Databeskyttelsespolitik
Denne Databeskyttelsespolitik fastlægger de overordnede principper for, hvordan vi indsamler og behandler personoplysninger på Frederiksborg Apotek (herefter også benævnt "vi", "os" og "vores").
Vi tager beskyttelsen af personoplysninger om vores kunder, vores egne ansatte samt andre personer, vi har relationer til, alvorligt. De der overlader deres personoplysninger til os, skal kunne have tillid til, at vi passer på deres oplysninger, og at vi overholder den til enhver tid gældende lovgivning om behandling af personoplysninger.
Lever vi ikke op til dette ansvar, vil det gøre skade, ikke blot på de personer vi behandler oplysninger om, men også på vores troværdighed.
Dertil kommer at overtrædelse af persondatareglerne kan straffes med bøder på op til 4 % af vores globale omsætning eller Euro 20 mio.
Det er derfor magtpåliggende for Frederiksborg Apotek at vi, vores ledelse og alle vore ansatte, samt andre der behandler oplysninger på vores vegne, gør sig bekendt med og overholder de retningslinjer, der er gengivet i denne Databeskyttelsespolitik.
Tilsidesættelse og manglende overholdelse af denne Databeskyttelsespolitik vil blive anset for en væsentlig overtrædelse af dine forpligtelser, og kan medføre disciplinære sanktioner, og ophør af ansættelsesforhold.
For Frederiksborg Apotek er det et grundlæggende krav, at vi altid sikrer, at vores behandling af personoplysninger sker i overensstemmelse med de regler om behandling af persondata, vi er underlagt, herunder men ikke begrænset til Databeskyttelsesforordningen (EU Forordning 2016/679) og Databeskyttelsesloven (Lov nr. 502 af 23. maj 2018) (herefter tilsammen "Databeskyttelseslovgivningen").
Vi vil indrette vores virksomhed og vores driftsaktiviteter, så vi understøtter en overholdelse af Databeskyttelseslovgivningen, og således at vi altid er i stand til at påvise, at vores behandling af personoplysninger er i overensstemmelse med Databeskyttelseslovgivningen.
Vi vil prioritere persondatabeskyttelse som en af vore væsentligste værdier, og vi vil inddrage databeskyttelsesprincipper i tilrettelæggelsen af, og som standard for vores driftsaktiviteter, herunder vil vi begrænse vores indsamling og behandling af persondata til, hvad der er nødvendigt, og implementere passende tekniske og organisatoriske foranstaltninger for at sikre, at kun personoplysninger, der er nødvendige til hvert specifikt formål med behandlingen, behandles, og at de registreredes rettigheder beskyttes ("Privacy by design and default").
Hvem er databeskyttelsespolitikken rettet til?
Nærværende politik retter sig til alle ansatte hos Frederiksborg Apotek og andre, der behandler oplysninger på vores vegne.
Databeskyttelsespolitikken gælder i tillæg til andre instruktioner og politikker, vi har udstedt i vores DDKM, og som ligger under punktet 1.4 Datasikkerhed og -fortrolighed, der etablerer rammerne for vores generelle IT- og persondatasikkerhed.
Hvem er ansvarlig for denne politik?
Nærværende Databeskyttelsespolitik er udarbejdet og godkendt af apoteker Troels Ingemann og souschef Birgitte Adriansen.
Den persondataansvarlige er apoteker Troels Hansen (apotekeren.) Hans opgaver er:
- At vejlede og bistå vores ansatte med besvarelse af tvivlsspørgsmål om behandling af persondata.
- At monitorere vores og vores ansattes overholdelse af denne Databeskyttelsespolitik samt databeskyttelseslovgivningen i øvrigt.
- At være kontaktperson for alle eksterne henvendelser med relation til behandling af persondata, herunder fra de personer, der behandles oplysninger om, samt Datatilsynet og andre offentlige myndigheder, der påser virksomheders overholdelse af lovgivningens krav.
Kontaktoplysninger: Troels Hansen tlf.48265600, mail th@apoteket.dk
Hvilke oplysninger
Retningslinjerne i denne Databeskyttelsespolitik gælder alle personoplysninger, som vi indsamler og behandler. Personoplysninger er enhver form for information om en identificeret eller identificerbar fysisk person.
