Enlarge text
Print
Personoplysninger


I PFA passer vi på dine personoplysninger, og vi ønsker, at du som bruger af vores whistleblower-system er orienteret om, hvordan vi behandler dem. Her kan du læse, hvad vi bruger dine personoplysninger til i forbindelse med behandling af whistleblower-sager, hvor længe vi opbevarer dem, og hvem vi deler dem med. Du kan også læse mere om, hvilke rettigheder du har, og hvem du kan kontakte i PFA, hvis du har spørgsmål til brugen af dine personoplysninger.

Ansvar for personlige oplysninger
PFA Holding A/S, Sundkrogsgade 4, 2100 København Ø har ansvaret for behandlingen af personlige oplysninger i henhold til databeskyttelsesforordningen.

Hvis du har spørgsmål til vores beskyttelse og behandling af dine personoplysninger, er du velkommen til at kontakte vores databeskyttelsesrådgiver. Du kan kontakte vores databeskyttelsesrådgiver på følgende måder:

På e-mail:          databeskyttelse@pfa.dk

På telefon:         +45 70 20 75 15 

Ved brev:           PFA Pension, Forsikringsaktieselskab
                         Sundkrogsgade 4
                         2100 København Ø
                         Att: Databeskyttelsesrådgiver

Formålet med indsamling af persondata i whistleblower-systemet
PFA-koncernens whistleblower-ordning er indført som led i at sikre god virksomhedsledelse og for at afdække, hvis nogle aktiviteter strider imod, at PFA er en ordentlig virksomhed. Indsamling og behandling af personoplysninger i whistleblower-systemet er nødvendig for at kunne undersøge formodede ulovlige, uetiske eller uforsvarlige handlinger i PFA-koncernen.

Der er fastlagt klare kriterier for hvilke forhold, der anses som værende omfattet af whistleblower-ordningen, således der kun indsamles og behandles personoplysninger vedrørende alvorlige forhold relateret til ulovligheder, svindel eller andre uredelige forhold. Hvis der indberettes mindre væsentlige forhold vedrørende eksempelvis utilfredshed med lønforhold, samarbejdsvanskeligheder, overtrædelse af ryge- eller alkoholpolitik mv., vil disse oplysninger straks blive slettet i systemet.

Persondata, der registreres i whistleblower-systemet, vil ikke blive anvendt til andre formål end ovenstående.

Kategorierne af registrerede
PFA-koncernens whistleblower-ordning har følgende kategorier af registrerede personer:

Indberetter
Personer med tilknytning til PFA-koncernens selskaber, herunder ansatte, bestyrelsesmedlemmer, kunder, leverandører, konsulenter m.fl., der indberetter via whistleblower-systemet.

Indberettede
Medarbejdere og bestyrelsesmedlemmer i PFA-koncernens selskaber, samt eksterne konsulenter med tilknytning til PFA-koncernens selskaber, der indberettes via whistleblower-systemet.

Kategorier af personoplysninger
Oplysninger, som behandles om de registrerede personer, kan være:

 Almindelige kategorier af personoplysninger: 
Fx navn, CPR-nr., køn, oplysninger om ansættelsesformål, formue, personoplysninger om ægtefælle, samlever og børn.

 Særlige kategorier af personoplysninger (følsomme personoplysninger):
Fx helbredsoplysninger og oplysninger om personens færden på offentlige steder.

 Personoplysninger vedrørende straffedomme og lovovertrædelser:
Fx strafbare forhold.

 Personer, der indberetter i whistleblower-systemet:
Personer, der anmelder forhold via whistleblower-systemet, har mulighed for at angive sine kontaktoplysninger (almindelige kategorier af personoplysninger). Gøres der brug af denne mulighed, vil kontaktoplysningerne blive registreret og behandlet i forbindelse med undersøgelse af sagen.

 Personer, der indberettes om i whistleblower-systemet:
Indberetninger i whistleblower-systemet kan indeholde såvel almindelige som særlige kategorier af personoplysninger vedrørende den person/gruppe af personer, som har begået de (påståede) overtrædelser. Herudover kan der være oplysninger om den mistænktes kriminelle handling eller uredelige forhold.

Hvad er retsgrundlaget for behandling af oplysninger i whistleblower-systemet?
Retsgrundlaget for behandling af dine oplysninger er følgende:

Behandlingen er nødvendig af hensynet til at forfølge en legitim interesse i form af undersøgelse af formodede af ulovligheder. Denne interesse overstiger hensynet til den registrerede, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra f.

