Formål

Denne fortrolighedspolitik gælder for Allderma AB (559156—4322) og/eller enhver anden virksomhed, der er en del af samme koncern som ovennævnte virksomhed (herefter “Allderma, vi, vores, os).

Fortrolighedspolitikken er vedtaget af ledelsen og opdateres efter behov. Politikken udgør generel information om, hvordan virksomheden behandler interne og eksterne personoplysninger.

Personoplysninger håndteres inden for virksomheden og dens aktiviteter. Dataene behandles blandt andet for at sætte virksomheden i stand til at opfylde indgåede kontrakter med kunder, leverandører og medarbejdere samt på grund af lovmæssige forpligtelser. Som udgangspunkt er Alldermas kunder den dataansvarlige for al behandling af personoplysninger, der foretages i henhold til kontrakter mellem os og vores kunder. Til en sådan behandling indgår virksomheden databehandleraftaler med sine kunder og behandler oplysningerne efter instruktioner fra og på vegne af kunden.

Denne generelle fortrolighedspolitik (“Privatlivspolitik„) gælder, når vi behandler personoplysninger til egen regning, dvs. når Allderma er dataansvarlig. Denne fortrolighedspolitik gælder for alle medarbejdere og ansat personale i vores virksomhed, herunder ledelse, officerer, medarbejdere og andre personer, der handler for eller på vegne af virksomheden.

Det overordnede formål med denne fortrolighedspolitik er at fastlægge roller og ansvar inden for vores organisation samt at fastlægge de standarder og principper, der skal sikre, at indsamling og behandling af personoplysninger i virksomheden udføres i overensstemmelse med gældende databeskyttelseslovgivning (som defineret nedenfor).

‍

Definitioner

Behandling (af personoplysninger) er enhver handling eller række handlinger, der træffes vedrørende personoplysninger, uanset om de er automatiserede eller ej, såsom indsamling, registrering, tilrettelæggelse, opbevaring, behandling, ændring, begrænsning, justering, sletning eller destruktion, videregivelse ved transmission, formidling eller anden levering af data, kompilering eller sammenkobling.

Behandlingsoptegnelser henviser til det register over behandlingsoperationer, som Allderma er forpligtet til at opbevare til behandling af personoplysninger i henhold til art. 30i GDPR.

Databeskyttelseslovgivning henviser til Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (GDPR) og enhver anden national eller europæisk lov, forordning eller direktiv, der fra tid til anden gælder for Selskabets behandling af personoplysninger.

Personlige data er alle oplysninger vedrørende en identificeret eller identificerbar fysisk person, der er i live. Identificerbar fysisk person: en person, der direkte eller indirekte kan identificeres, navnlig ved henvisning til en identifikator såsom et navn, identifikationsnummer, lokaliseringsdata eller onlineidentifikatorer eller en eller flere faktorer, der er specifikke for den fysiske persons fysiske, fysiologiske, genetiske, psykologiske, økonomiske, kulturelle eller sociale identitet.

Dataansvarlig er den juridiske person, der alene eller sammen med andre bestemmer formålene og midlerne til behandlingen af personoplysninger.

Persondatabehandler er en juridisk enhed, der behandler personoplysninger på vegne af den dataansvarlige, f.eks. Alldermas leverandører.

Tilsynsmyndighed for beskyttelse af personlige oplysninger (IMY) foretage kontrol på grundlag af klager fra enkeltpersoner, data i massemedierne eller på eget initiativ. Foranstaltningerne omfatter feltinspektioner og inspektioner ved hjælp af spørgeskemaer eller anden kontrol via e-mail, telefon eller brev.

‍

Grundlæggende principper for Alldermas personuppgavebehandling

Vi skal til enhver tid overholde gældende databeskyttelseslovgivning, når vi behandler personoplysninger.

