Cookie- og privatlivspolitik

Introduktion


Når du besøger vores website indsamles der oplysninger om dig, som bruges til at tilpasse og forbedre vores indhold og til at øge værdien af de annoncer, der vises på siden. Hvis du ikke ønsker, at der indsamles oplysninger, bør du slette dine cookies (se vejledning) og undlade videre brug af websitet. Nedenfor har vi uddybet, hvilke informationer der indsamles, deres formål og hvilke tredjeparter, der har adgang til dem.

 

Cookies


Websitet anvender ”cookies”, der er en tekstfil, som gemmes på din computer, mobil el. tilsvarende med det formål at genkende den, huske indstillinger, udføre statistik og målrette annoncer. Cookies kan ikke indeholde skadelig kode som f.eks. virus.

Det er muligt at slette eller blokere for cookies. Se vejledning: http://minecookies.org/cookiehandteringHvis du sletter eller blokerer cookies vil annoncer kunne blive mindre relevante for dig og optræde hyppigere. Du kan desuden risikere at websitet ikke fungerer optimalt samt at der er indhold, du ikke kan få adgang til.

 

Den dataansvarliges rettigheder og forpligtelser

 

Den dataansvarlige er ansvarlig for at sikre, at behandlingen af personoplysninger sker i overensstemmelse med databeskyttelsesforordningen databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser.

 

Den dataansvarlige har ret og pligt til at træffe beslutninger om, til hvilke(t) formål og med hvilke hjælpemidler, der må ske behandling af personoplysninger.

 

Den dataansvarlige er ansvarlig for, blandt andet, at sikre, at der er et behandlingsgrundlag for behandlingen af personoplysninger, som databehandleren instrueres i at foretage.

 

Databehandleren handler efter instruks

 

Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt. Denne instruks skal være specificeret i bilag A og C. Efterfølgende instruks kan også gives af den dataansvarlige, mens der sker behandling af personoplysninger, men instruksen skal altid være dokumenteret og opbevares skriftligt, herunder elektronisk, sammen med disse Bestemmelser.

 

Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter vedkommendes mening er i strid med denne forordning eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.

 

Fortrolighed

 

Databehandleren må kun give adgang til personoplysninger, som behandles på den dataansvarliges vegne, til personer, som er underlagt databehandlerens instruktionsbeføjelser, som har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt, og kun i det nødvendige omfang. Listen af personer, som har fået tildelt adgang, skal løbende gennemgås. På baggrund af denne gennemgang kan adgangen til personoplysninger lukkes, hvis adgangen ikke længere er nødvendig, og personoplysningerne skal herefter ikke længere være tilgængelige for disse personer.

 

Databehandleren skal efter anmodning fra den dataansvarlige kunne påvise, at de pågældende personer, som er underlagt databehandlerens instruktionsbeføjelser, er underlagt ovennævnte tavshedspligt.

 

Formålet med databehandlerens behandling af personoplysninger på vegne af den dataansvarlige

 

Formålet med behandlingen af personoplysninger er, at databehandleren udvikler og hoster et system leveret til den dataansvarlige, hvor den dataansvarliges kunder kan afgive bestillinger / ordrer på mad. Som led i sine ydelser til den dataansvarlige, hoster databehandleren de persondata, den dataansvarliges kunder oplyser som led i ordreafgivelse via systemet. 

 

A.2. Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige drejer sig primært om (karakteren af behandlingen)

Hosting af personoplysninger om den dataansvarliges kunder, herunder i forbindelse med udsendelse af SMS til den dataansvarliges kunder vedrørende den ordre, de har afgivet.

 

A.3. Behandlingen omfatter følgende typer af personoplysninger om de registrerede

  • Telefonnummer, adresse, madbestilling / ordrer, kommentarfelt, tidspunkt for bestilling

 

Alle oplysningerne er omfattet af databeskyttelsesforordningens artikel 6.

