Persondatapolitik – Heap360 / CC TECH

DATABEHANDLER OG DATAANSVARLIG

CC TECH (herefter ”vi, vores, os”) indsamler ikke personoplysninger, men behandler udelukkende personoplysninger i vores egenskab af databehandler, når vi efter dokumenteret instruks fra vores kunder/dataansvarlige leverer SaaS (Software-as-a-Service). Vi behandler derfor udelukkende personoplysninger som databehandler i henhold til den databehandleraftale, vi har indgået med vores kunder. De personoplysninger vi transmitterer, er aldrig vores, men derimod vores kunders, som bestemmer til hvilket formål samt hvordan personoplysninger behandles. Det er derfor også vores kunder, som har politiker for, hvordan de anvender persondata. Det vil som oftest fremgå af vores kunders hjemmeside, hvordan de behandler og beskytter personoplysninger.

Såfremt registrerede retter henvendelse til os, vil vi videresende henvendelsen til den dataansvarlige kunde, der efterfølgende vil besvare henvendelsen.

PLACERING AF DATA

Vi opbevarer vores kunders data hos Amazon i Frankfurt, Tyskland, samt hos Hetzner, Tyskland og sender aldrig data ud af EU. Vores kunders data vil altid være omfattet af beskyttelsen i persondataforordningen.

TEKNISKE- OG ORGANISATORISKE FORANSTALTNINGER

Vi har truffet tekniske og organisatoriske sikkerhedsforanstaltninger for at beskytte dine personlige oplysninger mod at blive tilintetgjort, gå tabt eller blive ændret, mod uautoriseret offentliggørelse, og mod at uvedkommende får adgang eller kendskab til dem. Vores sikkerhedsforanstaltninger bliver løbende revideret i takt med den tekniske udvikling.

Vores software og data er hostet hos cloud-udbydere inden for EU, som alle overholder GDPR, for eksempel Amazon Web Services. Alle data er krypteret “at rest” og “in transit”. Adgang til produktionsdata og tjenester er stærkt begrænset, og adgangskoder / nøgler er sikre og opbevares i et privat nøglelager. Alle data på test- og stagingmiljøer er anonymiserede.

Når en bruger har været inaktiv i mere end 2 år anonymiserer vi hans data.

Vi tager sikkerhedskopier kontinuerligt i løbet af dagen og opbevarer den i 35 dage. I tilfælde af, at en bruger har anmodet om sletning, og en sikkerhedskopiering er gendannet, opretholder vi en liste over bruger-IDer for slettede brugere og filtrerer hans data fra gendannelsen, og sørger derved for, at hans data aldrig kommer til at berøre databasen igen.

Vi har implementeret en “Privacy by Design” tilgang til vores softwareudvikling, hvilket betyder, at når vi designer nye funktioner, overvejer vi aktivt privatlivsbeskyttelse. Endvidere gennemgår vi regelmæssigt vores software for at undersøge om der kan gøres forbedringer til vores privatlivsbeskyttelse og datasikkerhed, og for at sikre, at vi er i overensstemmelse med de gældende love.

Vi stræber efter at hjælpe vores kunder med at overholde deres GDPR-krav ved at levere de nødvendige værktøjer og oplysninger i vores software og endvidere advare, når kunden tager handlinger, der kan have konsekvenser for GDPR.

Alle handlinger i systemet, der er relateret til ændringer af personoplysninger, registreres. Disse logfiler er tilgængelige for vores kunder.