Hvad gør vi? Persondatapolitik
Persondatapolitik
Håndtering af persondata ved Hjørring Vandselskab (2024)
Hjørring Vandselskab A/S
Åstrupvej 9
9800 Hjørring
+45 38 41 28 28
post@hjvand.dk
www.hjvand.dk
1. Til forbrugeren
2. Formålet med og retsgrundlaget for behandlingen af dine personoplysninger
Vi behandler personoplysninger, som du selv – eller en anden af dig betroet tredjepart, eksempelvis
ejendomsmægler, advokat, revisor eller udlejer – har udleveret til os i forbindelse med din tilknytning af
services fra Hjørring Vandselskab. Endvidere behandler vi løbende oplysninger om forbrug af drikkevand og
administrerer en tømningsordning for spildevandstanke i ikke-kloakerede områder. Afregnet forbrug af
drikkevand indgår som enhedsbetaling (m³) for afregning af spildevandsafledning.
Disse personoplysninger opbevarer og behandler vi for at kunne leve op til vores kontraktlige forpligtelser
over for dig i forbindelse med afregning af forbrug, opgørelse af restancer, inddrivelse af eventuel gæld,
samt vores forpligtelser i forbindelse med sektorlovgivningen inden for vores forsyningsområder.
Uden disse oplysninger vil vi således ikke kunne levere vores ydelser til dig.
Vi behandler følgende kategorier af personoplysninger om dig:
- Navn, adresse, telefon, e-mail
- Målernumre, forbrugernummer (kundenummer)
- Forbrugsdata for den pågældende måler
- CPR-nummer, såfremt dette er oplyst til os, dvs. du har givet samtykke til, at vi opbevarer CPR-nummeret.
Særligt vedr. opbevaring af CPR-nummer: Selskabet opbevarer og behandler personoplysninger, herunder CPR-nummer, såfremt kunden selv – eller kunden via en betroet tredjepart, eksempelvis ejendomsmægler, advokat, revisor eller udlejer – har givet samtykke hertil i forbindelse med kundens tilknytning til Hjørring Vandselskab. CPR-nummeret anvendes for at kunne levere en mere smidig kundeservice, markante tidsbesparelser samt effektiviseringsgevinster:
- Udbetaling til kundernes NemKonto f.eks. ved flytninger, for meget opkrævet aconto, udbetaling af erstatninger samt refusioner af forskellig art.
- Automatisk adresseopdatering via cpr-registeret, f.eks. ved flytninger og dødsfald. Herved sikres, at forsyningerne altid ligger inde med ajourførte kundeadresser i henhold til principperne i artikel 5, litra d i GDPR.
- Inddrivelse af restancer.
- Det sikres ligeledes, at forsyningernes korrespondance kan foregå direkte med bobestyrer eller skifteret, hvorved forsyningerne ligeledes undgår henvendelser til afdøde, der opleves yderst uhensigtsmæssigt for de efterladte.
Selskabet fik som de fleste forsyningsselskaber ved selskabsdannelsen i 2007 overdraget CPR-numre fra Kommunen for de daværende forbrugere. Overdragelsen er således sket uden direkte samtykke fra kunderne, og hjemlen til anvendelsen af disse ligger derfor i en gråzone. Selskabets interesseorganisation, DANVA, har på vegne af forsyningsselskaberne sendt en ansøgning til Datatilsynet for at få afklaret dette forhold. Selskabet afventer afgørelsen fra Datatilsynet. Energistyrelsen har vurderet, at indsamling og behandling af målerdata ved hyppigere og intelligent fjernaflæsning kan foretages med hjemmel i databeskyttelsesforordningens artikel 6, stk. 1, litra e og f under forudsætning af, at de grundlæggende behandlingsprincipper i databeskyttelsesforordningens artikel 5 overholdes. Dermed vil hyppigere aflæsning af målerdata ikke behøve samtykke fra forbrugeren. Data anvendes til bl.a. drifts-optimering (eksempelvis overvågning af lækager), øget forsyningssikkerhed, præcis aflæsning m.v. Dette vil gøre sig gældende, hvis selskabet i fremtiden vælger at indføre digitale vandmålere. Persondatareglerne kræver ikke, at der er tale om et skriftligt samtykke. Selskabet skal som dataansvarlig dog i givet fald kunne redegøre for, at der er givet samtykke, men i og med, at der er oprettet et kundeforhold, anses det for givet, at vi opbevarer basale oplysninger som navn, adresse, telefonnummer og forbrugsdata mv. Et samtykke kan til enhver tid trækkes tilbage. Herefter må vi ikke længere behandle oplysninger på grundlag af samtykket, men i nogle tilfælde kan der så alligevel være et andet lovligt behandlingsgrundlag end samtykke, f.eks. i forbindelse med inddrivelse af restancer. Vi vil sørge for, at det er lige så let at trække samtykket tilbage, som det er at give det.
3. Tidsfrister for sletning/opbevaring
Vi kan på nuværende tidspunkt ikke sige, hvor længe vi vil opbevare dine personoplysninger. Dog opbevarer vi dem altid i minimum 5 år af hensyn til bogføringsloven. Ofte opbevarer vi forbrugs- og anlægsoplysninger længere af hensyn til statistiske og driftsmæssige formål, eksempelvis i forbindelse med ejerskifte, ved renoveringsopgaver, driftsforstyrrelser, brud og læk, samt reklamationer.
