Køb billet

1. BAGGRUND

Denne politik beskriver festivaler (Tinderbox, Northside, Forever, Fyrfest, DTD Concerts, DTD Rental, DTD Projects) kaldet DTD GROUP´s tilgang til at overholde gældende databeskyttelseslovgivning. Ledelsen i DTD Group, registreret på Studsgade 35B, 8000 Aarhus C, er forpligtet til at overholde alle relevante britiske og EU-love med hensyn til personoplysninger og beskyttelse af de enkeltpersoners “rettigheder og friheder”, hvis oplysninger de indsamler og behandler.  

1.2 DATA-POLITIK EJER

Denne politik gælder for alle data, der behandles af alle virksomheder i DTD Group, og den ejes af den udpegede Databeskyttelsesansvarlige. 

1.3 POLITIKKENS PUBLIKUM

Denne politik gælder for alle medarbejdere og tredjeparter, der er involveret i behandlingen af personoplysninger i forbindelse med deres arbejde.  Politikken kan deles med tredjeparter, så de forstår, hvad de forventes at gøre for at støtte DTD Group i opfyldelsen af dennes databeskyttelsesforpligtelser.

Enhver tredjepart, der arbejder med eller på vegne af DTD Group, som har eller kan have adgang til personoplysninger, forventes at have læst, forstået og overholde denne politik eller at være forpligtet til en tilsvarende tilgang til overholdelse af lovgivningen.

1.4 IKRAFTTRÆDELSESDATO

Denne politik træder i kraft den 6. maj 2024.  Alle aktiviteter, der udføres af DTD-Group, skal være i overensstemmelse fra denne dato.

Denne politik vil blive gennemgået regelmæssigt og under alle omstændigheder senest hver 12. måned fra ikrafttrædelsesdatoen.

1.5 ADMINISTRATION AF POLITIKKEN


1.5.1 DISPENSATIONER

Hvis et forretningsområde ikke kan overholde et eller flere af kravene i denne politik, skal der indsendes en formel anmodning om dispensation til den databeskyttelsesansvarlige til godkendelse med forslag til afhjælpende foranstaltninger.  

Den databeskyttelsesansvarlige skal føre et register over dispensationer og et register over privatlivsrisici.

Eventuelle dispensationer skal gennemgås og opdateres årligt.

1.5.2 MANGLENDE OVERHOLDELSE AF POLITIKKEN

Manglende overholdelse af denne politik skal, hvor der ikke foreligger en godkendt dispensation, rapporteres til den databeskyttelsesansvarlige. 

Enhver medarbejder, der ikke overholder denne politik, kan blive genstand for disciplinære foranstaltninger.

2. UDTALELSER

2.1 DATABESKYTTELSESPRINCIPPER

Al behandling af personoplysninger skal ske i overensstemmelse med databeskyttelsesloven fra 2018 og GDPR.  DTD Groups politikker og procedurer sikrer overholdelse af følgende principper:

DTD Group skal kunne påvise overholdelse af ovenstående punkter.

Eventuelle yderligere forespørgsler eller afklaringer skal rettes til den databeskyttelsesansvarlige.

2.2 PRIVATLIVSERKLÆRING

DTD GROUP er forpligtet til at beskytte kundernes privatliv. DTD Groups privatlivsmeddelelse beskriver, hvordan kundernes personoplysninger indsamles, bruges, videregives, opbevares og beskyttes.

De specifikke oplysninger, der gives til den registrerede, omfatter:

Privatlivserklæringer vil blive gennemgået regelmæssigt og opdateret i takt med ændringer på tværs af virksomheden.

3. ROLLER OG ANSVARSFORDELING

DTD Group er den dataansvarlige ved håndtering af personoplysninger, der vedrører medarbejdere, intern drift og kunder.

Den databeskyttelsesansvarlige er ansvarlig for at føre tilsyn med overholdelsen af DPA og GDPR og andre relevante love.