Databeskyttelsespolitikken gælder alle personoplysninger:
- uanset om oplysningerne gives af den pågældende person selv, eller er indhentet fra andre kilder, herunder offentligt tilgængelige oplysninger,
- uanset hvilken form eller mediepersonoplysningerne opbevares på, herunder skrift, billede, lyd, elektronisk eller på anden vis,
- uanset om personoplysningerne relaterer sig til nuværende eller tidligere kunder, kunders ansatte, vores egne ansatte, hjemmesidebrugere, personer hos vores leverandører eller andre forretningsforbindelser, samt andre personer, vi har relationer til eller behandler oplysninger om, og
- uanset om vi behandler oplysningerne som dataansvarlig eller databehandler.
Grundlæggende principper for behandling af personoplysninger
Frederiksborg Apotek og alle virksomhedens ansatte skal altid leve op til følgende helt grundlæggende principper for behandling af personoplysninger:
- Vi indsamler og behandler kun personoplysninger, når det er lovligt og rimeligt, og altid med størst mulig gennemsigtighed for den person, vi behandler oplysninger om. Vi er åbne om den behandling af personoplysninger, vi foretager.
- Vi indsamler og behandler kun personoplysninger til udtrykkelige og legitime formål. Har vi ikke noget relevant formål med en given personoplysning, indsamler vi den ikke, eller vi sletter den.
- Oplysninger, vi har indsamlet, behandler vi ikke efterfølgende til formål, der vil være uforeneligt med indsamlingsformålet.
- Vi indsamler og behandler kun oplysninger, som er nødvendige og relevante for de formål, vi indsamler oplysninger til. Vi tilstræber at minimere omfanget af data, vi indsamler, til hvad der er tilstrækkeligt til formålet.
- Vi udfolder bestræbelser på at sikre, at de personoplysninger, vi indsamler, er korrekte og holder dem ajour. Konstaterer vi, at personoplysninger er ukorrekte, vil vi berigtige eller slette dem.
- Vi opbevarer ikke personoplysninger i længere tid end vi har brug for. Når formålet er udtømt, og vi ikke længere har en saglig grund til fortsat at opbevare personoplysninger, vil vi slette dem på en sikker måde.
- Vi vil behandle personoplysninger på en sikker måde, og beskytter personoplysninger mod at komme til uvedkommendes kendskab – også internt – samt mod hændeligt tab, tilintetgørelse eller beskadigelse.
Databeskyttelseslovgivningen stiller krav om, at personoplysninger kun indsamles og behandles i det omfang, der kan anvises en relevant hjemmelsbestemmelse i Databeskyttelseslovgivningen. Kan der ikke anvises en hjemmel, er indsamling og behandling ulovlig.
I relation til de personoplysninger, vi hovedsageligt indsamler og behandler på apoteket, vil hjemlen oftest skulle grundes på:
- at den pågældende person ved sin frivillige, specifikke, informerede og utvetydige viljestilkendegivelse har givet sit samtykke til behandlingen.
- at behandling er nødvendig for at indgå eller opfylde en kontrakt, som den pågældende er part i.
- at behandling er nødvendig for at overholde en retlig forpligtelse, som vi er underlagt.
- at behandling er nødvendig for at beskytte den pågældendes eller en anden fysisk persons vitale interesser.
- at behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som vi har fået pålagt.
For visse særlige kategorier af oplysninger er det vanskeligere at finde en relevant hjemmel. Disse særlige kategorier er personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering.
Disse kategorier af oplysninger skal vi som udgangspunkt ikke indsamle.
Vi kan dog i visse tilfælde have et sagligt og relevant formål med at indsamle oplysninger om en persons helbred eller fagforeningsmæssige tilhørsforhold. I de tilfælde kan vi kun indsamle og behandle oplysningen, hvis:
- den pågældende person ved sin frivillige, specifikke, informerede og udtrykkelige viljestilkendegivelse har givet sit samtykke til behandlingen,
- behandling er nødvendig for, at vi kan overholde vores arbejds-, sundheds- og socialretlige forpligtelser, for så vidt den har hjemmel i lov eller en kollektiv overenskomst,
- behandling er nødvendig for at beskytte den pågældendes eller en anden fysisk persons vitale interesser i tilfælde, hvor den pågældende fysisk eller juridisk ikke er i stand til at give samtykke.
- behandling er nødvendig, for at retskrav kan fastlægges, gøres gældende eller forsvares.
Vi indsamler og behandler kun en persons CPR-nr., når:
- det følger af lov, at vi skal eller må behandle CPR-nr., eksempelvis for at kunne foretage pligtige indberetninger til offentlige myndigheder.
- betingelserne for behandling af særlige kategorier af personoplysninger er opfyldt, jfr. pkt. 7.5, eller
- den pågældende person har givet os sit samtykke.
