Politik for behandling og beskyttelse af personoplysninger

Hos MTH Group respekterer vi vores kunders, medarbejderes og samarbejdspartneres ret til privatliv og anerkender behovet for at fastsætte tilstrækkelige sikkerhedsforanstaltninger for behandlingen af personoplysninger.

1 INDLEDNING

1.1 Koncernledelsen i MTH Group ejer og godkender denne politik.

1.2 Hos MTH Group respekterer vi vores kunders, medarbejderes og samarbejdspartneres ret til privatliv og anerkender behovet for at fastsætte tilstrækkelige sikkerhedsforanstaltninger for behandlingen af personoplysninger. 

1.3 Lovgivningen om beskyttelse af personoplysninger regulerer alle forhold, der knytter sig til virksomheders brug af oplysninger om fysiske personer, herunder kunder, medarbejdere og leverandører og beskytter disse personer imod uautoriseret opbevaring og behandling af deres personoplysninger.

1.4 Denne politik beskriver MTH Groups overordnede strategiske mål for MTH Groups behandling og beskyttelse af personoplysninger. Politikken indeholder desuden retningslinjer for rapportering til ledelsen vedrørende manglende overholdelse af nærværende politik. Det kan i den forbindelse have ansættelsesretslige konsekvenser at overtræde politikken.

1.5 Politikken indeholder bestemmelser om koncernens risikoprofil samt det ønskede risiko- og complianceniveau for persondataområdet i MTH Group. 

2 FORMÅL OG ANVENDELSESOMRÅDE

2.1 Det er MTH Group's mål at sikre og beskytte personoplysninger. Dette vil MTH Group bl.a. gøre ved at:

(i) sikre, at alle behandlinger af personoplysninger finder sted i overensstemmelse med principperne om lovlig behandling af personoplysninger,

(ii) iagttage de vejledninger og den praksis som løbende offentliggøres af relevante aktører, herunder Datatilsynet, og

(iii) sikre, at medarbejdere modtager relevant træning i behandling af personoplysninger. 

2.2 De enkelte selskaber i MTH Group behandler personoplysninger om bl.a. kunder, brugere af hjemmeside, leverandører og ansatte i koncernen. Formålet med denne politik er at sikre, at MTH Group værner om personoplysningernes sikkerhed og følger den til enhver tid gældende lovgivning med henblik på at beskytte alle personoplysninger, som selskaberne i MTH Group er i besiddelse af. 

3 DEFINITIONER

3.1 MTH Group anvender definitioner af begreber indenfor persondataområdet, som findes i den gældende lovgivning. 

3.2 Personoplysninger defineres som enhver form for information om en identificeret eller identificerbar fysisk person. Ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator eller et eller flere elementer, der (set i sammenhæng) er særlige for en fysisk persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet.

3.3 Følsomme personoplysninger defineres som personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering. 

3.4 Registrerede personer henviser til de fysiske personer, som personoplysninger, der behandles af de enkelte selskaber i MTH Group, vedrører.

3.5 En dataansvarlig er en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger. De enkelte selskaber i MTH Group er dataansvarlige i relation til behandlingen af personoplysninger, og afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af de omhandlede personoplysninger. Dette vil typisk være tilfældet med hensyn til fx behandling af medarbejderoplysninger som led i personaleadministration i de enkelte selskaber. Det er den dataansvarlige, som har ansvaret for, at en behandling af personoplysninger lever op til reglerne i databeskyttelseslovgivningen, og dermed i værste fald kan ifalde bødeansvar. 

3.6 En databehandler er en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne.

3.7 Et tredjeland, er et land der ikke er medlem af Den Europæiske Union (EU) eller er et  EØS-lande. Et usikkert tredjeland er et tredjeland, hvor EU-Kommissionen ikke har truffet afgørelse om, at tredjelandet har et tilstrækkeligt beskyttelsesniveau. 

3.8 Når der i denne politik henvises til "Persondatabeskyttelse" forstås hermed alle de tekniske såvel som organisatoriske sikkerhedstiltag, som har til formål at sikre personoplysningers fortrolighed, tilgængelighed og pålidelighed.

4 PRINCIPPER FOR BEHANDLING AF PERSONOPLYSNINGER

4.1 Alle selskaber og ansatte i MTH Group skal overholde principperne for behandling af personoplysninger. Dette betyder blandt andet, at personoplysninger skal behandles lovligt, rimeligt og på en gennemsigtig måde, ligesom personoplysninger alene må indsamles til udtrykkeligt angivne og legitime formål.

4.2 På tilsvarende vis skal behandlingen af personoplysninger alene ske, hvis dette er relevant og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles. Der skal i de enkelte koncernselskaber være procedurer, der - udover at bidrage til at personoplysninger er korrekte og ajourførte - sikrer, at personoplysninger opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger er indhentet og behandlet.

4.3 Der skal endvidere være procedurer, der tager hånd om, at personoplysninger behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger. 

