Privatlivspolitik

1. Generelt

1.1 Denne politik beskriver festivaler (Tinderbox, Northside, Forever, Fyrfest, DTD Concerts, DTD Rental, DTD Projects) kaldet DTD GROUPs tilgang til at overholde gældende databeskyttelseslovgivning. Ledelsen i DTD Group, registreret på Studsgade 35B, 8000 Aarhus C, er forpligtet til at overholde alle relevante britiske og EU-love med hensyn til personoplysninger og beskyttelse af de enkeltpersoners “rettigheder og friheder”, hvis oplysninger de indsamler og behandler.

1.2 DATA-POLITIK EJER
Denne politik gælder for alle data, der behandles af alle virksomheder i DTD Group, og den ejes af den udpegede Databeskyttelsesansvarlige.

1.3 POLITIKKENS PUBLIKUM
Denne politik gælder for alle medarbejdere og tredjeparter, der er involveret i behandlingen af personoplysninger i forbindelse med deres arbejde. Politikken kan deles med tredjeparter, så de forstår, hvad de forventes at gøre for at støtte DTD Group i opfyldelsen af dennes databeskyttelsesforpligtelser.
Enhver tredjepart, der arbejder med eller på vegne af DTD Group, som har eller kan have adgang til personoplysninger, forventes at have læst, forstået og overholde denne politik eller at være forpligtet til en tilsvarende tilgang til overholdelse af lovgivningen.

1.4 IKRAFTTRÆDELSESDATO
Denne politik træder i kraft den 6. maj 2024. Alle aktiviteter, der udføres af DTD-Group, skal være i overensstemmelse fra denne dato.
Denne politik vil blive gennemgået regelmæssigt og under alle omstændigheder senest hver 12. måned fra ikrafttrædelsesdatoen.

1.5 ADMINISTRATION AF POLITIKKEN
1.5.1 DISPENSATIONER
Hvis et forretningsområde ikke kan overholde et eller flere af kravene i denne politik, skal der indsendes en formel anmodning om dispensation til den databeskyttelsesansvarlige til godkendelse med forslag til afhjælpende foranstaltninger.
Den databeskyttelsesansvarlige skal føre et register over dispensationer og et register over privatlivsrisici.

Eventuelle dispensationer skal gennemgås og opdateres årligt.

1.5.2 MANGLENDE OVERHOLDELSE AF POLITIKKEN
Manglende overholdelse af denne politik skal, hvor der ikke foreligger en godkendt dispensation, rapporteres til den databeskyttelsesansvarlige. Enhver medarbejder, der ikke overholder denne politik, kan blive genstand for disciplinære foranstaltninger.

2. Udtalelser

2.1 DATABESKYTTELSESPRINCIPPER
Al behandling af personoplysninger skal ske i overensstemmelse med databeskyttelsesloven fra 2018 og GDPR. DTD Groups politikker og procedurer sikrer overholdelse af følgende principper:

• Personoplysninger skal behandles lovligt, retfærdigt og på en gennemsigtig måde.

• Personoplysninger mè kun indsamles til specifikke, eksplicitte og legitime formål.

• Personoplysninger skal være tilstrækkelige, relevante og begrænset til det, der er nødvendigt for behandlingen.

• Personoplysninger skal være nøjagtige og holdes opdaterede med enhver bestræbelse på at blive slettet eller rettet uden forsinkelse.

• Personoplysninger skal opbevares på en sådan måde, at den registrerede kun kan identificeres, så længe det er nødvendigt for behandlingen.

• Personoplysninger skal behandles på en sikker måde.

DTD Group skal kunne påvise overholdelse af ovenstående punkter.
Eventuelle yderligere forespørgsler eller afklaringer skal rettes til den databeskyttelsesansvarlige.

