Skip to Content
Go back
BAS-IP / MEMORANDUM OM OVERHOLDELSE AF BEHANDLING AF PERSONOPLYSNINGER

Vi er forpligtet til stærke og innovative databeskyttelsespraksisser, så enhver kunde kan have tillid til, at deres personoplysninger behandles sikkert og forsvarligt.

BAS-IP DISTRIBUTION LTD (Selskabet eller BAS-IP) har udarbejdet dette memorandum til vores kunder vedrørende vores overholdelse af gældende databeskyttelseslovgivning, herunder UK General Data Protection Regulation (UK GDPR) og EU General Data Protection Regulation (GDPR). Nedenfor vil vi gøre dig bekendt med vores aktiviteter vedrørende overholdelse af krav til beskyttelse af personoplysninger.

DEFINITIONER

  • “UK GDPR” betyder UK General Data Protection Regulation, som er indarbejdet i britisk lovgivning i henhold til Data Protection Act 2018, sammen med anden gældende britisk lovgivning om databeskyttelse og privatliv.
  • “GDPR” betyder General Data Protection Regulation (Forordning (EU) 2016/679) og enhver relateret lovgivning om databeskyttelse og privatliv, der gælder inden for Den Europæiske Union og Det Europæiske Økonomiske Samarbejdsområde.
  • Personoplysninger (Personal data) betyder enhver information vedrørende en identificeret eller identificerbar fysisk person.
  • Registreret (Data subject) betyder en identificerbar fysisk person, der direkte eller indirekte kan identificeres.
  • Dataansvarlig (Controller) betyder den fysiske eller juridiske person, offentlig myndighed, agentur eller andet organ, der alene eller i fællesskab med andre bestemmer formålene og midlerne til behandling af personoplysninger.
  • Databehandler (Processor) betyder en fysisk eller juridisk person, offentlig myndighed, agentur eller andet organ, der behandler personoplysninger på vegne af den dataansvarlige.
  • Underdatabehandler (Subprocessor) betyder en fysisk eller juridisk person, der er engageret af en databehandler til at udføre behandling af personoplysninger på vegne af den dataansvarlige.
  • Behandling (Processing) betyder enhver operation eller et sæt af operationer, der udføres på personoplysninger eller sæt af personoplysninger, uanset om det sker ved automatiske midler, såsom indsamling, registrering, organisering, strukturering, opbevaring, tilpasning eller ændring, genfinding, konsultation, brug, videregivelse ved transmission, formidling eller anden måde at stille til rådighed, justering eller kombination, begrænsning, sletning eller destruktion.

OM BAS-IP

BAS-IP udvikler og fremstiller IP-dørtelefoner, adgangskontrolsystemer og kommunikationssystemer og er en førende aktør på dette område. Du kan finde mere information om vores aktiviteter på hjemmesiden: https://bas-ip.com/.

I løbet af sine aktiviteter kan Selskabet indsamle, få adgang til eller på anden måde behandle personoplysninger vedrørende forskellige kategorier af registrerede: kunder og brugere, medarbejdere, entreprenører og andre registrerede. Under en sådan behandling er Selskabet forpligtet til at træffe alle nødvendige foranstaltninger og følge de relevante politikker, procedurer og anden dokumentation om beskyttelse af personoplysninger for at behandle personoplysninger i overensstemmelse med gældende lovgivning og bedste praksis.

Roller under behandlingen af personoplysninger

BAS-IP kan have forskellige roller i henhold til UK GDPR og GDPR:

  • Som dataansvarlig bestemmer Selskabet formålene og midlerne for behandlingen af personoplysninger, når vi f.eks. kommunikerer med kunder og besøgende på hjemmesiden, udfører markedsføringsaktiviteter, der involverer behandling af personoplysninger, osv.
  • Som databehandler kan Selskabet behandle personoplysninger efter instruktioner fra vores kunde, der fungerer som dataansvarlig, eller på vegne af den respektive dataansvarlige.
  • Under behandlingen af personoplysninger som databehandler kan vi engagere tredjeparts tjenesteudbydere, der vil fungere som underdatabehandlere.
Når Selskabet behandler personoplysninger i forbindelse med levering af tjenester til sine kunder, fungerer det som databehandler og overholder de gældende krav i UK GDPR og GDPR samt de relevante kontraktlige forpligtelser mellem Selskabet og kunden.