4. HÅNDTERING AF PERSONOPLYSNINGER

4.1 GENERELT

Det er alle medlemmer af DTD Groups ansvar at sikre, at de forretningsområder, hvor de opererer, arbejder i overensstemmelse med denne politik og relaterede dokumenter, kan dokumentere overholdelse, sikre, at de er fuldt ud opmærksomme på deres roller og ansvarsområder og omgående rapportere hændelser eller overtrædelser af denne politik.

4.2 MEDARBEJDEROPLYSNINGER

4.2.1 GRUNDLAG FOR BEHANDLING

Personoplysninger om medarbejdere behandles i henhold til deres ansættelseskontrakt.

4.2.2 PRINCIPPER FOR BEHANDLING

4.3 KUNDEDATA

4.3.1 GRUNDLAG FOR BEHANDLING

Som beskrevet i privatlivsmeddelelsen vil personoplysninger, der behandles på vegne af en kunde, blive behandlet under:

Såfremt samtykke er retsgrundlaget for behandlingen, skal det være givet eksplicit og frit, ved erklæring eller ved en klar bekræftende handling.  Dette vil betyde samtykke til behandlingen af personoplysninger vedrørende den pågældende person.  For følsomme oplysninger skal der indhentes udtrykkeligt skriftligt samtykke fra de registrerede, medmindre der findes et andet legitimt grundlag for behandlingen.  

Hvis samtykke er indhentet, skal det som hovedregel opdateres hvert 2. år og kan til enhver tid trækkes tilbage ved at kontakte vores it-afdeling data@dtdgroup.dk. Hvis samtykket opdateres efter en længere periode, skal det alligevel opdateres regelmæssigt (især hvis der sker en ændring i behandlingsaktiviteten).

Al behandling, der udføres på vegne af kunder, vil være i overensstemmelse med denne politik og i overensstemmelse med alle gældende love.

5. REGISTREREDE PERSONERS RETTIGHEDER

I henhold til databeskyttelseslovgivningen har de registrerede ret til at udøve følgende rettigheder:

Den registrerede kan udøve sine rettigheder og trække sit samtykke tilbage ved at kontakte DTD Group 

DTD Group vil sikre, at de registrerede kan udøve disse rettigheder ved også at etablere procedurer til understøttelse af håndhævelsen af disse rettigheder.  Disse procedurer beskriver, hvordan DTD Group vil sikre, at dets svar på den registreredes anmodning overholder kravene i GDPR. 

Registrerede har ret til at klage over behandlingen af deres personoplysninger, behandlingen af en anmodning eller hvordan klager er blevet håndteret i overensstemmelse med klageproceduren ved at kontakte DTD Group. 

For yderligere oplysninger henvises til proceduren for den registreredes anmodning om adgang.

6. PERSONDATASIKKERHED

Alle medarbejdere er ansvarlige for at sikre, at alle personoplysninger, som DTD Group er i besiddelse af, og som DTD Group er ansvarlig for, opbevares sikkert.  Alle personoplysninger opbevares i overensstemmelse med DTD Groups informationssikkerhedspolitik.

Personoplysninger vil ikke blive videregivet til en tredjepart, medmindre denne tredjepart er specifikt autoriseret til at modtage oplysningerne og har indgået en underskrevet aftale med DTD Group, der omfatter både fortrolighed og godkendelse til at behandle sådanne data.

Alle personoplysninger bør kun være tilgængelige for dem, der har behov for at bruge dem, og adgangen må kun gives i overensstemmelse med deres rolle i virksomheden. Alle personoplysninger skal behandles sikkert og skal opbevares:

Manuelle optegnelser, der indeholder personoplysninger, bør kun fjernes fra virksomhedens lokaler, hvis det er strengt nødvendigt.  

Så snart personoplysninger ikke længere er nødvendige til driftsmæssige formål, skal de fjernes med henblik på sikker arkivering i overensstemmelse med de relevante procedurer. 

Der skal træffes passende sikkerhedsforanstaltninger for alle personoplysninger, der opbevares enten manuelt eller i edb-systemer.  Detaljerne er beskrevet i informationssikkerhedspolitikken. 

