PhotoCare Hvidovre (herefter benævnt ”butikken”) Retningslinier For butikkens Håndtering af Medarbejder-, Person- og Kundedata Butikken: PhotoCare Friheden Strandmarksvej 18 2650 Hvidovre CVR.nr. 16 96 67 38 tlf.36 78 53 11 www.hvidovre.phootcare.dk
Det er butikkens formål at drive fotohandlervirksomhed – dvs. primært med produktion og salg af billeder, fotografering og i begrænset omfang fotografisk udstyr. Butikken driver fotoatelier. Dataansvarlig: Henning Rasmussen Strandmarksvej 18 2650 Hvidovre tlf.: 3678 5311 (i det følgende benævnt Henning) Løbende opfølgning på overholdelse af retningslinier og kontakt til Datatilsynet. Databehandler: Navn Henning Rasmussen Strandmarksvej 18 2650 Hvidovre tlf.: 3678 5311 (i det følgende benævnt Henning )
Ansvarlig for den daglige datahåndtering og løbende kontakt med personalet om den daglige håndtering af nærværende retningslinier.
Der er indgået aftale mellem Henning og øvrige administative medarbejder om løbende rapportering om evt. overtrædelser af den nye Persondatalov (i det følgende benævnt Loven), således at Henning kan underrette Datatilsynet rettidigt inden for 72-timers fristen. Baggrunden for Loven er EU's databeskyttelsesforordning (http://eur-lex.europa.eu/legalcontent/DA/TXT/HTML/?uri=CELEX%3A32016R0679&from=en)- ( det følgende benævnt Forordningen), som blev endeligt vedtaget den 14. april 2016, og som implementeres i Danmark med virkning fra og med 25. maj 2018. Loven (L68 og L69 – Samling 2017/2018) er stadig på forslagsstadie i Folketinget og er planlagt til 3. behandling den 24. april 2018. Formålet med Forordningen og Loven er at medvirke til at sikre borgernes personrettigheder og -oplysninger i et EU marked med økonomiske og sociale fremskridt og deraf følgende udveksling af borgernes data. Butikken ønsker at efterleve Lovens krav om korrekt behandling af persondata. Det er baggrunden for udarbejdelsen af disse retningslinier for registrering af medarbejder-/person- og kundedata. I en række tilfælde (hvor mærket med *) har retningslinierne allerede været fulgt i længere tid, jvfr. gældende Persondatalov. Sidstnævnte lov ophæves i forbindelse med Lovens ikrafttræden. Det er tale om registrering af nedenstående medarbejder-/person- og kundedata:
MEDARBEJDERE OG ANSØGERE • Medarbejdere Pr. 25. maj 2018 har butikken flg. medarbejdere: Louise Frøsig Kristensen, Birte Bendorff, og 2 piccoliner, Josefine og Frida som hver især er gjort bekendt med retten til, i overensstemmelse med Forordningen og om Loven: at se de oplysninger, der er registreret om vedkommende, herunder om formålet med oplysningerne og om modtagerne af oplysningerne
at kræve de pågældende oplysninger ændret, slettet eller overført (dataportabilitet) De pågældende oplysninger findes i: • Ansættelsesbeviser/-kontrakter,som opbevares i butikkens personalemappe i aflåst skab. Personalemappen indeholder både”følsomme” og ”ikke-følsomme”personaleoplysninger såsom CPR.nr., væsentlige helbredsforhold,lønforhold, afholdte feriedage, sygdom, navn og adresse, kontonummersamt navn og tlf.nr. på evt. pårørende (sidstnævnte af hensyn til evt. pludseligtopstået sygdom o.lign.) Af ”følsomme oplysninger”opbevares CPR nr., væsentlige helbredsforhold og billeder af medarbejdere på butikkens hjemmeside. Oplysningerne opbevares af Databehandler Birte i personalemappe i aflåst skab. Endvidere opbevares skriftlig ansøgning, såfremt en sådan findes. Lovpligtige oplysninger til brug for SKAT og andre myndingheder i forbindelse med første lønudbetaling til medarbejderen. De lovpligtige oplysninger omfatter medarbejderens navn, adresse, kontonr., CPR nr., løn- og ferieforhold. Udover nævnte”følsomme oplysninger”, kan nævnes fagforening, straffeattest, personlighedstest, racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, seksuelle forhold og væsentlige