BAS-IP OG DATABESKYTTELSE

BAS-IP er forpligtet til at overholde de højeste databeskyttelsesstandarder og gældende lovgivning om beskyttelse af personoplysninger.

Alle aktiviteter, der involverer behandling af personoplysninger, udføres i overensstemmelse med intern dokumentation vedrørende regulering af behandling af personoplysninger.

Følgende foranstaltninger til beskyttelse af personoplysninger anvendes af Selskabet:

Regelmæssig gennemgang af dokumentation for beskyttelse af personoplysninger og nødvendige ændringer i vores dokumentation og aktiviteter

Regelmæssig gennemgang og opdatering af intern dokumentation for beskyttelse af personoplysninger er en integreret del af Selskabets strategi for at sikre overholdelse af kravene i UK GDPR, GDPR og andre lovgivningsmæssige retsakter inden for databeskyttelse.

Relevant intern dokumentation og vedtagne politikker og procedurer, især vedrørende anmodninger fra registrerede, anmeldelse af brud på persondatasikkerheden, overholdelsesvurderinger af tredjeparter involveret i behandlingen af personoplysninger osv., opdateres eller ændres regelmæssigt efter behov, især i tilfælde af lovændringer eller indførelse af nye aktiviteter til behandling af personoplysninger.

Derudover registreres aktiviteterne til behandling af personoplysninger, hvilket omfatter vedligeholdelse af registre over behandlingsaktiviteter (RoPA), og om nødvendigt udføres en konsekvensanalyse vedrørende databeskyttelse (DPIA) og en vurdering af legitim interesse (LIA).

Ved at holde sin dokumentation for beskyttelse af personoplysninger ajour sikrer Selskabet således et højt niveau af beskyttelse af personoplysninger og løbende overholdelse af lovgivningen.

Overholdelse af krav til beskyttelse af de registreredes rettigheder

Selskabets privatlivspolitik, som er offentligt tilgængelig på dets hjemmeside, giver kunder og andre registrerede information om formålene, hvortil personoplysninger kan behandles, hvordan og hvilke specifikke personoplysninger der kan behandles, samt information om deres rettigheder i henhold til gældende lovgivning om beskyttelse af personoplysninger, herunder hvordan de kan udøve disse rettigheder.

Derudover har Selskabet vedtaget en procedure for anmodninger og klager, som indeholder proceduren for besvarelse af anmodninger fra registrerede og deres rettigheder i overensstemmelse med UK GDPR og GDPR.

Selskabet er forpligtet til at yde al nødvendig støtte til kunden i forbindelse med besvarelse af anmodninger fra registrerede, hvis data behandles af Selskabet som databehandler i overensstemmelse med bestemmelserne i UK GDPR, GDPR og kontraktlige forpligtelser mellem Selskabet og kunden.

Overholdelse af bedste standarder og praksis for teknisk og organisatorisk sikkerhed

Selskabet har implementeret tekniske og organisatoriske foranstaltninger for at sikre sikkerheden af personoplysninger. Selskabets interne dokumentation definerer tydeligt de tekniske og organisatoriske foranstaltninger, der anvendes ved behandling af personoplysninger:

  • udviklet og vedtaget dokumentation, der styrer informationssikkerheden, og overvåger også kontinuerligt hændelser i informationssikkerheden og sikrer rettidig reaktion på hændelser;
  • har implementeret sikkerhedsforanstaltninger til begrænsning af adgangen til personoplysninger, såsom kontrol af adgang til personoplysninger, især gennem brug af personlige konti, kontrol af krav til længden og kompleksiteten af adgangskoder til konti og beskyttelse af netværksadgang for at reducere risikoen for netværksangreb; verifikation af overholdelse af sikkerhedskravene i fysiske datacentre, hvor data opbevares; multifaktorautentificering og brugerautentificering under godkendelse, samt konfiguration og anvendelse af tilladelser til dataadgang, regelmæssig gennemgang af eksisterende adgangsrettigheder osv.;
  • anvender krypteringsteknologier ved opbevaring og behandling af personoplysninger ved hjælp af cloud-teknologier og fastsætter krav til kun at bruge opdaterede og robuste kryptografiske protokoller, algoritmer, chifferpakker, krypteringsnøgler og tilgange til nøglestyring;
  • gennemgår regelmæssigt sikkerhedskopier af personoplysninger for at afgøre, om deres opbevaring er i overensstemmelse med driftskrav og juridiske forpligtelser;
  • træffer andre organisatoriske sikkerhedsforanstaltninger, herunder implementering af en politik for adskillelse af roller og ansvar, regelmæssig opdatering af relevante politikker og procedurer, overvågning af udførelsen af pligter og demonstrering af vilje til at samarbejde med relevante offentlige myndigheder. Personalesikkerhedsforanstaltningerne implementeret af Selskabet omfatter baggrundstjek af medarbejdere i nogle tilfælde, øget medarbejderbevidsthed om informationssikkerhedsspørgsmål og overvågning af denne bevidsthed samt gennemførelse af uddannelses- og faglige udviklingsprogrammer;
  • overvåger kontinuerligt ændringer i lovgivningen og implementerer bedste praksis inden for beskyttelse af personoplysninger i overensstemmelse med standarder for cybersikkerhed, retningslinjer, anbefalinger fra tilsynsmyndigheder for beskyttelse af personoplysninger og Information Commissioner’s Office (ICO).

Selskabet overholder alle politikker og procedurer for at sikre sikkerheden af beskyttelse af personoplysninger, kontrollerer regelmæssigt deres relevans og sikrer rettidig gennemgang.

Regelmæssig verifikation af tredjeparter

Alle tredjeparter involveret i behandlingen af personoplysninger verificeres ved hjælp af en intern reguleret procedure for vurdering af tredjepartsoverholdelse. Sådanne kontroller vurderer især tilgængeligheden af relevant dokumentation vedrørende behandlingen af personoplysninger samt tilgængeligheden og effektiviteten af tekniske og organisatoriske sikkerhedsforanstaltninger implementeret for at beskytte personoplysninger mod uautoriseret adgang, tab eller brud på integriteten.

Sikker overførsel af personoplysninger

Ved levering af tjenester kan Selskabet overføre personoplysninger uden for Storbritannien, f.eks. til USA og Ukraine.

For at sikre sikkerhed og overholdelse af lovmæssige krav til overførsel af personoplysninger udføres en vurdering på forhånd. Derudover udføres der regelmæssigt intern overvågning for at sikre overholdelse af de lovmæssige krav og praksisser i USA, Ukraine og, hvor det er nødvendigt, andre lande, hvortil personoplysninger overføres, med UK og EU’s standarder og praksisser for beskyttelse af personoplysninger. Derudover kontrolleres sikkerhedsforanstaltningerne truffet af dataimportører grundigt, især ved underskrivelse af den relevante dokumentation, der styrer beskyttelsen af personoplysninger.

Når Selskabet overfører personoplysninger, der er underlagt UK GDPR og/eller GDPR, indgår det en Databehandleraftale (DPA) med sine entreprenører. Sådanne aftaler inkorporerer de passende overførselsmekanismer, herunder EU’s standardkontraktbestemmelser (SCC’er) sammen med UK-tillægget (UK Addendum) eller International Data Transfer Agreement (IDTA).

Regelmæssige kurser

Selskabet organiserer regelmæssigt kurser for sine medarbejdere og entreprenører om overholdelse af UK GDPR- og GDPR-kravene samt beskyttelse af personoplysninger. Emnerne, der behandles i kurset, omfatter blandt andet de generelle krav i UK GDPR, GDPR og anden gældende lovgivning om beskyttelse af personoplysninger, roller i behandlingen, principper for behandling af personoplysninger, grundlag for behandling, sikring af de registreredes rettigheder og spørgsmål om beskyttelse af personoplysninger.

Derudover har Selskabet også vedtaget den nødvendige dokumentation og implementeret passende foranstaltninger for at sikre uddannelse og bevidsthed hos medarbejderne inden for databeskyttelse.

VORES KONTAKTER

Hvis du har yderligere spørgsmål vedrørende beskyttelsen af personoplysninger hos BAS-IP, bedes du kontakte os via e-mail: [email protected].

Med venlig hilsen,

BAS-IP DISTRIBUTION LTD