Persondatapolitik for

Ole Winther Auto A/S
Silkeborg - Horsens
Tlf. 86812500
CVR-nr. 25442997
www.olewinther.dk
bogholderi@olewinther.dk

PERSONDATA

Beskyttelse af dine persondata har vores højeste prioritet, uanset om disse data handler om dig, dine transaktioner, dine produkter eller dine ser-viceydelser.
Vi behandler persondata, og vi har derfor vedtaget denne persondatapolitik, der fortæller dig, hvordan vi behandler dine data.
Det er vigtigt for os, at dine persondata opbevares sikkert og fortroligt. Vi har procedurer for indsam-ling, opbevaring, sletning, opdatering og videregi-velse af persondata for at hindre uautoriseret ad-gang til dine persondata og for at opfylde gæl-dende lovgivning.
Vi sikrer fair og transparent databehandling. Når vi beder dig om at stille dine persondata til rådighed for os, oplyser vi dig om, hvilke data vi behandler om dig og til hvilket formål. Du modtager oplysning herom på tidspunktet for indsamling af dine per-sondata.
Nedenstående retningslinjer beskriver hvilke typer af Persondata, vi indsamler, hvordan vi behandler disse data, og hvem du kan kontakte, hvis du har spørgsmål eller kommentarer til denne personda-tapolitik.

TYPER AF PERSONDATA

• Almindelige Persondata (f.eks. navn og/el-ler brugernavn, adresse, e-mail, fødsels-dato, lokalisation, m.v.)
• Oplysninger om din bil, f.eks. reg.nr., mærke og model
• Købshistorik
• Informationer fra bilens styreboks/IT
• Informationer fra salg og servicering af bi-len
• Informationer om valgte forsikringer mv.
• Informationer om serviceeftersyn og obli-gatoriske syn
• Informationer om finansiering af bilen
• Informationer om forsikring af bilen, her-under forsikringsselskab
• Informationer fra før salgsaktiviteter
• Informationer om åbning, læsning m.v. af modtaget elektronisk markedsføring
• Trafikdata om brug af internettet

FORMÅL

Vi indsamler og opbevarer dine persondata til be-stemte formål eller andre lovlige forretningsmæs-sige formål.
Dine persondata indsamles og bruges til:
• Køb/salg eller leasing af biler
• Servicering og værkstedsydelser
• Markedsføring af vores ydelser, herunder som beskrevet i det samtykke, du har givet til direkte markedsføring via e-mail og/el-ler SMS/MMS
• Udarbejdelse af en profil af mig, så jeg får de informationer, der er vurderet af for-handleren som værende af størst værdi for mig ud fra de indsamlede tracking oplys-ninger og ander persondata, som er ind-samlet om mig
• Generelle formål som fx overholdelse af gældende lovgivning, administration af vo-res kundeaftaler, statistik og forretnings-udvikling
• Direkte markedsføringsaktiviteter
• Statistik og tilpasning af vores ydelser
• Optimering af hjemmesiden
• Gennemførelse af en aftale eller foran-staltninger efter din anmodning herom
• Administration af din relation til forhandle-ren
• Opfyldelse af gældende lovkrav

KILDER

Persondata indsamles direkte fra dig, fra bilen el-ler via autoforhandleren som har opgjort skaden på din bil samt forsikringsselskaber. I visse til-fælde sker dette i henhold til et samtykke, som du har afgivet overfor forsikringsselskaber og autofor-handlere.

OM INDSAMLINGEN ER FRIVILLIG ELLER OBLIGATORISK

Hvis vi indsamler persondata direkte fra dig som den registrerede og behandler dine persondata til brug for markedsføringsformål, er det frivilligt at
afgive persondata. Konsekvenserne af ikke at af-give persondata er, at du ikke kan få tilbud, for-dele, samarbejdspartnere mv. såfremt persondata er nødvendige for, at vi kan afgive sådanne tilbud, fordele, samarbejdspartnere mv.
Ved tilfredshedsundersøgelser og lign. bestemmer du selv om du vil afgive persondata. Hvis du ikke gør det, kan forhandleren ikke følge op på en eva-luering over for dig.
Når indsamlingen og behandlingen af persondata sker i forbindelse med salg/køb af biler, leasingaf-taler eller servicering/værkstedsbesøg er det obli-gatorisk for forhandleren at indsamle personoplys-ningerne for at kunne indgå og opfylde kontrakten. Konsekvenserne af ikke at give persondata er, at det ikke er muligt at indgå eller gennemføre en så-dan aftale.