2.2 PRIVATLIVSERKLÆRING
DTD GROUP er forpligtet til at beskytte kundernes privatliv. DTD Groups privatlivsmeddelelse beskriver, hvordan kundernes personoplysninger indsamles, bruges, videregives, opbevares og beskyttes.
De specifikke oplysninger, der gives til den registrerede, omfatter:

• identiteten af og kontaktoplysningerne på den dataansvarlige og, hvis det er relevant, den dataansvarliges repræsentant

• kontaktoplysningerne på den databeskyttelsesansvarlige

• formålene med databehandlingen samt retsgrundlaget for behandlingen

• opbevaringsperioden

• at vedkommende har ret til at anmode om adgang til, berigtigelse af, sletning af eller indsigelse mod behandlingen

• de pågældende kategorier af personoplysninger

• modtagerne eller kategorierne af modtagere af personoplysningerne

• overførsel af personoplysninger til en modtager i et tredjeland og det beskyttelsesniveau, derydes for oplysningerne

• eventuelle yderligere oplysninger, der er nødvendige for at sikre en sikker og retfærdig behandling.

Privatlivserklæringer vil blive gennemgået regelmæssigt og opdateret i takt med ændringer på tværs af virksomheden.

3. Roller og ansvarsfordeling

DTD Group er den dataansvarlige ved håndtering af personoplysninger, der vedrører medarbejdere, intern drift og kunder.
Den databeskyttelsesansvarlige er ansvarlig for at føre tilsyn med overholdelsen af DPA og GDPR og andre relevante love.

4. Håndtering af personoplysninger

4.1 GENERELT
Det er alle medlemmer af DTD Groups ansvar at sikre, at de forretningsområder, hvor de opererer, arbejder i overensstemmelse med denne politik og relaterede dokumenter, kan dokumentere overholdelse, sikre, at de er fuldt ud opmærksomme på deres roller og ansvarsområder og omgående rapportere hændelser eller overtrædelser af denne politik.

4.2 MEDARBEJDEROPLYSNINGER
4.2.1 GRUNDLAG FOR BEHANDLING
Personoplysninger om medarbejdere behandles i henhold til deres ansættelseskontrakt.
4.2.2 PRINCIPPER FOR BEHANDLING

• Alle medarbejdere vil arbejde proaktivt med DTD Group for at sikre, at deres personoplysninger holdes nøjagtige.

• Alle medarbejdere, der håndterer medarbejderoplysninger, vil skulle indgå en fortrolighedsaftale.

• Medarbejderoplysninger vil ikke blive delt med kunder, medmindre det specifikt er angivet i kontrakten.

• Alle medarbejdere har ret til at indgive en anmodning som registreret person;

• Enhver medarbejder, der er utilfreds med den måde, hvorpå DTD Group har håndteret vedkommendes personoplysninger, kan indgive en klage via sin nærmeste leder.

• Alle medarbejdere har ret til at indgive en klage til deres lokale databeskyttelsesmyndighed – ICO i Storbritannien, den irske datatilsynsmyndighed i Irland og nationale myndigheder i EU-medlemsstater.

4.3 KUNDEDATA
4.3.1 GRUNDLAG FOR BEHANDLING

Som beskrevet i privatlivsmeddelelsen vil personoplysninger, der behandles på vegne af en kunde, blive behandlet under:
– Kontrakt
– Legitim interesse (Udfør venligst den medfølgende vurdering af berettiget interesse for at afgøre, om den er relevant for hver behandling)
– Samtykke
– Juridisk forpligtelse
– Hvis vi har brug for at udføre en offentlig opgave eller i de registreredes vitale interesse. Såfremt samtykke er retsgrundlaget for behandlingen, skal det være givet eksplicit og frit, ved erklæring eller ved en klar bekræftende handling. Dette vil betyde samtykke til behandlingen af personoplysninger vedrørende den pågældende person. For følsomme oplysninger skal derindhentes udtrykkeligt skriftligt samtykke fra de registrerede, medmindre der findes et andet legitimt grundlag for behandlingen.
Hvis samtykke er indhentet, skal det som hovedregel opdateres hvert 2. år og kan til enhver tid trækkes tilbage ved at kontakte vores it-afdeling data@dtdgroup.dk. Hvis samtykket opdateres efter en længere periode, skal det alligevel opdateres regelmæssigt (især hvis der sker en ændring i behandlingsaktiviteten).
Al behandling, der udføres på vegne af kunder, vil være i overensstemmelse med denne politik og i overensstemmelse med alle gældende love.

