Databeskyttelses- og Privatlivspolitik

Hos Wind Estate er vi forpligtet til at beskytte vores interessenters privatliv og personoplysninger. Denne databeskyttelses- og privatlivspolitik beskriver, hvordan vi indsamler, bruger, opbevarer og administrerer personoplysninger i overensstemmelse med gældende databeskyttelseslove og -regler, herunder EU’s Generelle Forordning om Databeskyttelse (GDPR), den danske databeskyttelseslov og den britiske GDPR.

Denne politik gælder for alle personoplysninger, der behandles af vores organisation, herunder data indsamlet via vores hjemmeside, tjenester og interaktioner med kunder, medarbejdere og andre interessenter.

Wind Estate A/S
Læsøvej 1, 8940 Randers SV
CVR: 26271886
Kontakt information: compliance@windestate.com

Vi er ikke forpligtet til at have en databeskyttelsesrådgiver (DPO), så eventuelle henvendelser om vores brug af dine persondata skal rettes til kontaktoplysningerne ovenfor.

I den daglige drift indsamler og bruger vi forskellige oplysninger om identificerbare personer, herunder data om:

• Tidligere og nuværende medarbejdere
• Medejere af vindmøller
• Myndigheder
• Interesseorganisationer / foreninger
• Grundejere
• Interessenter i medeje af projekter
• Leverandører og partnere, herunder men ikke begrænset til advokater og landinspektører
• Potentielle kunder / leads

Wind Estate opbevarer og anvender data som:

• Navn på grundejer, lejer, virksomhedsleder eller anden kontaktperson
• Adresse
• Telefonnummer
• E-mailadresse
• CVR-nummer
• Fødselsdato og CPR-nummer til identifikation
• Matrikelnummer
• Ejerkode
• Bankoplysninger
• Referater af møder

Gennem indsamling og brug af disse data (kaldet databehandling) er Wind Estate underlagt en række forskellige love, der regulerer, hvordan sådanne aktiviteter kan udføres, samt hvilke sikkerhedsforanstaltninger, der skal være på plads.

1.   Grundlæggende definitioner i GDPR

De mest grundlæggende definitioner til brug for denne politik er som følger:

• Personoplysninger defineres som: enhver oplysning, der vedrører en identificeret eller identificerbar fysisk person (‘den registrerede‘); en identificerbar fysisk person er en person, der direkte eller indirekte kan identificeres, navnlig ved henvisning til en identifikator som et navn, et identifikationsnummer, lokaliseringsdata, en online-identifikator eller til en eller flere faktorer, der er specifikke for den fysiske, fysiologiske, genetiske, mentale, økonomiske, kulturelle eller sociale identitet for denne fysiske person.
• Databehandling defineres som: Enhver behandling eller sæt af behandlinger, der udføres på personoplysninger eller på et sæt af personoplysninger, uanset om det udføres ved hjælp af automatiserede midler, såsom indsamling, registrering, organisering, strukturering, opbevaring, tilpasning eller ændring, håndtering, høring, brug, videregivelse og offentliggørelse ved transmission, udbredelse eller anden form for tilgængeliggørelse, sammenstilling eller samkøring, begrænsning, tilpasning, sletning eller destruktion af data.
• Dataansvarlig defineres som: en fysisk eller juridisk person, offentlig myndighed, institution eller ethvert andet organ, der alene eller sammen med andre bestemmer formålene med og midlerne til behandlingen af personoplysninger; hvor formålene med og midlerne til sådan behandling er fastsat i EU-retten eller medlemsstaternes lovgivning, kan den dataansvarlige eller de specifikke kriterier for dens udpegning fastsættes i EU-retten eller medlemsstaternes lovgivning.
• Databeskyttelseskoordinator defineres som: en person inden for en organisation, der er ansvarlig for at administrere og overvåge implementeringen af databeskyttelsespolitikker og -praksis, herunder sikring af overholdelse af databeskyttelsesregler, håndtering af datarelaterede forespørgsler, koordinering af reaktioner på databrud samt vejledning og uddannelse af medarbejdere i spørgsmål om databeskyttelse.

2.   Principper for behandling af personoplysninger

Der er en række grundlæggende principper, som GDPR er baseret på.

1. Personoplysninger skal være:

a) behandlet lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (‘lovlighed, rimelighed og gennemsigtighed’)

b) indsamlet til specificerede, eksplicitte og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål; viderebehandling til arkivformål i samfundets interesse, videnskabelige eller historiske forskningsformål eller statistiske formål i overensstemmelse med GDPR anses ikke for at være uforenelig med de oprindelige formål (‘formålsbegrænsning’)

c) tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (‘dataminimering’)

d) korrekte, præcise og, når det er nødvendigt, ajourførte; der skal tages alle rimelige skridt for at sikre, at personoplysninger, der er unøjagtige i forhold til de formål, hvortil de behandles, slettes eller rettes uden unødig forsinkelse (‘nøjagtighed’)

