte og om nødvendigt ajourførte.

6.1.5 Vi behandler Persondata ud fra et princip om opbevaringsbegrænsning, hvilket vil sige, at Persondata skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende Persondata behandles.

6.1.6 Persondata skal behandles ud fra et princip om integritet og fortrolighed, hvilket vil sige, at de skal behandles på en måde, der sikrer tilstrækkelig sikkerhed for Persondata, herunder skal de beskyttes mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske og organisatoriske foranstaltninger.

6.2 Risikoanalyse

6.2.1 Vi skal i forbindelse med vores sagsbehandling gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, som konkret er forbundet med vores behandling af Persondata.

6.2.2 Vi har gennemført en risikoanalyse, som ligger til grund for denne Persondatapolitik.

6.3 Konsekvensanalyser vedrørende databeskyttelse (DPIA)

6.3.1 Databeskyttelsesforordningens artikel 35 indeholder et krav om, at hvis en behandling – navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål – sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, skal den dataansvarlige forud for behandlingen foretage en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af Persondata.

6.3.2 Pligten til at foretage en konsekvensanalyse gælder alene i særlige tilfælde, hvor der kan konstateres en høj risiko for fysiske personers rettigheder og frihedsrettigheder.

6.3.3 Konsekvensanalyser skal navnlig gennemføres, når der foretages:

a) behandling i stort omfang af følsomme oplysninger eller af Persondata vedrørende straffedomme og lovovertrædelser, eller

b) systematisk og omfattende vurdering af personlige forhold vedrørende fysiske personer, der er baseret på automatisk behandling, og som er grundlag for afgørelser, der har retsvirkning for den fysiske person eller på tilsvarende vis betydeligt påvirker den fysiske person

c) systematisk overvågning af et offentligt tilgængeligt område i stort omfang.

6.3.4 Det er vores vurdering, at vi ikke vil foretage behandlinger, der opfylder et af ovennævnte kriterier. Det må derfor antages, at reglerne om konsekvensanalyse vil have et forholdsvis begrænset anvendelsesområde i relation til vores behandling af Persondata om kunder.

6.3.5 Gennemføres en konsekvensanalyse alligevel, vil resultatet af analysen tages i betragtning, når vi skal træffe passende foranstaltninger for at imødegå en eventuel forhøjet risiko for fysiske personers rettigheder og frihedsrettigheder.

6.4 Databeskyttelsesrådgiver (DPO)

6.4.1 Pligten til at udpege en databeskyttelsesrådgiver forudsætter efter databeskyttelsesforordningens artikel 37, at behandling af Persondata indgår som vores ”kerneaktivitet”.

6.4.2 Det er ikke vores kerneaktivitet at behandle Persondata i et stort omfang, eller at foretage regelmæssig og systematisk overvågning af personer i stort omfang.

6.4.3 Datatilsynet har i sin ”Vejledning om databeskyttelsesrådgivere” udtalt, at virksomheder, der behandler Persondata som en biaktivitet, ikke er forpligtede til at udpege en databeskyttelsesrådgiver.

6.4.4 Vores behandling af Persondata anses som en biaktivitet. Vi har derfor valgt ikke at udpege en databeskyttelsesrådgiver.

7 DETALJEREDE BEHANDLINGSREGLER - KUNDER / LEVERANDØRER

7.1 Overordnet

7.1.1 Disse behandlingsregler er tænkt som de generelle principper, som vi skal anvende i forbindelse med sagsbehandling for kunder, og er dermed en gennemgang af de spørgsmål, som vi generelt i vores sagsbehandling skal forholde os til. Behandlingsreglerne er derudover udtryk for, hvordan vi opfylder dokumentationskravene i databeskyttelsesforordningen.

7.2 Dataansvarlig

7.2.1 Vi arbejder som udgangspunkt selvstændigt i relation til Kunden og tredjeparter. Vi vurderer selvstændigt, om der er grundlag for at indsamle/behandle Persondata, hvilke Persondata, der er relevante og nødvendige, og hvor længe Persondata skal opbevares.

7.2.3 Består vores ydelse derimod i at administrere eller behandle løn på vegne af vores kunder, er vi databehandler. I dette tilfælde vil opgaven være bundet af aftalen med (instruksen fra) Kunden.

7.3 Behandlingshjemmel

7.3.1 Vores hjemmel til at behandle Persondata ligger først og fremmest i opdraget fra Kunden. Til gengæld vil vi inden for dette opdrag i udgangspunktet have hjemmel til at behandle de nødvendige oplysninger til brug for løsning af opdraget. Det følger navnlig af databeskyttelsesforordningens artikel 6, stk. 1, litra a-c og litra f, samt af artikel 9, stk. 2, litra a og f.

7.3.2 Disse bestemmelser omhandler adgang til at behandle Persondata, (i) hvis der foreligger et samtykke, (ii) hvis behandlingen er nødvendig for at opfylde en kontrakt, (iii) hvis behandlingen er nødvendig for at overholde en retlig forpligtelse, (iv) hvis behandlingen er nødvendig for at opfylde væsentlige interesser, der overstiger den registreredes interesser, eller (v) hvis behandlingen er nødvendig for at et retskrav kan fastlægges, gøres gældende eller forsvares.

7.3.3 For så vidt angår navnlig personnumre kan vi behandle oplysninger om personnumre, (i) når det følger af lovgivningen, (ii) hvis der foreligger et samtykke, eller (iii) hvis det er nødvendigt med henblik på fastlæggelsen af et retskrav, jf. databeskyttelseslovens § 11, jf. § 7.

7.3.4 Det er vores vurdering, at den behandling af Persondata vi foretager i relation til et opdrag fra en kunde, i vidt omfang vil være hjemlet i de anførte bestemmelser.

7.3.5 Vi vil nøje overveje i den enkelte sag hvad opdraget omfatter, når Persondata behandles, så den enkelte advokat undlader at behandle – herunder registrere og gemme – Persondata, som ikke er relevante for sagen. Vi skal derfor i alle sammenhænge forholde os til rammerne for opdraget og sikre, at der ikke indsamles og behandles Persondata, som ikke er relevante. Navnlig er det vigtigt at sikre, at der ikke behandles Persondata om tredjemænd, som ikke er relevante for sagen.

7.4 Generelle principper - sagsbehandlingen

7.4.1 Ved opstart af sagen skal vi først og fremmest sikre os, at hjemmelsgrundlaget er klart – altså hvilke behandlinger af oplysninger, som opdraget forudsætter, og at vi har et lovligt behandlingsgrundlag herfor.

7.4.2 Dernæst skal vi tage stilling til vores forpligtelse til på eget initiativ at underrette Kunden om den behandling, vi foretager, herunder om de særlige regler, der gælder for indhentning og opbevaring af Persondata til brug for hvidvaskkontrol.

7.4.3 Under processen skal vi løbende sikre os, at indsamling og videregivelse af Persondata sker i overensstemmelse med formålet, og vi skal løbende overveje vores forhold til eventuelle databehandlere. Inddrages et tredjeland i sagen, skal man vi være opmærksomme på de særlige regler, der gælder for overførsel af Persondata til tredjelande.

7.4.4 Når sagen er afsluttet, skal vi tage stilling til, hvor længe vi har behov for at opbevare oplysningerne, og hvornår de skal slettes.

7.4.5 Vi skal som udgangspunkt undgå at basere vores behandling af Persondata på et samtykke fra Kunden. Samtykke kan nemlig tilbagekaldes, og giver i øvrigt heller ikke selvstændigt mening ved siden af opdraget/aftalen om bistand.

7.4.6 Oplysningspligt - kunde

7.4.7 Oplysningspligten gælder både i forhold til Kunden selv og i forhold til eventuelle tredjeparter, som forudsættes inddraget i sagsbehandlingen. Pligten til at underrette tredjeparter skal altid overvejes i forhold til vores tavshedspligt, men tavshedspligten kan næppe – som generelt princip – undtage fra en oplysningsforpligtelse i alle sammenhænge. Det forudsætter en konkret vurdering og stillingtagen.

7.4.8 I forhold til Kunden opfyldes oplysningspligten ved at sende et link til vores persondatapolitik i den første kommunikation, som beskriver betingelserne for samarbejdet.

