Jakie dane zbieramy

 

 

Zbieranie, przetwarzanie i przechowywanie

danych osobowych

 

 

 

CrossEyes Group ApS

Vestergade 58B, 1. piętro

8000 Aarhus C

Danmark

CVR: 39065851

 

CrossEyes Group ApS odpowiada również za poniższe oddziały:

CrossEyes Esbjerg ApS, CVR: 36542292

CrossEyes Lemvig, CVR: 37960446

CrossEyes Randers, CVR: 36507993

CrossEyes Storkøbenhavn, CVR: 39158507

CrossEyes Gdanski Business Center (Polska), NIP: 783-173-52-39

 

 

 

 

Ostatnio zmienione: 24 maja 2018 r.

 

Lista

 

  1. Rejestr serwerów danych
  2. Działania związane z przetwarzaniem danych dotyczące klientela
  3. Działania związane z przetwarzaniem danych dotyczące personelu
  4. Procedura ochrony danych

Rejestr serwerów danych

 

IT

  • POS ONE (Dostawcy IT)
  • BDL (ERP-doradztwo– Navision)
  • ScanNet (Firma hostingowa IT – konta mailowe)
  • SimplyBook (system rezerwacji)
  • Unoeuro (domena internetowa)

 

Marketing

  • MailChimp (biuletyn)

 

Personel

  • Danløn

 

Współpracownicy

  • Searchmind (SEO-biuro)
  • Kvantum (agencja marketingu)

 

Inny

  • dk (wysyłka paczek)

Działania związane z przetwarzaniem danych dotyczące klienta

Administrator danych Nazwa organu / firmy, numer KRS i dane kontaktowe CrossEyes Group ApS

Att. Søren Møller

Vestergade 58B, 1. piętro

8000 Aarhus C

CVR: 39065851

info@crosseyes.dk

+45 61 22 31 33

Wspólny administrator danych i jego dane kontaktowe
Przedstawiciel administratora danych i jego dane kontaktowe
Doradca ds. Ochrony danych organu / firmy i jego dane kontaktowe
cel (-e) Cel przetwarzanie Aby móc przeprowadzić próbny test u klienta, a następnie zamówić niestandardowe okulary i / lub szkła kontaktowe.
Kategorie zarejestrowane i kategorie danych osobowych Kategoria zarejestrowanych osób Przetwarzane są informacje o następujących kategoriach zarejestrowanych osób:

Klienci

Dawni klienci

Dane przetwarzane  zarejestrowanych osób Informacje zawarte w konkretnym przetwarzaniu. Opisać:
Dane identyfikacyjne X
Informacje dotyczące stosunku pracy dla administracji, w tym pozycja i miejsce zatrudnienia, lista płac, informacje dotyczące listy płac, ewidencji pracowników, wykształcenia i zwolnienia chorobowego
Rasa lub pochodzenie etniczne
Przekonania polityczne, religijne lub filozoficzne
Przynależność do związków zawodowych
Informacje o stanie zdrowia, w tym dane genetyczne X
Dane biometryczne do identyfikacji
Związki seksualne lub orientacja seksualna
Przestępstwa
Odbiorcy danych osobowych Kategorie odbiorców do których informacje są lub będą ujawniane w odniesieniu do odbiorców w państwach trzecich i organizacjach międzynarodowych Współpracownicy:

1.       Searchmind (SEO-biuro)

2.       Kvantum (agencja marketingu)

3.       BDL (EPR- doradztwo)

4.       POS ONE (Dostawcy IT)

5.       ScanNet (Firma hostingowa IT)

6.       SimplyBook (system rezerwacji)

 

Wymaga uprzedniej zgody klienta:

1.       MailChimp (biuletyn)

2.       Okulista

3.       Ubezpieczenie zdrowotne ”Danmark”

Kraje trzecie i organizacje międzynarodowe Informacje na temat przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych Wskazanie firmy znajdującej się w kraju trzecim

MailChimp, Stany Zjednoczone.

Usuwanie Czas usunięcia informacji Oczekiwane terminy skasowania

Dokumentacja jest przechowywane zgodnie z obowiązującymi przepisami przez min. 5 lat.

 

Maile zawierające dane klientów musza byc usuwane codziennie. Jeśli zachodzi konieczność przechowywania informacji, zawsze jest to za uprzednią zgodą klienta.