Det er af afgørende betydning, at der ikke indsamles og behandles oplysninger, hvis der ikke kan anvises en hjemmel som beskrevet ovenfor. I alle tvivlstilfælde skal man rådføre sig med apotekeren forinden indsamling og/eller behandling iværksættes.
Med henblik på at sikre, at et indhentet samtykke opfylder lovgivningens krav, har vi udarbejdet visse standardsamtykkeformularer. I de tilfælde, hvor der er udarbejdet en formular, er det pligtigt at anvende formularen. Vær sikker på, at samtykkeformularer udfyldes korrekt. Læs den tilhørende vejledning til formularen inden du gør brug af den.
Vi tilstræber at have størst mulig gennemsigtighed om vores indsamling og behandling af personoplysninger. De personer, vi behandler oplysninger om, skal vide, hvilke oplysninger vi behandler til hvilke formål. Der skal gives oplysninger, hvad enten vi modtager oplysningerne fra personen selv, eller indsamler fra andre kilder.
Databeskyttelseslovgivningen kræver, at vi giver oplysning om:
- Hvem vi er, og hvordan vi kan kontaktes
- Formålene med den behandling, vi ønsker at indsamle personoplysninger til, samt med hvilken hjemmel vi kan foretage behandlingen
- Hvilke kategorier af oplysninger vi behandler
- Eventuelle modtagere eller kategorier af modtagere af personoplysningerne
- Om vi har intention om at overføre personoplysninger til en modtager uden for EØS, og i givet fald på hvilket grundlag.
- I de fleste tilfælde vil der også skulle gives oplysning om:
- Hvor længe vi vil behandle personoplysningerne
- Hvilke legitime interesser, vi forfølger med behandlingen
- Hvilke rettigheder den pågældende har (se nærmere i pkt. 9)
- Hvorfra vi har oplysningerne (når de ikke er indsamlet fra den pågældende selv), herunder om oplysningerne stammer fra offentligt tilgængelige kilder
- Forekomsten af automatiske afgørelser (uden menneskelig indgriben)
- Oplysningerne vil skulle gives samtidigt med indsamlingen af oplysninger fra den pågældende selv, og indenfor en rimelig frist, når oplysninger indsamles fra en anden kilde.
- Der er undtagelser til oplysningsforpligtelsen, men gør kun brug af disse undtagelser hvis det er godkendt af apotekeren.
Med henblik på at sikre, at vi korrekt og fyldestgørende giver de oplysninger, som lovgivningen kræver, har vi udarbejdet visse standardoplysningsformularer. I de tilfælde, hvor der er udarbejdet en formular, er det pligtigt at anvende formularen. Læs den tilhørende vejledning til formularen, inden du gør brug af den.
Rettigheder for de personer vi behandler oplysninger om
Personer, vi behandler oplysninger om, har en række rettigheder i henhold til Databeskyttelseslovgivningen. Det indbefatter blandt andet:
- Retten til at modtage oplysninger om vores indsamling og behandling af persondata (se nærmer i pkt. 8),
- Retten til at bede om indsigt i de personoplysninger, vi behandler om den pågældende,
- Retten til at få urigtige personoplysninger berigtiget af os,
- Retten til i visse situationer at få alle eller visse af deres personoplysninger slettet af os,
- Retten til under visse omstændigheder at begrænse behandlingen til opbevaring,
- Retten til at få visse personoplysninger, som den pågældende selv har givet os, udleveret i et struktureret, almindeligt anvendt og maskinlæsbar format og til at få overført disse oplysninger til en anden dataansvarlig,
- Retten til at gøre indsigelse mod vores behandling af personoplysninger, herunder en ubetinget ret til at gøre indsigelse mod behandling af personoplysninger til brug for direkte markedsføring,
- Retten til at tilbagekalde et meddelt samtykke, og
- Retten til at indgive en klage til Datatilsynet.
Vi vil bistå, lette og facilitere personers udøvelse af deres rettigheder, og besvare henvendelser uden unødig forsinkelse senest en måned efter modtagelsen af henvendelsen. Modtager du en henvendelse fra en person, vi behandler oplysninger om, skal du straks videregive henvendelsen til apotekeren.
Alle på Frederiksborg Apotek er underlagt tavshedspligt. Tavshedspligten gælder også internt, og vi deler ikke personoplysninger med kolleger – heller ikke uformelt - medmindre det er sagligt, relevant og nødvendigt for udførelsen af vores opgaver.
Tildelte brugernavne og passwords er personlige og må ikke deles med andre. Hjælp ikke andre med at tilgå oplysninger, de ikke selv har adgang til.
