Privatlivspolitik

Dataansvarlig for behandlingen af dine personoplysninger er:

Decree har ikke pligt til at udpege en databeskyttelsesrådgiver (DPO) efter GDPR art. 37, da vi ikke er en offentlig myndighed og hverken har kerneaktiviteter i form af systematisk overvågning eller behandling af særlige kategorier i stort omfang. Spørgsmål om denne politik eller om vores behandling af personoplysninger kan rettes direkte til adressen ovenfor.

Vi indsamler kun de oplysninger, der er nødvendige for det konkrete formål. Afhængigt af din kontakt med os kan det dreje sig om følgende kategorier:

Hjemmesidebesøg

• IP-adresse (logges af vores hostingleverandør i serverlogs)
• Browsertype og version, operativsystem, sprogindstilling
• Besøgte stier på hjemmesiden, tidspunkt og HTTP-statuskode
• Henvisende side, hvis du klikker dig ind fra et eksternt link

Kontaktformular og email

• Navn
• Email
• Telefonnummer (frivilligt)
• Virksomhedsnavn (frivilligt)
• Indholdet af din besked, herunder de løsninger du har sat kryds ved

Kunderelation

Når en henvendelse fører til et kundeforhold, behandler vi yderligere:

• Stillingsbetegnelse og rolle hos kunden
• Faktureringsoplysninger og CVR for kundens virksomhed
• Korrespondance, mødenoter og aftaledokumenter (DPA, hovedaftale, tillæg)
• Driftslogs fra de tjenester, vi leverer (særskilt reguleret i DPA)

Vi indsamler ikke særlige kategorier af personoplysninger (GDPR art. 9) som helbredsoplysninger, religiøs overbevisning eller fagforeningsmæssigt tilhørsforhold via hjemmesiden eller kontaktformularen. Vi indsamler heller ikke oplysninger om strafbare forhold (GDPR art. 10).

Vi behandler kun personoplysninger, når vi har et lovligt grundlag efter GDPR art. 6. Nedenfor er en oversigt over hvert formål og det tilhørende retsgrundlag.

Drift og sikkerhed af hjemmesiden

Formål: Levere hjemmesiden, sikre oppetid, opdage og afværge angreb, fejlsøge driftsproblemer.

Retsgrundlag: Vores legitime interesse i at drive en sikker og stabil hjemmeside, jf. GDPR art. 6, stk. 1, litra f. Interesseafvejningen er foretaget, og vi vurderer at den registreredes interesser ikke vejer tungere, da der alene logges tekniske oplysninger i kort tid.

Besvarelse af henvendelser

Formål: Læse din besked, vende tilbage med svar eller tilbud, gennemføre den indledende dialog frem mod en eventuel aftale.

Retsgrundlag: Foranstaltninger på din anmodning forud for indgåelse af en aftale, jf. GDPR art. 6, stk. 1, litra b. Hvis du henvender dig på vegne af en virksomhed, der ikke (endnu) er kunde, behandler vi dine oplysninger på grundlag af vores legitime interesse i at besvare henvendelsen, jf. GDPR art. 6, stk. 1, litra f.

Opfyldelse af kundeaftaler

Formål: Levere de aftalte tjenester, håndtere support, fakturering og løbende dialog med kontaktpersoner hos kunden.

Retsgrundlag: Opfyldelse af aftalen med kunden, jf. GDPR art. 6, stk. 1, litra b. For så vidt angår de kundedata, vi behandler som databehandler på vegne af kunden, sker behandlingen på grundlag af vores databehandleraftale (DPA), jf. GDPR art. 28.

Bogføring og lovpligtig opbevaring

Formål: Overholde bogføringspligt, skattelovgivning og hvidvaskregler.

Retsgrundlag: Retlig forpligtelse, jf. GDPR art. 6, stk. 1, litra c, sammenholdt med bogføringslovens § 12 (5 års opbevaring).

Vi videregiver ikke dine personoplysninger til tredjemand til markedsførings- eller kommercielle formål. Vi anvender et begrænset antal databehandlere, der bistår med drift af hjemmesiden, mailservice og kundetjenester. Databehandlerne er bundet af en databehandleraftale (GDPR art. 28) og må kun behandle oplysningerne efter vores instruks.

Databehandlere på hjemmesiden

• Scaleway SAS (Frankrig). Hosting af hjemmesiden og serverlogs. Datacenter i Paris. Fransk selskab, ingen amerikansk modervirksomhed, ingen overførsel uden for EU.

Subprocessor-liste

Den fulde og opdaterede liste over Decrees underdatabehandlere udleveres ved opstart af samtale eller på forespørgsel. Se subprocessor-siden for den til enhver tid gældende beskrivelse.

Tredjelandsoverførsler

Vi overfører ikke personoplysninger til lande uden for EU/EØS. Vores infrastruktur er placeret i Frankrig, og vi anvender ikke leverandører, der er omfattet af USA's CLOUD Act eller tilsvarende ekstraterritorial lovgivning, til behandling af kundedata. Skulle vi senere have behov for at anvende en leverandør uden for EU/EØS, vil vi sikre et lovligt overførselsgrundlag (eksempelvis EU-Kommissionens standardkontraktklausuler) og opdatere denne politik samt subprocessor-listen.