7.4.9 I velkomstbrevet henvises der til Persondatapolitikken:

  • Vores behandling – herunder elektronisk og fysisk behandling/opbevaring.
  • Andre relevante aktører der vil blive inddraget, samt også evt. ekstern bogholder- og IT-support.
  • Opbevaringsperiode efter afslutning – herunder hvidvaskrav og kundekontokrav.
  • Rettigheder og mulighed for klage samt mulighed for at tilbagekalde samtykket, hvis behandlingen skal baseres på et samtykke. For så vidt angår databeskyttelsesforordningen artikel 21 om den registreredes ret til at gøre indsigelse, at den registrerede skal gøres udtrykkeligt opmærksom på denne rettighed, og at dette skal ske senest på tidspunktet for den første kommunikation, jf. artikel 21, stk. 4. Oplysningen skal meddeles klart og adskilt fra andre oplysninger.
  • Hver kunde modtager et link til vores Persondatapolitik, og som der herefter blot kan henvises til.

7.5 Oplysningspligt - tredjeparter

7.5.1 Det fremgår af databeskyttelsesforordningens artikel 14, stk. 5, litra d, at oplysningspligten ikke gælder, hvis Persondata skal forblive fortrolige som følge af tavshedspligt.

7.5.2 Så længe behandling af Persondata vedrørende tredjeparter ligger inde for opdraget, og så længe oplysningerne er omfattet af vores tavshedspligt, har vi ikke en oplysningsforpligtelse overfor sådanne tredjeparter.

7.5.3 Oplysningspligten indtræder dog i det øjeblik, der ikke længere er et hensyn at tage til tavshedspligten. Vi overvejer løbende, i hvilket omfang vi kan undlade at give oplysning med henvisning til vores tavshedspligt.

7.5.4 Det følger af databeskyttelsesforordningens artikel 14, stk. 5, litra b, at oplysningspligten ikke gælder, hvis det vil kræve en uforholdsmæssig stor indsats at opfylde den. Denne undtagelse er i praksis fortolket sådan, at oplysningsforpligtelsen bl.a. ikke omfatter bipersoner. Det kan være navne på personer, der måtte indgå i beskrivelsen af det modtagne materiale, men hvor det eksempelvis er funktionen og ikke personen, der er relevant, og hvor selve personidentiteten ingen betydning har for sagen og heller ikke vil få nogen betydning. Undtagelsen forudsætter dog, at der alene indgår kontaktoplysninger og tilsvarende almindelige Persondata om den/de pågældende.

7.6 Hvidvask

7.6.1 Vi skal i medfør af hvidvaskloven opbevare følgende Persondata i fem år fra kundeforholdets ophør:

  • Persondata indhentet i forbindelse med opfyldelse af kravene om kundekendskabsprocedurer i henhold til hvidvaskloven
  • Identitets- og kontroloplysninger
  • Kopi af foreviste legitimationsdokumenter
  • Dokumentation for og registreringer af transaktioner, der gennemføres
  • Dokumenter og registreringer vedrørende undersøgelser gennemført i henhold til hvidvasklovens § 25, stk. 1 og 2.

7.6.2 Vi skal inden etablering af en forretningsforbindelse med en kunde og inden gennemførelse af en enkeltstående transaktion for fysiske personer, informere Kunden om vores regler for behandling af Persondata, som er indhentet efter hvidvaskloven, ved at udlevere vores Persondatapolitik om hvidvask- oplysninger.

7.6.3 Oplysningerne skal gives direkte til Kunden, f.eks. som et vedhæftet dokument til velkomstbrev (og ikke alene ved henvisning til en angivelse på vores hjemmeside).

7.6.4 Reelle ejere skal ikke informeres om vores behandling af Persondata i henhold til hvidvaskloven.

7.6.5 Oplysninger indhentet i relation til hvidvask skal opbevares separat fra de enkelte sager ved angivelse på hvidvaskkortet.

7.7 Løbende indsamling og videregivelse af oplysninger

7.7.1 Vi skal i vores ageren sikre os, at der kun sker indsamling og videregivelse af Persondata i det omfang, indsamlingen/videregivelsen ligger inden for det, som er nødvendigt for at løse kundens opdrag.

7.7.2 Når der indsamles Persondata på sagen, skal vi navnlig være opmærksom på, om materialet indeholder Persondata om tredjemand, som ikke er vidende om, at vi behandler vedkommendes Persondata. Dette kan udløse pligt til af egen drift at give oplysning til den pågældende tredjemand om den behandling, der finder sted.

7.7.3 Det er vigtigt, at vi samtidig overvejer nødvendigheden af, at der indgår Persondata om den pågældende tredjemand i sagen. Hvis ikke det er nødvendigt, bør personoplysningen slettes med det samme. Derved undgår man også at skulle forholde sig til oplysningspligt mv.

7.8 Sletning - hvornår

7.8.1 Ved afslutning af en sag har vi i princippet ikke længere behov for at behandle Persondata. Opdraget er løst.

7.8.2 En række andre hensyn og særregler indebærer dog, at Persondata ikke bør eller ikke må slettes, førend efter et vist antal år.

7.8.3 Det skal konkret overvejes, hvor længe Persondata opbevares, inden de slettes.

  • Bogføringsreglerne indebærer, at Persondata knyttet til en betaling skal opbevares i 5 år + løbende kalenderår efter regnskabsårets afslutning.
  • Hvidvaskreglerne indebærer, at oplysninger indsamlet til opfyldelse af hvidvaskreglerne skal opbevares i 5 år fra kundeforholdet er afsluttet, hvorefter de straks skal slettes.
  • Hensynet til at vi kan varetage dine/vores interesser ved et muligt rådgiveransvar kan indebære, at sagen bør opbevares i 10 år efter afslutningen af sagen.
  • Stamdata for Kunden bør – for at sikre logisk synergi til også den tidsmæssige opbevaring af sagerne – opbevares i 10 år fra kundeforholdets afslutning (de konkrete hvidvask-oplysninger skal dog slettes efter 5 år).
  • Særlige overvejelser skal tages, hvor Persondata ikke kan opbevares af andre, og hvor der på et tidspunkt, der ligger senere end 10 år fra sagens afslutning, kan vise sig et behov for at genskabe Persondata. Vi må i sådanne tilfælde konkret vurdere, om der er behov for en længere opbevaringsfrist end i andre tilfælde, og da tage konkret stilling til hvilke Persondata, som kan og bør opbevares ud over den 10-årige periode.
  • Kontaktinformation vil blive slettet løbende.
  • E-mails, som kan have betydning for fastlæggelse af et retskrav, skal gemmes i 10 år og herefter slettes, medmindre retskrav er rejst mod - eller tænkes rejst af - Baker Tilly Legal Advokatfirma.

7.8.4 Såvel hensynene som skæringstidspunkterne er forskellige.

7.8.5 Korrekt sletning kræver derfor, at vi kortlægger vores behov og forpligtelser, der sikrer behørig sletning alt afhængig af formålet med den enkelte registrering.

7.8.6 Det kan betyde, at Persondata indsamlet i henhold til hvidvaskreglerne slettes hurtigere end den konkrete, afsluttede sag. Vi kan således finde det nødvendigt at opbevare selve sagen af hensyn til at kunne imødegå en mulig indsigelse om rådgiveransvar. En sådan passiv opbevaring betyder dog ikke, at selve kundeforholdet fortsat må anses for aktivt.

7.8.7 Som generel politik (og medmindre andet er angivet i denne Persondatapolitik) skal alle Persondata vedrørende en specifik sag slettes 10 år efter sagens afslutning. Alle oplysninger vedrørende en kunde skal slettes 10 år efter kundeforholdets ophør.

7.9 Sletning - hvordan

7.9.1 Det fremgår af IT-sikkerhedstekst ST3 fra Datatilsynet vedrørende sletning af Persondata, at sletning af Persondata i praksis betyder, at Persondata uigenkaldeligt fjernes fra alle lagringsmedier, hvorpå de har været lagret, og at Persondata på ingen måde kan genskabes. Man skal i den forbindelse være opmærksom på alle lagringsmedier – herunder også flytbare medier i form af bærbare computere, USB-nøgler mv., samt backup.

7.9.2 For at lette sletningsproceduren skal alt fysisk materiale scannes til den elektroniske sag, og dernæst makuleres eller tilbagesendes til Kunden.

7.9.3 Derudover skal al korrespondance mv. fra Outlook overføres til den elektroniske sag og slettes i det hele fra Outlook, ligesom alle redegørelser/præsentationer mv. på diverse bærbare medier og lokale drev skal overføres til den elektroniske sag og slettes i øvrigt.

7.9.4 Derved kan den samlede sag til sin tid (efter endt opbevaringsperiode) i det hele blive slettet fra det elektroniske sagssystem.