Vi behandler kun personoplysninger på en lovlig, korrekt og gennemsigtig måde i forhold til den registrerede og den dataansvarlige. Det betyder blandt andet, at vores behandling af personoplysninger skal overholde følgende grundlæggende principper:
‍

• Dokumenteret persondataansvar: For hver behandling af personoplysninger, hvor vi fastlægger formål og midler, skal der være en eller flere virksomheder inden for virksomheden, der er blevet anset for at være dataansvarlige. Ansvaret for behandlingsaktiviteter, hvor virksomheder inden for virksomheden er dataansvarlige, skal dokumenteres i databehandlingsregistret.
• Juridisk lavvandetEnhver behandling af personoplysninger skal ske på grundlag af et dokumenteret retsgrundlag.
• Formålsbegrænsning: Oplysningerne indsamles til specifikke, udtrykkeligt angivne formål og må ikke efterfølgende behandles på en uforenelig måde.
• Opgaveminimering: Der indsamles kun personoplysninger, der er tilstrækkelige, relevante og ikke for omfattende i forhold til formålet.
• Korrekthed: Dataene skal være nøjagtige og ajourførte, og det skal være muligt at spore ændringer.
• Opbevaringsminimering: Oplysningerne opbevares ikke længere, end det er nødvendigt i forhold til formålet.
• Fortrolighed: Personoplysninger skal beskyttes ved hjælp af passende tekniske og organisatoriske sikkerhedsforanstaltninger for at forhindre uautoriseret eller uautoriseret behandling og tab, ødelæggelse eller forvrængning af oplysningerne.

‍

Når behandlingen af personoplysninger er lovlig

Generelle oplysninger om retsgrundlag

Behandling af personoplysninger er kun lovlig, hvis mindst en af følgende betingelser er opfyldt:

• Den registrerede har har givet deres samtykke behandlingen af hans/hendes personoplysninger til et eller flere specifikke formål.
• Behandlingen er nødvendigt for at opfylde et faldl, hvor den registrerede er part, eller at træffe foranstaltninger efter anmodning fra den registrerede forud for indgåelsen af en sådan aftale.
• Behandlingen er nødvendigt for at opfylde en juridisk forpligtelse Det er den dataansvarliges ansvar.
• Behandling er nødvendig for at beskytte interesser, der er af grundlæggende betydning for den registrerede eller for en anden fysisk person.
• Behandlingen er nødvendig for udførelsen af en opgave af almen interesse eller som led i den dataansvarliges udøvelse af myndighed.
• Behandlingen er nødvendige til formål, der vedrører den dataansvarliges eller en tredjeparts legitime interesser medmindre den registreredes interesser eller grundlæggende rettigheder og friheder opvejer og kræver beskyttelse af personoplysninger.

Retsgrundlaget for vores behandling af personoplysninger fastlægges og dokumenteres i den dataansvarliges behandlingsregister. I tilfælde af usikkerhed skal der foretages konsultation med Alldermas General Privacy Manager (GPM).

‍

Retsgrundlag for behandling af personoplysninger i forbindelse med rekruttering

Behandlingen er nødvendig for at kunne behandle ansøgningen fra den person, der ansøger om ansættelse hos os, og er baseret på det samtykke, du giver i forbindelse med ansøgningen. Vi har ingen interesse i at kende til fagforeningsmedlemskab, trosbekendelse, seksuel orientering, politiske synspunkter, sygdomme eller andre data, der er irrelevante for rekruttering.

For visse specifikke behandlinger i forbindelse med rekruttering kan du få brug for yderligere, supplerende eller anderledes oplysninger om individuel behandling af personoplysninger.

‍

Den registreredes rettigheder

Et grundlæggende aspekt af databeskyttelseslovgivningen er, at den indeholder visse lovbestemte og bindende rettigheder for registrerede, hvis personoplysninger behandles. Som dataansvarlig har Allderma en forpligtelse til at lette udøvelsen af deres rettigheder i henhold til GDPR.

Hvis en person ønsker at vide, hvilke data der er registreret om ham eller hende, eller hvis personen ønsker at udøve andre af sine rettigheder i henhold til GDPR, henvises du til Alldermas GPM.

Den registrerede har også ret til at tilbagekalde ethvert givet samtykke. Tilbagekaldelse af samtykke berører ikke lovligheden af behandling baseret på samtykke forud for tilbagekaldelsen.