5 BEHANDLINGSGRUNDLAG OG HERUNDER SAMTYKKE  

5.1 Al behandling af personoplysninger hos MTH Group skal foretages på baggrund af et lovligt behandlingsgrundlag. Der skal derfor altid tages stilling til, hvilket behandlingsgrundlag der er gældende for en behandling. 

5.2 Samtykke er et af de behandlingsgrundlag, der kan anvendes, når MTH Group behandler personoplysninger om fysiske personer. 

5.3 Når MTH Group indhenter et samtykke til behandling af personoplysninger, er det vigtigt at sikre, at samtykket er afgivet frivilligt, specifikt, informeret og udgør en utvetydig tilkendegivelse af at den fysiske person indvilliger i, at der behandles personoplysninger om den pågældende. 

5.4 Hvis en person har afgivet samtykke til, at selskaber i MTH Group kan behandle oplysninger om den pågældende, kan den registrerede person til enhver tid trække sit samtykke tilbage igen. Det er vigtigt for MTH Group, at det altid respekteres, at en registreret person vælger at tilbagetrække sit samtykke til behandling. 

5.5 Hvis en registreret person tilbagetrækker et samtykke til et udtrykkeligt formål, vil dette betyde, at der ikke kan ske en efterfølgende behandling af personoplysninger om den registrerede person til dette formål. 

6 DE REGISTREREDE PERSONERS RETTIGHEDER

6.1 Det er vigtigt for MTH Group, at alle registrerede personer informeres om deres rettigheder i relation til behandling af personoplysninger. 

6.2 Det er desuden et vigtigt fokus for MTH Group at sikre overholdelse af alle registrerede personers rettigheder. Alle medarbejdere, der beskæftiger sig med behandling af personoplysninger hos MTH Group, skal derfor orienteres om omfanget af de registrerede personers rettigheder, samt om hvordan de skal håndtere anmodninger fra de registrerede personer. Dette beskrives i konkrete retningslinjer, der udarbejdes af de enkelte selskaber. 

6.3 Alle registrerede personer har ret til at opnå indsigt i behandlingen af deres personoplysninger, hvis de anmoder herom. De registrerede personer har som udgangspunkt ret til at blive informeret om, til hvilke formål personoplysninger behandles, hvilke kategorier af personoplysninger der behandles om dem, og hvem der modtager personoplysningerne. Der kan dog være undtagelser, der i specifikke situationer indebærer, at der kan ske begrænsninger i denne ret.

7 ANVENDELSE AF DATABEHANDLERE

7.1 De enkelte selskaber i MTH Group anvender en række underleverandører, og det forekommer at personoplysninger overføres til vores underleverandører som led i deres levering af ydelser til MTH Group. Hvis underleverandørerne behandler personoplysninger på vegne af selskaber i MTH Group, skal dette altid ske i henhold til MTH Groups anvisninger (instruks), da disse leverandører dermed agerer som databehandlere. Når vi lader underleverandører behandle personoplysninger som databehandler, sker dette først efter, at der er indgået en skriftlig databehandleraftale i henhold til gældende lovgivning og i overensstemmelse med de procedurer, der er fastsat herfor i MTH Group.  På denne måde sikrer vi det et højt niveau for beskyttelse af personoplysninger, som matcher kravene i disse retningslinjer. 

7.2 Når selskaber i MTH Group vælger at indgå aftale med en databehandler, foretages der altid en forudgående undersøgelse af databehandleren i overensstemmelse med de interne retningslinjer omhandlet i dokumentet: "Retningslinjer om brug af databehandlere". Denne undersøgelse skal sikre, at databehandleren kan stille de fornødne garantier for, at de kan opretholde passende tekniske og organisatoriske foranstaltninger på en sådan måde, at den behandling, der foretages på vegne af selskaber i MTH Group, som minimum lever op til den gældende lovgivning om beskyttelse af personoplysninger.

7.3 En forudgående undersøgelse af en ny databehandler indebærer, at der foretages en risikovurdering, der tager hensyn til de risici, som behandlingen udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger. 

8 OVERFØRSEL TIL TREDJELANDE

8.1 Der gælder særlige regler, hvis personoplysninger skal behandles i et usikkert tredjeland. Hvis selskaber i MTH Group gør brug af en databehandler i et usikkert tredjeland, eller har behov for at videregive personoplysninger til en modtager i et usikkert tredjeland, skal det derfor altid sikres, at der findes det nødvendige overførselsgrundlag, før overførslen finder sted.  

8.2 Det er vigtigt for MTH Group at sikre, at modtageren af personoplysningerne afgiver de fornødne garantier for, hvordan personoplysninger, som selskaber i MTH Group er dataansvarlig for, behandles, når der sker overførsel til en modtager i et usikkert tredjeland. 

9 RISIKOVURDERING OG SIKKERHED

9.1 Koncernledelsen er ansvarlig for, at der udføres en overordnet risikovurdering af trusselsbilledet på persondataområdet for MTH Group. 