sociale problemer. Butikken er udover oplysninger om CPR nre., væsentlige helbredsoplysninger og ”overvågningsinfo” samt hjemmeside-/facebook billeder af medarbejderne, pt. IKKE i besiddelse af følsomme oplysninger. Lønseddel udleveres af Birte til hver enkelt medarbejder personligt. Medarbejderne har givet samtykke til ovennævnte registreringer, ligesom de har givet samtykke til at få vist deres foto på butikkens hjemmeside og endelig til at være omfattet af overvågningen via butikkens overvågningskameraer.Medarbejderne er hver i sær gjort bekendt med deres rettigheder i forhold til samtykket. Bilag 2. Medarbejderne er orienteret om Hennings mulighed for at følge medarbejdernes brug af eksempelvis internet og private e-mails i arbejdstiden samt evt. e-mail korrespondance på medarbejdernes email konti på PC stillet til rådighed af butikken med domænenavnet ”www.hvidovre.photocare.dk”. Et formål med et sådant tiltag vil være af faglig karakter – eksempelvis ved en medarbejders fravær og, af hensyn til optimal kundeservice, at kunne orientere sig om en bestemt ordre eller indkøb foretaget af den pågældende, fraværende medarbejder. Henning er informeret om bestemmelserne om brevhemmelighed og vil som sådan aldrig checke de af medarbejdernes e-mails, som er mærket ”Privat” . • Ansøgere Såvel opfordrede(via annoncering og/eller mundtligt) som uopfordrede, hvor ansøgningen ikke fører til ansættelse, destrueres umiddelbart efter ansættelse af en medarbejder i den opslåedestilling.
Det er udelukkende medarbejdere, som har relevant interesse i besættelse af den ansøgte stilling, som vil have adgang til at se ansøgningen. Dog kan ansøgninger gemmes – altid med ansøgerens forudgående skriftlige samtykke – såfremt ansøgningen skønnes at kunne være af interesse med henblik på en evt. senere ansættelse. Eventuel indhentelse af supplerende oplysninger om medarbejderen, som ikke fremgår af ansøgningen, vil altid ske med ansøgerens forudgående, specifikke og skriftlige samtykke. • Tidligere ansatte Relevante oplysninger om fratrådte medarbejdere opbevares i butikkens personalemappe i 5 år efter medarbejderens fratræden under henvisning til Forældelsesloven, medmindre relevante myndigheder skønner det relevant at opbevare oplysningerne længere. Formålet med opbevaring af oplysningerne vil være dokumentation over for relevante myndigheder i tilfælde af personalerelaterede tvister. Efter udløb af forældelsesperioden og/ellerafslutningen på eventuelle tvister, vil samtlige oplysninger blive tilintetgjort. Ved en medarbejders fratræden vil medarbejderens e-mail konto blive slettet så hurtigt, som det skønnes relevant af relevante offentlige myndigheder og af hensyn til evt. personaletvister. I tiden fra fratræden til sletning af e-mail kontoen vil der hurtigst muligt blive sat autosvar på e-mail adressen om den pågældende medarbejders fratræden og til hvilken medarbejder afsenderen i givet fald i stedet skal henvende sig til. I forbindelse med fratrædelsen vil medarbejderens billede på butikkens hjemmeside og facebook-væg endvidere blive slettet umiddelbart efter fratrædelsen. Den fratrædende medarbejder vil blive informeret om denne procedure. Hver enkelt medarbejderhar givet specifikt samtykke til flg., jvfr. Bilag 2,i forbindelse med udførelsen af sine arbejdsopgaver: 1. at ”optræde” på butikkens overvågningskamera og om Hennings mulighed for at kunne se medarbejderen fra sin eksterne computer i sit fravær. Denne mulighed for Henning er oprettet for at Henning kan hjælpe med løsning af tekniske problemer med f.eks. mini-labbet og for at se, om en evt. telefonkontakt til butikken bør vente pga travlhed i butikken. 2. at få sit foto vist på butikkens hjemmeside og facebook-væg 3. at få sit foto vist i dagspressen som led imarkedsføring af butikken og/eller dens produkter.
