Som Habro Gruppens kunde eller samarbejdspartner kan du være tryg ved, at vi behandler dine personoplysninger ansvarsfuldt og til legitime formål.
Habro Gruppen har derfor vedtaget nærværende politik for beskyttelse og behandling af personoplysninger, som beskriver, hvorledes vi opbevarer og behandler dataene. Politikken skal samtidig sikre, at vi opfylder reglerne i Lov om behandling af Personoplysninger (Persondataloven), EU’s forordning og god skik på området.
Definition af Selskaberne i Habro Gruppen
Habro Holding a/s og samtlige selskaber i ind- og udland, som er hel eller del-ejet af Habro Holding a/s direkte eller indirekte, er omfattet af nærværende politik.
Selskaberne betegnes i denne politik som Habro Gruppen og er at betragte som en enhed i nærværende sammenhæng.
Definition af personoplysninger
I denne politik forstås ved ”personoplysninger” enhver form for information om en identificeret eller identificerbar person.
Vi opdeler personoplysningerne i følgende kategorier:
- Almindelige oplysninger
- Personfølsomme oplysninger, herunder CPR nummer
- Private oplysninger
En kunde defineres som en person, eller en tilknyttet person i en virksomhed, som har benyttet sig af Habro Gruppens produkter og services, herunder foretaget investering i investeringsprojekter, som er udbudt og/eller administreret af Habro Gruppen.
En samarbejdspartner defineres som en person, eller en tilknyttet person i en virksomhed, hvormed Habro Gruppen har en forretningsmæssig relation, herunder kommunikation om forretningsmæssige forhold vedrørende Habro Gruppens virksomhed, aktiviteter, produkter og services, eller samarbejdspartneres virksomhed, aktiviteter, produkter og services.
Det retlige og kontraktlige grundlag for opbevaringen og behandlingen af personoplysningerne
Vi opbevarer og behandler personoplysningerne som led i kontraktlige forhold, til lovgivningsbestemte formål, samt efter anmodning og efter samtykke fra den registrerede.
Anmodning og samtykke kan til enhver tid tilbagekaldes.
Opbevaring og behandling af personoplysninger
Personoplysningerne stammer fra de oplysninger, som vi har modtaget fra vores kunde eller samarbejdspartner, og/eller fra offentlige registre, som vi har lovmæssig adgang til og hjemmel til at registrere fra.
Vi opdaterer lejlighedsvist personoplysningerne for at sikre validiteten.
Personoplysningerne er nødvendige for udførelsen af de opgaver og services, som Habro Gruppen udfører, samt for at opfylde formålet med samarbejdet.
Vi sikrer, at indsamlingen, opbevaringen og behandlingen af personoplysninger sker med klart hjemmelsgrundlag, at det er relevant og til saglige formål, samt at det i fornødent omfang sker efter særskilt samtykke.
Vi har forretningsgange og procedurer, som sikrer, at denne politik implementeres i det praktiske arbejde i virksomheden, og at det løbende kontrolleres, at disse forretningsgange og denne politik overholdes.
Vi opbevarer kun de personoplysninger, som er nødvendige for udførelsen af vores arbejdsopgaver. Vi sletter de personoplysninger, som ikke længere er relevante eller nødvendige for udførelsen af vores opgaver.
Vi sletter personoplysninger vedrørende kunderne (investorerne) i de administrerede projekter fem år efter ophør af projektet, eller når projektet i fem år ikke har været i vores administration. Vi gemmer oplysninger i fem år for at sikre, at det er muligt at dokumentere forhold og besvare spørgsmål i forbindelse med vores administration – eksempelvis i forbindelse med ansvarssager.
Vi sikrer, at adgangen til private personoplysninger er begrænset til de personer, som er nødt til at have adgang for at kunne udføre deres arbejde. Øvrige ansatte i Habro Gruppen har ikke adgang til private personoplysninger.
Markedsføring
Personoplysningerne anvendes lejlighedsvist efter samtykke fra den registrerede til markedsføring af Habro Gruppens investeringsprojekter, produkter, tjenester og services overfor den registrerede.
Vi hverken udleverer eller sælger personoplysninger til markedsføringsmæssige formål.
Deling af persondata
Vi kan dele personoplysninger mellem virksomheder inden for Habro Gruppen, idet alle disse virksomheder er forpligtede til at overholde denne politik.
Vi udleverer og udveksler som led i vores arbejde lejlighedsvist personoplysninger med offentlige myndigheder, andre virksomheder og databehandlere.
Vi sikrer os, at dataudleveringen er relevant, at det sker på et lovformeligt grundlag, og at de pågældende virksomheder er forpligtede til at behandle personoplysningerne med fortrolighed.
Hvis personoplysningerne overføres til modtagere, der foretager behandling af personoplysningerne på vegne af Habro Gruppen og/eller videregiver disse, skal modtageren indgå i en underdata-behandlingsaftale, før personoplysningerne videregives.
De eksterne parter har et eget ansvar for overholdelse af Persondatalovens bestemmelser, og Habro Gruppen påtager sig således ikke ansvar for disses eventuelle fejl og misbrug, samt berigtigelsen heraf.
I det omfang, vi benytter os af underleverandører til at levere ydelser og services, som vi er forpligtede til under selskabsadministrationsaftalen med det enkelte selskab, hæfter vi for underleverandørernes ydelser på samme måde som for egne forhold.
Deling og udlevering af personfølsomme oplysninger og private oplysninger sker, uanset modtager og formål, i et sikkert elektronisk format, pr. kurer eller anden sikker leveringsform.
Habro Gruppens personale
Habro Gruppens personale har tavshedspligt i forhold til de personoplysninger, som de bliver bekendt med i deres ansættelse hos Habro Gruppen.