9.2 Ved risikovurderingen skal MTH Group vurdere, hvilke risici i forhold til registrerede personers rettigheder - og herunder frihedsrettigheder - der er forbundet med behandlingen af personoplysninger, samt vurdere sandsynligheden for risikoens indtræden og risikoens alvor. Risikoen vurderes med udgangspunkt i behandlingens karakter, omfang, sammenhæng og formål og evalueres ud fra objektive kriterier, hvorefter det fastslås, om behandlingen af personoplysningerne indebærer en lav risiko eller en høj risiko.

9.3 Ved vurderingen af risikoen tages der hensyn til de risici, som behandling af personoplysninger indebærer, såsom hændelig eller ulovlig tilintetgørelse, tab, ændring eller uautoriseret videregivelse af - eller adgang til - personoplysninger, der er overført, opbevaret eller på anden måde behandlet, og som navnlig kan føre til fysisk, materiel eller immateriel skade.

9.4 Det overordnede risikobillede skal resultere i angivelse af specifikke tiltag som kan implementeres i selskaberne i MTH Group for at sikre et tilstrækkeligt sikkerhedsniveau for databeskyttelse. De specifikke tiltag kan både have til formål at undgå, at den pågældende risiko indtræder, og at reducere konsekvenserne af, at risikoen måtte indtræde.

9.5 Den overordnede risikovurdering skal opdateres mindst en gang årligt og omfatte alle væsentlige områder for persondatabeskyttelse, herunder særligt: 
• Systemkapabiliteter
• Data-governance
• Kritiske processer for behandling af persondata
• Politikker og forretningsgange
• Styring af databehandleraftaler
• Styring af samtykkeerklæringer og aftalegrundlag
• Dataklassifikationsmodel
• Styring af persondatasikkerhedsbrud
• Kendskab til persondataområdet i organisationen

9.6 Denne risikovurdering skal fungere som grundlag for revurdering af indsatsen på persondataområdet.

10 YDERLIGERE SPECIFIKKE RETNINGSLINJER OG PROCEDURER

10.1 Ud over denne politik er der af MTH Group og/eller i de enkelte selskaber i MTH Group udarbejdet specifikke retningslinjer og procedurer for behandling af personoplysninger, herunder bl.a. følgende:

(i) Instrukser til medarbejdere
(ii) Slettepolitik
(iii) Iagttagelse af oplysningspligter på HR-området
(iv) Fortegnelse over persondatabehandlingsaktiviteter
(v) Procedurer for behandling af indsigtsbegæringer og iagttagelse af øvrige rettigheder
(vi) Procedurer for håndtering af sikkerhedsbrud
(vii) Politik om brug af databehandlere mv.
(viii) Standard databehandleraftale (template)
(ix) Tekniske sikkerhedstiltag, herunder retningslinjer for medarbejdernes om-gang med IT 

10.2 Derudover vil der efter omstændighederne blive udarbejdet yderligere konkrete retningslinjer og/eller politikker efter vurdering af lokale behandlingsaktiviteter. 

11 EFTERLEVELSE AF POLITIKKEN OG KONTAKTPERSONER

11.1 Denne politik sikre, at alle selskaber i MTH Group får etableret klare retningslinjer som angivet i pkt. 10.1 vedrørende behandlingen og beskyttelsen af personoplysninger, ligesom formålet med anvendelsen af personoplysninger klart skal defineres i alle behandlingssituationer.

11.2 For at sikre forankring og implementering af denne politik har alle selskaber i MTH Group udpeget en enhed, der er ansvarlige for at sikre, at retningslinjerne efterleves i det enkelte selskab:
(i) MT Højgaard HR
(ii) Lindpro: HR
(iii) Enemærke & Petersen HR
(iv) Scandi Byg HR
(v) Ajos HR

11.3 Hvis der måtte opstå spørgsmål om indholdet eller efterlevelsen af retningslinjerne, har enheden pligt til at rette henvendelse herom til koncernledelsen. 

11.4 Derudover kan manglende overholdelse af specifikke retningslinjer og politikker med-føre sanktioner over for de enkelte medarbejdere i overensstemmelse med de lokale retningslinjer, der er udstukket baseret på denne politik.

12 RAPPORTERING

12.1 Koncernledelsen skal orienteres af de enkelte koncernselskaber, såfremt retningslinjerne i denne politik ikke er overholdt, samt hvis der opstår forhold vedrørende denne politik, som har betydning for vurdering af MTH Groups risikoprofil på persondataområdet. 

12.2 Bestyrelsen orienteres på de ordinære bestyrelsesmøder, såfremt retningslinjerne i denne politik ikke er overholdt, samt hvis der opstår forhold vedrørende denne politik, som har betydning for bestyrelsens samlede vurdering af MTH Groups risikoprofil på persondataområdet. 

13 AJOURFØRING

13.1 Koncernledelsen er bemyndiget til at tage denne politik op til revision, når det vurderes relevant og minimum 1 gang årligt.