1. Ansvar

1.1 Beskyttelse af dine personlige data er vores højeste prioritet, uanset om sådanne personlige data vedrører dig, dine transaktioner, dine produkter eller dine tjenester.

1.2 Vi behandler personoplysninger og har derfor vedtaget denne privatlivspolitik, som fortæller dig, hvordan vi behandler dine personoplysninger.

2. Tjenesteudbyder

Tjenesteudbyder er:
Mellow Chocolate ApS
CVR-nr: 41257903

Mellow Chocolate ApS
Hammerholmen 9T, 1.
2650 Hvidovre                
Danmark

E: info@mellowcopenhagen.com
I: www.mellowcopenhagen.com

3. Personlige data

3.1 Det er vigtigt for os at holde dine personlige data sikre og fortrolige. Vi har procedurer for indsamling, lagring, sletning, opdatering og videregivelse af personlige data for at forhindre uautoriseret adgang til dine personlige data og for at overholde gældende love.

3.2 Vi sikrer retfærdig og gennemsigtig databehandling. Når vi beder dig om at give os dine personoplysninger, vil vi fortælle dig, hvilke personoplysninger vi behandler om dig, og til hvilket formål sådanne personoplysninger behandles. Du vil modtage information om dette på tidspunktet for indsamlingen af dine personlige data.

3.3 De følgende retningslinjer beskriver de typer af personoplysninger, vi indsamler, hvordan vi behandler sådanne personoplysninger, og hvem du kan kontakte, hvis du har spørgsmål eller kommentarer til denne privatlivspolitik.

4. Kategorier af personlige data

4.1 Vi indsamler og behandler følgende personlige data vedrørende dig eller det registrerede, hvilket kan omfatte: 
– Generelle personoplysninger (f.eks. navn og/eller brugernavn, adresse, e-mail, fødselsdato, køn, profilbillede, placering osv.). 
– Trafikdata om brug af internettet 
– Transaktionsdata 
- Købshistorie 
– Unikke numre på netværksenheder 
- IP-adresse

5. Formål

5.1 Vi indsamler og opbevarer dine personlige data til specifikke formål eller andre legitime forretningsformål.

5.2 Dine personlige data indsamles og bruges til:
– for at give dig Mellows serviceoplysninger og nyheder, 
– at støtte Mellow og tjenester, der tilbydes på eller gennem Mellow, 
– for at kontakte dig for feedback om vores tjenester, 
– at udføre research om Mellows kundebase eller tjenester, 
– for at opfylde dine reservations- og købsanmodninger, 
– at behandle dine betalinger, herunder kredittjek og inkasso, 
– for at underrette dig om tekniske opdateringer eller ændringer i politik, 
– at kontakte dig med henblik på vores egne markedsførings- og salgsfremmende formål, eller 
– at behandle konkurrencer, lodtrækninger eller andre kampagner og opfylde eventuelle relaterede priser eller rabatter.

5.3 Vi kan bruge ikke-personlige data såsom demografiske data til at analysere og udvikle vores marketingstrategi og yderligere forbedre Mellow og vores tjenester.

6. De registreredes rettigheder

6.1 De registreredes rettigheder vil kun være individuelt vigtige i forhold til Mellow i de tilfælde, hvor Mellow er dataansvarlig. Hvis Mellow er databehandler, skal de registreredes rettigheder opfyldes af den dataansvarlige, som typisk vil være Mellows kunde.

6.2 Adgangsret

6.2.1 I henhold til artikel 15 i den generelle databeskyttelsesforordning har den registrerede ret til at blive informeret om, hvorvidt nogen personoplysninger om emnet behandles, og i så fald få adgang til personoplysningerne (en kopi af personoplysningerne skal udleveres).

6.2.2 Endvidere har den registrerede ret til at modtage følgende oplysninger: – formålet med behandlingen 
– de berørte kategorier af personoplysninger 
– modtagerne eller kategorierne af modtagere, personoplysningerne er blevet eller vil blive videregivet til, især modtagere i tredjelande eller internationale organisationer
– om muligt den periode, hvori personoplysningerne vil blive opbevaret eller, hvis dette ikke er muligt, de kriterier, der er brugt til at bestemme denne periode 
– retten til at anmode den dataansvarlige om berigtigelse eller sletning af personoplysninger eller begrænsning af behandlingen af personoplysninger vedrørende den registrerede eller til at gøre indsigelse mod en sådan behandling 
– ret til at klage til en tilsynsmyndighed 
– enhver tilgængelig information om oprindelsen af personoplysningerne, hvis de ikke er blevet indsamlet fra den registrerede 
– forekomsten af automatiserede beslutninger, herunder profilering som beskrevet i artikel 22(1) og (4) og som et minimum meningsfuld information om logikken heri samt vigtigheden og de forventede konsekvenser for den registrerede af en sådan behandling.

6.2.3 Endvidere er den registrerede berettiget til at modtage information om de nødvendige garantier, hvis personoplysningerne er blevet overført til tredjelande.

6.2.4 For at imødekomme en anmodning om adgang skal vi søge i alle systemer - herunder alle databaser, al hardware og alle bærbare medier - samt alt fysisk materiale, der er en del af et register og udlevere de Personoplysninger, der er blevet registreret om den registrerede.

6.2.5 I henhold til den generelle databeskyttelsesforordning gælder retten til indsigt ikke, hvis den registreredes interesse i oplysningerne anses for at være af mindre betydning end grundlæggende hensyn til personlige interesser, herunder hensynet til denne.