e) opbevaret i en form, der muliggør identifikation af registrerede i en periode, der ikke er længere end nødvendigt for de formål, hvortil personoplysningerne behandles; personoplysninger kan opbevares i længere perioder, hvis de udelukkende behandles til arkivformål i samfundets interesse, videnskabelige eller historiske forskningsformål eller statistiske formål i overensstemmelse med GDPR, forudsat at passende tekniske og organisatoriske foranstaltninger er implementeret som krævet af forordningen for at beskytte de registreredes rettigheder og friheder (‘opbevaringsbegrænsning’)

f) behandlet på en måde, der sikrer passende sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod utilsigtet tab, ødelæggelse eller beskadigelse, ved hjælp af passende tekniske eller organisatoriske foranstaltninger (‘integritet og fortrolighed’).

2. Den dataansvarlige er ansvarlig for at sikre og kunne dokumentere overholdelse af ovenstående principper (‘ansvarlighed’).

Wind Estate vil sikre, at virksomheden overholder alle disse principper både i den nuværende behandling og som en del af implementeringen af nye metoder til databehandling, eksempelvis nye IT-systemer.

3.   Den registreredes rettigheder

Den registrerede har også rettigheder i henhold til GDPR. Disse består af:

• Ret til information
• Ret til indsigt i dokumenter
• Ret til berigtigelse
• Ret til sletning
• Ret til begrænsning af behandling
• Ret til dataportabilitet / at få data overført til en anden udbyder
• Ret til at gøre indsigelse mod behandling
• Rettigheder i forbindelse med automatiserede beslutninger og profilering.

Hver af disse rettigheder understøttes af passende procedurer hos Wind Estate, som fastlægger de nødvendige foranstaltninger og tidsfrister, der skal overholdes. Disse tidsrammer er angivet nedenfor.

 4.   Lovlig behandling / Retsgrundlag

I henhold til GDPR er der seks alternative måder at opnå et lovligt grundlag for databehandling. Det er Wind Estates politik at identificere det juridiske grundlag for hver enkelt databehandlingsaktivitet og at dokumentere dette. De forskellige muligheder beskrives kort i de følgende afsnit.

4.1.  Samtykke

Medmindre der kan findes et andet retsgrundlag, vil Wind Estate altid søge at indhente eksplicit samtykke fra de registrerede til at indsamle og behandle deres data.

Samtykket gives på baggrund af transparant information om vores anvendelse af personoplysninger. Derudover giver vi oplysninger om de registreredes rettigheder, såsom retten til at trække samtykket tilbage. Disse oplysninger vil blive leveret i et tilgængeligt format, skrevet i et klart og enkelt sprog, på det tidspunkt hvor samtykket indhentes.

Hvis personoplysninger ikke indhentes direkte fra den registrerede, og behandlingen skal baseres på samtykke, skal oplysningerne gives til den registrerede inden for en rimelig periode efter modtagelsen af dataene, helst inden for én måned.

4.2.  Opfyldelse af en aftale/kontrakt

Hvis behandling er nødvendig for opfyldelsen af en kontrakt, som den registrerede er part i, eller hvis behandling er nødvendig for at gennemføre foranstaltninger på den registreredes anmodning før indgåelsen af en kontrakt, er eksplicit samtykke ikke påkrævet.

Denne mulighed anvendes ofte som retsgrundlag, når kontrakten eller aftalen ikke kan gennemføres uden de pågældende personoplysninger – for eksempel er det klart, at en levering ikke kan foretages uden en leveringsadresse.

Wind Estate gør stor brug af dette retsgrundlag, da projekter har en varighed på op til 40 år, svarende til vindmøllernes levetid. Det er derfor nødvendigt at opbevare både e-mailkorrespondance og projektmaterialer for at dokumentere, hvad der er aftalt med hvem. Disse registreringer indeholder kun minimale almindelige personoplysninger (såsom navn og adresse), som ofte også er offentligt tilgængelige online. Ingen følsomme personoplysninger behandles.

Ligeledes behandles medarbejderdata på baggrund af kontraktopfyldelse.

4.3.  Juridisk forpligtelse

Hvis personoplysninger indsamles og behandles for at overholde lovgivningen, er eksplicit samtykke ikke nødvendigt. Dette kan f.eks. være tilfældet, når data vedrører beskæftigelse og skat eller forskellige områder inden for den offentlige sektor.

Wind Estate er juridisk forpligtet til at føre ejerregistre og ejerbøger samt til at rapportere visse oplysninger om medarbejdere til myndighederne.

4.4. Vital interesse for den registrerede

I tilfælde, hvor behandling af personoplysninger er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser, er eksplicit samtykke ikke påkrævet. Vitale interesser dækker primært interesser relateret til liv og helbred.

Wind Estate sikrer rimelig og dokumenteret evidens for, at dette er tilfældet, når dette retsgrundlag anvendes. Eksempler på dette kan være inden for social omsorg, især i den offentlige sektor.