7.9.5 Persondata kan som et alternativ anonymiseres fuldstændigt med den virkning, at de ikke længere kan henføres til en bestemt person. I givet fald finder reguleringen om Persondata slet ikke anvendelse, og fuldstændig anonymisering er derfor et alternativ til sletning. Det er dog vigtigt at holde sig for øje, at anonymisering – som et alternativ til sletning – forudsætter, at man sletter alle spor, der kan lede til den person, oplysningen vedrører. Det er som oftest en meget vanskelig øvelse.

7.9.6 Efter sletning/anonymisering vil vi foretage behørigt krydstjek i form af søgninger på navn/cpr-nr. mv. vedrørende Kunden, henholdsvis sagen, for at sikre, at der ikke kommer noget frem.

7.10 IP-adresser og browserindstillinger

7.10.1 I forbindelse med hvert besøg på bakertillylegal.dk registreres din computers anvendte IP-adresse og browserindstillinger. Din IP-adresse er adressen på den computer, du anvender til at besøge bakertillylegal.dk. Browserindstillinger er f.eks. den browsertype du anvender, browsersprog, tidszone mv. IP-adressen og browserindstillinger registreres for at sikre, at bakertillylegal.dk altid kan finde tilbage til den anvendte computer, såfremt der måtte ske misbrug eller ulovligheder i forbindelse med besøget på eller anvendelsen af bakertillylegal.dk.

7.12 Billeder

7.13 Brug af billeder til markedsføringsformål kan alene ske efter forudgående samtykke.

7.14 Anonymisering

7.14.1 Baker Tilly Legal Advokatfirma anvender ikke anonymisering af data fra kunder for statistiske og forskningsmæssige formål eller for at kunne forbedre systemer, processorer og produkter.

8 DETALJEREDE BEHANDLINGSREGLER - ANSATTE

8.1 Behandlingshjemmel

8.1.1 Vi behandler personaleoplysninger med følgende behandlingshjemmel:

  • Medarbejderen har givet sit samtykke til behandling af sine Persondata til et eller flere specifikke formål.
  • Behandling er nødvendig af hensyn til opfyldelse af en kontrakt, som medarbejderen er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på medarbejderens anmodning forud for indgåelse af en kontrakt.
  • Behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler os.
  • Behandling er nødvendig for at beskytte medarbejderens eller en anden fysisk persons vitale interesser.
  • Behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som vi er blevet pålagt.
  • Behandling er nødvendig, for at vi eller tredjemand kan forfølge en legitim interesse, medmindre medarbejderens interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af Persondata, går forud herfor.

8.2 Behandling af Persondata forud for ansættelsen

8.2.1 Vi vil forud for en ansættelse af en medarbejder behandle en række almindelige Persondata om medarbejderen.

8.2.2 Vi modtager visse Persondata direkte fra ansøgeren, f.eks. en ansøgning, et CV, fotos, eksamensbeviser, udtalelser fra tidligere arbejdsgivere og referencer.

8.2.3 Derudover indhenter vi af egen drift Persondata om ansøgeren. Det kan f.eks. være offentligt tilgængelige Persondata på LinkedIn, Facebook eller Persondata, der indhentes via en almindelig søgning på internettet.

8.2.4 Grundlaget for behandling af sådanne almindelige Persondata, der behandles med det formål at udvælge en medarbejder til ansættelse hos os, er databeskyttelsesforordningen artikel 6, stk. 1, litra a, om gennemførelse af foranstaltninger forud for indgåelse af en kontrakt samt interesseafvejningsreglen i artikel 6, stk. 1, litra f.

8.2.5 Billeder, der er vedlagt en ansøgning, kan behandles til ansættelsesprocessen, hvis der foreligger et samtykke hertil. Hvis billeder anvendes til andre videregående formål end ansættelsesprocessen, kræves der samtykke til denne anvendelse.

8.2.6 Vi vil forud for ansættelse af en medarbejder i visse tilfælde have behov for at behandle følsomme Persondata om en ansøger.

8.2.7 Hvis vi indsamler Persondata om dig hos din nuværende eller tidligere arbejdsgivere via referenceindhentning, beder vi om dit samtykke hertil først. Konkret bliver du bedt om at underskrive en samtykkeerklæring, som du efterfølgende selv får en kopi af. Hvis ikke du giver samtykke, indhenter vi ikke referenceoplysninger.

8.2.8 Vi vil typisk anmode medarbejderen om selv at fremskaffe en straffeattest (privat straffeattest), men kan også selv indhente den med samtykke (privat straffeattest med samtykke). I begge situationer kræves der et samtykke fra dig til, at vi kan behandle Persondata. Det vil også typisk være relevant at indhente straffeattester på bogholdere og andre betroede medarbejder. Hvis vi anmoder en medarbejder om at fremskaffe sin straffeattest, vil vi blot se den, men ikke foretage en opbevaring. Såfremt vi anmoder medarbejderen om at indhente straffeattest, eller hvis vi med dit samtykke bliver berettiget til at indhente straffeattesten, kræves dit samtykke til at vi kan behandle Persondata.

8.2.9 Efter Hvidvaskloven skal vi screene særlige kategorier af medarbejdere. Dette indebærer blandt andet, at vi inden ansættelsen af dig sikrer os, at du ikke er dømt for et strafbart forhold, der begrunder en nærliggende risiko for misbrug af den pågældende stilling, ligesom det sikres, at vi bliver bekendt med det, såfremt du dømmes for et sådant forhold i løbet af din ansættelse. Der kan anlægges en risikovurdering, alt efter hvilken funktion du skal varetage hos os. Det vil f.eks. ikke være aktuelt for personer, der ikke varetager funktioner, der sikrer opfyldelse af hvidvaskloven. For personer, som ansættes i en stilling, som direkte eller indirekte misbruges til hvidvask eller finansiering af terrorisme, vil det altid være relevant med en nærmere undersøgelse af personen inden ansættelse. Det vil bero på en konkret vurdering, om en person direkte eller indirekte kan misbruge sin stilling til hvidvask eller finansiering af terrorisme.

8.2.10 Vi vil ikke indhente kreditoplysninger om jobansøgere. Vi vil i visse situationer benytte os af personlighedstest i forbindelse med ansættelse af nye medarbejdere. Det gælder særligt, når der er tale om stillinger, der er særligt betroede. En sådan test kan i sagens natur alene gennemføres, hvis du samtykker til at blive testet. Uanset at resultatet af en personlighedstest kan betragtes som Persondata af mere privat karakter, betragter vi det som udgangspunkt som almindelige Persondata. En personlighedstest kan dog også indeholde følsomme Persondata. I så fald kræves der udtrykkeligt samtykke fra dig til vores behandling af Persondata.

8.2.11 Vi kan i helt særlige tilfælde anmode dig om Persondata om dit helbred. Det kan være relevant i de situationer, hvor sygdom vil have væsentlig betydning for din evne til at varetage stillingen. Hvis det konkret vurderes nødvendigt med helbredsoplysninger, vil vi angive, hvilke sygdomme eller symptomer på sygdomme, der ønskes Persondata om. I givet fald vil oplysninger da blive indhentet med samtykke.

8.2.12 Hvis du ansættes, gemmer vi din ansøgning på din personalesag gennem dit ansættelsesforhold og i en periode på 3 år fra ansættelsesforholdets ophør.

8.2.13 Hvis du får afslag på din ansøgning, vil vi hurtigst muligt – og som udgangspunkt senest 6 måneder efter, at du har modtaget afslaget – slette de Persondata, som vi har modtaget og behandlet i forbindelse med rekrutteringsprocessen.

Vi vil dog samtidig anmode om dit samtykke til at opbevare dine Persondata fra ansættelsesprocessen i en periode på 3 år til brug for lignende ansættelsesprocesser til stillinger svarende til den stilling, du søgte. Hvis vi skønner, at en jobansøger, der ikke er blevet ansat, vil indlede en sag efter ligebehandlingsloven eller forskelsbehandlingsloven, vil Persondata vil Persondata blive opbevaret i en periode på 3 år.