5. Registrerede personers rettigheder

I henhold til databeskyttelseslovgivningen har de registrerede ret til at udøve følgende rettigheder:
• at anmode om adgang til og/eller en kopi af dine personoplysninger
• at bede os om at ændre dine personoplysninger, hvis du mener, at de er unøjagtige eller ufuldstændige
• at anmode om sletning af de personoplysninger, vi har om dig
• at bede os om at begrænse behandlingen af dine personoplysninger
• at anmode om, at dine personoplysninger udleveres til dig i et maskinlæsbart format og overføres direkte til en anden dataansvarlig, hvis behandlingen er baseret på samtykke eller kontrakt
• at gøre indsigelse mod behandlingen af dine personoplysninger, hvis den er baseret på en legitim eller offentlig interesse
• ikke at blive underlagt beslutninger, der udelukkende er baseret på automatiseret behandling.
Den registrerede kan udøve sine rettigheder og trække sit samtykke tilbage ved at kontakte DTD Group.
DTD Group vil sikre, at de registrerede kan udøve disse rettigheder ved også at etablere procedurer til understøttelse af håndhævelsen af disse rettigheder. Disse procedurer beskriver, hvordan DTD Group vil sikre, at dets svar på den registreredes anmodning overholder kravene i GDPR.
Registrerede har ret til at klage over behandlingen af deres personoplysninger, behandlingen af en anmodning eller hvordan klager er blevet håndteret i overensstemmelse med klageproceduren ved at kontakte DTD Group.
For yderligere oplysninger henvises til proceduren for den registreredes anmodning om adgang.

6. Persondatasikkerhed

Alle medarbejdere er ansvarlige for at sikre, at alle personoplysninger, som DTD Group er i besiddelse af, og som DTD Group er ansvarlig for, opbevares sikkert. Alle personoplysninger opbevares i overensstemmelse med DTD Groups informationssikkerhedspolitik.
Personoplysninger vil ikke blive videregivet til en tredjepart, medmindre denne tredjepart er specifikt autoriseret til at modtage oplysningerne og har indgået en underskrevet aftale med DTD Group, der omfatter både fortrolighed og godkendelse til at behandle sådanne data.Alle personoplysninger bør kun være tilgængelige for dem, der har behov for at bruge dem, og adgangen må kun gives i overensstemmelse med deres rolle i virksomheden. Alle personoplysninger skal behandles sikkert og skal opbevares:
• i et aflåseligt rum med kontrolleret adgang.
• i en aflåst skuffe eller et aflåst arkivskab.
• hvis computeriseret, adgangskodebeskyttet i overensstemmelse med informationssikkerhedspolitikken.
• gemt på (flytbare) computermedier, som er krypteret.
Manuelle optegnelser, der indeholder personoplysninger, bør kun fjernes fra virksomhedens lokaler, hvis det er strengt nødvendigt.
Så snart personoplysninger ikke længere er nødvendige til driftsmæssige formål, skal de fjernes med henblik på sikker arkivering i overensstemmelse med de relevante procedurer.
Der skal træffes passende sikkerhedsforanstaltninger for alle personoplysninger, der opbevares enten manuelt eller i edb-systemer. Detaljerne er beskrevet i informationssikkerhedspolitikken.

6.1 HÆNDELSER OG BRUD PÅ PERSONDATASIKKERHEDEN
Alle hændelser, der involverer uautoriseret videregivelse, indsamling, behandling, overførsel eller sletning af personoplysninger, rapporteres i overensstemmelse med proceduren for håndtering af brud på datasikkerheden.
Alle databehandlere er forpligtet til at rapportere hændelser eller brud på persondatasikkerheden til DTD Group uden unødig forsinkelse.

