Privatlivspolitik for ansøgere
1
Privatlivspolitik
1.1
I denne privatlivspolitik kan du læse mere om, hvordan vi behandler dine personoplysninger, når du søger en stilling hos Momentum Energy Group A/S eller Momentum Energy Wind Services ApS.
1.2
Privatlivspolitikken er udarbejdet med henvisning til reglerne i databeskyttelsesforordningen (forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EU) 2016/679 (også kendt som “GDPR”)) og den danske databeskyttelseslov (lov nr. 502 af 23/05/2018 med senere ændringer) (“databeskyttelsesloven”).
1.3
Du vil modtage denne privatlivspolitik som et link i en e-mail, når du søger om ansættelse hos Momentum. Privatlivspolitikken kan også findes på Momentums hjemmeside
2
Hvem er vi (Vi er de dataansvarlige)
2.1
Vi er det Selskab, der er ansvarlig for behandling af dine personoplysninger i overensstemmelse med denne privatlivspolitik. Det betyder, at vi er de dataansvarlige.
Privatlivspolitikken er gældende for de to selskaber angivet nedenfor og ansvaret for håndtering af dine personoplysninger ligger hos det af selskaberne du ansøger hos.
2.2
Vores kontaktinformation: Momentum Energy Group A/S
Afdeling Roskilde (hovedkontor)
CVR-nummer 28888430
Københavnsvej 81
DK-4000 Roskilde
Danmark
+45 46 33 70 10
compliance@momentumgreenenergy.com
eller
Momentum Energy Wind Services ApS
CVR-nummer 28324022
Københavnsvej 81
DK-4000 Roskilde
Danmark
+45 46 33 70 10
compliance@momentumgreenenergy.com
2.3
For at gøre politikken mere brugervenlig, gør vi brug af termerne ”vi”, ”os”, ”vores” el.lign. til at beskrive vores virksomhed. Når vi refererer til ”dig”, mener vi dig, som er ansøger til en stilling hos os.
3
Vi behandler følgende kategorier af data:
3.1
Generelle personlige oplysninger:
- Generelle personoplysninger (f.eks. navn og/eller brugernavn, adresse, e-mail, fødselsdato, køn, adresse osv.).
- Kvalifikationer (uddannelse, kurser og praktikophold).
- Dine profiloplysninger (hvis du logger ind på din profil via din LinkedIn-profil eller via andre sociale medier).
- Relevant feedback om dig fra vores personale eller fra en tredjepart.
- Din feedback (hvis du giver feedback om andre).
- Resultater af personligheds- og færdighedstests mv.
- Identitetspapirer og arbejdstilladelse (I det omfang identitetspapirer er nødvendige for at afgøre, om du har en gyldig opholds- eller arbejdstilladelse).
- Job ID.
- Andre oplysninger, der fremgår af dit CV eller af din ansøgning.
- Undlad venligst at oplyse CPR-nummer eller andre særlige kategorier af personoplysninger i dit CV eller i din ansøgning som f.eks. oplysninger om racemæssig eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering. Hvis et af ovenstående dokumenter indeholder følsomme personoplysninger f.eks. CPR-nummer, fagforeningstilhørsforhold el.lign., bedes du overstrege det, inden du sender det til os.
3.2
Fortrolige eller personfølsomme oplysninger
- Oplysninger om eventuelle handicap og det hensyn, vi skal tage til dette på arbejdspladsen (såfremt du har informeret os herom).
- Straffeattest eller børneattest (i det omfang, at det job, du har søgt, eller den kategori af job, du har søgt, kræver indhentning af straffeattest eller børneattest).
- Yderligere oplysninger.
3.3
Vi behandler personoplysninger om følgende kategorier af personer:
- Ansøgere.
4
Hvor dine personoplysninger stammer fra
4.1
Vi behandler kun personoplysninger om dig, som vi modtager direkte fra dig, dine tidligere arbejdsgivere eller fra offentlige myndigheder.
5
Formål
5.1
Formålet med behandlingen af dine oplysninger:
- Vi behandler dine personoplysninger for at kunne behandle din ansøgning og give dig mulighed for at blive registreret i vores rekrutteringssystem.
- For at kunne sikre Momentum Energy Group juridiske krav eller forsvare os mod sådanne.