8.3 Behandling af Persondata om nuværende ansatte

8.3.1 Når et ansættelsesforhold er etableret, vil vi behandle en række yderligere almindelige Persondata. Det er dels Persondata, som du selv giver til os, f.eks. dit cpr-nr., adresseoplysninger, kontonummer m.v., ansættelsesaftalens beskrivelse af arbejdsopgaver, -tid, løn og lignende, Persondata om nærmeste pårørende samt Persondata om sygefravær og sygdomsperioder. Derudover indsamler vi selvstændigt Persondata om dig. Det kan f.eks. være Persondata om dig, der løbende registreres fra ledere og andre medarbejdere (herunder MUS-samtalereferater) samt fra samarbejdspartnere. Henvendelser og klager af enhver art fra øvrige medarbejdere eller kunder/samarbejdspartnere, ledelsens egen indsamling af Persondata i sociale medier og henvendelser fra offentlige myndigheder om medarbejderen m.v. vil også være omfattet.

8.3.2 Videregives Persondata til offentlige myndigheder, f.eks. til SKAT om A-skat eller lignende, er behandlingen nødvendig for at overholde den indeholdelses- og indberetningspligt, der påhviler os som arbejdsgiver, jf. skattelovgivningens bestemmelser herom.

8.3.3 Vi vil alene offentliggøre arbejdsrelaterede Persondata om ansatte på vores hjemmeside uden forudgående samtykke. Offentliggørelse af Persondata af mere personlig karakter, f.eks. et billede af den ansatte, vil alene blive offentliggjort med den ansattes samtykke.

8.3.4 Når et ansættelsesforhold er etableret, vil vi i visse situationer også skulle behandle følsomme Persondata om dig. Det kan f.eks. være helbredsoplysninger om dig, herunder Persondata om alkoholmisbrug og behandling af sådant misbrug, Persondata om medlemskab af en fagforening eller Persondata om strafbare forhold. Private forhold og udfaldet af personlighedstests behøver ikke nødvendigvis at indeholde følsomme Persondata.

8.3.5 Som udgangspunkt er det ikke tilladt at behandle følsomme Persondata. Vi kan dog i visse tilfælde behandle følsomme Persondata om en medarbejder. Det kan navnlig være tilfældet, hvis den ansatte har givet sit udtrykkelige samtykke til, at vi kan foretage behandlingen. Uden samtykke vil vi behandle helbredsoplysninger i nødvendigt omfang i forbindelse med en aftale i henhold til § 56 i lov om sygedagpenge. Vi vil i sådanne situationer behandle følsomme helbredsoplysninger om kronisk sygdom mv. I tilfælde af opsigelse, hvor en tidligere medarbejders ret til på begæring at få oplysning om årsagen til afskedigelsen nødvendiggør registrering af Persondata herom, kan Persondata betragtes som følsomme, hvis de er præcise og gengiver konkrete faktiske forhold af social eller personlig karakter om medarbejderen. Hvis Persondata alene er holdt i vage og skønsmæssige termer, er de ikke nødvendigvis følsomme.

8.3.6 Behandling af Persondata om fagforeningsmæssige tilhørsforhold kan endvidere foretages, hvis behandlingen er nødvendig for overholdelsen af vores arbejdsretlige forpligtelser eller specifikke rettigheder, som omfatter alle former for forpligtelser og rettigheder, der hviler på et arbejdsretligt grundlag.

8.3.7 Derudover vil vi kun i begrænset omfang kunne registrere følsomme Persondata i et personaleregister. Der skal være tale om registrering, som er nødvendige for, at det kan fastlægges, om nogen har et retskrav. Det vil f.eks. kunne forekomme, at vi har behov for at registrere Persondata om et strafbart forhold i form af underslæb begået af en medarbejder, hvis dette er nødvendigt for at kunne gøre vores krav på erstatning gældende over for medarbejderen.

8.3.8 Også på områder, hvor der kan tænkes at eksistere et retskrav, f.eks. en medarbejders krav på erstatning som følge af en arbejdsskade, kan det være nødvendigt at foretage registreringer af følsomme Persondata til brug for en eventuel sag.

8.4 Behandling af Persondata om tidligere ansatte, herunder om sletning

8.4.1 Vi skal slette Persondata uden unødig forsinkelse. Det kan f.eks. være i den situation, hvor Persondata ikke længere er nødvendige til at opfylde de formål, hvortil de blev indsamlet eller på anden vis behandlet.

8.4.2 Persondata om fratrådte medarbejdere kan opbevares indtil 3 år efter ansættelsesforholdets ophør. Vi vil dog opbevare Persondata i længere tid, såfremt vi har brug for Persondata med henblik på, at retskrav kan fastlægges, gøres gældende eller forsvares, f.eks. ansættelsesretlig sag. I sådanne situationer kan Persondata blive gemt i så lang tid, som det er nødvendigt for at føre sagen. Tilsvarende kan gælde i forbindelse med arbejdsskader.

8.4.3 I forbindelse med en medarbejders fratræden, kan der også opstå spørgsmål om, hvornår vi må videregive de Persondata, som vi ligger inde med. Hvis vi efter anmodning fra en anden virksomhed, hvor medarbejderen har søgt ansættelse, videregiver referencer på medarbejderen, kan dette ske uden samtykke fra medarbejderen, hvis der er tale om almindelige Persondata. Følsomme Persondata må alene videregives med medarbejderens samtykke.

8.5 Information til personen

8.5.1 Vi skal på det tidspunkt, hvor Persondata indsamles, give medarbejderen en række obligatoriske Persondata. Herudover skal der gives en række supplerende Persondata, der er nødvendige for at sikre en rimelig og gennemsigtig behandling. Hvis vi agter at viderebehandle Persondata til et andet formål end det, som Persondata blev indsamlet til, vil vi give medarbejderen besked om dette nye formål og andre relevante yderligere Persondata som f.eks. tidsrum, indsigt, sletning m.v. Hvis en medarbejder allerede er bekendt med Persondata, gælder oplysningspligten ikke.

8.5.2 Indsamles personoplysninger hos andre end medarbejderen, skal vi give medarbejderen en række obligatoriske oplysninger herom. Herudover skal der gives en række supplerende oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling af medarbejderen. De obligatoriske og supplerende oplysninger skal gives til medarbejderen inden for nærmere angivne frister.

8.5.3 Hvis vi agter at viderebehandle Persondata til et andet formål end det, som de blev indsamlet til, skal vi forud for denne viderebehandling give den ansatte oplysninger om dette andet formål og andre relevante yderligere oplysninger, f.eks. om tidsrum, indsigt, sletning mv. Oplysningspligten gælder ikke i en række tilfælde, herunder hvis medarbejderen allerede er bekendt med disse oplysninger.

8.5.4 Jobansøgere vil blive oplyst om, hvis vi kontrollerer dem i kreditoplysningsbureauer som f.eks. RKI, samt om en eventuel opbevaring af kreditoplysningerne, herunder i hvilke tilfælde Persondata opbevares.

8.6 E-mail

8.6.1 Baker Tilly Legal Advokatfirma stiller internetadgang og brug af e-mail til rådighed for medarbejderen. Medarbejderen har i den forbindelse fået tildelt en særlig e-mailkonto.

8.6.2 Brug af e-mail i ikke-arbejdsmæssig sammenhæng må kun ske i det omfang, det er foreneligt med den ansattes varetagelse af det daglige arbejde for selskabet og under iagttagelse af disse retningslinjer. Ikke-arbejdsmæssig anvendelse bør således kun ske i meget begrænset omfang. Medarbejderne er instrueret i, at der skal foretages dataminimering af e-mails.

8.6.3 Baker Tilly Legal Advokatfirma tillader privat anvendelse af mail og internettet, der er til rådighed på arbejdspladsen. Det er Baker Tilly Legal Advokatfirmas holdning, at medarbejderne begrænser det private element til et rimeligt niveau. Det opfattes som et rimeligt niveau, at private mails er korte beskeder og svar, medens det mere omfattende hører privatlivet til.

8.6.4 Baker Tilly Legal Advokatfirma anser alt, hvad selskabets it-udstyr anvendes til, for Baker Tilly Legal Advokatfirmas ejendom, medmindre det tydeligt er mærket med angivelsen ”privat”. Det gælder også dine dokumenter og e-mails samt personlige dokumenter gemt på det lokale drev på den til rådighed stillede PC. Det betyder, at personlige mails sendt/modtaget via din arbejdsmail i princippet kan læses af andre.

8.6.5 Baker Tilly Legal Advokatfirma kan gennemgå disse Persondata for at forfølge berettigede interesser – såsom hensynet til drift, sikkerhed, genetablering og dokumentation samt hensynet til kontrol af brug, dog under forudsætning af, at hensynet til de ansatte ikke overstiger disse interesser. Med henblik på at sikre overholdelse af retningslinjerne om IT-sikkerhed og med henblik på at forebygge eller udbedre systemnedbrud, kan de IT-ansvarlige åbne enhver e-mail og modtage eksekverbare filer.