DEN REGISTREREDES RETTIGHEDER

De registreredes rettigheder vil kun have selv-stændig betydning i forhold til forhandleren i de til-fælde, hvor forhandleren er dataansvarlig. Er for-handleren databehandler, skal den registreredes rettigheder opfyldes gennem den dataansvarlige.
Indsigtsretten
Den registrerede har i henhold til databeskyttel-sesforordningens artikel 15 ret til at få bekræftet, om der behandles persondata om den pågæl-dende, og vil i givet fald få adgang til persondata (der skal udleveres en kopi af persondata).
Derudover har den registrerede ret til at modtage følgende information:
• Formålene med behandlingen
• De berørte kategorier af persondata
• De modtagere eller kategorier af modta-gere, som persondata er eller vil blive vi-deregivet til, navnlig modtagere i tredje-lande eller internationale organisationer
• Om muligt det påtænkte tidsrum, hvor per-sondata vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der an-vendes til fastlæggelse af dette tidsrum
• Retten til at anmode den dataansvarlige om berigtigelse eller sletning af person-data eller begrænsning af behandling af persondata vedrørende den registrerede eller til at gøre indsigelse mod en sådan behandling
• Retten til at indgive en klage til en tilsyns-myndighed
• Enhver tilgængelig information om, hvor-fra persondata stammer, hvis de ikke ind-samles hos den registrerede
• Forekomsten af automatiske afgørelser, herunder profilering, som omhandlet i arti-kel 22, stk. 1 og 4, og som minimum me-ningsfulde oplysninger om logikken heri samt betydningen og de forventede konse-kvenser af en sådan behandling for den registrerede
Den registrerede har endvidere ret til at få oplys-ninger om fornødne garantier, hvis vi har overdra-get persondata til tredjelande.
For at kunne opfylde en indsigtsbegæring på be-hørig vis skal vi herefter gennemsøge alle syste-mer – herunder alle databaser samt alt hardware og alle flytbare medier – og også gennemsøge alt fysisk materiale, der indgår i et register, og udle-vere de persondata, der er registreret om den på-gældende.
Efter databeskyttelsesloven gælder retten til ind-sigt ikke, hvis den registreredes interesse i oplys-ningerne findes at burde vige for afgørende hen-syn til private interesser, herunder hensynet til den pågældende selv.

Dataportabilitet

Den registrerede har efter databeskyttelsesforord-ningens artikel 20 desuden ret til i et struktureret, almindeligt anvendt og maskinlæsbart format at modtage persondata om sig selv, som den pågæl-dende selv har givet til os.
Den registrerede har desuden ret til selv at trans-mittere disse oplysninger til en anden dataansvar-lig uden hindring fra os, når behandlingen er base-ret på samtykke, og behandlingen foretages auto-matisk. Hvis den registrerede udøver denne ret til dataportabilitet, har den registrerede også ret til at få transmitteret persondata direkte fra en dataan-svarlig til en anden, hvis det er teknisk muligt. Ad-gangen til dataportabilitet omfatter kun oplysnin-ger, den registrerede selv har givet, og vil kun om-fatte behandlinger, der foretages automatisk. Ad-gangen til dataportabilitet vil desuden være sær-deles begrænset, såfremt den baserer sin behand-lingshjemmel på andet grundlag end samtykke.

Ret til berigtigelse

I henhold til databeskyttelsesforordningens artikel 16 har den registrerede ret til at få urigtige person-data om sig selv berigtiget af den dataansvarlige uden unødig forsinkelse. Under hensyntagen til formålene med behandlingen har den registrerede desuden ret til få fuldstændiggjort ufuldstændige persondata, bl.a. ved at fremlægge en supple-rende erklæring.
Denne ret supplerer vores egen grundlæggende forpligtelse til kontinuerligt at sikre os, at der alene behandles korrekte og ajourførte oplysninger, jf. artikel 5, stk. 1, litra d.