 

A.4. Behandlingen omfatter følgende kategorier af registrerede

  • Den dataansvarliges kunder

 

A.5. Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige kan påbegyndes efter disse Bestemmelsers ikrafttræden. Behandlingen har følgende varighed

 

Så længe den dataansvarlige opbevarer kundernes oplysninger i systemet, og parterne har en aftale om databehandleren stiller systemet til rådighed for den dataansvarlige. 

 

C.2. Behandlingssikkerhed

 

Sikkerhedsniveauet skal afspejle, at behandlingen omfatter en begrænset mængde personoplysninger om den dataansvarliges kunder, samt at der er tale om oplysninger omfattet af databeskyttelsesforordningens artikel 6, som ikke vurderes at indebære nogen større risiko for fysiske personers rettigheder og frihedsrettigheder.

Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal gennemføres for at etableret det nødvendige (og aftalte) sikkerhedsniveau.

 

Databehandleren skal dog – under alle omstændigheder og som minimum – gennemføre følgende foranstaltninger, som er aftalt med den dataansvarlige. Hvor der er tale om foranstaltninger vedrørende en underdatabehandler (f.eks. hostingleverandøren), skal databehandleren sikre, at underdatabehandleren lever op til de aftalte foranstaltninger. 

 

Sikkerhedskopiering / backup

Databehandleren skal sikre, at systemet og personoplysninger sikkerhedskopieres regelmæssigt. 

 

Sikkerhedskopier skal opbevares adskilt fra serveren i et ikke tilstødende rum for at sikre, at disse ikke går tabt f.eks. som følge af brand eller oversvømmelse. Opbevaring af sikkerhedskopier skal altid ske på betryggende vis så de ikke fortabes. 

 

Databehandleren skal regelmæssigt kontrollere, at sikkerhedskopier er læsbare. 

 

Driftsafbrydelser 

Databehandleren skal have dokumenterede beredskabsprocedurer, der sikrer genetablering af services inden for rimelig tid i tilfælde af driftsafbrydelser.

Mobile lagringsmedier

Mobile lagringsmedier med personoplysninger må kun udleveres til autoriserede personer med henblik på revision eller drifts- og systemtekniske opgaver. 

 

Der skal føres en fortegnelse over hvilke mobile lagringsmedier, der benyttes i forbindelse med databehandlingen. 

 

Der skal udarbejdes skriftlige instrukser for anvendelse og opbevaring af udtagelige mobile lagringsmedier. 

 

Autorisation og adgangskontrol 

Kun de personer som autoriseres dertil, må have adgang til de personoplysninger, der behandles i henhold til Databehandleraftalen. 

 

Databehandleren skal kunne dokumentere hvilke medarbejder der har autorisation til at tilgå personoplysninger, der behandles i henhold til Databehandleraftalen. 

 

Der må kun autoriseres personer, der er beskæftiget med de formål, hvortil personoplysningerne behandles. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har brug for. 

 

Den autoriserede bruger udstyres med en personlig brugeridentifikation og et personligt password, der skal anvendes hver gang, brugerne får adgang til databehandlingen. Passwords skal skiftes hvert halve år. Passwords skal have en tilstrækkelig længde og kompleksitet. Som udgangspunkt anvendes 2 faktor-autentifikation ved adgang til systemer med følsomme personoplysninger via internettet eller andet usikkert netværk. Autentifikationsmetoden kan f.eks. være Nem-id, SMS-token, Rfid eller lignende. 

 

Der skal løbende og mindst en gang hvert halve år foretages kontrol af, om brugerne er tildelt de adgange og autorisationer, som de bør have. Denne kontrol kan f.eks. indebære, at der i systemerne dannes en statistik over den enkelte brugers anvendelse af systemet, så det kan konstateres, om udstedte adgange og autorisationer fortsat anvendes. 

 

Databehandleren skal uden unødig forsinkelse inddrage autorisationer og adgange for brugere, der efter en konkret vurdering ikke længere bør have disse. 

 

Kontrol med afviste adgangsforsøg 

Systemet skal foretage registrering af afviste adgangsforsøg. Hvis der inden for en fastsat periode er registreret højst 3 på hinanden følgende afviste adgangsforsøg med samme brugeridentifikation, skal der blokeres for yderligere forsøg fra denne brugeridentifikation. Adgangen åbnes først, når årsagen til afviste adgangsforsøg er klarlagt.