6.2 KONSEKVENSANALYSE VEDRØRENDE DATABESKYTTELSE (DPIA)
Der vil blive foretaget en konsekvensanalyse vedrørende databeskyttelse (DPIA), når der udvikles en ny tjeneste, der involverer personoplysninger, eller når nye teknologier overvejes.
For yderligere oplysninger henvises til proceduren og screeningsspørgeskemaet for konsekvensanalyse vedrørende databeskyttelse.

6.3 OPBEVARING, BORTSKAFFELSE OG DATANØJAGTIGHED
Data må kun opbevares, så længe det er nødvendigt for at opfylde det formål, som dataene blev indsamlet til. Data kan slettes eller bortskaffes efter udløbet af opbevaringsperioden i overensstemmelse med bortskaffelsesprocedurerne “GDPR pr. Afdeling” fra DTD Group. For yderligere oplysninger henvises til DTD Groups opbevarings- og bortskaffelsesprocedure.

7. Tredjeparter

Alle tredjepartsleverandører af forretningstjenester, der arbejder med eller for DTD Group, og som har eller kan have adgang til personoplysninger, forventes at have læst, forstået og overholdt den politik. Alle tredjepartsleverandører af forretningstjenester, der arbejder med eller for DTD Group, vil blive registreret i tredjepartsregistret af DTD Groups databeskyttelsesansvarlige.Alle tredjepartsdatabehandlere skal have en gyldig kontrakt med passende databeskyttelsesklausuler, før behandlingen af personoplysninger påbegyndes, i overensstemmelse med de relevante krav.
Ingen tredjepart må få adgang til personoplysninger, der opbevares af DTD Group, uden først at have indgået en kontrakt eller, hvis der ikke foreligger en kontrakt, en databehandleraftale. Dette vil pålægge tredjemand forpligtelser, der ikke er mindre krævende end dem, som DTD Group er forpligtet til. Eventuelle underdatabehandlere, der er udpeget af tredjeparten, skal godkendes skriftligt af den relevante dataansvarlige, før behandlingen påbegyndes.

8. Overførsel af data

Al eksport af data fra Det Europæiske Økonomiske Samarbejdsområde (EØS) til tredjelande uden for EØS skal have et tilstrækkeligt beskyttelsesniveau.
Når en tredjepartsdatabehandler har til hensigt eller behandler data i et tredjeland, skalden databeskyttelsesansvarlige straks informeres.

9. Videregivelse af personoplysninger

DTD Group skal sikre, at personoplysninger ikke videregives til uautoriserede tredjeparter. Alle medarbejdere/alt personale skal udvise forsigtighed, når de bliver bedt om at videregive personoplysninger om en anden person til en tredjepart. Det er vigtigt at overveje, om videregivelsen af oplysningerne er relevant og nødvendig for virksomhedens drift.
Enhver anmodning om at dele personoplysninger med tredjeparter som led i den normale forretningsdrift skal henvises til den databeskyttelsesansvarlige.
Alle anmodninger om udlevering af data til tredjeparter skal understøttes af passende dokumentation.