8.6.6 I tilfælde af en medarbejders fravær, f.eks. pga. sygdom, ferie eller efter fratrædelse, kan Baker Tilly Legal Advokatfirma give en kollega adgang til den pågældende medarbejders e-mailkonto.

8.6.7 Baker Tilly Legal Advokatfirma vil ikke læse private e-mails. Hvis der ved en gennemgang af emails findes private e-mails uden relation til Baker Tilly Legal Advokatfirma, vil de pågældende e-mails ikke blive læst af andre end den retmæssige modtager. Vi vil ikke læse e-mails markeret med ”privat”, medmindre det klart fremgår af omstændigheder, at en konkret e-mail – trods mærkningen – ikke er privat eller har et indhold, som kan være et brud på medarbejderens forpligtelser overfor Baker Tilly Legal Advokatfirma.

8.6.8 Ved en medarbejders fratrædelse – frivilligt eller ufrivilligt – vil vedkommendes e-mailkonto hos Baker Tilly Legal Advokatfirma kun blive holdt aktiv i en periode, der er så kort som mulig fra tidspunktet, hvor medarbejderen ikke længere har adgang til sin personlige e-mailkonto hos Baker Tilly Legal Advokatfirma. Periodens længde vil blive fastsat under hensyntagen til medarbejderens stilling og funktion og kan højst udgøre 12 måneder. Medarbejderen vil ikke blive orienteret om endelig nedlukning af dennes e-mailkonto. Snarest muligt efter at medarbejderen ikke længere kan få adgang til sin personlige e-mailkonto, vil Baker Tilly Legal Advokatfirma sætte et autosvar på e-mailkontoen med besked om medarbejderens fratræden og eventuel anden relevant information. Den aktive e-mailkonto vil herefter kun blive anvendt til modtagelse af e-mails. Hvis der modtages private e-mails, vil Baker Tilly Legal Advokatfirma dog muligvis anvende e-mailkontoen til videre-forsendelse til medarbejderens private e-mailkonto. Oplysninger om medarbejderens personlige e-mailadresse vil hurtigst muligt blive fjernet fra Baker Tilly Legal Advokatfirmas hjemmeside og andre offentligt tilgængelige informationssteder. Kun en enkelt – eller ganske få – betroede medarbejdere vil herefter få adgang til den fratrådte medarbejders personlige e-mailkonto.

8.6.9 E-mails skal slettes løbende. E-mails, som kan have betydning for fastlæggelse af et retskrav, skal gemmes i 10 år og herefter slettes, medmindre retskrav er rejst mod, eller tænkes rejst af, Baker Tilly Legal Advokatfirma.

8.7 Internettet

8.7.1 Baker Tilly Legal Advokatfirma tillader privat anvendelse af mail og internettet, der er til rådighed på arbejdspladsen, på et rimeligt niveau. Internetadgangen kan benyttes til søgning, der ikke strider imod almindelige etiske standarder. Særligt må internetadgangen ikke benyttes til besøg på hjemmesider, hvis indhold er af pornografisk, politisk, ekstremistisk eller diskriminerende karakter for så vidt angår race, køn, etnisk-social oprindelse eller religion. Tilsvarende må medarbejderen ikke ved brug af e-mail sende materiale af ovennævnte karakter.

8.7.2 Der foretages ikke en systematisk, generel kontrol af den enkelte medarbejders anvendelse af systemerne. Medarbejdernes færden på internettet og samtlige mails sendt til og fra hver enkelt medarbejder registreres i en central logfil. Hvis der er mistanke om misbrug, f.eks. afsendelse af private mails i stor stil eller surfing på internettet i større omfang, forbeholder Baker Tilly Legal Advokatfirma sig ret til at overvåge og gennemgå den enkelte medarbejders aktiviteter og lagrede data på it-systemet

8.7.3 Tilmelding til særlige internetfaciliteter, såsom abonnementsservice eller portaler m.m. må kun finde sted efter aftale.

8.7.4 Baker Tilly Legal Advokatfirma anvender firewall/log, der er et systemteknisk værktøj, som bruges af den systemansvarlige i sikkerhedsmæssigt øjemed. De integrerede logningsfaciliteter er nødvendige af hensyn til systemernes drift og vedligeholdelse samt sikkerhedsovervågning (systemlog). En systemlog kan indeholde Persondata.

8.7.5 En logning af medarbejderes brug af Internet, som foretages i form af en systemlog på en firewall eller en anden aktiv netværkskomponent, er at betragte som en systemlog. Loggen anvendes alene til systemmæssige formål.

8.7.6 Baker Tilly Legal Advokatfirma kan gennemgå en medarbejders brug af Internettet af tekniske og sikkerhedsmæssige hensyn og for kontrol af medarbejdernes brug af internettet.

8.8 Hjemmearbejdsplads

8.8.1 Vi har sikret, at ad hoc-arbejdspladser, f.eks. hjemmearbejdspladser for medarbejdere, der arbejder hjemmefra, overholder Baker Tilly Legal Advokatfirmas IT-sikkerhedsregler, jf. nedenfor.

8.8.2 Hjemmearbejdspladserne kan kun tilgås via den af Baker Tilly Legal Advokatfirma udleverede pc med VPN-adgang.

9 VIDEREGIVELSE

9.1 Videregivelse til andre tjenester

Der videregives ikke Persondata til sociale netværk.

9.2 Anden videregivelse

Såfremt Baker Tilly Legal Advokatfirma modtager henvendelse fra politi (eller anden lignende offentlig myndighed) eller retsvæsen om udlevering af oplysninger, vil Baker Tilly Legal Advokatfirma foretage udlevering af dine oplysninger i overensstemmelse med gældende lovgivning.

10 REGISTREREDES RETTIGHEDER

10.1 Håndtering af begæringer fra den registrerede

10.1.1 Vores håndtering af de registreredes rettigheder er centraliseret. Den ansvarlige vil dog sjældent være tilstrækkeligt inde i den enkelte sag til at kunne bedømme, om den registreredes anmodning kan/bør imødekommes helt eller delvist. Besvarelsen vil derfor ske efter dialog med den relevante sagsbehandler, som kan redegøre for de hensyn, der taler for henholdsvis imod, at en anmodning/indsigelse imødekommes.

10.2 Indsigelse

10.2.1 Du har ret til at gøre indsigelse mod vores behandling af dine Persondata.

Du kan bruge kontaktoplysningerne nederst til at sende en indsigelse. Hvis din indsigelse er berettiget, sørger vi for at ophøre med behandlingen af dine Persondata.

10.3 Indsigt

10.3.1 Den registrerede har i henhold til databeskyttelsesforordningens artikel 15 ret til at få bekræftet, om der behandles Persondata om den pågældende, og vil i givet fald få adgang til Persondata (der skal udleveres en kopi af Persondata).

10.3.2 Derudover har den registrerede ret til at modtage følgende information:

  • formålene med behandlingen
  • de berørte kategorier af Persondata
  • de modtagere eller kategorier af modtagere, som Persondata er eller vil blive videregivet til, navnlig modtagere i tredjelande eller internationale organisationer
  • om muligt det påtænkte tidsrum, hvor Persondata vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes til fastlæggelse af dette tidsrum
  • retten til at anmode den dataansvarlige om berigtigelse eller sletning af Persondata eller begrænsning af behandling af Persondata vedrørende den registrerede eller til at gøre indsigelse mod en sådan behandling
  • retten til at indgive en klage til en tilsynsmyndighed
  • enhver tilgængelig information om, hvorfra Persondata stammer, hvis de ikke indsamles hos den registrerede

10.3.3 Den registrerede har endvidere ret til at få oplysninger om fornødne garantier, hvis vi har overdraget Persondata til tredjelande.

10.3.4 For at kunne opfylde en indsigtsbegæring på behørig vis skal vi gennemsøge alle systemer – herunder alle databaser samt alt hardware og alle flytbare medier – og også gennemsøge alt fysisk materiale, der indgår i et register, og udlevere de Persondata, der er registreret om den pågældende.

10.3.5 Efter databeskyttelsesloven gælder retten til indsigt ikke, hvis den registreredes interesse i oplysningerne findes at burde vige for afgørende hensyn til private interesser, herunder hensynet til den pågældende selv. Det er vores vurdering, at dette bl.a. vil omfatte oplysninger omfattet af vores tavshedspligt. Indsigtsretten vil derfor ikke have en selvstændig betydning, så længe der begæres om indsigt i Persondata, som er underlagt tavshedspligt.