Retten til at blive glemt

Den registrerede har efter databeskyttelsesforord-ningens artikel 17 ret til at få persondata om sig selv slettet af os uden unødig forsinkelse. Vi har i så fald pligt til at slette persondata uden unødig forsinkelse i visse angivne situationer.
Hvis vi er forpligtet til at slette persondata efter ar-tikel 17, som har været overladt til andre dataan-svarlige eller databehandlere, skal vi underrette sådanne dataansvarlige eller databehandlere, som behandler persondata om, at den registrerede har anmodet om at slette alle link til eller kopier eller gengivelser af de pågældende persondata.

Ret til indsigelse – også mod automatiserede afgørelser

Det følger af databeskyttelsesforordningens artikel 21, atden registrerede til enhver tid har ret til at gøre indsigelse mod behandling af sine person-data, hvis behandlingen – herunder profilering – er baseret på artikel 6, stk. 1, litra e eller f. Disse be-stemmelser omhandler adgangen til at behandle almindelige persondata, hvis behandlingen er nød-vendig for at udføre en opgave i samfundets inte-resser, eller hvis behandlingen er nødvendig for at forfølge en berettiget interesse og hensynet til den registrerede ikke overstiger denne interesse.

Hvis der gøres indsigelse, må vi ikke længere be-handle de pågældende persondata, medmindre vi kan påvise vægtige legitime grunde til behandlin-gen, der går forud for den registreredes interesser, eller hvis behandlingen er nødvendig for, at rets-krav kan fastlægges, gøres gældende eller forsva-res. Det er vores vurdering, at denne bestemmelse kun begrænset vil komme i spil i forhold til de ydel-ser, vi leverer.
Bestemmelsen i artikel 21 forudsætter, at den re-gistrerede gøres udtrykkeligt opmærksom på sin ret til at gøre indsigelse, og at dette skal ske se-nest på tidspunktet for den første kommunikation. Endvidere skal oplysningen herom meddeles klart og holdes adskilt fra de andre oplysninger.
Supplerende til artikel 21, har den registrerede i henhold til artikel 22 ret til ikke at være genstand for en afgørelse, der alene er baseret på automa-tisk behandling, herunder profilering, som har rets-virkning eller på tilsvarende vis betydeligt påvirker den pågældende. Også denne bestemmelse inde-holder en række undtagelser, jf. artikel 22, stk. 2. Blandt andet gælder retten ikke, hvis afgørelsen er nødvendig for indgåelse eller opfyldelse af en kon-trakt mellem den registrerede og en dataansvarlig, hvis behandlingen har hjemmel i lov, eller hvis be-handlingen er baseret på den registreredes udtryk-kelige samtykke. Artikel 22 forudsætter dog gene-relt, at automatiserede afgørelser ikke baseres på særlige kategorier af persondata, jf. artikel 9, stk. 1, medmindre der er givet udtrykkeligt samtykke hertil, og der er indført passende foranstaltninger til beskyttelse af den registreredes rettigheder og frihedsrettigheder samt legitime interesser.

Ret til dataminimering

I henhold til databeskyttelsesforordningens artikel 18 har den registrerede ret til at få begrænset be-handlingen af persondata, hvis:
• Rigtigheden af persondata bestrides af den registrerede, men kun i perioden indtil den dataansvarlige har haft mulighed for at fastslå, om persondata er korrekte
• Behandlingen er ulovlig, og den registre-rede modsætter sig sletning af persondata og i stedet anmoder om, at anvendelsen heraf begrænses
• Den dataansvarlige ikke længere har brug for persondata til behandlingen, men de er nødvendige for, at et retskrav kan fastlæg-ges, gøres gældende eller forsvares
• Den registrerede har gjort indsigelse mod behandlingen i medfør af artikel 21, stk. 1, men kun i perioden, mens det kontrolleres, om den dataansvarliges legitime interes-ser går forud for den registreredes legi-time interesser
Retten udgør dermed et alternativt (og mindre) indgreb i behandlingen sammenlignet med den re-gistreredes ret til at gøre indsigelse efter artikel 21 og 22, og den registreredes ”ret til at blive glemt” efter artikel 17. Det følger af bestemmelsens stk. 2, at hvis en behandling er blevet begrænset, må sådanne persondata, bortset fra opbevaring, sta-dig behandles blandt andet, hvis den registrerede giver samtykke hertil, eller hvis behandlingen er nødvendig for, at et retskrav kan fastlægges, gø-res gældende eller forsvares. Bestemmelsen vil ef-ter vores vurdering kun få begrænset betydning for vores adgang til at behandle persondata i vores sagsbehandling.

