Denne privatlivspolitik fortæller dig om de oplysninger, vi indsamler fra dig, når du bruger vores hjemmeside. Ved indsamling af disse oplysninger optræder Wind Estate A/S som Dataansvarlig, og vi skal ifølge loven give dig oplysninger om os, om hvorfor og hvordan vi bruger dine data og om de rettigheder, du har over dine data.
Denne privatlivspolitik fortæller dig om de oplysninger, vi indsamler fra dig, når du bruger vores hjemmeside. Ved indsamling af disse oplysninger optræder Wind Estate A/S som Dataansvarlig, og vi skal ifølge loven give dig oplysninger om os, om hvorfor og hvordan vi bruger dine data og om de rettigheder, du har over dine data.
Hvem er vi?
Wind Estate A/S
Læsøvej 1, 8940 Randers SV
CVR: 26271886
Kontakt information: compliance@windestate.com
Vi er ikke forpligtet til at have en databeskyttelsesrådgiver (DPO), så eventuelle henvendelser om vores brug af dine persondata skal rettes til kontaktoplysningerne ovenfor.
1 Indsamling
I den daglige drift gør Wind Estate A/S brug af en række forskellige oplysninger om identificerbare individer, herunder data om:
- Tidligere og nuværende medarbejdere, vindmølleandelshavere, myndigheder, interesseorganisationer, lodsejere, interessenter i medejerskab af projekter, leverandører og samarbejdspartnere, herunder men ikke begrænset til advokater og landmålere og potentielle kunder og leads.
Wind Estate opbevarer og bruger data som:
- Navn, adresse, telefonnummer. e-mail adresse, CVR-nummer, fødselsdato og CPR-nr. til identificering, ejerlav, bank oplysninger og referater af møder
Gennem indsamling og brug af disse data (kaldet behandling), er Wind Estate A/S underlagt en række forskellige love der styrer hvordan sådanne aktiviteter kan gennemføres, samt de sikkerhedsforanstaltninger, der skal være på plads.
2 Politik for sikring af Privatliv og Persondatasikkerhed
2.1 Formål
Formålet med denne politik er at fastlægge den relevante lovgivning og til at beskrive de beslutninger Wind Estate A/S har truffet for at sikre overensstemmelse hermed.
Det er således Wind Estate A/S’s politik at sikre overholdelse af GDPR (General Data Protection Regulation eller på dansk Den Generelle Forordning om Databeskyttelse) og anden relevant lovgivning samt at dette til enhver tid kan dokumenteres.
2.2 Grundlæggende definitioner i GDPR
De mest grundlæggende definitioner i forhold til denne politik, er som følger:
Personlige data er defineret som: enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, mentale og psykologiske, økonomiske, kulturelle eller sociale identitet
Behandling er defineret som: enhver aktivitet eller række af aktiviteter — med eller uden brug af automatisk behandling — som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, strukturering, opbevaring, tilpasning eller ændring, genfinding, søgning, anvendelse, videregivelse og offentliggørelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, justering, sletning eller tilintetgørelse af data
Dataansvarlig er defineret som: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af person oplysninger; hvis formålene og hjælpemidlerne til en sådan behandling er fastlagt i EU-retten eller medlemsstaternes nationale ret, kan den dataansvarlige eller de specifikke kriterier for udpegelse af denne fastsættes i EU-retten eller medlemsstaternes nationale ret.
2.3 Principper for behandling af personoplysninger
Der er en række grundlæggende principper, som GDPR er baseret på.
Disse er som følger:
1. Personlige data skal:
a) behandles lovligt, retfærdigt og på en gennemsigtig måde i forhold til den registrerede (»lovlighed, rimelighed og gennemsigtighed«)
b) indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formal; viderebehandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, skal ikke anses for at være uforenelig med de oprindelige formål (»formålsbegrænsning«)
c) være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (»dataminimering«)
d) være konkrete, nøjagtige og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges (»rigtighed«)
e) opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles; personoplysninger kan opbevares i længere tidsrum, hvis personoplysningerne alene behandles til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, under forudsætning af, at der implementeres passende tekniske og organisatoriske foranstaltninger, som denne forordning kræver for at sikre den registreredes rettigheder og frihedsrettigheder (»opbevaringsbegrænsning«)
f) behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende persondata, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger (»integritet og fortrolighed«).
2. Den Dataansvarlige er ansvarlig for at overholde, og skal være i stand til at påvise overensstemmelse med, punkt 1 (‘ansvarlighed’).
Wind Estate A/S vil sikre, at virksomheden overholder alle disse principper både i behandlingen der for nuværende udføres og som led i indførelsen af nye metoder til behandling, såsom nye it-systemer.