10.3.6 Vi vil snarest besvare din begæring. Er din begæring ikke besvaret inden 4 uger efter modtagelsen, vil Baker Tilly Legal Advokatfirma underrette dig om grunden hertil, samt om hvornår en afgørelse kan forventes at foreligge. Henvendelse om ovenstående vil alene blive besvaret, såfremt der er forløbet mere end 6 måneder fra din sidste henvendelse, medmindre du kan godtgøre en særlig interesse i at få oplysningerne genfremsendt. Hvis du mener, at de Persondata, vi behandler om dig, er unøjagtige, har du ret til at få dem rettet. Du skal henvende dig til os og oplyse os om, hvori unøjagtighederne består, og hvordan de kan rettes.

10.4 Adgang til dine Persondata

10.4.1 Du har til en enhver tid ret til at få oplyst, hvilke data vi behandler om dig, hvor de stammer fra, og hvad vi anvender dem til. Du kan også få oplyst, hvor længe vi opbevarer dine Persondata, og hvem der modtager data om dig, i det omfang vi videregiver data i Danmark og i udlandet.

10.4.2 Hvis du anmoder om det, kan vi oplyse dig om de data, vi behandler om dig. Adgangen kan dog være begrænset af hensyn til andre personers privatlivsbeskyttelse, til forretningshemmeligheder og immaterielle rettigheder.

10.4.3 Du kan gøre brug af dine rettigheder ved at henvende dig til os. Vores kontaktoplysninger finder du øverst.

10.5 Dataportabilitet

10.5.1 Den registrerede har efter databeskyttelsesforordningens artikel 20 desuden ret til i et struktureret, almindeligt anvendt og maskinlæsbart format at modtage Persondata om sig selv, som den pågældende selv har givet til Baker Tilly Legal Advokatfirma.

10.5.2 Den registrerede har desuden ret til selv at transmittere disse oplysninger til en anden dataansvarlig uden hindring fra Baker Tilly Legal Advokatfirma, når behandlingen er baseret på samtykke, og behandlingen foretages automatisk. Hvis den registrerede udøver denne ret til dataportabilitet, har den registrerede også ret til at få transmitteret Persondata direkte fra en dataansvarlig til en anden, hvis det er teknisk muligt.

10.5.3 Adgangen til dataportabilitet omfatter kun oplysninger, den registrerede selv har givet, og vil kun omfatte behandlinger, der foretages automatisk. Adgangen til dataportabilitet vil desuden være særdeles begrænset, såfremt vi baserer vores behandlingshjemmel på andet grundlag end samtykke.

10.5.4 Det er vores vurdering, at retten til dataportabilitet kun kan gøres gældende i meget begrænset omfang i forhold til vores kundeoplysninger.

10.6 Ret til berigtigelse

10.6.1 I henhold til databeskyttelsesforordningens artikel 16 har den registrerede ret til at få urigtige Persondata om sig selv berigtiget af den dataansvarlige uden unødig forsinkelse. Under hensyntagen til formålene med behandlingen har den registrerede desuden ret til få fuldstændiggjort ufuldstændige Persondata, bl.a. ved at fremlægge en supplerende erklæring.

10.6.2 Denne ret supplerer vores egen grundlæggende forpligtelse til kontinuerligt at sikre os, at der alene behandles korrekte og ajourførte oplysninger, jf. artikel 5, stk. 1, litra d.

10.6.3 Retten til berigtigelse angår dog alene objektive Persondata og ikke subjektive vurderinger.

10.7 Retten til at blive glemt

10.7.1 Den registrerede har efter databeskyttelsesforordningens artikel 17 ret til at få Persondata om sig selv slettet af os uden unødig forsinkelse. Modtager vi en berettiget anmodning herom, har vi i så fald pligt til at slette Persondata uden unødig forsinkelse.

10.7.2 Dog er retten begrænset sådan, at der ikke kan kræves sletning, hvis behandlingen er nødvendig for at overholde en retlig forpligtelse, eller for at retskrav kan fastlægges, gøres gældende eller forsvares, jf. artikel 17, stk. 3, litra b og e.

10.7.3 Det er vores vurdering, at ”retten til at blive glemt” kun meget sjældent vil komme i spil i forhold til vores sagsbehandling. Den kan eksempelvis tænkes anvendt, hvis Persondata oprindeligt slet ikke har været nødvendige for sagens behandling, og derfor slet ikke burde have indgået i sagen, eller hvis Persondata utvivlsomt ikke længere er nødvendige for sagens behandling. I så fald vil pligten til at slette Persondata også følge af den grundlæggende forpligtelse til kun at behandle nødvendige oplysninger, jf. databeskyttelsesforordningens artikel 5, stk. 1, litra c. ”Retten til at blive glemt” finder dog ikke anvendelse, såfremt (og så længe) vi opbevarer sådanne Persondata for at kunne modgå et eventuelt retskrav fra kunder.

10.7.4 Hvis vi er forpligtet til at slette Persondata efter artikel 17, som har været overladt til andre dataansvarlige eller databehandlere, skal vi underrette sådanne dataansvarlige eller databehandlere, som behandler Persondata, om, at den registrerede har anmodet om at få slettet alle links til eller kopier eller gengivelser af de pågældende Persondata.

10.8 Ret til indsigelse

10.8.1 Det følger af databeskyttelsesforordningens artikel 21, at den registrerede til enhver tid har ret til at gøre indsigelse mod behandling af sine Persondata, hvis behandlingen er baseret på artikel 6, stk. 1, litra e eller f. Disse bestemmelser omhandler adgangen til at behandle almindelige Persondata, hvis behandlingen er nødvendig for at udføre en opgave i samfundets interesser, eller hvis behandlingen er nødvendig for at forfølge en berettiget interesse, og hensynet til den registrerede ikke overstiger denne interesse.

10.8.2 Hvis der gøres indsigelse, må vi ikke længere behandle de pågældende Persondata, medmindre vi kan påvise vægtige legitime grunde til behandlingen, der går forud for den registreredes interesser, eller hvis behandlingen er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares.

10.8.3 Det er vores vurdering, at denne bestemmelse kun i begrænset omfang vil komme i spil i vores sagsbehandling, fordi sagsbehandlingen i vidt omfang kan knyttes op på hjemlen vedrørende fastlæggelsen af et retskrav, ligesom vi – hvis behandlingen i øvrigt opfylder de grundlæggende behandlingsregler – oftest vil kunne påvise vægtige legitime grunde til, at oplysningerne indgår i sagsbehandlingen.

10.8.4 Bestemmelsen i artikel 21 forudsætter, at den registrerede gøres udtrykkeligt opmærksom på sin ret til at gøre indsigelse, og at dette skal ske senest på tidspunktet for den første kommunikation. Endvidere skal oplysningen herom meddeles klart og holdes adskilt fra de andre oplysninger.

10.8.5 Også denne bestemmelse indeholder en række undtagelser, jf. artikel 22, stk. 2. Blandt andet gælder retten ikke, hvis afgørelsen er nødvendig for indgåelse eller opfyldelse af en kontrakt mellem den registrerede og en dataansvarlig, hvis behandlingen har hjemmel i en lov, eller hvis behandlingen er baseret på den registreredes udtrykkelige samtykke.

10.9 Ret til dataminimering

10.9.1 I henhold til databeskyttelsesforordningens artikel 18 har den registrerede ret til at få begrænset behandlingen af Persondata, hvis:

  • rigtigheden af Persondata bestrides af den registrerede, men kun i perioden indtil den dataansvarlige har haft mulighed for at fastslå, om Persondata er korrekte
  • behandlingen er ulovlig, og den registrerede modsætter sig sletning af Persondata og i stedet anmoder om, at anvendelsen heraf begrænses
  • den dataansvarlige ikke længere har brug for Persondata til behandlingen, men de er nødvendige for, at et retskrav kan fastlægges, gøres gældende eller forsvares
  • den registrerede har gjort indsigelse mod behandlingen i medfør af artikel 21, stk. 1, men kun i perioden mens det kontrolleres, om den dataansvarliges legitime interesser går forud for den registreredes legitime interesser.

10.9.2 Retten udgør dermed et alternativt (og mindre) indgreb i sagsbehandlingen sammenlignet med den registreredes ret til at gøre indsigelse efter artikel 21 og 22, og den registreredes ”ret til at blive glemt” efter artikel 17.