6.1 HÆNDELSER OG BRUD PÅ PERSONDATASIKKERHEDEN

Alle hændelser, der involverer uautoriseret videregivelse, indsamling, behandling, overførsel eller sletning af personoplysninger, rapporteres i overensstemmelse med proceduren for håndtering af brud på datasikkerheden.

Alle databehandler er forpligtet til at rapportere hændelser eller brud på persondatasikkerheden til DTD Group uden unødig forsinkelse.

6.2 KONSEKVENSANALYSE VEDRØRENDE DATABESKYTTELSE (DPIA)

Der vil blive foretaget en konsekvensanalyse vedrørende databeskyttelse (DPIA), når der udvikles en ny tjeneste, der involverer personoplysninger, eller når nye teknologier overvejes.

For yderligere oplysninger henvises til proceduren og screeningsspørgeskemaet for konsekvensanalyse vedrørende databeskyttelse.

6.3 OPBEVARING, BORTSKAFFELSE OG DATANØJAGTIGHED

Data må kun opbevares, så længe det er nødvendigt for at opfylde det formål, som dataene blev indsamlet til. Data kan slettes eller bortskaffes efter udløbet af opbevaringsperioden i overensstemmelse med bortskaffelsesprocedurerne “GDPR pr. Afdeling” fra DTD Group. 

For yderligere oplysninger henvises til DTD Groups opbevarings- og bortskaffelsesprocedure.

7. TREDJEPARTER

Alle tredjepartsleverandører af forretningstjenester, der arbejder med eller for DTD Group, og som har eller kan have adgang til personoplysninger, forventes at have læst, forstået og overholdt denne politik. Alle tredjepartsleverandører af forretningstjenester, der arbejder med eller for DTD Group, vil blive registreret i tredjepartsregistret af DTD Groups databeskyttelsesansvarlige. 

Alle tredjepartsdatabehandlere skal have en gyldig kontrakt med passende databeskyttelsesklausuler, før behandlingen af personoplysninger påbegyndes, i overensstemmelse med de relevante krav.

Ingen tredjepart må få adgang til personoplysninger, der opbevares af DTD Group, uden først at have indgået en kontrakt eller, hvis der ikke foreligger en kontrakt, en databehandleraftale. Dette vil pålægge tredjemand forpligtelser, der ikke er mindre krævende end dem, som DTD Group er forpligtet til.

Eventuelle underdatabehandlere, der er udpeget af tredjeparten, skal godkendes skriftligt af den relevante dataansvarlige, før behandlingen påbegyndes.    

8. OVERFØRSEL AF DATA

Al eksport af data fra Det Europæiske Økonomiske Samarbejdsområde (EØS) til tredjelande uden for EØS skal have et tilstrækkeligt beskyttelsesniveau.

Når en tredjepartsdatabehandler har til hensigt eller behandler data i et tredjeland, skal den databeskyttelsesansvarlige straks informeres.     

9. VIDEREGIVELSE AF PERSONOPLYSNINGER

DTD Group skal sikre, at personoplysninger ikke videregives til uautoriserede tredjeparter.  Alle medarbejdere/alt personale skal udvise forsigtighed, når de bliver bedt om at videregive personoplysninger om en anden person til en tredjepart.  Det er vigtigt at overveje, om videregivelsen af oplysningerne er relevant og nødvendig for virksomhedens drift.

Enhver anmodning om at dele personoplysninger med tredjeparter som led i den normale forretningsdrift skal henvises til den databeskyttelsesansvarlige. 

Alle anmodninger om udlevering af data til tredjeparter skal understøttes af passende dokumentation.

BILAG A – DEFINITIONER

Etablering – den dataansvarliges hovedetablering i EU vil være det sted, hvor den dataansvarlige træffer de vigtigste beslutninger om formålet med og midlerne til sine databehandlingsaktiviteter. En databehandler primære etablering i EU vil være dens administrative center. Hvis en dataanvarlig er etableret uden for EU, skal den udpege en repræsentant i den jurisdiktion, hvor den dataansvarlige opererer, for at handle på vegne af den dataansvarlige og håndtere tilsynsmyndigheder.