Den registrerede har bl.a. ret til:

• Ret til indsigt af deres personoplysninger, hvilket betyder, at den registrerede har ret til at få bekræftelse på, om personoplysninger vedrørende den registrerede behandles, og i bekræftende fald også have adgang til personoplysningerne og visse yderligere oplysninger om behandlingen.
• Ret til dataportabilitet, hvilket betyder, at den registrerede under visse omstændigheder har ret til at få adgang til personoplysninger for at kunne overføre personoplysningerne til en anden dataansvarlig.
• Ret til berigtigelse, sletning eller begrænsning om behandlingen af deres personoplysninger og retten til at gøre indsigelse mod behandlingen.
• Ret til at klage til den nationale databeskyttelsesmyndighed (i Sverige IMY), hvis behandlingen af deres personoplysninger ikke overholder kravene i EU/EØS-databeskyttelseslovgivningen.
• Ret til at tilbagekalde samtykke hvis og i det omfang der er givet specifikt samtykke til en bestemt behandling.
• Indsigelsesret vedrørende interesseafvejning når behandlingen finder sted på grundlag af såkaldt interesseafvejning i overensstemmelse med artikel 6, stk. 1, litra f) i GDPR.
• Ret til at gøre indsigelse mod direkte markedsføring i behandlingen af deres personoplysninger. Derefter behandles personoplysningerne ikke længere til sådanne formål.

‍

Opbevaring og sletning af personoplysninger

I henhold til databeskyttelsesforordningen må personoplysninger ikke opbevares længere end tilladt ved lov eller på anden måde nødvendigt for de formål, som dataene behandles til. Data, der ikke længere må lagres, slettes og destrueres permanent (udtynding). Under særlige forhold kan udtynding udføres ved at anonymisere personoplysningerne i stedet for at ødelægge dem. Anonymisering betyder, at alle oplysninger, der gør det muligt at spore dataene til en registreret, slettes uigenkaldeligt.

Hvis der er specifikke love eller bestemmelser, der kræver opbevaring af personoplysninger i en bestemt periode, f.eks. i skatte-, regnskabs- eller hvidvasklovgivningen, gælder sådanne bestemmelser før den generelle databeskyttelsesforordning. Regnskabsloven fastsætter for eksempel, at regnskabsoplysninger skal opbevares i syv år fra det år, hvor regnskabsåret sluttede.

Hovedreglen inden for virksomheden er, at personoplysninger, der ikke er underlagt specifikke love eller regler (ud over den generelle databeskyttelsesforordning), skal slettes, når vi ikke længere har brug for dataene for at opfylde formålet med behandlingen.

‍

Sikkerhed i behandlingen af personoplysninger

Generel

Allderma træffer passende tekniske og organisatoriske foranstaltninger for at forhindre ødelæggelse, ændring eller forvrængning af personoplysninger. Det betyder, at der skal foretages en sikkerhedsvurdering fra sag til sag, og at forskellige processer/systemer kræver forskellige niveauer af sikkerhedsforanstaltninger afhængigt af oplysningernes følsomhed, risiko for indtrængen (og andre risici) og sårbarhed.

Risikoanalyse

Inden vi påbegynder behandlingen af personoplysninger, skal der foretages en indledende risikoanalyse for at tage stilling til:

‍

• passende tekniske og organisatoriske sikkerhedsforanstaltninger for den pågældende behandling på grundlag af en vurdering af informationsfølsomhed, relevante risici og sårbarhed
• Hvis behandlingen er tilpasset udefra og opfylder vores krav til privatlivets fred ved design og informationssikkerhed.
• hvis behandlingen sandsynligvis vil medføre en høj risiko for de registreredes rettigheder og frihedsrettigheder, f.eks. ved anvendelse af nye teknologier eller ved, at de registrerede ikke kan forventes at vide, at de underkastes behandling; Hvis der konstateres en sådan høj risiko, underrettes den ansvarlige person og afgør, om yderligere analyse i form af en konsekvensanalyse vedrørende databeskyttelse er nødvendig.

‍

Overførsel af personoplysninger

‍

Overførsel til persondatatilskud

Allderma kan overføre personoplysninger til en ekstern part, der behandler personoplysninger på vores vegne og som instrueret af os. En sådan ekstern part er en persondatabehandler for os og skal altid underskrive en bistandsaftale med Allderma. Alldermas General Privacy Manager (GPM) er ansvarlig for at sikre, at en sådan skabelon holdes opdateret i overensstemmelse med gældende databeskyttelseslovgivning fra tid til anden.