Wind Estate har ingen databehandling, der anvender vitale interesser som retsgrundlag.

4.5. Opgave i samfundets interesse

Hvis Wind Estate skal udføre en opgave, som vurderes at være i samfundets interesse eller som led i en offentlig myndighedsopgave, er samtykke ikke nødvendigt. Wind Estate vil i sådanne tilfælde fremlægge rimelig og dokumenteret evidens for dette.

Wind Estate har ingen databehandling, der anvender samfundets interesse som retsgrundlag.

4.6.  Legitim interesse/afvejning af interesser

Hvis behandling af personoplysninger vurderes at være i Wind Estates legitime interesse, og behandlingen ikke vurderes at påvirke den registreredes rettigheder og friheder væsentligt, er eksplicit samtykke ikke påkrævet.

Wind Estate har en legitim interesse i at opbevare e-mailkorrespondance og projektmaterialer på ubestemt tid. Wind Estate har udarbejdet rimelig og dokumenteret evidens for, at dette er tilfældet.

Derudover har Wind Estate en legitim interesse i at behandle forskellige typer oplysninger om medarbejdere samt i at behandle data, der indsamles i forbindelse med rimelige sikkerhedsforanstaltninger i virksomheden.

5.   Indbygget datasikkerhed

Wind Estate har implementeret princippet om datasikkerhed og privatliv som standard i alle nye og væsentligt ændrede systemer eller processer.

6.   Aftaler vedrørende behandling af personoplysninger

Wind Estate vil sikre, at alle relationer, der involverer behandling af personoplysninger, er underlagt en dokumenteret aftale, der indeholder de specifikke oplysninger og vilkår, som kræves i henhold til GDPR.

7.   Internationale overførsler af personoplysninger

Overførsler af personoplysninger uden for EU og Storbritannien vil blive nøje gennemgået, inden overførslen finder sted, for at sikre, at de er i overensstemmelse med GDPR. Dette afhænger blandt andet af Europa-Kommissionens vurdering af, om der er tilstrækkelige garantier for personoplysninger i modtagerlandet, hvilket kan ændre sig over tid.

8.   Ansvar for databeskyttelse

Da Wind Estates primære kerneaktiviteter ikke involverer behandling af personoplysninger eller kun minimal behandling, er der ikke krav om at udpege en databeskyttelsesrådgiver (DPO). Det overordnede ansvar for databeskyttelse, overholdelse og databeskyttelsespolitikker ligger derfor hos Wind Estate som dataansvarlig, understøttet af en dedikeret Databeskyttelseskoordinator, der sikrer løbende overholdelse af lovgivningsmæssige krav og bedste praksis.

9.   Sikkerhedsbrud

Et sikkerhedsbrud er en hændelse, der fører til utilsigtet eller ulovlig ødelæggelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger.

Det er Wind Estates politik at finde en retfærdig og passende balance ved vurdering af tiltag for at informere berørte parter om brud på personoplysninger. Balancen skal tage hensyn til, om der er risiko for fysisk, materiel eller moralsk skade for de registrerede, mængden af data og risikoniveauet.

Hvis der opdages et brud, som sandsynligvis vil medføre en risiko for de registrerede, skal Datatilsynet (eller anden relevant tilsynsmyndighed) underrettes inden for 72 timer.

Dette vil blive håndteret i overensstemmelse med Wind Estates Procedure for håndtering af databrud, som fastlægger den overordnede proces for håndtering af sikkerhedshændelser.

10.Tiltag for overholdelse af GDPR

Følgende tiltag er implementeret for at sikre, at Wind Estate til enhver tid overholder ansvarlighedsprincippet under GDPR:

• Det juridiske grundlag for behandling af personoplysninger er klart, entydigt og dokumenteret i dokumentet “Registrering af behandlingsaktiviteter”.
• Regler for samtykke overholdes.
• Vejledning er tilgængelig for registrerede, der ønsker at udøve deres rettigheder vedrørende anmodninger om indsigt i personoplysninger, og sådanne anmodninger behandles effektivt.
• Procedurer, der involverer personoplysninger, revurderes regelmæssigt (årligt).
• Datasikkerhed og privatliv indbygges i designet for alle nye eller ændrede systemer og processer.
• Dokumentation for behandlingsaktiviteter og datastrømme er udarbejdet med fokus på:
  • Formålet med databehandling
  • Plan for sletning og opbevaring af data
  • Relevante tekniske og organisatoriske kontrolforanstaltninger

Disse tiltag revurderes regelmæssigt af vores Databeskyttelseskoordinator som en del af det løbende fokus på databeskyttelse. Politikken gennemgås og opdateres årligt eller efter behov for at sikre, at den forbliver relevant og effektiv.

Hvis du vil klage over vores brug af dine data, foretrækker vi at du kontakter os direkte i første omgang (compliance@windestate.com), så vi kan behandle din klage. Du kan dog også kontakte Datatilsynet via deres hjemmeside på www.datatilsynet.dk.

Version: 3.0
Dato: September 2024