BEHANDLINGSREGLER - GENERELT

Behandlingsprincipper
Vi vil behandle persondata lovligt, rimeligt og på en gennemsigtig måde i forhold til den registre-rede. Vores behandling af persondata er undergi-vet en formålsbegrænsning. Det betyder, at per-sondata skal indsamles til udtrykkeligt angivne og legitime formål. De må ikke viderebehandles på en måde, der er uforenelig med disse formål. Vi be-handler persondata ud fra et princip om datamini-mering. Det betyder, at de skal være tilstrække-lige, relevante og begrænset til, hvad der er nød-vendigt i forhold til de formål, hvortil de behandles. Persondata skal behandles ud fra et princip om rig-tighed. Det betyder, at de skal være korrekte og
om nødvendigt ajourførte. Vi behandler person-data ud fra et princip om opbevaringsbegræns-ning. Det betyder, at persondata skal opbevares på en sådan måde, at det ikke er muligt at identi-ficere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågæl-dende persondata behandles. Persondata skal be-handles ud fra et princip om integritet og fortrolig-hed. Det betyder, at de skal behandles på en måde, der sikrer tilstrækkelig sikkerhed for per-sondata, herunder skal de beskyttes mod uautori-seret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under an-vendelse af passende tekniske eller organisatori-ske foranstaltninger.

Risikoanalyse

Vi skal i forbindelse med vores sagsbehandling gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, som konkret er forbundet med vores behandling af persondata. Vi har gen-nemført en risikoanalyse, som ligger til grund for denne persondatapolitik.

Konsekvensanalyser vedrørende databeskyt-telse (dpia)

Databeskyttelsesforordningens artikel 35 indehol-der et krav om, at hvis en behandling – navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål – sandsynligvis vil indebære en høj risiko for fysiske personers ret-tigheder og frihedsrettigheder, skal den dataan-svarlige forud for behandlingen foretage en ana-lyse af de påtænkte behandlingsaktiviteters kon-sekvenser for beskyttelse af persondata. Pligten til at foretage en konsekvensanalyse gælder alene i særlige tilfælde, hvor der kan konstateres en høj risiko for fysiske personers rettigheder og friheds-rettigheder.
Konsekvensanalyser skal navnlig gennemføres, når der foretages;
a) behandling i stort omfang af følsomme op-lysninger eller af persondata vedrørende straffedomme og lovovertrædelser, eller
b) systematisk og omfattende vurdering af personlige forhold vedrørende fysiske per-soner, der er baseret på automatisk be-handling, herunder profilering, og som er grundlag for afgørelser, der har retsvirk-ning for den fysiske person eller på tilsva-rende vis betydeligt påvirker den fysiske person, eller
c) systematisk overvågning af et offentligt til-gængeligt område i stort omfang
Det er vores vurdering, at vi sjældent vil foretage behandlinger, der opfylder et af ovennævnte krite-rier. Det må derfor antages, at reglerne om konse-kvensanalyse vil have et forholdsvis begrænset anvendelsesområde i relation til vores behandling af persondata om kunder. Gennemføres en konse-kvensanalyse alligevel, vil resultatet af analysen tages i betragtning, når vi skal træffe passende foranstaltninger.