4. Dine rettigheder efter persondataforordningen
I forbindelse med vores behandling af dine personoplysninger har du adskillige rettigheder:
- Retten til at modtage oplysning om hvordan vi behandler dine personoplysninger (oplysningspligt).
- Retten til at få indsigt i dine personoplysninger.
- Retten til at få urigtige personoplysninger rettet.
- Retten til at få dine personoplysninger slettet. *)
- Retten til at gøre indsigelse mod at dine personoplysninger anvendes til direkte markedsføring.
- Retten til at gøre indsigelse mod automatiske, individuelle afgørelser, herunder profilering.
- Retten til at flytte dine personoplysninger (dataportabilitet).
*) Du kan ikke i praksis få alle dine oplysninger slettet uden at også leveringsforholdet ophører. Vi vil for eksempel altid have brug for at kunne måle dit forbrug og sende en regning.
Alle ovenstående rettigheder håndteres manuelt ved henvendelse til vores persondataansvarlige. Vi kan afvise anmodninger, der er urimeligt gentagende, kræver uforholdsmæssig meget teknisk indgriben (f.eks. at udvikle et nyt system eller ændre en eksisterende praksis væsentligt), påvirker beskyttelsen af andres personlige oplysninger, eller noget som vil være ekstremt upraktisk (f.eks. anmodninger om oplysninger der findes som sikkerhedskopier). Hvis vi kan rette oplysninger, gør vi naturligvis dette gratis, med mindre det kræver en uforholdsmæssig stor indsats. Vi bestræber os på omhyggeligt og med rettidig omhu at vedligeholde vores tjenester og interne systemer på en måde, der beskytter oplysninger fra fejlagtig eller skadelig ødelæggelse. Når vi sletter dine personoplysninger fra vores tjenester, er det derfor muligt, at vi ikke altid kan slette tilhørende kopier fra vores arkivservere med det samme, og det er ikke sikkert, at oplysningerne fjernes fra vores sikkerhedskopisystemer.
Du har til hver en tid retten til at klage til Datatilsynet (https://www.datatilsynet.dk/borger/klage-tildatatilsynet/)
5. Modtagere eller kategorier af modtagere
Vi videregiver ikke personlige oplysninger til virksomheder, organisationer og enkeltpersoner uden for selskabet. Undtagelsen er i disse tilfælde:
- Med dit samtykke
Vi videregiver personlige oplysninger til virksomheder, organisationer eller enkeltpersoner uden for selskabet, hvis vi har dit samtykke. Vi kræver aktivt tilvalg af videregivelse af alle personoplysninger. - Til ekstern databehandling
Vi videregiver personlige oplysninger til vores samarbejdspartnere eller andre betroede virksomheder eller personer, der behandler dem for os. Deres behandling er baseret på vores instrukser og i overensstemmelse med vores privatlivspolitik og andre gældende tiltag til fortrolighed og sikkerhed, eksempelvis vores databehandleraftale. - Af juridiske årsager
Vi kan dele oplysninger, der ikke identificerer personer, med offentligheden og vores partnere. Vi kan f.eks. dele oplysninger med offentligheden for at vise generelle tendenser om, hvordan vores forbrugeres forbrug fordeler sig, samt i forbindelse med dataanalyse, forskning og undervisningsformål mv.
6. Informationssikkerhed
Vi arbejder seriøst for at beskytte selskabet og vores forbrugere mod uautoriseret adgang, ændring, offentliggørelse, tyveri, eller ødelæggelse af personoplysninger, som vi lagrer. Vi har implementeret følgende organisatoriske og tekniske sikkerhedsforanstaltninger generelt i selskabet:
- Antivirus på alle it-systemer, der behandler personoplysninger.
- Backup af alle it-systemer, der behandler personoplysninger.
- Generel rolle/brugerstyring implementeret på alle IT-systemer og brugerstationer
- Anvendelse af branchetypiske it-systemer til behandlingsaktiviteterne.
- Adgangsbegrænsning til personoplysninger, så der kun gives adgang, hvor det er nødvendigt.
- Databehandleraftaler med betroede leverandører, der behandler personoplysninger på selskabets vegne.
- Tavshedserklæringer med personale og eksterne konsulenter m.fl., der har behov for at behandle personoplysninger.
- Vejledning i sikker behandling af personoplysninger og informationsaktiver for personale med adgang til informationssystemer.
- Gennemførelse af risikovurdering og dokumentation af alle systemer der behandler personoplysninger for at sikre et oplyst grundlag for sikkerhedsniveauet for persondatabehandlingen i selskabet.
- Årlig gennemgang af risikovurderinger og procedurer vedr. persondatasikkerhed
7. Overholdelse og samarbejde med tilsynsmyndigheder
Vi gennemgår regelmæssigt, at vi overholder vores egen persondatapolitik. Vi overholder også adskillige selvregulerende sikkerhedspolitikker. Når vi modtager formelle skriftlige klager, kontakter vi afsenderen for at følge op på klagen. Vi samarbejder med de relevante lovgivende myndigheder, f.eks. Datatilsynet, om at løse klager om overførsel af personlige data, som vi ikke kan løse direkte med vores brugere.
8. Ændringer
Vores privatlivspolitik kan ændres fra tid til anden. Vi begrænser ikke dine rettigheder i henhold til denne privatlivspolitik uden dit udtrykkelige samtykke. Eventuelle ændringer af denne privatlivspolitik angives på selskabets hjemmeside, og hvis der sker væsentlige ændringer, vil vi gøre opmærksom på dem på en mere iøjnefaldende måde via f,eks. Facebook eller andet.