10. Bilag – Definitioner

Etablering – den dataansvarliges hovedetablering i EU vil være det sted, hvor den dataansvarlige træffer de vigtigste beslutninger om formålet med og midlerne til sine databehandlingsaktiviteter. En databehandlers primære etablering i EU vil være dens administrative center. Hvis en dataansvarlig er etableret uden for EU, skal den udpege en repræsentant i den jurisdiktion, hvor den dataansvarlige opererer, for at handle på vegne af den dataansvarlige og håndtere tilsynsmyndigheder.
Personoplysninger – enhver oplysning om en identificeret eller identificerbar fysisk person (“registreret person”). En identificerbar fysisk person er en person, der kan identificeres, direkte eller indirekte, især ved henvisning til en identifikator såsom et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller til en eller flere faktorer, der er specifikke for den fysiske persons fysiske, fysiologiske, genetiske, mentale, økonomiske, kulturelle eller sociale identitet.
Særlige kategorier af personoplysninger – personoplysninger, der afslører racemæssig eller etnisk oprindelse, politiske holdninger, religiøs eller filosofisk overbevisning eller fagforeningsmedlemskab, og behandling af genetiske data, biometriske data med det formål at identificere en fysisk person entydigt, data vedrørende helbred eller data vedrørende en fysisk persons sexliv eller seksuelle orientering.
Dataansvarlig – den fysiske eller juridiske person, den offentlige myndighed, det agentur eller andet organ, der alene eller sammen med andre bestemmer formålene med og midlerne til behandling af personoplysninger, og hvor formålene med og midlerne til en sådan behandling er fastlagt i EU-retten eller medlemsstatsretten, kan den dataansvarlige eller de specifikke kriterier for udnævnelse heraf være fastsat i EU-retten eller medlemsstatsretten.
Registreret person – enhver levende person, der er genstand for personoplysninger, der opbevares af en organisation.
Behandling – enhver handling eller række af handlinger, der udføres på personoplysninger eller på sæt af personoplysninger, uanset om det sker ved hjælp af automatiserede midler, såsom indsamling, registrering, organisering, strukturering, lagring, tilpasning eller ændring, hentning, konsultation, brug, videregivelse ved overførsel, formidling eller på anden måde tilgængeliggørelse, tilpasning eller kombination, begrænsning, sletning eller destruktion.
Profilering – er enhver form for automatiseret behandling af personoplysninger, der har til formål a vurdere visse personlige aspekter vedrørende en fysisk person eller at analysere eller forudsige denne persons præstation på arbejdet, økonomiske situation, placering, helbred, personlige præferencer, pålidelighed eller adfærd. Denne definition er knyttet til den registreredes ret til at gøre indsigelse mod profilering og en ret til at blive informeret om eksistensen af profilering, af foranstaltninger baseret på profilering og de påtænkte virkninger af profilering på den enkelte.
Brud på persondatasikkerheden – et brud på sikkerheden, der fører til utilsigtet eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der overføres, opbevares eller på anden måde behandles. Den dataansvarlige er forpligtet til at indberette brud på persondatasikkerheden til tilsynsmyndigheden, og hvis bruddet sandsynligvis vil påvirke den registreredes persondata eller privatliv negativt.
Samtykke fra den registrerede – betyder enhver frit givet, specifik, informeret og utvetydig angivelse af den registreredes ønsker, hvorved han eller hun, ved en erklæring eller ved en klart bekræftende handling, angiver samtykke til behandlingen af personoplysninger.
Barn – GDPR definerer et barn som enhver person under 16 år, selvom dette kan sænkes til 13 i henhold til medlemsstaternes lovgivning. Behandlingen af et barns personoplysninger er kun lovlig, hvis der er indhentet samtykke fra en forælder eller værge. Den dataansvarlige skal i sådanne tilfælde gøre en rimelig indsats for at kontrollere, at samtykket er givet eller godkendt af indehaveren af forældremyndigheden over barnet.
Tredjepart – en fysisk eller juridisk person, offentlig myndighed, agentur eller andet organ end den registrerede, den dataansvarlige, databehandleren og personer, der under den dataansvarliges eller databehandlerens direkte myndighed er bemyndiget til at behandle personoplysninger.
Arkiveringssystem – ethvert struktureret sæt af personoplysninger, der er tilgængelige efter specifikke kriterier, uanset om de er centraliserede, decentraliserede eller spredt på et funktionelt eller geografisk grundlag. Tredjeland – ethvert land, der ikke anerkendes som værende i besiddelse af et tilstrækkeligt niveau af juridisk beskyttelse af de registreredes rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger uden for EØS. Overførsel af personoplysninger til “tredjelande” (dvs. uden for EØS) er begrænset i henhold til GDPR.

11. Kontaktoplysninger

11.1 Hvis du har nogle spørgsmål om ovenstående kan du kontakte os på følgende oplysninger:
(a) Tinderbox Entertainment ApS, Studsgade 35B, 8000 Aarhus C, CVR: 36 06 98 48
(b) Telefon: 70 20 26 22
(c) Mail: data@dtdgroup.dk

Denne politik er senest opdateret 06.05.2024