Databeskyttelsesrådgiver (dpo)

Pligten til at udpege en databeskyttelsesrådgiver forudsætter efter databeskyttelsesforordningens artikel 37, at behandling af persondata indgår som vores ”kerneaktivitet”. Dette er ikke tilfældet for de tilfælde hvor forhandleren agerer som databe-handler. Pligten til at udpege en databeskyttelses-rådgiver indtræder navnlig når:
a) der foretages behandlingsaktiviteter, der i medfør af deres karakter, omfang og/eller formål kræver regelmæssig og systema-tisk overvågning af registrerede i stort om-fang, eller
b) behandling i stort omfang af særlige kate-gorier af oplysninger (følsomme oplysnin-ger), eller
c) behandling i stort omfang af persondata vedrørende straffedomme og lovovertræ-delser
Det er vores vurdering, at forhandleren ikke fore-tager behandling af persondata i et omfang som beskrevet ovenfor. Vi har derfor valgt ikke at ud-pege en databeskyttelsesrådgiver.

Dataansvarlig

For persondata om forhandlerens kunder, vil for-handleren som altovervejende udgangspunkt ar-bejde selvstændigt. Forhandleren vurderer selv-stændigt, om der er grundlag for at indsamle/be-handle persondata, hvilke persondata der er rele-vante og nødvendige, og hvor længe persondata skal opbevares. I denne situation vil forhandleren agere som dataansvarlig.

Databehandleraftale

Hvis vi er dataansvarlige og har vurderet, at der foreligger en databehandlerkonstruktion, skal der udarbejdes en databehandleraftale.
Databehandleraftalen skal indgås mellem os (den dataansvarlige) og den anden part (databehandle-ren), og skal leve op til databeskyttelsesforordnin-gens krav til databehandleraftaler, jf. forordnin-gens artikel 28, stk. 3. Det indebærer, at der skal udarbejdes en kontrakt eller andet retligt doku-ment, som er bindende for databehandleren. Det er desuden et krav, at databehandleraftalen er skriftlig, herunder elektronisk.
Databeskyttelsesforordningen fastsætter herud-over en del specifikke krav til indholdet af databe-handleraftalen. Aftalen skal bl.a. indeholde oplys-ninger om genstanden for og varigheden af be-
handlingen, behandlingens karakter og formål, ty-pen af persondata, kategorierne af registrerede og vores forpligtelser og rettigheder som dataansvar-lig samt de pligter, som databehandleren har i for-hold til at varetage opgaven. Kravene er specifikt beskrevet i databeskyttelsesforordningens artikel 28, stk. 3, litra a-h. Agerer vi som databehandler for kunden, skal der indgås en skriftlig databe-handleraftale med kunden.

Overførsel til tredjelande

Der sker ikke overførsel af persondata til tredje-lande.

Databehandlere - oversigt

Vi anvender eksterne virksomheder til at foretage den tekniske drift af forhandleren. Disse virksom-heder fungerer som databehandler i forhold til de persondata, som vi er dataansvarlige for.
Databehandling foretages inden for Den Europæi-ske Union.Databehandleren handler alene efter in-struks fra os.
Vi benytter følgende databehandlere:
Databehandleren har truffet de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at persondata hændeligt eller ulovligt tilintet-gøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behand-ling af persondata. På din anmodning - og mod be-taling af databehandlerens til enhver tid gældende timetakster for sådant arbejde - giver databehand-leren dig tilstrækkelige persondata til, at databe-handleren kan påvise, at de nævnte tekniske og organisatoriske sikkerhedsforanstaltninger er truf-fet.

Videregivelse til sociale netværk

Der videregives ikke persondata til sociale net-værk.

Anden videregivelse

Med dit samtykke kan vi videregive dine person-data til tredjeparter, således at der ved fx et even-Databehandler 

Semler It
Danmark

Smc
Danmark

Bilinfo
Danmark

Danløn
Danmark

TDC
Danmark

CDK
Danmark

aktuelt kontrolbesøg fra Arbejdstilsynet kan fremlæg-ges den nødvendige dokumentation. Såfremt vi modtager henvendelse fra politi (eller anden lig-nende offentlig myndighed) eller retsvæsen om ud-levering af persondata, vil vi foretage udlevering af dine persondata i overensstemmelse med gæl-dende lovgivning. Forhandleren overfører derud-over persondata til tredjeparter i forbindelse med skadesarbejde fra autoforhandler samt forsikrings-selskaber. Autoforhandleren videregiver dine per-sondata til forsikringsselskaber m.v., som skal bruge dine persondata i forbindelse med opgø-relse af skader, tegning af forsikring m.v.