Ingen må tilgå eller på anden måde gøre sig bekendt med personoplysninger, som den pågældende ikke har brug for i relation til at udføre sine opgaver.
Ingen må behandle personoplysninger i strid med en given instruks eller i strid med denne Databeskyttelsespolitik. Enhver der måtte have den opfattelse, at en instruks er i strid med Databeskyttelseslovgivningen eller denne databeskyttelsespolitik, skal straks informere apotekeren.
Enhver har pligt til at beskytte persondata mod at komme til uvedkommendes kendskab, samt mod anden uautoriseret eller ulovlig behandling, og mod hændeligt tab, tilintetgørelse og beskadigelse.
Sørg for, at dokumenter og filer med personoplysninger bliver lagt i vores beskyttede sagsstyringssystemer. Undgå så vidt muligt at gemme personoplysninger lokalt på din pc, på USB-stik eller andre mobile medier, i din mailboks eller på åbne fællesdrev. Destruer printet materiale på en sikker måde.
Personoplysninger skal beskyttes mod at komme til uvedkommendes kendskab – også internt – og mod hændeligt tab, tilintetgørelse eller beskadigelse.
Vi har implementeret tekniske og organisatoriske sikkerhedsforanstaltninger, der ud fra en risikovurdering er passende i forhold til de behandlingsaktiviteter vi har, og de typer af personoplysninger, vi besidder. Vi vil løbende teste, evaluere og om nødvendigt tilpasse disse sikkerhedsforanstaltninger.
Det er dit ansvar at følge enhver instruks, vi giver i relation til behandling og beskyttelse af persondata, og du skal overholde de politikker og retningslinjer, vi har udarbejdet.
Konstaterer du, eller har du mistanke om, at personoplysninger ikke er omgærdet af de fornødne sikkerhedsforanstaltninger, eller at de anførte minimumskrav ikke overholdes, skal du straks informere apotekeren.
Anmeldelse af brud på persondatasikkerheden
Vi har en forpligtelse til at anmelde brud på persondatasikkerheden til Datatilsynet senest 72 timer efter, at vi er blevet bekendt med bruddet. Sikkerhedsbrud, hvor personoplysninger er kommet til uvedkommendes kendskab, kan have store konsekvenser for de berørte personer. Derfor har vi også en forpligtelse til at underrette de berørte personer, når bruddet indebærer en høj risiko for de berørte personers sikkerhed og rettigheder.
Et brud på persondatasikkerheden er enhver hændelse, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, uanset om det berør transmitterede, opbevarede eller på anden måde behandlede personoplysninger.
Er du årsag til, konstaterer du, eller har du blot mistanke om, at der er sket et brud på persondatasikkerheden, er du forpligtet til at gøre, hvad du kan for at standse eller begrænse bruddet og dets konsekvenser, samt straks at informere apotekeren om bruddet, og på enhver måde bistå med at standse, reducere eller på anden måde håndtere bruddet, herunder for at begrænse mulige skadevirkninger, samt i øvrigt stå til rådighed for apotekeren, således at vi overholder vore forpligtelser i henhold til Databeskyttelseslovgivningen.
Overførsel til lande uden for EØS
Overførsel af personoplysninger til lande uden for EØS – dvs. uden for EU- medlemslande, samt Norge, Island og Liechtenstein - kræver, at der er etableret et særligt overførselsgrundlag. Overførsel omfatter både overdragelse til en dataansvarlig, overladelse til en databehandler og det forhold, at nogen i et land udenfor EØS kan tilgå oplysningerne.
Vi forventer, at vi kun undtagelsesvist vil have behov for at overføre personoplysninger til et land uden for EØS.
Hvis der undtagelsesvist er behov for overførsel af oplysninger til et land uden for EØS, sørger vi for, at der er tilvejebragt det fornødne overførselsgrundlag, der sikrer, at de overførte personoplysninger også behandles sikkert i modtagerlandet.
Et overførselsgrundlag kan bestå i a) at EU Kommissionen har vurderet, at det pågældende land har tilvejebragt et tilstrækkeligt beskyttelsesniveau, b) at modtageren er certificeret i henhold til EU US Privacy Shield (modtagere i USA), eller c) at der med modtageren er indgået en aftale om databeskyttelse som er godkendt af EU Kommissionen (EU Model Kontrakt) eller af en anden kompetent myndighed. Uden for disse tilfælde må der ikke overføres oplysninger til et land uden for EØS uden godkendelse af apotekeren.
Dataansvarlig og databehandler
Vores forpligtelser efter Databeskyttelseslovgivningen varierer alt efter, om vi optræder som dataansvarlig eller databehandler.