KUNDEDATA • Overvågningskamera (er udelukkende rettet mod butikkens areal og således IKKE mod gaden uden for butikken).
Kameraet kører døgnet rundt og alle årets dage og overvåger kunder og andre personer, som befinder sig i butikslokalet. F.eks. , men ikke udelukkende kunder, bude, leverandører, repræsentanter og myndighedspersoner, som er informeret om overvågningen via skiltning i butikken. Butikkens personale har erklæret sig indforstået med også indirekte at være omfattet af overvågningen (jvfr. Bilag 2). Overvågningen finder sted via butikkens overvågningskamera. Kameraerne har til formål, over for politiet og evt. andre myndighedspersoner, at kunne dokumentere indbrud og tyveri, som der erfaringsmæssigt har været flere eksempler på i årenes løb. Kameraet kører både i og uden for butikkens åbningstid og alle årets dage. Optagelserne lagres på en harddisk i monitoren. Optagelserne slettes automatisk, når harddisken er fuld, hvorefter lagringen starter forfra på tilsvarende vis. Hvis det af hensyn til opklaring af f.eks. en verserende indbruds- og/eller tyverisag skønnes relevant, opbevares den relevante harddiskdog så længe, som politiet og/eller forsikringsselskabet vurderer, at det er påkrævet.
Butikkens Produkter • Kamerasalg og salg af øvrigt fotografisk og elektronisk udstyr. Kopier afservice-/garantibeviser vedf.eks. kamerakøb (opbevares som teknisk information ved evt. reklamationer og kundens forespørgsler om supplerende udstyr). Kundeoplysningerne omfatter kundenavn, adresse samt kamera- og serienummer. Kopien af servicebeviset gemmes elektronisk. Service-/garantibeviser opbevares efter kundens forudgående samtykke. Ønsker kunden ikke opbevaring, opbevares udelukkende oplysning om kameraets navn og serienummer, salgsbon og dato.(Bilag 3)
Fotografering • pasfotos De optagne elektroniske fotos udleveres direkte til kunden i papirform eller mailes til vedkommende i forbindelse med betaling og opbevares således ikke af butikken længere end til næste morgen, hvor de slettes. • portrætfotos De optagne elektroniske fotos udleveres direkte til kunden i papirform eller mailes til vedkommende i forbindelse med betaling. Kopi af portrætoptagelsen gemmes på butikkens server for at kunne servicere kunden med tilpasninger og evt. yderligere aftryk på et senere tidspunkt. Kunden informeres ved optagelsen om denne procedure og/eller giver skriftligt samtykke, jvfr. Bilag 3.