Profilering

Vi anvender ikke dine persondata til profilering.

Generelle tekniske foranstaltninger

Adgang til persondata er begrænset til personer, der har et sagligt behov for adgang til persondata. Det skal være så få personer som muligt, dog med behørigt hensyn til driften – der skal være et til-strækkeligt antal medarbejdere til at sikre driften af de pågældende opgaver ved sygdom, ferier, personaleudskiftning m.v. Data vil alene blive til-gået på ”need to know” basis.
Medarbejdere, der håndterer persondata, er in-strueret og oplært i, hvad de må gøre med Person-data, og hvordan de skal beskytte Persondata.
I øvrigt gælder vilkårene i forhandlerens IT-sikker-hedspolitik.


Oplysningspligt - kunder

Hver kunde modtager et link til vores persondata-politik, som der herefter kan henvises til.
Sletning - hvornår
Ved afslutning af en opgave fra en kunde har vi i princippet ikke længere behov for at behandle per-sondata. Opgaven er løst. En række andre hensyn samt særregler indebærer dog, at persondata ikke bør eller ikke må slettes førend, der er gået et tids-rum. Det skal konkret overvejes, hvor længe per-sondata opbevares, inden de slettes.
Bogføringsreglerne indebærer, at persondata knyttet til en betaling skal opbevares i fem år + lø-bende kalenderår efter regnskabsårets afslutning.
Hensynet til, at vi kan varetage dine interesser ved et muligt ansvar kan indebære, at oplysninger op-bevares i op til fem år efter afslutningen af opga-ven.
Stamdata for kunden bør opbevares i fem år fra kundeforholdets ophør for at sikre logisk sammen-hæng med den regnskabsmæssige behandling.
Kontaktinformation - CRM skal løbende slettes og opdateres.
E-mails, som kan have betydning for fastlæggelse af et retskrav, skal gemmes i tre år og herefter slet-tes, medmindre retskrav er rejst mod, eller tænkes rejst af, autoforhandleren.

Sletning - hvordan

Sletning af persondata betyder i praksis, at per-sondata uigenkaldeligt fjernes fra alle lagringsme-dier, hvorpå de har været lagret, og at persondata på ingen måde kan genskabes. Man skal i den for-bindelse være opmærksom på alle lagringsmedier – herunder også flytbare medier i form af bærbare computere, USB-nøgler m.v., samt back-up.
Efter sletning/anonymisering vil vi foretage behø-rigt krydstjek i form af søgninger på navn/cpr-nr. mv. vedrørende kunden på sagen for at sikre, at der ikke kommer noget frem.


COOKIES

Vi anvender ikke cookies og indsamler derfor ikke oplysninger om dig og din brug af vores hjemme-side.

ÆNDRING AF PERSONDATAPOLITIK


Forhandleren kan til enhver tid og uden varsel æn-dre denne persondatapolitik med virkning for frem-tiden. Ved sådanne ændringer sker der orientering på forhandlerens hjemmeside. Den nye personda-tapolitik vil herefter være gældende.

HENVENDELSER

Hvis du har spørgsmål til nærværende personda-tapolitik, vores behandling af persondata, berigti-gelse eller dit forhold til os i øvrigt, er du velkom-men til at rette henvendelse til forhandleren på føl-gende adresse / kontaktperson.

Ole Winther Auto A/S
Fejøvej 15
8600 Silkeborg
27872523
sw@olewinther.dk
Kontaktperson: Susanne Winther

DATATILSYNET
Du har mulighed for at klage til Datatilsynet over vores indsamling og behandling af dine personop-lysninger:
DATATILSYNET
Borgergade 28, 5.
1300 Kbh. K
Tlf. 33 19 32 00
E-mail: dt@datatilsynet.dk
www.datatilsynet.dk