6
Juridisk grundlag
6.1
Vi behandler dine personoplysninger i henhold til følgende behandlingshjemmel.
- Behandlingen er nødvendig af hensyn til opfyldelse af en kontrakt, som du er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på din anmodning forud for indgåelse af en kontrakt, jf. GDPR, artikel 6, stk. 1, litra b.
- Behandlingen sker for at sikre, at dokumentation for korrekt genansættelsesproces har fundet sted i overensstemmelse med databeskyttelsesforordningens artikel 6, stk. 1, litra e, artikel 9, stk. 2, litra f, og databeskyttelseslovens § 11.
- Behandlingen er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares, jf. GDPR, artikel 9, stk. 2, litra f.
- Behandlingen er nødvendig for at overholde en retlig forpligtelse, der påhviler Momentum Energy Group, jf. GDPR, artikel 6, stk. 1, litra c, og artikel 9, stk. 2, litra b, jf. databeskyttelseslovens § 7.
- Behandlingen er nødvendig for, at vi eller en tredjemand kan forfølge en legitim interesse, medmindre dine interesser eller grundlæggende rettigheder og frihedsrettigheder går forud herfor, jf. GDPR, artikel 6, stk. 1, litra f.
- I disse situationer vil de legitime interesser ofte være Momentum Energy Groups interesse i at kunne administrere og dokumentere rekrutteringsprocessen.
- Du har givet dit samtykke til behandling af dine personoplysninger til et eller flere specifikke formål, jf. GDPR, artikel 6, stk. 1, litra a, og artikel 9, stk. 2, litra a, jf. databeskyttelseslovens §7, stk. 1.
6.2
Hvis du ønsker flere oplysninger om vores juridiske grundlag for behandling af dine data, er du velkommen til at kontakte os.
7
Generelle principper for databehandling
7.1
Vi ønsker at beskytte dine personoplysninger, og vi behandler dem på en ansvarlig, gennemsigtig og sikker måde.
7.2
Vi overholder følgende principper i forbindelse med behandling af personoplysninger:
- Lovlighed: Vi behandler altid dine persondata retmæssigt, retfærdigt og på en gennemsigtig måde med hensyn til dig som den registrerede.
- Dataminimering: Vi begrænser behandlingen af dine personoplysninger til det, der er nødvendigt og relevant i forhold til de formål, hvortil oplysningerne er blevet indhentet.
- Formålsbegrænsning: Vi indsamler kun dine persondata til specifikke, eksplicitte og legitime formål, og vi behandler dem ikke yderligere på en måde, der er uforenelig med disse formål.
- Nøjagtighed: Vi sørger for, at dine persondata er retvisende og – om nødvendigt – opdaterede.
- Integritet og fortrolighed: Vi bruger tekniske og organisatoriske foranstaltninger til at sikre passende databeskyttelse, bl.a. under hensyntagen til de pågældende persondatas art. Sådanne foranstaltninger beskytter mod uautoriseret videregivelse og adgang, utilsigtet eller ulovlig destruktion, utilsigtet tab eller ændring og mod andre former for ulovlig behandling.
- Adgang og berigtigelse: Vi respekterer dine rettigheder i forbindelse med behandlingen af dine personoplysninger.
- Begrænsning af opbevaring: Vi opbevarer dine persondata i overensstemmelse med gældende love og regler og ikke længere, end det er nødvendigt til de formål, hvortil persondataene er blevet indhentet.
- Beskyttelse af internationale overførsler: Vi sikrer den tilstrækkelige beskyttelse af dine personlige data i forbindelse med overførsler uden for EØS.
- Beskyttelse i forhold til tredjeparter: Vi sikrer, at tredjeparter kun får adgang til (og kun får lov til at overføre) personoplysninger i overensstemmelse med gældende databeskyttelseslovgivning og med den nødvendige kontraktlige beskyttelse.
- Lovlig brug af direkte markedsføring og cookies: Vi sender kun reklamemateriale til dig eller placerer cookies på din computer i overensstemmelse med gældende databeskyttelseslovgivning og anden relevant lovgivning.
8
Risikoanalyse
8.1
Vi gennemfører tekniske og organisatoriske foranstaltninger for at opretholde et sikkerhedsniveau, der passer til de risici, der specifikt er forbundet med vores behandling af personoplysninger.