Personoplysninger – enhver oplysning om en identificeret eller identificerbar fysisk person (“registreret person”). En identificerbar fysisk person er en person, der kan identificeres, direkte eller indirekte, især ved henvisning til en identifikator såsom et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller til en eller flere faktorer, der er specifikke for den fysiske persons fysiske, fysiologiske, genetiske, mentale, økonomiske, kulturelle eller sociale identitet.

Særlige kategorier af personoplysninger – personoplysninger, der afslører racemæssig eller etnisk oprindelse, politiske holdninger, religiøs eller filosofisk overbevisning eller fagforeningsmedlemskab, og behandling af genetiske data, biometriske data med det formål at identificere en fysisk person entydigt, data vedrørende helbred eller data vedrørende en fysisk persons sexliv eller seksuelle orientering.

Dataanvarlig – den fysiske eller juridiske person, den offentlige myndighed, det agentur eller andet organ, der alene eller sammen med andre bestemmer formålene med og midlerne til behandling af personoplysninger, og hvor formålene med og midlerne til en sådan behandling er fastlagt i EU-retten eller medlemsstatsretten, kan den dataansvarlige eller de specifikke kriterier for udnævnelse heraf være fastsat i EU-retten eller medlemsstatsretten.

Registreret person – enhver levende person, der er genstand for personoplysninger, der opbevares af en organisation.

Behandling – enhver handling eller række af handlinger, der udføres på personoplysninger eller på sæt af personoplysninger, uanset om det sker ved hjælp af automatiserede midler, såsom indsamling, registrering, organisering, strukturering, lagring, tilpasning eller ændring, hentning, konsultation, brug, videregivelse ved overførsel, formidling eller på anden måde tilgængeliggørelse, tilpasning eller kombination, begrænsning, sletning eller destruktion.

Profilering – er enhver form for automatiseret behandling af personoplysninger, der har til formål at vurdere visse personlige aspekter vedrørende en fysisk person eller at analysere eller forudsige denne persons præstation på arbejdet, økonomiske situation, placering, helbred, personlige præferencer, pålidelighed eller adfærd. Denne definition er knyttet til den registreredes ret til at gøre indsigelse mod profilering og en ret til at blive informeret om eksistensen af profilering, af foranstaltninger baseret på profilering og de påtænkte virkninger af profilering på den enkelte.

Brud på persondatasikkerheden – et brud på sikkerheden, der fører til utilsigtet eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der overføres, opbevares eller på anden måde behandles. Den dataansvarlige er forpligtet til at indberette brud på persondatasikkerheden til tilsynsmyndigheden, og hvis bruddet sandsynligvis vil påvirke den registreredes persondata eller privatliv negativt.

Samtykke fra den registrerede – betyder enhver frit givet, specifik, informeret og utvetydig angivelse af den registreredes ønsker, hvorved han eller hun, ved en erklæring eller ved en klart bekræftende handling, angiver samtykke til behandlingen af personoplysninger.

Barn – GDPR definerer et barn som enhver person under 16 år, selvom dette kan sænkes til 13 i henhold til medlemsstaternes lovgivning. Behandlingen af et barns personoplysninger er kun lovlig, hvis der er indhentet samtykke fra en forælder eller værge. Den dataansvarlige skal i sådanne tilfælde gøre en rimelig indsats for at kontrollere, at samtykket er givet eller godkendt af indehaveren af forældremyndigheden over barnet.

Tredjepart – en fysisk eller juridisk person, offentlig myndighed, agentur eller andet organ end den registrerede, den dataansvarlige, databehandleren og personer, der under den dataansvarliges eller databehandlerens direkte myndighed er bemyndiget til at behandle personoplysninger.

Arkiveringssystem – ethvert struktureret sæt af personoplysninger, der er tilgængelige efter specifikke kriterier, uanset om de er centraliserede, decentraliserede eller spredt på et funktionelt eller geografisk grundlag.

Tredjeland – ethvert land, der ikke anerkendes som værende i besiddelse af et tilstrækkeligt niveau af juridisk beskyttelse af de registreredes rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger uden for EØS.  Overførsel af personoplysninger til “tredjelande” (dvs. uden for EØS) er begrænset i henhold til GDPR.