10.9.3 Det følger af bestemmelsens stk. 2, at hvis en behandling er blevet begrænset, må sådanne Persondata, bortset fra opbevaring, stadig behandles, blandt andet, hvis den registrerede giver samtykke hertil, eller hvis behandlingen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares.

10.9.4 Bestemmelsen vil efter vores vurdering kun få begrænset betydning for vores adgang til at behandle Persondata i vores sagsbehandling.

10.9.5 Bestemmelsen supplerer desuden i vidt omfang vores egen selvstændige forpligtelse til kontinuerligt at sikre overholdelse af de grundlæggende rettigheder for den registrerede.

10.10 Sikkerhedsbrist

10.11 Hvis du konstaterer en sikkerhedsbrist hos Baker Tilly Legal Advokatfirma, skal du straks rette henvendelse til os ved at anvende de kontaktoplysninger, som er angivet nederst.

11 DATABEHANDLER

11.1 Baker Tilly Legal Advokatfirma anvender eksterne virksomheder til at foretage den tekniske drift af Baker Tilly Legal Advokatfirma. Disse virksomheder fungerer som for Baker Tilly Legal Advokatfirma.

11.2 Databehandling foretages indenfor den Europæiske Union.

11.3 Databehandleren handler alene efter instruks fra Baker Tilly Legal Advokatfirma, og der indgås databehandleraftale med denne forinden databehandling påbegyndes.

11.4 Databehandleren har truffet de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af Persondata. På din anmodning - og mod betaling af databehandlerens til enhver tid gældende timetakster for sådant arbejde - giver databehandleren dig tilstrækkelige oplysninger til, at databehandleren kan påvise, at de nævnte tekniske og organisatoriske sikkerhedsforanstaltninger er truffet.

11.5 Vi anvender følgende databehandler:

DatabehandlerServer placeringType af aftalegrundlag
BogholderiserviceEUDatabehandleraftale
ZenegyEUDatabehandleraftale
DocuSignEUDatabehandleraftale
Legis 365EUDatabehandleraftale
BluepipeDanmarkDatabehandleraftale
Microsoft CorporationEUDatabehandleraftale
Fusemail DanmarkDanmarkDatabehandleraftale
Visma E-conomicDanmarkDatabehandleraftale
DatalønDanmarkDatabehandleraftale
Google AnalyticsUSAEU Model Klausul Aftale
HuddleEUDatabehandleraftale
VPN  
RDC  

 

12 SIKKERHEDSFORANSTALTNINGER

12.1 Vi beskytter dine Persondata og har interne regler om informationssikkerhed. Vi har vedtaget interne regler om informationssikkerhed, som indeholder instrukser og foranstaltninger, der beskytter dine Persondata mod at blive tilintetgjort, gå tabt eller blive ændret, mod uautoriseret offentliggørelse, og mod at uvedkommende får adgang eller kendskab til dem.

12.2 Baker Tilly Legal Advokatfirma vil sørge for, at de indsamlede oplysninger, inklusive Persondata, behandles varsomt og beskyttes i henhold til gældende sikkerhedsstandarder.

12.3 Vi har strenge sikkerhedsprocedurer for indsamling, opbevaring og overførsel af Persondata for at hindre uautoriseret adgang, og for at overholde gældende lovgivning. Vores sikkerhed kontrolleres jævnligt. De Persondata, du giver os, gemmes på vores databehandleres servere.

12.4 Vi har truffet de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger for at beskytte dine Persondata mod utilsigtet eller ulovlig destruktion, tab eller ændring og mod uautoriseret offentliggørelse, misbrug eller anden handling i strid med gældende lovgivning.

12.5 Vi gemmer og behandler dine Persondata på it-systemer med kontrolleret og begrænset adgang. Systemerne er placeret på servere i sikrede lokaler.

12.6 Vi bruger firewalls og autentificeringsbeskyttelse for at beskytte dine Persondata.

12.7 Hvis du sender Persondata til os via e-mail, skal du være opmærksom på, at afsendelse til os ikke er sikker, såfremt dine e-mails ikke er krypteret.

12.8 Alle data overført mellem kunde (browser og web-app) og server(e) krypteres efter HTTPS-protokollen.

12.9 Vi har fuld adgang til alle dine Persondata, der er opbevaret i vore database( r) og på vores server(e). Data vil alene blive tilgået på ”need to know”- basis.

12.10 Adgang til Persondata skal begrænses til personer, der har et sagligt behov for adgang til Persondata. Det skal være så få personer som muligt, dog med behørigt hensyn til driften; der skal være et tilstrækkeligt antal medarbejdere til at sikre driften af de pågældende opgaver ved sygdom, ferier, personaleudskiftning m.v. Der foreligger et skøn hos virksomheden. Alle sagsbehandlere har adgang til alle sager. Baker Tilly Legal Advokatfirma har vurderet, at dette findes nødvendigt, da alle medarbejdere i virksomheden er involverede i sagerne.

12.11 Persondata på papir – f.eks. i kartoteker og ringbind – skal opbevares aflåst, når de ikke er i brug. Baker Tilly Legal Advokatfirma har indført en sikker procedure for makulering og kassering af papir.

12.12 Når dokumenter (papirer, kartotekskort mv.) med Persondata smides ud, skal der anvendes makulering eller anden foranstaltning, der forhindrer, at uvedkommende kan få adgang til Persondata.

12.13 Baker Tilly Legal Advokatfirma anvender en krypteret dropbox-løsning til udveksling af data mellem Baker Tilly Legal Advokatfirma enheder og med kunder.

12.14 Alle kunde-opkoblinger er webbaserede og underlagt Kundens vilkår og sikkerhedsstandarder.

12.14.1 Hvis følsomme Persondata eller personnummer sendes med e-mail via internettet, skal sådanne e-mails krypteres. Vi tilstræber at undgåbrug af CPR.nr. Vurderes det, at brug af CPR.nr. er nødvendigt, foretages der en kryptering af mailen.

12.14.2 Persondata må ikke lagres på USB-nøgler, USG-harddisk, drev på PC eller andre lagringsmidler. Hvis Persondata i særlige tilfælde alligevel lagres på en USB-nøgle eller lignende, skal Persondata beskyttes og Persondata skal lagres i samarbejde med Baker Tilly Legal Advokatfirmas IT-afdeling. Der kan f.eks. bruges en USB-nøgle med adgangskode og kryptering. Ellers skal USB-nøglen opbevares i aflåst skuffe eller skab. Tilsvarende gælder ved opbevaring af Persondata på andre bærbare datamedier. Alle pc’er i Baker Tilly Legal Advokatfirma har krypterede harddiske.

12.14.3 Medarbejderoplysninger lagres på særlige PC’er i krypteret form.

12.14.4 Medarbejdere må ikke åbne PC i større forsamlinger, hvor det er muligt at ”kigge over skulderen” og dermed opnå adgang til Persondata.

12.14.5 Medarbejdere er forpligtet til ikke at tage backup af mail til egen konto hos smartphone-udbyder, som f.eks. i-cloud, Samsung account eller lignende.

12.15 I øvrigt gælder Baker Tilly Legal Advokatfirmas IT Sikkerhedspolitik.

13 BACKUP

13.1 Baker Tilly Legal Advokatfirma tager backup af alle databaser og filer på fællesdrev hver nat. Backup’en opbevares hos et eksternt datacenter.

13.2 Vi foretager følgende typer af backup:

1) backup rullende. Med denne metode, tages der dagligt backup af alle fil- og dataopdateringer og oprettes en sikkerhedskopi af alle de nye data. Dette skaber en historie af ændringer, således at muligheden for at genvinde tabte data forøges.

2) backup klon. Denne backup-strategi skaber en perfekt kopi af hver enhed på netværket.

13.3 3) backup offsite. Denne backup sikrer mod tab af data, hvis backup opbevares on site. Alle data og filer sikkerhedskopieres og backup opbevares offsite.

13.4 Alle backup data og filer overskrives med intervaller på 30 dage. Det er ikke teknisk muligt at gennemføre sletning af enkelte filer på en foretagen backup inden sådan overskrivning sker. Det vil sige, at har du anmodet Baker Tilly Legal Advokatfirma om sletning af dine Persondata, vil sådanne Persondata blive slettet i live miljø, jf. nedenfor, men vil forblive på backup, indtil den specifikke backup efter 30 dage er overskrevet. Baker Tilly Legal Advokatfirma har dog indført interne processer og procedurer til at sikre, at dine Persondata ikke genintroduceres som live data ved at genindlæse data og filer fra en backup, såfremt dine data er blevet slettet i henhold til din ”ret til at blive glemt”.