Såfremt kunden ønsker det, slettes optagelsen straks. • julekortfotografering De optagne elektroniske fotos udleveres direkte til kunden i papirform i forbindelse med betaling og opbevares således ikke af butikken. Såfremt kunden udtrykker ønske om det, opbevares kopi med henblik på eventuel senere redigering. I så fald indhentes kundens forudgående, skriftlige samtykke altid, jvfr. Bilag 3. • skolefotos De optagne fotos (det være sig portræt- og/eller klassefotografering, samlet skoleopstilling) udleveres direkte til kunden (den oplyste forældrekontaktperson). Optagelserne gemmes med henblik på at kunne effektuere kundernes ordrer. Elevoplysninger modtages fra forældre og skolerne og ligger gemt i ”Fotolet”, som kun kan tilgås med brugernavn og kode. Ved bestilling logger kunden ind med sit eget brugernummer og kode og får i den forbindelse udelukkende adgang til egne børns fotos. Dvs., at ved bestilling oplyser kunden selv navn, adresse og tlf.nr. samt e-mail adresse, så butikken kan levere billederne. Optagelserne gemmes på forretningens server, og efter relevant tid flyttes de til ekstern harddisk, der opbevares i aflåst skab. Det enkelte barn er her ikke registreret med andet end et fortløbende nummer. Bearbejdede, bestilte ordrer gemmes under skole, klasse ogbarnets navn på server og slettes helt efter relevant tid. Dette er for at kunne servicere kunden bedst muligt. • børnehavefotos De optagne fotos udleveres direkte til kunden (den oplyste forældrekontaktperson). Optagelserne gemmes med henblik på at kunne effektuere kundernes ordrer. Barn- og forældreoplysninger modtages fra børnehaverne og ligger gemt i ”Fotolet”, som kun kan tilgås med brugernavn og kode. Ved bestilling logger kunden ind med sit eget brugernummer og kode og får i den forbindelse udelukkende adgangtil egne barns fotos. Ved bestilling oplyser kunden selv navn, adresse og tlf.nr. samt e-mail adresse, så butikken kan levere billederne. Optagelserne gemmes på forretningens server, og efter relevant tid flyttes de til ekstern harddisk, der opbevares i aflåst skab. Det enkelte barn er her ikke registreret med andet end et fortløbende nummer. Bearbejdede, bestilte ordrer gemmes under børnehave, stue og barnets navn på server og slettes helt efter relevant tid. Dette er for at kunne servicere kunden bedst muligt. • konfirmationsfotos De optagne elektroniske fotos udleveres direkte til kunden (den oplyste forældrekontaktperson eller til præsten), gemmes på server og flyttes efter relevant tid til ekstern harddisk, der opbevares i
aflåst skab. Dette er for at kunne servicere kunden bedst muligt. •
BILLEDORDRER, herunder både ”fysiske” foto og digitale ordrer til f.eks. print, kopiering og/eller redigering via photoshop. ”FYSISKE” ordrer via film fra analoge kameraer og/eller negativermed henblik på fremkaldelse/print. Endvidere fremkaldelse af film/negativer, dels for butikkens egne kunder, dels for en række andre butikker i og uden for PhotoCare kæden. DIGITALE ordrervia nedenstående elektroniske medier: e-mail : hvidovre@photocare.dk USB stick mobiltelefon tablet butikkens og/eller PhotoCare kædens app med henblik på print/behandling af fotos hukommelseskort fra digitale kameraer
For samtlige ovennævnte typer fotografering og billedordrer gælder, at butikken IKKE bruger kundens produkter, udover hvad der er nødvendigt for udførelse af opgaven. Materialet gemmes typisk 3-30dage og slettes derefter automatisk. Mislykkede fotoprints rives, efter konstateret fejl , straks i stykker og kasseres. Dette sker for butikkens regning. Gamle/historiske foto til scanning og redigering. Med henblik på at kunne servicere kunden bedst muligt, hvis der ønskes redigering, gemmes butikkens gennemarbejdede og færdige produkt, efter kundens forudgående, skriftlige samtykke , jvfr. Bilag 3, på butikkens server under måned/kundenavn i relevant tid, hvorefter de flyttes til ekstern harddisk, der opbevares i aflåst skab. Såfremt butikken og/eller kunden ønsker et fotografi anvendt, f.eks. men ikke udelukkende, til visning i butikkens udstillingsvindue eller i forbindelse med anden markedsføring, indhentes altid kundens forudgående, skriftlige samtykke, jvfr. Bilag 3. Dette gælder også for gamle/historiske fotos eller andre fotos, som butikken og/eller kunden ønsker anvendt til markedsføring af butikken og dens produkter.