Behandling er nødvendig, for at retskrav kan fastlægges, gøres gældende eller forsvares, eller når domstole handler i deres egenskab af domstol, jf. databeskyttelsesforordningens artikel 9, stk. 2, litra f.

Behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler organisationen, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra c, lov om finansiel virksomhed §§ 75a og 75b og markedsmisbrugsforordningen art. 32.

Videregivelse af de registrerede oplysninger
De oplysninger, der registreres i whistleblower-systemet, bliver som udgangspunkt ikke videregivet til andre uden for PFA-koncernen. Der kan forekomme tilfælde, hvor oplysninger videregives til en ekstern advokat eller revisor i forbindelse med sagsbehandlingen af en indberetning.

Herudover vil oplysninger fra whistleblower-systemet alene blive videregivet, hvis indberetningen resulterer i, at der indledes en retssag, eller hvis det er påbudt ved lov, kendelse/dom fra en domstol eller anden kompetent myndighed (eksempelvis Politiet eller Finanstilsynet).

Overførsel af personoplysninger til lande uden for EU/EØS
PFA overfører ikke dine personoplysninger til lande uden for EU/EØS.

Opbevaring og sletning af registrerede data
Personoplysninger, der er registreret i whistleblower-systemet, opbevares kun i det tidsrum, en undersøgelse af sagen varer. Når en indberetning afvises eller en eventuel undersøgelse er færdigbehandlet, slettes alle de registrerede personoplysninger på den pågældende indberetningi whistleblower-systemet.

PFA opbevarer personoplysninger i tidsrummene angivet nedenfor:

 Hvis en indberetning vurderes åbenlyst ubegrundet, slettes den straks.

 Hvis undersøgelse af en indberetning resulterer i, at der træffes beslutning om, at der ikke er reelt indhold i indberetningen, og sagen derfor lukkes, slettes indberetningen hurtigst muligt og senest 6 måneder efter denne beslutning er truffet.

 Fører en indberetning til en ansættelsesretlig sanktion mod en medarbejder i PFA, slettes oplysningerne i systemet, når beslutningen er truffet. Oplysningerne gemmes dog i HR i 5 år efter, at den pågældende medarbejder er fratrådt.

 Fører en indberetning til en politianmeldelse, skal oplysningerne gemmes, indtil efterforskningen er afsluttet, eller der er afsagt dom.

Tekniske og organisatoriske sikkerhedsforanstaltninger
PFA har tilrettelagt sit kontrolmiljø på baggrund af principperne om de tre forsvarslinjer, hvilket understøtter en løbende stillingtagen til og vurdering af såvel tekniske som organisatoriske sikkerhedsforanstaltninger.

Tekniske foranstaltninger:
De tekniske foranstaltninger reguleres af PFA-koncernens informationssikkerhedspolitik, der tager udgangspunkt i ISO27001-standarden. Der er udarbejdet informationssikkerhedsretningslinjer og forretningsgange, der nærmere beskriver kravene til de tekniske sikkerhedsforanstaltninger, herunder regler for brugeradministration, adgangsstyring og logning.

Organisatoriske foranstaltninger:
PFA har udarbejdet politikker, retningslinjer, forretningsgange og arbejdsgange på alle væsentlige områder. Styringsdokumenterne medvirker til at sikre, at roller, ansvar og øvrige organisatoriske sikringsforanstaltninger, eksempelvis krav til funktionsadskillelse og kontrolaktiviteter relateret til behandling af personoplysninger, er klart definerede og kendt i organisationen.

Fysisk materiale indeholdende personoplysninger skal opbevares aflåst, når det ikke anvendes.

Medarbejdere (og eksterne konsulenter) trænes og undervises i GDPR.

It-sikkerhed i whistleblowersystemet
Indberetningssystemet er en webportal, der er udviklet af Got Ethics A/S, der er PFA-koncernens databehandler. Got Ethics A/S er en uafhængig part, som over for PFA-koncernen har stillet de nødvendige garantier for sikkerheden og anonymiteten i systemet. Whistleblower-systemet er en cloud-baseret løsning, hvor data lagres på en server i Tyskland. Der sker således ikke overførsel af personoplysninger til lande udenfor EU/EØS.

Got Ethics A/S har over for PFA-koncernen stillet de fornødne garantier om, at der er truffet de fornødne tekniske og organisatoriske foranstaltninger mod, at personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab eller misbruges. Håndteringen af personlige oplysninger er underlagt strenge kontroller og procedurer, og overholder derfor lovgivningen om behandling af persondata samt god skik inden for området.

Al datatransmission og lagring af data sker ved brug af kryptering. Det er alene PFA, der har dekrypteringsnøglen, og de oplysninger, der registreres i whistleblower-systemet kan således ikke læses af Got Ethics A/S.