2.4 Individets rettigheder
Den registrerede har også rettigheder i henhold til GDPR. Disse består af:
- Ret til at blive informeret
- Ret til aktindsigt
- Ret til berigtigelse
- Ret til sletning
- Ret til at begrænsning af behandlingen
- Ret til dataportabilitet / få flyttet data til anden udbyder
- Ret til indsigelse mod behandling
- Rettigheder i forhold til automatiseret beslutningstagning og profilering
Hver af disse rettigheder er understøttet af passende procedurer hos Wind Estate A/S, der fastsætter nødvendige foranstaltninger og tidsfrister der skal efterleves i henhold til GDPR. Disse tidsfrister er vist her;
Anmodning og tidshorisont for anmoder.
Ret til at blive informeret: Når der indsamles data (hvis leveret af den registrerede) eller inden for en måned (hvis ikke leveret af den registrerede)
Ret til aktindsigt: En måned
Ret til berigtigelse: En måned
Ret til sletning: Uden unødig forsinkelse
Ret til at begrænse behandlingen:Uden unødig forsinkelse
Ret til dataportabilitet (ej relevant): En måned
Ret til at indsigelse mod behandling: Ved modtagelse af indsigelse
Rettigheder i forhold til automatiseret beslutningstagning og profilering: Ikke relevant
2.5 Lovlig behandling / Juridisk hjemmel
Under GDPR er der mulighed for at opnå juridisk hjemmel til databehandling på seks alternative måder. Det er Wind Estate A/S politik at identificere den juridiske hjemmel for de enkelte databehandlinger samt at dokumentere det. Mulighederne er beskrevet i korte træk i de følgende afsnit.
2.5.1 Samtykke
Medmindre der kan findes juridisk hjemmel på anden vis, vil Wind Estate A/S altid søge at indhente udtrykkeligt samtykke fra de registrerede til at indsamle og behandle deres data.
Samtykket baseres på gennemsigtig information om vores brug af persondata. I tillæg informerer vi om de registreredes rettigheder, såsom retten til at trække samtykke tilbage. Disse informationer vil blive leveret i et tilgængeligt format, skrevet i et klart sprog, på det tidspunkt som samtykke indhentes.
Hvis der ikke indhentes persondata direkte fra den registrerede, og behandlingen skal baseres på samtykke, skal informationen gives til den registrerede inden for en rimelig periode efter modtagelse af data, helst inden for en måned.
2.5.2 Opfyldelse af en aftale/kontrakt
Hvis behandling er nødvendig for opfyldelse af en kontrakt, som den registrerede er part i, eller hvis behandlingen er nødvendig for gennemførelse af foranstaltninger, der træffes på den registreredes anmodning inden indgåelse af en kontrakt, er udtrykkeligt samtykke ikke påkrævet.
Denne mulighed vil ofte benyttes som hjemmel, når kontrakten/aftalen ikke kan gennemføres uden de pågældende personoplysninger, – f.eks. er det klart, at en levering ikke kan gennemføres uden en adresse at levere til.
Wind Estate A/S benytter denne juridiske hjemmel i stor udstrækning, idet projektforløb varer op mod 40 år, svarende til vindmøllers levetid. Derfor er det nødvendigt at opbevare såvel e-mail kommunikation samt projektdokumenter, for at kunne dokumentere, hvad som er aftalt med hvem. Disse indeholder få almindelige personoplysninger, der også ofte er tilgængelig på internettet. Der behandles ingen følsomme personoplysninger.
Ligeledes behandles medarbejder oplysninger med hjemmel i opfyldelse af kontrakt.
2.5.3 Juridisk forpligtelse
Såfremt persondata indsamles og behandles med henblik på at overholde loven, er udtrykkeligt samtykke ikke påkrævet. Dette kan være tilfældet hvor data vedrører beskæftigelse og beskatning, og for mange områder indenfor den offentlige sektor.
Wind Estate A/S er juridisk forpligtet til at opbevare andelshaverfortegnelser og ejerbøger, samt til at indberette en række oplysninger om medarbejdere til myndighederne.
2.5.4 Vitale interesser for den registrerede
I tilfælde, hvor der kræves behandling af persondata for at beskytte den registreredes eller anden fysisk persons vitale interesser, er udtrykkeligt samtykke ikke påkrævet. Ved vitale interesser forstås først og fremmest hensynet til liv og helbred. Wind Estate A/S udarbejder rimelige og dokumenterede beviser for, at dette er tilfældet, når dette anvendes som juridisk hjemmel for behandling. Som et eksempel, kan dette anvendes i forbindelse med social omsorg, især i den offentlige sektor.
Wind Estate A/S har ingen databehandlinger med vital interesse som juridisk hjemmel.
2.5.5 Opgave i den offentlige interesse
Hvis Wind Estate A/S har brug for at udføre en opgave, som den mener er i offentlighedens interesse eller som del af en officiel pligt, skal der ikke anmodes om samtykke. Wind Estate A/S udarbejder rimelige og dokumenterede beviser for, at dette er tilfældet.