8.2
Vi har udført en risikoanalyse, som ligger til grund for denne fortrolighedspolitik.
9
Konsekvensanalyser vedrørende databeskyttelse (DPIA)
9.1
Artikel 35 i GDPR kræver, at hvis der er sandsynlighed for, at behandling af personoplysninger, især ved brug af nye teknologier og med hensyntagen til behandlingens karakter, omfang, sammenhæng og formål, vil medføre en betydelig risiko for at krænke fysiske personers rettigheder og frihedsrettigheder, skal den ansvarlige for databehandlingen foretage en vurdering af, hvordan de planlagte behandlingsaktiviteter påvirker beskyttelsen af personoplysninger, inden behandlingen påbegyndes.
9.2
Forpligtelsen til at foretage en konsekvensanalyse gælder kun i ekstraordinære tilfælde, hvor der er en høj risiko for enkeltpersoners rettigheder og frihedsrettigheder.
9.3
Det er vores vurdering, at vi sjældent vil foretage en behandling, der opfylder et af ovenstående kriterier. Det må derfor antages, at reglerne om konsekvensanalyse vil have et relativt begrænset anvendelsesområde i forhold til vores behandling af dine personoplysninger.
9.4
Hvis der alligevel bliver gennemført en konsekvensanalyse, vil resultaterne af analysen blive taget i betragtning, når der bliver iværksat passende foranstaltninger.
10
Databeskyttelsesrådgiver (DPO)
10.1
Det er vores vurdering, at Momentum Energy Group ikke behandler persondata i det nævnte omfang. Vi har derfor valgt ikke at udpege en databeskyttelsesrådgiver.
11
Dataansvarlig
11.1
Når det kommer til dine personoplysninger, vil vi operere uafhængigt. Dette inkluderer selvstændig vurdering af, om der er gyldig grund til at indsamle/behandle dine personoplysninger, identifikation af relevante og nødvendige oplysninger samt fastsættelse af opbevaringsperioden. I denne sammenhæng vil Momentum Energy Group agere som dataansvarlig.
12
Databehandlere
12.1
I visse tilfælde anvender vi eksterne virksomheder til at varetage den tekniske drift af Momentum Energy Groups IT-systemer mv. I sådanne tilfælde kan disse virksomheder fungere som databehandlere for Momentum Energy Group.
12.2
Databehandleren handler udelukkende efter vores instruktioner, og databehandleren har truffet de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger mod utilsigtet eller ulovlig ødelæggelse, tab eller forringelse af personoplysninger samt mod offentliggørelse for uautoriserede personer, vildledning eller anden behandling i strid med GDPR.
12.3
I visse tilfælde bruger vores databehandlere andre databehandlere til at behandle personoplysninger, hvor Momentum Energy Group er den dataansvarlige. Andre databehandlere kan være etableret inden for og uden for EU/EØS.
12.4
Der skal indgås en databehandleraftale mellem os (den dataansvarlige) og den anden part (databehandleren), og den skal overholde de gældende krav til databehandleraftaler som nævnt i GDPR artikel 28, stk. 3. Dette indebærer udarbejdelse af en kontrakt eller et andet juridisk dokument, der er bindende for databehandleren. Det er endvidere et krav, at databehandleraftalen er skriftlig, herunder elektronisk.
12.5
Derudover stiller GDPR flere specifikke krav til indholdet af databehandleraftalen. Aftalen skal indeholde oplysninger om behandlingens status og varighed, behandlingens karakter og formål, typen af personoplysninger, kategorisering af de registrerede og vores forpligtelser og rettigheder som dataansvarlig samt databehandlerens pligter i forhold til at udføre opgaven. Kravene er specifikt beskrevet i GDPR artikel 28, stk 3, litra a-h.
13
Overførsel af persondata til tredjelande
13.1
Momentum Energy Groups behandling af personoplysninger vil overvejende finde sted inden for EU.
13.2
Hvis dine personlige data bliver overført til lande uden for Det Europæiske Økonomiske Samarbejdsområde (EØS), sørger vi for, at de nødvendige garantier er givet, herunder:
- At overførslen ligger inden for rammerne af en beslutning om påkrævede garantier truffet af EU-Kommissionen i overensstemmelse med artikel 45 i GDPR.