14 COOKIES

14.1 Vi indsamler på forskellig vis oplysninger om dig i forbindelse med driften af bakertillylegal.dk. Vi indhenter oplysninger om dig på bakertillylegal.dk gennem såkaldte 'cookies' og gennem registrering og brug af bakertillylegal.dk.

14.2 Hvis vi placerer cookies, bliver du informeret om anvendelsen og formålet med at indsamle data via cookies. Før vi placerer cookies på dit udstyr, beder vi om dit samtykke. Nødvendige cookies til sikring af funktionalitet og indstillinger kan dog anvendes uden dit samtykke.

14.3 Du kan få flere oplysninger på vores hjemmeside om vores brug af cookies, og om hvordan du kan slette eller afvise dem. Hvis du vil tilbagekalde dit samtykke, så se vejledningen under vores cookie-politik.

14.4 Hvad er en cookie og lignende teknologier?

14.4.1 Cookies er små informationsenheder, som bakertillylegal.dk placerer på din computers harddisk, på din tablet, eller på din smart-telefon. Cookies indeholder informationer, som bakertillylegal.dk bruger til at effektivisere kommunikationen mellem dig og din web-browser. Cookien identificerer ikke dig som individuel bruger, men identificerer din computer.

14.4.2 Der er to typer af cookies - midlertidige cookies og permanente cookies. Midlertidige cookies er informationsenheder, som slettes, når du lukker din web-browser. Permanente cookies er informationsenheder, som bliver gemt på din computer, indtil de bliver slettet. Permanente cookies sletter sig selv efter en vis periode, men bliver fornyet, hver gang du besøger bakertillylegal.dk.
bakertillylegal.dk anvender både midlertidige og permanente cookies.

14.4.3 Vi benytter lignende teknologier, der lagrer og læser information i browseren eller enheden, og som udnytter lokale enheder og lokal opbevaring, såsom HTML 5 cookies, Flash og andre metoder. Disse teknologier kan fungere på tværs af dine browsere. I visse tilfælde kan brugen af disse teknologier ikke styres af browseren, men kræver specielt værktøj. Vi bruger disse teknologier til at opbevare information, som anvendes til at sikre kvaliteten af vores services og til at opfange uregelmæssigheder i brugen af bakertillylegal.dk.

14.4.4 Når du besøger bakertillylegal.dk første gang, modtager du automatisk en cookie.

En cookie er en lille tekstfil, der lagres i din web browser, og som registrerer dig som unik bruger. Denne cookie identificerer vores web-server, når du besøger bakertillylegal.dk, og registrerer anvendelsen heraf.

14.4.5 En cookie kan indeholde tekst, tal eller f.eks. en dato, men der er ingen Persondata indeholdt i en cookie. Det er ikke et program og kan ikke indeholde virus.

14.4.6 Vi anvender cookies for at kunne tilpasse og oprette indhold og tjenester, der stemmer overens med dine interesser og ønsker. Vi anvender også cookies til at føre demografiske og brugerrelaterede statistikker og dermed fastlægge nærmere, hvem der besøger bakertillylegal.dk. Vi registrerer udelukkende anonyme informationer som IP-numre, antal bytes sendt og modtaget, Internethost, tid, browsertype, -version, og -sprog, osv.

14.5 Hvilke typer af cookies bruger vi og til hvilke formål?

Vi bruger cookies til

  • Statistik, det vil sige at måle trafikken på bakertillylegal.dk, herunder antallet af besøg på bakertillylegal.dk, hvilke domæner den besøgende kommer fra, hvilke sider de ser på bakertillylegal.dk, og hvilket overordnet geografisk område brugeren befinder sig i.
  • Forbedre funktionalitet, det vil sige at forbedre funktionaliteten og optimere din oplevelse af bakertillylegal.dk og hjælpe dig med at huske dit brugernavn og adgangskode, så du ikke behøver at logge på igen, når du returnerer til bakertillylegal.dk.
  • Integrere med sociale medier, det vil sige:
    - Give dig mulighed for at integrere med sociale medier, som f.eks. Facebook.
  • Kvalitetssikring, det vil sige
    - At sikre kvaliteten af vores services og forhindre misbrug og uregelmæssigheder i forbindelse med brugen af vores services.
  • Målrettet markedsføring, det vil sige:
    - Vise specifik markedsføring på bakertillylegal.dk, som vi tror du vil finde interessant.

14.6 Adgang for tredjepart

Baker Tilly Legal Advokatfirma giver adgang for sine underleverandører til at få indsigt i indholdet af de cookies, som er sat af bakertillylegal.dk. Denne Information må dog alene anvendes på vegne af Baker Tilly Legal Advokatfirma og må ikke anvendes til tredjepartens egne formål.

14.7 Tredjeparts-cookies

Vores Hjemmeside anvender cookies fra følgende tredjeparter: Google Analytics: Til statistiske formål. Du kan afvise cookies fra Google Analytics ved at klikke her: https://tools.google.com/dlpage/gaoptout

Facebook: sættes af Facebook.

14.8 Sådan afviser du brugen af cookies

14.8.1 De fleste browsere tillader dig at slette cookies fra din harddisk, blokere for alle cookies eller modtage en advarsel, før der gemmes en cookie. Du skal dog være opmærksom på, at der i så fald kan være services og funktioner, du ikke kan bruge, fordi de kræver cookies til at huske valg, du foretager. Vi håber, at du vil tillade de cookies vi sætter, da de hjælper os med at forbedre Baker Tilly Legal Advokatfirma.

14.9 Sådan sletter du cookies

14.9.1 Du har altid mulighed for at slette cookies, der er gemt på din computer.

14.10.1 Baker Tilly Legal Advokatfirma bruger Google Analytics for at analysere, hvordan brugerne anvender bakertillylegal.dk. De oplysninger, som cookien indsamler om din brug (trafikdata, herunder din IP-adresse), sendes til og gemmes på Googles servere i USA. Google bruger oplysningerne til at evaluere din brug af Baker Tilly Legal Advokatfirma, udarbejde rapporter om aktiviteten på bakertillylegal.dk og yde andre tjenester i tilknytning til aktiviteten på bakertillylegal.dk og brugen af internettet. Google kan også videregive oplysningerne til tredjemand, hvis loven kræver det, eller hvis tredjemand behandler oplysningerne på Googles vegne.

Google Analytics sætter to typer cookies: (a) En persistent cookie der viser, om brugeren er tilbagevendende, hvor brugeren kommer fra, hvilken søgemaskine der er brugt, keywords, etc., samt (b) sessionscookies som bruges til at vise, hvornår og hvor længe en bruger er på sitet. Sessionscookies udløber efter hver session, det vil sige når du lukker din fane eller browser. Google sammenkører ikke din IP-adresse med andre oplysninger, Google ligger inde med.

14.11 De fleste browsere tillader dig at slette cookies fra Google Analytics. Læs mere om Google Analytics brug af cookies.

14.11.1 Ved at bruge bakertillylegal.dk giver du samtykke til, at vi benytter cookies som beskrevet. Hvis du ikke længere ønsker at give samtykke til brugen af cookies, skal du fravælge cookies ved at ændre indstillingerne i din browser.

15 ÆNDRING AF PERSONDATAPOLITIK

15.1 Baker Tilly Legal Advokatfirma kan til enhver tid og uden varsel ændre denne Persondatapolitik med virkning for fremtiden. Baker Tilly Legal Advokatfirmas nye Persondatapolitik vil herefter være gældende for din brug af Baker Tilly Legal Advokatfirma.

16 HENVENDELSER

16.1 Hvis du har spørgsmål til nærværende Persondatapolitik, vores behandling af Persondata, berigtigelse eller dit forhold til os i øvrigt, er du velkommen til at rette henvendelse til os på følgende adresse:

Baker Tilly Legal Advokatfirma P/S
CVR-nr: 41330236
Poul Bundgaards Vej 1E
DK-2500 Valby
Danmark

E: info@bakertillylegal.dk 
W: www.bakertillylegal.dk

17 DATATILSYNET

17.1 Du har mulighed for at klage til Datatilsynet over Baker Tilly Legal Advokatfirmas indsamling og behandling af dine Persondata:

Datatilsynet
Borgergade 28, 5.
1300 København K

Telefon 3319 3200

Mail: dt@datatilsynet.dk
www.datatilsynet.dk

Now, for tomorrow
Vi tror på styrken i gode relationer. Lad os møde fremtiden sammen.
Kontakt os i dag