 

Nieaktywne adresy e-mail do marketingu są usuwane raz w roku z MailChimp. Klient zawsze może zrezygnować marketing przez wysłanie e-mail.

Techniczne i organizacyjne środki bezpieczeństwa Ogólny opis technicznych i organizacyjnych środków bezpieczeństwa Wszystkie dane są przechowywane na zaszyfrowanym serwerze. Dane fizyczne (na przykład dokumentacja na papierze) są przechowywane w zamknięciu, gdzie tylko pracownicy w sklepie mają dostęp do zamkniętej szafki.

 

Tylko osoby odpowiedzialne za konkretne obszary mają dostęp do dokumentów komputerowych z odpowiednią zawartością.

 

Więcej informacji o klientach

Cel

Aby zapewnić indywidualne rozwiązanie dla każdego klienta, pracownik zakładu optycznego musi być w stanie przeprowadzić badanie wzroku u klienta, aby następnie doradzić klientowi, co najlepiej pasuje do jego stylu życia i potrzeb. Takim rozwiązaniem mogą być na przykład różne rodzaje okularów lub szkieł kontaktowych.

 

Kategorie zarejestrowanych i danych osobowych

  1. Kategorie zarejestrowanych osób

Klienci i byli klienci w jednym ze sklepów CrossEyes.

  1. Kategorie danych osobowych

Jako autoryzowany optyk, CrossEyes jest zobowiązany do zbierania i przechowywania informacji o zdrowiu zgodnie z obowiązującymi przepisami. Aby przeprowadzić badanie wzroku, klient musi ujawnić następujące informacje:

  • Imię i nazwisko (do identyfikacji)
  • Adres (do identyfikacji i prowadzenia dokumentacji)
  • Numer PESEL (do identyfikacji i prowadzenia dokumentacji)
  • Numer telefonu (służy do informowania klienta, kiedy jego okulary przybyły, oraz w przypadku powstania problemu z zamówieniem klienta)
  • Adres e-mail (dla potwierdzenia rezerwacji i przypomnienia o umowie w sklepie, jest również używany do biuletynu informacyjnego, jeśli klient wyraził na to zgodę)
  • Informacje zdrowotne (które są istotne dla stanu wzroku klienta)
  • Informacje medyczne (które są istotne dla stanu wzroku klienta)

Co więcej, CrossEyes może zbierać informacje o klientach:

  • Poprzez zapytania, odpowiedzi na pytania i inna komunikacje z CrossEyes, za pośrednictwem poczty elektronicznej, telefonu lub mediów społecznościowych (Facebook, Instagram, LinkedIn)
  • Poprzez informacje z mediów społecznościowych (Facebook, Instagram)
  • Poprzez wizytę klienta na stronie www.crosseyes.dk (pliki cookie)

CrossEyes zbiera tylko niezbędne informacje o kliencie i jest niezbędne uzyskanie wcześniejszej zgody od klienta. Klient może zostać poinformowany o polityce prywatności CrossEyes za pośrednictwem strony internetowej.

Kategorie odbiorców przy przekazaniu

CrossEyes udostępnia jedynie informacje partnerom, dostawcom lub innym stronom trzecim w celu świadczenia usługi lub dostarczenia produktu do Klienta lub by umożliwić firmie CrossEyes, w inny sposób wypełniając swoje zobowiązania wobec Klienta.

CrossEyes nie rozpowszechnia, nie sprzedaje ani nie wymienia informacji na rzecz stron trzecich w celu marketingu poza grupą CrossEyes. Ujawnienie informacji zawsze będzie zgodne z obowiązującym prawem i, jeśli będzie to wymagane, z uprzednią zgodą.

CrossEyes Group zawarła umowy przetwarzania danych ze wszystkimi partnerami handlowymi, którzy mają dostęp do poufnych informacji. Niektórzy partnerzy nie mają dostępu do poufnych informacji, ale nadal są wymienione poniżej.