Offentlige myndigheder

Vi videregiver kun oplysninger til offentlige myndigheder, hvis vi er retligt forpligtet hertil (eksempelvis efter retskendelse fra en dansk domstol eller pålæg fra Skattestyrelsen i bogføringsmæssige forhold).

Vi opbevarer kun personoplysninger, så længe det er nødvendigt for det formål, de blev indsamlet til, eller så længe vi er forpligtet hertil efter lovgivningen.

Når formålet er opfyldt og en eventuel lovpligtig opbevaringsperiode er udløbet, slettes oplysningerne eller anonymiseres, så de ikke længere kan henføres til en fysisk person.

Som registreret har du efter GDPR art. 15 til 22 en række rettigheder. Du kan altid kontakte os på info@decree.dk for at udøve dem. Vi besvarer anmodningen uden unødig forsinkelse og senest inden for én måned, jf. GDPR art. 12, stk. 3.

Indsigt (art. 15)

Du har ret til at få oplyst, om vi behandler personoplysninger om dig, og i givet fald få en kopi af oplysningerne sammen med information om formål, kategorier, modtagere og opbevaringsperiode.

Berigtigelse (art. 16)

Du har ret til at få urigtige oplysninger om dig selv rettet, og du har ret til at få fuldstændiggjort ufuldstændige oplysninger.

Sletning (art. 17)

Du har i visse tilfælde ret til at få oplysninger om dig slettet, før det tidspunkt, hvor vi alligevel ville slette dem. Sletteretten gælder dog ikke, hvis vi har en retlig forpligtelse til fortsat at opbevare dem (eksempelvis bogføringsmateriale).

Begrænsning af behandling (art. 18)

Du har i visse tilfælde ret til at få behandlingen af dine oplysninger begrænset, så vi alene må opbevare oplysningerne, men ikke anvende dem.

Dataportabilitet (art. 20)

Du har i visse tilfælde ret til at modtage de oplysninger, du selv har afgivet til os, i et struktureret, almindeligt anvendt og maskinlæsbart format og til at få oplysningerne overført til en anden dataansvarlig.

Indsigelse (art. 21)

Du har ret til at gøre indsigelse mod vores behandling af dine personoplysninger, når behandlingen er baseret på vores legitime interesse (GDPR art. 6, stk. 1, litra f). Hvis vi ikke kan påvise vægtige legitime grunde, der går forud for dine interesser, må vi ikke længere behandle oplysningerne.

Tilbagekaldelse af samtykke

Hvis vores behandling er baseret på dit samtykke (GDPR art. 6, stk. 1, litra a), kan du til enhver tid trække samtykket tilbage. Tilbagekaldelsen påvirker ikke lovligheden af den behandling, der er foretaget før tilbagekaldelsen.

Vi har truffet passende tekniske og organisatoriske foranstaltninger (GDPR art. 32) for at beskytte dine personoplysninger mod uautoriseret adgang, ændring, videregivelse eller sletning. Foranstaltningerne omfatter blandt andet:

• Kryptering af data under transport (TLS 1.2 eller nyere) og at rest
• Adgangsstyring efter least-privilege-princippet, MFA på alle administrative konti
• Logning af adgang til produktionssystemer
• Hosting i ISO 27001-certificeret datacenter (Scaleway, Paris)
• Løbende sikkerhedsopdateringer og sårbarhedshåndtering
• Backup med geografisk adskillelse inden for EU

Læs mere om vores generelle tilgang på sikkerhedssiden. I tilfælde af et brud på persondatasikkerheden, der medfører risiko for de registreredes rettigheder, anmelder vi det til Datatilsynet inden for 72 timer (GDPR art. 33) og underretter de berørte registrerede, hvis bruddet sandsynligvis vil indebære en høj risiko (GDPR art. 34).

Decrees hjemmeside anvender på nuværende tidspunkt ingen samtykkekrævende cookies, ingen analytics-cookies og ingen tredjeparts trackere. Vi sætter udelukkende strengt nødvendige cookies, der er undtaget fra samtykkekravet i § 3, stk. 3, i bekendtgørelse om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyr (cookiebekendtgørelsen).

Hvis vi senere aktiverer analyseværktøjer eller andre samtykkekrævende cookies, vil vi indhente dit forudgående, frie og informerede samtykke i et samtykkebanner og opdatere vores cookiepolitik samt denne politik tilsvarende.

Du har ret til at klage til Datatilsynet, hvis du er utilfreds med den måde, vi behandler dine personoplysninger på (GDPR art. 77). Vi opfordrer til, at du først kontakter os, så vi har mulighed for at belyse sagen og evt. rette en fejl.

Vi kan løbende opdatere denne privatlivspolitik for at afspejle ændringer i vores behandling af personoplysninger eller i lovgivningen. Den til enhver tid gældende version offentliggøres på decree.dk/privacy-policy. Datoen for seneste opdatering fremgår øverst på siden.

Væsentlige ændringer, der berører eksisterende kunder eller modtagere af nyhedsbreve (når vi måtte have et nyhedsbrev), varsles via mail, før de træder i kraft.