- At standardkontraktbestemmelser for databeskyttelse, som godkendt af EU-Kommissionen eller en databeskyttelsesmyndighed i overensstemmelse med GDPR, artikel 46, stk 2, litra c eller d, er opfyldt.
- At kravene til godkendelse af bindende virksomhedsregler af en datatilsynsmyndighed i overensstemmelse med GDPR, artikel 46, stk. 2, litra b, er opfyldt, hvis bindende virksomhedsregler anvendes som det retlige grundlag for overførsel af sådanne personoplysninger uden for EU/EØS.
13.3
13.3 Se venligst følgende link: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/rules-international-data-transfers_en for yderligere oplysninger om, hvordan overførsel af personoplysninger uden for EØS er reguleret.
14
Anden videregivelse af personoplysninger
Personoplysninger kan også blive videregivet til:
- Andre enheder i Momentum Energy Group A/S.
15
Profilering
15.1
Vi bruger ikke dine persondata til profilering.
16
Sikkerhedsforanstaltninger
16.1
Vi har truffet de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger for at beskytte dine personoplysninger mod hændelig eller ulovlig tilintetgørelse, tab eller ændring samt mod uautoriseret offentliggørelse, misbrug eller anden adfærd i strid med gældende lovgivning.
16.2
Adgang til persondata er begrænset til personer, der har behov for adgang. Medarbejdere, der behandler persondata, er instruerede og trænede i at vide, hvad de skal gøre med persondata, og hvordan de skal beskytte det.
16.3
Når dokumenter (papirer, arkiveringsdata osv.), der indeholder personoplysninger, smides ud, anvendes makulering eller andre foranstaltninger for at forhindre uautoriserede personer i at få adgang til personoplysningerne.
16.4
Adgangskoder bruges til at få adgang til pc’er og andre elektroniske enheder, der indeholder personoplysninger. Kun de personer, der har brug for adgang, vil have en kode og kun til de systemer, som vedkommende skal bruge. Personer med adgangskoder må ikke overlade koden til andre eller efterlade den, så andre kan se den. Gennemgang af tildelte koder vil blive udført mindst én gang hver sjette måned.
16.5
Hvis personoplysninger gemmes på et USB-stik, skal personoplysningerne beskyttes, f.eks. med et password og kryptering. I modsat fald skal USB-stikket opbevares i en aflåst skuffe eller skab. Det samme gælder ved opbevaring af persondata på andre bærbare datamedier.
16.6
PC’er, der er forbundet til internettet, har en opdateret firewall og viruskontrol installeret.
16.7
Hvis følsomme personoplysninger eller personnummer sendes til os via e-mail over internettet, skal sådanne e-mails være krypterede. Hvis du sender personlige data til os via e-mail, skal du være opmærksom på, at dette ikke er sikkert, hvis dine e-mails ikke er krypterede. Vi råder dig til ikke at sende os fortrolige eller følsomme personoplysninger via e-mail, medmindre dette er specifikt aftalt på forhånd, så vi kan sikre det nødvendige sikkerhedsniveau.
16.8
I forbindelse med reparation og service af dataudstyr, der indeholder persondata, og når datamedier skal sælges eller kasseres, tager vi de nødvendige forholdsregler for at sikre, at persondataene ikke kommer til uvedkommendes kendskab. For eksempel ved brug af fortrolighedserklæringer.
16.9
Ved brug af en ekstern databehandler til behandling af personoplysninger indgås der en skriftlig aftale mellem os og databehandleren. Det gælder f.eks., når der anvendes et eksternt dokument, eller hvis der anvendes cloud-systemer i behandlingen af personoplysninger – herunder kommunikation med dig. På samme måde indgås der altid en skriftlig aftale mellem os og dig, hvis vi fungerer som databehandlere. Databehandleraftalerne er også tilgængelige elektronisk.
17
Sikkerhedskopiering
17.1
Momentum tager backup af alle produktionsdata. Backup bliver gemt på en ekstern server.
17.2
Alle sikkerhedskopierede data opbevares i en periode på maksimalt ti (10) år.