 

Partnerzy, dostawcy i inne podmioty zewnętrzne CrossEyes to:

 

Kategoria: Firmy/Osoby Komentarze
IT POSONE Dostawca IT
BDL ERP- doradztwo, Navision
ScanNet Firma hostingowa IT – konta pocztowe
SimplyBook System rezerwacji
Unoeuro Domena internetowa
Mikkel Juul Zewnętrzny konsultant IT
Dropbox Cloud-usługa
Marketing MailChimp Biuletyn – wymaga zgody klienta
Google Analytics Statystyki i in. na stronie internetowej
Personel Danløn
Współpracownicy Searchmind SEO-biuro
Kvantum Agencja marketingu
BBGR Dostawca szkła
Hvam Hvam Grafika
Iny Pakkelabels.dk Przesyłki paczek

 

Transfery do państw trzecich i organizacji międzynarodowych

Jeśli klient wyraził zgodę na otrzymywanie biuletynu CrossEyes, jego imię i adres e-mail zostaną przesłane do kraju strony trzeciej, w Stanach Zjednoczonych, w której MailChimp ma serwery. CrossEyes zawarł umowę o przetwarzaniu danych z MailChimp.

CrossEyes przekazuje dane do Google Analytics z siedzibą w Stanach Zjednoczonych. CrossEyes ma zanonimizowane adresy IP, dzięki czemu nie ujawniono żadnych danych osobowych, które mogłyby zidentyfikować konkretną osobę.

Terminy usuwania

CrossEyes nie przechowuje żadnych danych osobowych dłużej niż jest to niezbędne do realizacji celu przetwarzania informacji.

Niektóre informacje musza być przechowywane przez CrossEyes przez określony czas, aby zachować zgodność z obowiązującymi przepisami. Dotyczy to na przykład dokumentacji, które mają być przechowywane w min. 5 lat, o ile nie zachodzą  szczególne okoliczności, w tym sprawa skargi, sporu lub procesu.

Jeśli klient wycofa swoją zgodę, CrossEyes zawsze wykona życzenie, jednak zapisów sprzed okresu przechowywania nie można usunąć, por. Powyższe.

E-maile zawierające dane osobowe będą usuwane, gdy tylko informacje zostana wykorzystane do tego, co powinny, ale zostaną usunięte w ciągu jednego dnia. Jeżeli zachodzi konieczność przechowywania informacji przez dłuższy czas, będzie to dokonywane za zgodą klienta.

Nieaktywne adresy e-mail do marketingu są usuwane raz w roku z MailChimp. Klient zawsze może zrezygnować z marketingu wysyłając e-mail.

Środki techniczne i organizacyjne

Wszystkie dane o klientach są przechowywane na zaszyfrowanym serwerze przez dostawcę IT CrossEyes. Dane fizyczne (na przykład dokumentacja na papierze) są przechowywane w zamknięciu, gdzie tylko pracownicy w sklepie mają dostęp do zamkniętej szafki. Dane o klientach sprzed 2017 r. Są przechowywane w folderze Dropbox Business, do którego mają dostęp tylko odpowiednie osoby. Dropbox Business szyfruje dane. Obowiązuje dla wszystkich folderów w Dropbox Business, do których mają dostęp tylko osoby odpowiedzialne za konkretne obszary.

Tylko pracownicy CrossEyes mają dostęp do folderów zawierających dane osobowe. Dropbox Business jest zarządzany i nadzorowany przez menedżera IT w CrossEyes.

Działania związane z przetwarzaniem danych dotyczące personelu

 

Administrator danych Nazwa organu / firmy, numer KRS dane kontaktowe CrossEyes Group ApS

Att. Søren Møller

Vestergade 58B, 1. piętro

8000 Aarhus C

CVR: 39065851

info@crosseyes.dk

+45 61 22 31 33

Wspólny administrator danych i jego dane kontaktowe
Przedstawiciel administratora danych i jego dane kontaktowe
Doradca ds. Ochrony danych organu / firmy i jego dane kontaktowe
cel (-e) Cel przetwarzanie Administrowanie personelem i obsadzanie wolnych miejsc pracy w firmie
Kategorie zarejestrowanych i kategorie danych osobowych Kategoria zarejestrowanych osób Przetwarzane są informacje o następujących kategoriach zarejestrowanych osób:

·         Pracownicy

·         Byli pracownicy

·         Aplikanci o prace (na zadanie I nie na zadanie)

Dane przetwarzane na zarejestrowanych osób Informacje zawarte w konkretnym przetwarzaniu. Opisać:
Informacja identyfikacyjna X
Informacje dotyczące stosunku pracy dla administracji, w tym pozycja i miejsce zatrudnienia, lista płac, informacje dotyczące listy płac, ewidencji pracowników, wykształcenia i zwolnienia chorobowego X
Rasa lub pochodzenie etniczne
Przekonanie polityczne, religijne lub filozoficzne
Przynależność do związków zawodowych
Informacje o stanie zdrowia, w tym dane genetyczne
Dane biometryczne do identyfikacji
Związki seksualne lub orientacja seksualna
Przestępstwa X
Odbiorcy danych osobowych Kategorie odbiorców do których informacje są lub będą ujawniane w odniesieniu do odbiorców w państwach trzecich i organizacjach międzynarodowych Danløn