 

Uddannelse og instruktion 

Databehandleren skal sørge for, at dennes medarbejdere modtager den tilstrækkelige uddannelse og instruktioner for at sikre, at personoplysninger behandles i overensstemmelse med relevant lovgivning samt Databehandlerens politikker og procedurer herfor.

 

Risikovurdering

Databehandleren skal tage de nødvendige skridt til at identificere, vurdere og begrænse enhver, med rimelighed forudsigelig, intern og ekstern risiko for tilgængeligheden, fortroligheden, og/eller integriteten af alle personoplysninger omfattet af Databehandleraftalen. 

 

Databehandleren skal have passende tekniske foranstaltninger til at begrænse risikoen for enhver uautoriseret adgang. Databehandleren skal evaluere og forbedre effektiviteten af sådanne forholdsregler, når det er nødvendigt. 

 

Databehandleren skal dokumentere de identificerede risici og hvordan risikoen er nedbragt til et acceptabelt niveau. 

 

Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan herunder bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger:

 

  1. Pseudonymisering og kryptering af personoplysninger 
  2. Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester 
  3. Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse 
  4. En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 



C.3 Opbevaringsperiode/sletterutine

Personoplysninger opbevares så længe den dataansvarlige bevarer personoplysningerne i systemet. Når den dataansvarlige sletter oplysningerne, slettes de samtidig hos databehandleren, idet databehandleren ikke opbevarer en egen version af oplysningerne, men kun har adgang til de oplysninger, den dataansvarlige selv råder over i systemet.  

Ved ophør af tjenesten vedrørende behandling af personoplysninger, skal databehandleren enten slette eller tilbagelevere personoplysningerne i overensstemmelse med bestemmelse 11.1, medmindre den dataansvarlige – efter underskriften af disse bestemmelser – har ændret den dataansvarlige oprindelige valg. Sådanne ændringer skal være dokumenteret og opbevares skriftligt, herunder elektronisk, i tilknytning til bestemmelserne.

 

C.4 Lokalitet for behandling

 

Behandling af de af Bestemmelserne omfattede personoplysninger kan ikke uden den dataansvarliges forudgående skriftlige godkendelse ske på andre lokaliteter end hos databehandleren og dennes underdatabehandlere.

C.5 Instruks vedrørende overførsel af personoplysninger til tredjelande

Hvis den dataansvarlige ikke i disse Bestemmelser eller efterfølgende giver en dokumenteret instruks vedrørende overførsels af personoplysninger til et tredjeland, er databehandleren ikke berettiget til inden for rammerne af disse Bestemmelser at foretage sådanne overførsler.

 

C.6 Procedurer for den dataansvarliges revisioner, herunder inspektioner, med behandlingen af personoplysninger, som er overladt til databehandleren

Den dataansvarlige eller en repræsentant for den dataansvarlige kan foretage en fysisk inspektion af lokaliteterne, hvorfra databehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen, med henblik på at fastslå databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser.

Ud over det planlagte tilsyn, kan den dataansvarlige gennemføre en inspektion hos databehandleren, når den dataansvarlige finder det nødvendigt.

 

Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig(e) for, at den dataansvarlige kan gennemføre sin inspektion.

 

C.7 Procedurer for revisioner, herunder inspektioner, med behandling af personoplysninger, som er overladt til underdatabehandlere

Databehandleren skal årligt føre tilsyn med sine underdatabehandlere ved at indhente en revisionserklæring eller en erklæring fra underdatabehandleren vedrørende underdatabehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser.

 

Databehandleren eller en repræsentant for databehandleren har herudover adgang til at foretage inspektioner, herunder fysiske inspektioner, med lokaliteterne hvorfra underdatabehandleren foretager behandling af personoplysninger, herunder fysiske lokaliteter og systemer, der benyttes til eller i forbindelse med behandlingen. Sådanne inspektioner kan gennemføres, når databehandleren (eller den dataansvarlige) finder det nødvendigt.