En dataansvarlig er den fysiske eller juridiske person mv., der bestemmer med hvilke formål personoplysningerne må behandles, og hvordan personoplysningerne må behandles, herunder af hvem personoplysningerne må behandles.
En databehandler er en fysisk eller juridisk person mv., der behandler personoplysninger på vegne af den dataansvarlige. Databehandleren bestemmer i modsætning til den dataansvarlige hverken, hvordan eller med hvilke formål, der må behandles personoplysninger.
Når vi, som led i vores virksomhed, modtager persondata om vores egne ansatte, samarbejdspartneres og leverandørers ansatte, vil vi oftest være dataansvarlig, eftersom vi hverken handler efter instruks fra kunden, samarbejdspartneren eller leverandøren. I denne situation er det vores ansvar, at der er fornøden hjemmel i Databeskyttelseslovgivningen til behandlingen af personoplysninger, og det er vores ansvar, at den ansatte har fået de oplysninger, den ansatte har krav på efter Forordningen.
Vi gør kun brug af databehandlere, der kan stille de fornødne garantier for, at de vil gennemføre passende tekniske og organisatoriske foranstaltninger, således at persondatabehandlingen opfylder kravene i Databeskyttelseslovgivningen og denne Databeskyttelsespolitik.
Inden vi indgår aftale med en databehandler, vil vi bede databehandleren redegøre for de sikkerhedsforanstaltninger, der er truffet både hos databehandleren selv og dennes underdatabehandlere, og sikre os at Databeskyttelseslovgivningens krav er opfyldt, og at sikkerhedsforanstaltningerne er passende i forhold til personoplysningernes art og behandlingsaktiviteternes karakter.
En databehandlers behandling af personoplysninger, som vi har ansvaret for, skal altid være reguleret af en skriftlig databehandleraftale, der sikrer, at databehandleren alene handler efter vores instruks, ikke vil gøre brug af data til andre formål og i øvrigt lever op til de krav, der stilles af Databeskyttelseslovgivningen.
Når vi er databehandler, sikrer vi, at vi ikke behandler personoplysninger i strid med den dataansvarliges instruks, og vi beskytter den dataansvarliges personoplysninger med samme styrke, som vi beskytter vore egne.
For at sikre, at vores databehandling sker efter aftaler, der opfylder Databeskyttelseslovgivningens krav, har vi udfærdiget en standard databehandleraftale, der regulerer vores behandling.
Vi vil sikre, at nyansatte modtager information om og træning i at overholde denne Databeskyttelsespolitik og Databeskyttelseslovgivningen. Vi vil med mellemrum arrangere træning og informationsmøder for alle ansatte, med henblik på at genopfriske deres viden om persondatabeskyttelse, informere om nye regler og krav, samt dele vores fælles erfaringer med behandling af persondata, så vi vedvarende sikrer, at Frederiksborg Apotek lever op til de krav, der stilles i Databeskyttelseslovgivningen.
Vi vil sikre, at alle ændringer til denne Databeskyttelsespolitik bliver udbredt i hele organisationen, således at alle ansatte til enhver tid er blevet gjort bekendt med den seneste version af Databeskyttelsespolitikken.
- At gøre dig bekendt med og overholde denne Databeskyttelsespolitik, og løbende gøre dig bekendt med ændringer heri.
- At vide hvad persondata er.
- At rette alle tvivlsspørgsmål til apotekeren.
- At være bekendt med og overholde alle grundlæggende principper for behandling af persondata.
- At vide og overholde, at vi ikke indsamler og behandler data uden hjemmel.
Har du mistanke om, at vi ikke har hjemmel til en given behandling af personoplysninger, skal du informere
Medvirke til, at vi udviser størst mulig gennemsigtighed omkring vores behandling af personoplysninger, og sikre dig, at personer modtager oplysninger om vores indsamling og behandling af personoplysninger.
Være bekendt med personers rettigheder, og bistå personer med udnyttelsen heraf, herunder ved at videresende alle anmodninger til
Medvirke til at beskytte personoplysninger mod at komme til uvedkommendes kendskab, og mod hændeligt tab, tilintetgørelse eller beskadigelse, herunder ved at overholde alle instrukser og interne retningslinjer vedr. datasikkerhed.
Så vidt muligt hindre brud på persondatasikkerheden, og straks underrette apotekeren, hvis du bliver bekendt med eller har mistanke om, at der er sket et brud på persondatasikkerheden.
At deltage i de træning og informationsmøder vi tilbyder, og løbende holde dig bevidst om kravene til persondatabehandling.