Anonymitet
Registrering af indberetninger sker anonymt i whistleblower-systemet. Det eneste, der registreres, er selve indberetningen. Der føres således ikke log over den IP-adresse eller maskine-ID på den computer, som indberetningen bliver foretaget fra. 

Hvis en indberetning er foretaget fra en computer, der er på PFA’s netværk, kan det fremgå af virksomhedens log, hvilke hjemmesider, der er besøgt. Fuld anonymitet kan sikres ved, at whistleblower-systemet tilgås via en PC, der ikke er udleveret af PFA, og som ikke er koblet på PFA’s netværk. Dette gøres ved at skrive URL-adressen til whistleblower-systemet over i en internetbrowser frem for at anvende link til systemet.

Dine rettigheder
Når PFA behandler personoplysninger om dig, har du følgende rettigheder:

 Retten til indsigt
Du har ret til at få indsigt i, hvilke personoplysninger PFA behandler om dig.

 Ret til at gøre indsigelse
Du har ret til at modsætte dig behandlingen af dine personoplysninger og få behandlingen af dine personoplysninger begrænset.

 Retten til berigtigelse
Du har ret til at få berigtiget urigtige personoplysninger uden unødig forsinkelse, herunder har du under hensyn til formålene med behandlingen ret til at få tilføjet eventuelt manglende personoplysninger.

 Retten til sletning
Du kan se, hvornår PFA sletter dine personoplysninger under afsnittet ”Opbevaring og sletning af registreredes data”. Du har i særlige tilfælde ret til at få dine personoplysninger slettet i PFA inden de angivne frister.

 Retten til begrænset behandling
Du har ret til at begrænse PFA’s behandling af dine personoplysninger i visse tilfælde, blandt andet når der foreligger tvivl om dine personoplysningers rigtighed.

 Retten til dataportabilitet
Du har ret til at få personoplysninger, som du selv har afgivet til PFA, overført til dig i et struktureret, almindeligt anvendt og maskinlæsbart format. I samme tilfælde har du ret til at få dine personoplysninger overdraget fra PFA til en anden dataansvarlig, fx til et andet pensions- og forsikringsselskab.

 Tilbagekaldelse af samtykke
Hvis PFA behandler dine personoplysninger på baggrund af dit samtykke, har du til enhver tid ret til at tilbagekalde dit samtykke. En tilbagekaldelse af samtykket indebærer, at PFA ikke fremover må behandle dine personoplysninger til det formål, som du gav dit samtykke til. Tilbagekaldelsen påvirker ikke den behandling af dine personoplysninger, som er foretaget forud for tilbagekaldelsen, fx hvis du har givet os samtykke til at videregive oplysningerne. PFA kan være berettiget til at behandle (fx opbevare) dine personoplysninger på et andet grundlag end samtykke.

Der kan være betingelser eller begrænsninger til rettighederne ovenfor. Det er derfor ikke sikkert, at du fx har ret til dataportabilitet eller ret til at få personoplysninger slettet i det konkrete tilfælde – dette afhænger af de konkrete omstændigheder i forbindelse med databehandlingen.

En person, der indberettes personoplysninger om via whistleblower-systemet, bliver underrettet herom, såfremt det vurderes, at der skal igangsættes en undersøgelse. Hvis det kan bringe den fortsatte undersøgelse i fare, informeres der ikke, før det vurderes, at der ikke længere foreligger en sådan fare.

Spørgsmål
Hvis du har spørgsmål og/eller anmodning om behandling, rettelse, sletning mv. af personoplysninger i whistleblower-systemet, er du velkommen til at kontakte PFA-koncernens Compliance-afdeling på e-mail compliance@pfa.dk.

Hvis du har spørgsmål til beskyttelsen af personoplysninger, er du velkommen til at kontakte vores databeskyttelsesrådgiver i PFA-koncernen på telefon 70 20 75 15 eller e-mail databeskyttelse@pfa.dk.

Hvis du har spørgsmål til systemet, kan du kontakte Got Ethics A/S på e-mail jda@gotethics.com.

Klage
Du har til enhver tid ret til at indgive en klage til Datatilsynet over PFA’s behandling af dine personoplysninger. Du bør dog altid først tage kontakt til PFA, hvis du mener PFA har behandlet dine personoplysninger i strid med den persondataretlige regulering. På den måde kan du få PFA’s forklaring af sagen. Du kan kontakte Datatilsynet pr. mail dt@datatilsynet.dk eller læse mere på www.datatilsynet.dk.