‍

Overførsel til parter med persondataansvar

Allderma kan overføre personoplysninger til en anden ekstern part, som har sit eget persondataansvar, forudsat at vi har et retsgrundlag for en sådan overførsel. Et sådant retsgrundlag kan for eksempel være, at overførslen udgør en juridisk forpligtelse for os, eller en kundeaftale, der giver os ret til at overføre dataene.

‍

Overførsel af personoplysninger til et tredjeland

Hvis og i det omfang vores behandling af personoplysninger indebærer overførsel af personoplysninger til, opbevaret eller på anden måde behandlet uden for EU/EØS, er yderligere foranstaltninger nødvendige for, at behandlingen er lovlig. Det er tilstrækkeligt, at personoplysningerne er tilgængelige fra et sted uden for EU/EØS, eller at en vis infrastruktur eller ressource er placeret uden for EU/EØS, for at yderligere handling kan være nødvendig. Ved overførsel af personoplysninger uden for EU/EØS-området skal den registrerede informeres om formålet med og omfanget af overførslen.

De foranstaltninger, vi træffer for at sikre, at behandling af personoplysninger uden for EU/EØS er lovlig, skal altid dokumenteres og godkendes af Alldermas General Privacy Manager (GPM).

‍

Myndighedens anmodning om oplysninger

Allderma og dets medarbejdere er forpligtet til at give oplysninger om vores behandling af personoplysninger og relaterede omstændigheder, hvis IMY anmoder om det. Andre myndigheder kan også have ret til at modtage oplysninger, der indeholder personoplysninger fra os, såsom den svenske håndhævelsesmyndighed, det svenske skattemyndighed eller det svenske miljøkriminalitetsmyndighed. Der kan også være en forpligtelse til at videregive oplysninger til politi eller anklagere i forbindelse med en strafferetlig efterforskning, idet oplysninger kun må videregives efter skriftlig anmodning fra efterforskningsembedsmanden eller anklageren.

Ud over regelmæssige og obligatoriske overførsler af personoplysninger til myndigheder, som vi har en juridisk forpligtelse til at indberette (f.eks. løndata til det svenske skattemyndighed og oplysninger om sygefravær til Försäkringskassan), videregives personoplysninger først til myndigheden efter samråd med Alldermas General Privacy Manager (GPM).

Alldermas General Privacy Manager (GPM) er ansvarlig for samarbejdet med IMY. Alle kontakter med IMY eller andre myndigheder vedrørende spørgsmål vedrørende behandling af personoplysninger på Alldermas vegne skal henvises til Alldermas General Privacy Manager (GPM).

‍

Rapportering

Alldermas General Privacy Manager (GPM) skal årligt eller efter behov rapportere til ledelsen om vores behandling af personoplysninger og desuden straks rapportere til ledelsen, hvis der opstår alvorlige mangler, privatlivsrisici eller problemer.

Rapporten skal indeholde resultaterne af overvågningen og kontrollen af personoplysninger udført i overensstemmelse med denne fortrolighedspolitik, herunder:

‍

• Hvis behandlingen er tilpasset udefra og opfylder vores krav til indbygget databeskyttelse (privacy by design) og informationssikkerhed.
• Antal brud på persondatasikkerheden
• Vores overholdelse af gældende databeskyttelseslovgivning og denne fortrolighedspolitik.
• enhver kontakt med Privacy Protection Authority; og
• Ændringer i gældende databeskyttelseslovgivning og tilsynspraksis vedrørende behandling af personoplysninger.

‍

Kontaktoplysninger

Hvis du har spørgsmål om behandlingen af dine personoplysninger, denne politik, eller hvis du ønsker at udøve dine rettigheder, der er beskrevet ovenfor, er du velkommen til at kontakte os som nedenfor.

‍

Allderma AB (559156-4322)

Boks 1890, 116 74, Stockholm

Telefonnummer: 010-889 93 10

Email: gpm@allderma.se

‍

Denne politik er godkendt af Allderma AB.

‍

Senest opdateret: 20-8-2025

‍