18
Opbevaringsperioder og sletning
18.1
Hvornår sletter vi dine data?
18.1.1
For jobansøgninger sletter vi personoplysninger 6 måneder efter det endelige afslag på den specifikke jobansøgning, medmindre du har givet samtykke til længere opbevaring.
18.1.2
Bemærk venligst, at særlige omstændigheder eller lovkrav kan betyde, at denne periode kan være kortere eller længere, afhængigt af formålet med at overholde lovkrav om sletning eller opbevaring af oplysninger.
18.2
Hvordan sletter vi dine data?
18.2.1
Personoplysninger skal slettes fra produktionssystemet. Når personoplysninger slettes fra produktionssystemet, vil de blive slettet fra backupsystemet, hvis det er teknisk muligt.
18.2.2
Alternativt kan personoplysninger anonymiseres fuldstændigt, således at de ikke længere kan henføres til en person. I så fald anvendes personforordningen slet ikke, og fuldstændig anonymisering er derfor et alternativ til sletning. Det er dog vigtigt at huske på, at anonymisering – som et alternativ til sletning – forudsætter sletning af alle spor, der kan føre til den person, som oplysningerne vedrører. Det er normalt en meget vanskelig praksis.
18.2.3
Efter sletning/anonymisering vil vi foretage passende krydstjek i form af søgninger på navn, e-mailadresse, den konkrete sag m.v. for at sikre, at der ikke dukker noget på personen.
18.2.4
Anonymisering
18.2.5
Momentum Energy Group kan bruge anonymisering af data fra dig til statistiske og forskningsmæssige formål, samt til at forbedre systemer, processer og produkter. Det betyder, at resultaterne ikke kan bruges til at identificere specifikke personer. Således udføres uigenkaldelig anonymisering, så den registrerede ikke længere kan identificeres.
19
Ændringer I privatlivspolitik
19.1
Momentum Energy Group kan til enhver tid og uden varsel og med fremtidig virkning ændre denne privatlivspolitik. I tilfælde af sådanne ændringer bliver vores brugere informeret via vores hjemmeside.
20
Kontaktoplysninger
20.1
Hvis du har spørgsmål til vores privatlivspolitik, vores behandling af personoplysninger, berigtigelse eller dit forhold til os på nogen anden måde, kan du kontakte os på følgende e-mailadresse: compliance@momentumgreenenergy.com og via vores hjemmeside.
21
Dine rettigheder
21.1
Vi vil gerne sikre den størst mulige gennemsigtighed, for at give dig mulighed for at træffe oplyste valg omkring, hvordan du ønsker, vi behandler dine personlige data.
- Dine personlige data: Du kan kontakte os når som helst gennem kontaktpunktet for databeskyttelse for at få oplyst, hvilke personoplysninger vi har om dig, og hvor vi har fået dem fra. I nogle tilfælde har du ret til at modtage de personoplysninger, vi har indsamlet om dig, i et almindeligt anvendt, struktureret og maskinlæsbart format og videregive dine personoplysninger til en tredjepart efter eget valg.
- Ret til korrektion af fejl: Hvis du opdager, at dine persondata er fejlagtige eller ufuldstændige, kan du anmode om, at vi retter dem.
- Ret til begrænsning af behandling: Du har ret til at anmode om, at behandlingen af dine personlige data begrænses, mens korrektheden af dine personlige data kontrolleres.
- Ret til indsigelse: Du har også ret til at gøre indsigelse mod, at dine personoplysninger bruges til direkte markedsføring eller videregives til tredjeparter til samme formål. Du kan da informere os om, hvor ofte du ønsker at høre fra os.
- Samtykke: Du kan til enhver tid trække dit samtykke til behandling af persondata tilbage ved at benytte kontaktmailen for databeskyttelse.
- Sletning: Du kan bede os om at slette dine persondata (undtagen i visse tilfælde, f.eks. til dokumentation af en transaktion eller for at overholde lovkrav).
- Klage: Hvis du ønsker at klage over Momentum Energy Groups behandling af dine persondata, kan du kontakte Datatilsynet.
Datatilsynet
Carl Jacobsens Vej 35
DK-2500 Valby
Tel: 33193200
E-mail: dt@datatilsynet.dk
www.datatilsynet.dk