Personalet er informeret om persondatalovens bestemmelser, Habro Gruppens persondatahåndbog, samt Habros politikker og forretningsgange på området.
Endvidere er personalet orienteret om Habro Gruppens sikkerhedsprocedurer, herunder forpligtelsen til at foretage berigtigelse af fejl og misbrug overfor den/de forurettede person(er), samt foretage indberetning til Datatilsynet efter reglerne herom.
Indsigt, berigtigelse, sletning og portabilitet
Hvis en person henvender sig til Habro Gruppen med en forespørgsel, oplyser vi, hvilke persondata vi opbevarer og behandler om personen.
Vi oplyser endvidere på foranledning, hvilke samarbejdspartnere, vi udveksler data med.
Vi sikrer, at den registrerede kan få adgang til disse oplysninger. Inden udleveringen af personoplysninger, beder vi den registrerede specificere, hvilke oplysninger han / hun ønsker udleveret.
Samtidig underrettes den registrerede om:
- Til hvilket formål, oplysningerne behandles
- Hvilke kategorier af personoplysninger, der er tale om
- Opbevaringsperioden, og hvis dette ikke er muligt, hvilke kriterier der ligger til grund for fastsættelsen af denne
- Retten til at anmode om berigtigelse eller sletning, retten til begrænsning af behandlingen og retten til at gøre indsigelse mod behandlingen
- Retten til at klage til Datatilsynet eller anden myndighed
- Enhver tilgængelig information om kilden, hvorfra personoplysningerne er modtaget af den dataansvarlige, hvis dette ikke er den registrerede selv.
- Om der er foretaget automatiseret behandling – herunder profilering.
Vi har pligt til at sikre, at der ved udleveringen af personoplysningerne ikke sker krænkelse af andres rettigheder.
Hvis en person konstaterer, at der er fejl i vores registreringer, skal vi uden ugrundet ophold berigtige disse oplysninger. Vi informerer andre, som måtte være kommet i besiddelse af disse informationer, om berigtigelsen.
Hvis en person beder os slette oplysninger, gør vi det, hvis:
- Oplysningerne ikke længere er nødvendige af hensyn til opfyldelsen af formålet med behandlingen
- Der ikke er hjemmel til behandling af oplysningerne
- Behandlingen er ulovlig
- Sletningen er lovpligtig
- Investor i øvrigt gør berettiget indsigelse mod opbevaringen
Hvis en person beder om at overføre sine personoplysninger fra os til en anden databehandler, sker dette, hvis:
- Oplysningerne er nogle, som den registrerede selv har givet Habro Gruppen
- Investor selv samtykker, og
- Behandlingen sker automatisk hos os
Habro Gruppen er efter forholdene berettiget til at beregne sig arbejdsvederlag fra rekvirenten til dækning af tidsforbrug i forbindelse med udlevering af persondata eller videregivelse af disse.
Information om sikkerhedsbrud
Hvis der sker et sikkerhedsbrud, skal den forurettede person informeres om bruddet, hvis dette medfører høj risiko for, at personens rettigheder eller frihedsrettigheder krænkes.
Informationen skal tilgå den forurettede person uden unødig forsinkelse.
Vi anser det altid som et væsentligt sikkerhedsbrud, hvis sikkerhedsbruddet omfatter personfølsomme og/eller private oplysninger.
Der er oprettet en e-mail, sikkerhedsbrud@habro.dk, hvortil medarbejdere, som bliver opmærksomme på sikkerhedsbrud – herunder eksempelvis e-mails afsendt med forkert modtager – skal anmelde sikkerhedsbrud.
Den complianceansvarlige opretter en log, hvor sikkerhedsbrud og deres løsning beskrives.
Håndtering af sikkerhedsbrud
Vi har procedurer, der sikrer, at skadens omfang og betydning hurtigt afklares.
I de tilfælde, hvor vi informerer den forurettede person om væsentlige sikkerhedsbrud, informerer vi også Datatilsynet:
Denne anmeldelse sker senest 72 timer efter, vi bliver bekendt med sikkerhedsbruddet. Anmeldelsen skal som minimum indeholde:
- Kontaktoplysninger til personer hos Habro, som Datatilsynet kan kommunikere med
- Beskrivelse af sikkerhedsbruddets karakter
- Beskrivelse af sandsynlige konsekvenser
- Oplysning om, hvordan sikkerhedsbruddet er eller forventes at blive håndteret
Fristen for anmeldelse er kort. Derfor kan den compliance-ansvarlige om nødvendigt indkalde en krisestab, som er beslutningsdygtig i alle forhold vedrørende sikkerhedsbruddet. Medlemmer af krisestaben skal altid møde enten personligt eller via Skype til et møde inden for 4 timer, efter sikkerhedsbruddet er opdaget.
Der er oprettet en e-mail, sikkerhedsbrud@habro.dk, hvortil medarbejdere, som bliver opmærksomme på sikkerhedsbrud – herunder eksempelvis e-mails afsendt med forkert modtager – skal anmelde sikkerhedsbrud.
Vores complianceansvarlige opretter en log, hvor sikkerhedsbrud og deres løsning beskrives.
Kontrol og compliance
Den complianceansvarlige kontrollerer én gang årligt, om nærværende politik overholdes, og om den er tilstrækkelig. Herunder gennemgår den complianceansvarlige loggen over sikkerhedsbrud samt foretager interviews og undersøgelser, som han mener, er nødvendige for at afdække, om politikken overholdes.
Hans undersøgelser og konklusioner rapporteres til Habro Gruppens øverste direktion og bestyrelse.