SKAT

Scandia Pension (za uprzednią zgodą pracownika)

Kraje trzecie i organizacje międzynarodowe Informacje na temat przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych Wskazanie firmy znajdującej się w kraju trzecim

Brak

Usuwanie Czas usunięcia informacji Informacje o byłych pracownikach są przechowywane przez 5 lat zgodnie z obowiązującymi przepisami. W przypadku nierozstrzygniętego sporu o  zatrudnienie informacje są przechowywane do czasu zakończenia sprawy.

 

Aplikacje na zadaniei i życiorys są przechowywane do momentu obsadzenia posady. Przedłużenie zgłoszenia jest możliwe tylko za uprzednią zgodą wnioskodawcy.

 

Aplikacje nie na zadanie i życiorys są przechowywane tylko za zgodą I przez max. 6 miesięcy.

 

Wszystkie aplikacje są przechowywane w chronionym folderze, do którego dostęp mają tylko wybrani pracownicy odpowiedzialni za rekrutację.

 

Wszyscy wnioskodawcy mają prawo do wycofania zgody na przechowywanie wniosków w dowolnym momencie.

Techniczne i organizacyjne środki bezpieczeństwa Ogólny opis technicznych i organizacyjnych środków bezpieczeństwa Informacje o obecnych i byłych pracownikach są przechowywane cyfrowo w folderze z ograniczeniami dostępu. Tylko pracownicy odpowiedzialni za personel mają dostęp do folderu.

 

Informacje w formie fizycznej sa  przechowywane w zamknięciu.

 

Dalsze informacje dotyczące personelu

Cel

Zarządzanie personelem, a także możliwość zajmowania wakatów w firmie.

 

Kategorie zarejestrowanych i danych osobowych

  1. Kategorie zarejestrowanych

Pracownicy, a także byli pracownicy CrossEyes i aplikanci o prace (na zadanie I nie na zadanie) na stanowiska w firmie.

  1. Kategorie danych osobowych

Zebrane są następujące informacje o pracowników:

  • Imię i nazwisko (do identyfikacji)
  • Adres (do identyfikacji)
  • E-mail (do wypłaty)
  • Numer PESEL (do identyfikacji)
  • Numer konta (do wypłaty)
  • Rejestr karny, jeśli zostanie to uznane za konieczne i tylko za zgodą osoby zainteresowanej

Kategorie odbiorców do ujawnienia

CrossEyes dzieli się twoimi informacjami z partnerami, dostawcami lub innymi stronami trzecimi w celu zarządzania personelem, na przykład w związku z wyplata wynagrodzeń. Informacje o pracownikach ujawniane są tylko Danløn i SKAT.

CrossEyes nie rozpowszechnia, nie sprzedaje ani nie wymienia informacji na rzecz stron trzecich w celu marketingu poza grupą CrossEyes. Ujawnienie informacji zawsze będzie zgodne z obowiązującym prawem i, jeśli będzie to wymagane, z uprzednią zgodą.

CrossEyes Group zawarła umowy przetwarzania danych ze wszystkimi partnerami, którzy mają dostęp do poufnych informacji. Niektórzy partnerzy nie mają dostępu do poufnych informacji, ale nadal są wymienieni poniżej.

Partnerzy, dostawcy i inne podmioty zewnętrzne CrossEyes to:

Kategoria: Firmy/Osoby Komentarze
IT POSONE Dostawca IT
BDL ERP- doradztwo, Navision
ScanNet Firma hostingowa IT – konta pocztowe
SimplyBook System rezerwacji
Unoeuro Domena internetowa
Mikkel Juul Zewnętrzny konsultant IT
Dropbox Cloud-usługa
Marketing MailChimp Biuletyn – wymaga zgody klienta
Google Analytics Statystyki i in.j na stronie internetowej
Personel Danløn
Współpracownicy Searchmind SEO-biuro
Kvantum Agencja marketingu
BBGR Dostawca szkła
Hvam Hvam Grafika
Iny Pakkelabels.dk Przesyłki paczek

 

Transfery do państw trzecich i organizacji międzynarodowych

Nie ma transferów informacji do państw trzecich.