ØVRIGE PRODUKTER • fotokopieraf diverse dokumenter for butikkens kunder.
Mislykkede fotokopier (f.eks. skæve fotokopier, og/eller fotokopier, som er mislykkede p.g.a. tekniske fejl ved fotokopimaskinen) makuleres straks i kundens påsyn, og er naturligvis for butikkens regning. Den bestilte fotokopi udleveres altid direkte til kunden ved betaling. Butikken opbevarer således ikke kopi af det pågældende dokument. • videokopiering– både for butikkens egne kunderog for en række eksternefotobutikker. Den/de bestilte videokopi(er)udleveres altid direkte til kunden eller til den eksterne fotobutik, og butikken opbevarer således ikke kopi af den pågældende video. • fotobøger–designes og bestilles direkte af kunden hos producenten af fotobøgerne. Butikken kommer således ikke i berøring med bøgerne/de i bøgerne viste fotografier, MEDMINDRE kunden har reklamationer og/eller forespørgsler. Kunderne vil i så fald som oftest henvende sig i butikken. Evt. kundedata, herunder fotos, opbevares HVERKEN i butikken ELLER elektronisk.
DIVERSE • debitor- og kreditorkartotek Opdateres evt. løbende i forhold til relevante kunder og leverandører. Registrerede oplysninger omfatter: navn, adresse, tlf.nr., e-mail adresse, kontonr., betalingsbetingelser • Pris- og øvrige forespørgslervia e-mail til bb.hvidovre@photocare.dk eller telefonisk E-mails slettes efter behov i forbindelse med ”oprydning” . • Butikken betjener sig af en serveri forbindelse med e-mails og dataoverførsel til og fra butikken. Serveren vedligeholdes løbendeog kan som sådan udelukkende tilgås af ekstern IT-chef, med hvem der er indgået databehandleraftale (Bilag 4). Idet butikkens medarbejdere, udover selv at være registrerede, qua kundekontakten også er daglige databehandlere, er de den 28. – 31. Maj 2018 både mundtligt og skriftligt blevet informeret om ovennævnte retningslinier og har haft mulighed for at stille spørgsmål, som Henning og Birte efter bedste evne har forsøgt at besvare. Skriftlig information er givet i form af vedhæftede resumé af nærværende retningslinier (Bilag 5) og i form af kopi af nærværende retningslinier. Notits om udarbejdede retningslinier og orientering af butikkens medarbejdere er endvidere offentliggjort på butikkens hjemmeside hvidovre.photocare.dk og på butikkens facebook-væg.
Butikkens personale er i forbindelse med nævnte information om retningslinierne udtrykkeligt blevet instrueret i, hvordan evt. fejlhåndtering af retningslinierne skal oplyses til Henning så hurtigt som muligt. (Bilag 5) I Henning fravær (f.eks. ferie) og dermed manglende mulighed for at kunne indberette eventuelle overtrædelser af nærværende dataretningslinier til Datatilsynet indberet rettidigt inden for 72-timers perioden, instruerer Henning, inden sit fravær, en kollega i, hvordan overtrædelsen i givet fald skal indberettes til Datatilsynet. Der gives også oplysning om, at Henning samtidig og snarest efter sit fravær skal orienteres om overtrædelsen. Indberetning således : www.datatilsynet.dk – klik: brud på persondatasikkerhed Med henblik på løbende at overholde nærværende retningslinier er der udarbejdet en checkliste (Bilag 6), som indeholder punkter, som alle i fællesskab følger op på med 3 måneders intervaller, første gang 1. september 2018. Hvidovre den 25. Maj 2018 PhotoCare Hvidovre CVR 16 96 67 38 Henning Rasmussen Indehaver