Wind Estate A/S har ingen databehandlinger med offentlig interesse som juridisk hjemmel.
2.5.6 Legitime interesser / Interesseafvejning
Hvis behandlingen af persondata anses for legitim interesse for Wind Estate A/S, og hvis behandlingen ikke vurderes at påvirke den registreredes rettigheder og friheder i væsentlig grad, er udtrykkeligt samtykke ikke påkrævet.
Wind Estate A/S har legitim interesse i at opbevare e-mail kommunikation og projektdokumenter uendeligt. Wind Estate A/S har udarbejdet rimelige og dokumenterede beviser for, at dette er tilfældet.
Endvidere har Wind Estate A/S legitim interesse i behandling af forskellige typer af oplysninger om medarbejdere, samt i behandling af data opsamlet i forbindelse med rimelige sikkerhedsskabende tiltag i virksomheden.
2.6 Datasikkerhed gennem design
Wind Estate A/S har indført princip om indbygget persondatasikkerhed og privatlivsbeskyttelse i alle nye og væsentlige ændrede systemer eller processer.
2.7 Kontrakter vedrørende behandling af persondata
Wind Estate A/S vil sikre, at alle indgåede relationer der involverer behandling af persondata, er underlagt en dokumenteret kontrakt, der indeholder de specifikke oplysninger og vilkår der kræves af GDPR.
2.8 Internationale overførsler af persondata
Videregivelse af personoplysninger uden for EU vil blive nøje gennemgået forud for at overførslen finder sted, for at sikre, at de falder inden for grænserne af GDPR. Dette afhænger delvist af Europa-Kommissionens vurdering af, i hvor høj grad der er tilstrækkelige garantier for personoplysninger i modtagerlandet, hvilket kan ændre sig over tid.
2.9 Databeskyttelsesrådgiver
Wind Estate A/S skal ikke udpege en databeskyttelsesrådgiver. Databeskyttelsesansvaret ligger hos vores IMS Manager.
2.10 Sikkerhedsbrud
Et brud på sikkerheden er en hændelse, som fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse eller adgang til persondata.
Det er Wind Estate A/S’s politik at foretage en rimelig og passende afvejning, når man overvejer tiltag for at informere de berørte parter om brud på persondatasikkerheden. Afvejningen bør omfatte, hvorvidt der er risiko for de registrerede kan lide fysisk, materiel eller moralsk, mængden af data, samt risikoens størrelse.
Hvis et brud opdages at have fundet sted, som sandsynligvis vil resultere i en risiko for de registreredes, skal Datatilsynet (eller anden relevant tilsynsmyndighed) underrettes inden for 72 timer.
Dette vil blive varetaget i overensstemmelse med Procedure for håndtering af brud på Persondatasikkerhed, der fastlægger den overordnede proces for håndtering af hændelser vedr. datasikkerhed
2.11 Tiltag til overholdelse til GDPR
- Den juridiske hjemmel for behandling af persondata er klar og utvetydig og dokumenteret i skemaet ”Registrering af behandlingsaktiviteter”.
- Regler for samtykke følges
- Vejledning er tilgængelig for de registrerede, der ønsker at udøve deres rettigheder vedrørende anmodning om indsigt i persondata og sådanne anmodninger behandles effektivt
- Revurdering af procedurer, som involverer persondata udføres regelmæssigt (årligt)
- Databeskyttelse gennem design er vedtaget for alle nye eller ændrede systemer og processer
- Dokumentation af behandlingsaktiviteter og datastrømme er gennemført, mht:
- Formålet med databehandlingen
- Der er vedtaget plan for sletning og opbevaring af data
- Relevante tekniske og organisatoriske kontrolinstanser er på plads
Disse tiltag revurderes regelmæssigt som en del af det pågående arbejde med databeskyttelse.
Din ret til at klage
Hvis du vil klage over vores brug af dine data, foretrækker vi at du kontakter os direkte i første omgang, så vi kan behandle din klage. Du kan dog også kontakte Datatilsynet via deres hjemmeside på www.datatilsynet.dk.
Opdateringer til denne politik for beskyttelse af personlige oplysninger
Vi gennemgår regelmæssigt denne privatlivspolitik og opdaterer den fra tid til anden, som vores tjenester og brug af persondata udvikler sig. Hvis vi ønsker at gøre brug af dine personlige data på en måde, som vi ikke tidligere har gjort, kontakter vi dig for at give oplysninger om dette og om nødvendigt anmode om dit samtykke.
Vi opdaterer versionsnummer og dato for dette dokument hver gang det ændres.
Version
Version: 2.0
Dato: April. 2024
Forfatter: LF/AJ