Terminy usuwania

Informacje o byłych pracownikach są przechowywane przez 5 lat zgodnie z obowiązującymi przepisami. W przypadku nierozstrzygniętego sporu o  zatrudnienie informacje są przechowywane do czasu zakończenia sprawy.

Aplikacje na zadanie i CV są przechowywane do momentu zajęcia postu. Przedłużenie zgłoszenia jest możliwe tylko za uprzednią zgodą wnioskodawcy.

Aplikacje nie na zadanie oraz CV są przechowywane tylko za zgodą i przez maksymalnie 6 miesięcy.

Wszystkie aplikacje są przechowywane w chronionym folderze, do którego dostęp mają tylko wybrani pracownicy odpowiedzialni za rekrutację.

Wszyscy wnioskodawcy mają prawo do wycofania zgody na przechowywanie wniosków w dowolnym momencie.

Środki techniczne i organizacyjne

Wszystkie dane dotyczące pracowników są przechowywane na zaszyfrowanym serwerze w Dropbox Business. Dane fizyczne są przechowywane w centrali CrossEyes w Aarhus. Obowiązuje dla wszystkich folderów w Dropbox Business, do których mają dostęp tylko osoby odpowiedzialne za konkretne obszary.

Tylko pracownicy CrossEyes mają dostęp do folderów zawierających dane osobowe. Dropbox Business jest zarządzany i nadzorowany przez menedżera IT w CrossEyes.

Procedura przy naruszeniu danych

CrossEyes jest zobowiązany do zebrania dowodów i do poinformowania Datatilsynet w ciągu 72 godzin od wykrycia naruszenia. Bezpośredni link do formularza na stronie virk.dk:

https://indberet.virk.dk/myndigheder/stat/ERST/Indberetning_af_brud_paa_sikkerhed

 Minimalne wymogi dotyczące zgłaszania naruszenia bezpieczeństwa danych osobowych:

  1. Opis charakteru naruszenia
  2. Nazwisko i dane kontaktowe w punkcie kontaktowym, w którym można uzyskać dalsze informacje
  3. Opis prawdopodobnych konsekwencji naruszenia bezpieczeństwa danych osobowych
  4. Opis środków podjętych lub zaproponowanych przez przedsiębiorstwo w celu zajęcia się naruszeniem ochrony danych osobowych (w celu ograniczenia skutków ubocznych)
  5. Możliwe. odpowiednie dodatkowe informacje

 Postepowanie w przypadku naruszenie danych

PROCEDURA

  1. Wykryto naruszenie danych. Naruszenie danych definiuje się jako uzyskanie dostępu do danych CrossEyes przez postronna osobę lub firmę, w tym do:
    1. Systemu klienta
    2. Dropbox-
    3. Dokumentacji papierowej
    4. Komputery lub telefony pracowników
    5. Konta e-mail powiązane z CrossEyes
  2. Próba zidentyfikowania naruszenie: kto uzyskal dostęp i do których systemów / plików. Można to zrobić. ze współpracownikami, którzy są dostawcami systemu, którego dotyczy luka:
    1. Dropbox ma dziennik (który użytkownik)
  3. Ocena konsekwencji: Jakie są konsekwencje naruszenia danych?
  4. Naruszenie jest zgłaszane do Datatilsynet
  5. Zainteresowane strony są informowane o naruszenie, patrz poniżej.

Odpowiedzialny: Søren Møller

Osoba odpowiedzialna dba o to, aby samemu zająć się identyfikacją zerwania danych i dalszym powiadomieniem,  lub przekazaniem zadania zaufanej osobie. Odpowiedzialna osoba jest odpowiedzialna za zapewnienie, że procedura jest przestrzegana, a naruszenie danych jest zgłaszane Datatilsynet w ciągu 72 godzin.

 

INFORMACJE DLA OSÓB KTÓRYCH TO DOTYCZY

Jeśli jest to możliwe w danej sytuacji, tylko osoby zamieszane w sprawę powinny zostać poinformowane o zerwaniu danych. Muszą mieć informacje o:

  1. Kto uzyskał dostęp
  2. Co zostało udostępnione
  3. Konsekwencje
  4. Co zrobiono, aby rozwiązać problem
  5. Co CrossEyes zrobi na przyszłość, aby zapobiec naruszeniu danych