6.3 Dataportabilitet

6.3.1 I henhold til artikel 20 i den generelle databeskyttelsesforordning er den registrerede endvidere berettiget til at modtage personoplysninger om sig selv, som den pågældende har givet til virksomheden. Disse data skal leveres i et struktureret, almindeligt anvendt og maskinlæsbart format.

6.3.2 Den registrerede er endvidere berettiget til selv at videregive disse oplysninger til en anden dataansvarlig uden indsigelser fra virksomheden, når behandlingen er baseret på samtykke og udføres automatisk. Hvis den registrerede gør brug af denne ret til dataportabilitet, har den registrerede også ret til at få overført personoplysninger direkte fra en dataansvarlig til en anden, hvis dette er teknisk muligt.

6.3.3 Retten til dataportabilitet omfatter kun oplysninger modtaget fra den registrerede og vil kun omfatte automatisk behandling. Derudover vil retten til dataportabilitet være meget begrænset, hvis virksomheden baserer sin ret til at behandle personoplysninger på andre juridiske rettigheder til at behandle personoplysninger end samtykke.

6.4 Ret til berigtigelse

6.4.1 I henhold til artikel 16 i den generelle databeskyttelsesforordning har den registrerede ret til at få berigtigelse af ukorrekte personoplysninger af den dataansvarlige uden unødig forsinkelse. Under hensyntagen til formålet med behandlingen har den registrerede også ret til at få udfyldt ufuldstændige personoplysninger, f.eks. ved at afgive en supplerende erklæring.

6.4.2 Denne ret supplerer vores egen grundlæggende forpligtelse til løbende at sikre, at der kun behandles korrekte og opdaterede oplysninger, jf. pkt. 1, litra d. § 5, stk.

6.4.3 Retten til berigtigelse gælder dog kun objektive Persondata og ikke subjektive vurderinger. Det forhold, at vi kan have besluttet, at en medarbejder ikke har hjemmel til at føre en sag, anses ikke for at være persondata omfattet af retten til berigtigelse.

6.5 Ret til at blive glemt

6.5.1 I henhold til artikel 17 i den generelle databeskyttelsesforordning er den registrerede berettiget til at anmode os om sletning af personlige data uden unødig forsinkelse. I så fald er vi forpligtet til at slette personlige data uden unødig forsinkelse.

6.5.2 Denne ret er dog begrænset på en sådan måde, at den registrerede ikke kan anmode om sletning, hvis behandlingen er nødvendig for at overholde en retlig forpligtelse eller for at fastlægge, udøve eller forsvare retskrav, jf. pkt. 3, litra b og e. Artikel 17, stk.

6.5.3 Vi mener, at "retten til at blive glemt" meget sjældent vil være relevant for de Personoplysninger, som indsamles af os. Det kan blive aktuelt, hvis indsamlingen af personoplysninger aldrig har været nødvendig og derfor ikke burde have været gennemført, eller hvis personoplysningerne utvivlsomt ikke længere er nødvendige. I så fald vil pligten til at slette Personoplysninger også følge af den grundlæggende forpligtelse til kun at behandle nødvendige oplysninger, jf. 1, litra c, i den generelle databeskyttelsesforordning. "Retten til at blive glemt" gælder dog ikke, hvis (og så længe) vi opbevarer sådanne personoplysninger for at afvise et muligt retskrav fra kunder.

6.5.4 Hvis vi i henhold til artikel 17 er forpligtet til at slette personoplysninger, som er blevet overført til andre dataansvarlige eller databehandlere, skal vi informere sådanne dataansvarlige og databehandlere om anmodningen om sletning af alle links til eller kopier eller reproduktioner af nævnte personlige data.

6.6 Ret til at gøre indsigelse - også mod automatiserede afgørelser

6.6.1 Det følger af artikel 21 i den generelle databeskyttelsesforordning, at den registrerede til enhver tid kan udøve sin ret til at gøre indsigelse mod behandlingen af sine personoplysninger, hvis behandlingen - herunder profilering - er baseret på artikel 6, stk. , punkt e eller f. Disse bestemmelser regulerer retten til at behandle almindelige personoplysninger, hvis behandlingen er nødvendig for at udføre en opgave i samfundets interesse, eller hvis behandlingen er nødvendig for at varetage en legitim interesse, og hensynet til den registrerede ikke overstiger denne interesse.

6.6.2 Hvis der gøres indsigelse, er vi ikke længere berettiget til at behandle de nævnte personoplysninger, medmindre vi kan bevise væsentlige legitime grunde til behandlingen, som tilsidesætter den registreredes interesser, eller hvis behandlingen er nødvendig for at etablere, udøve eller forsvare retskrav.

6.6.3 Vi mener, at denne bestemmelse kun vil have begrænset indflydelse på vores behandling, fordi vores behandling af personoplysninger i vid udstrækning er knyttet til bemyndigelsen til at overholde en aftale eller etablere et retskrav ligesom vi - hvis behandlingen i øvrigt er i overensstemmelse med med de grundlæggende behandlingsregler - vil ofte kunne fremvise væsentlige legitime grunde til at behandle Personoplysningerne.

6.6.4 Bestemmelsen i artikel 21 er baseret på den betingelse, at den registrerede gøres specifikt opmærksom på sin ret til at gøre indsigelse, og at disse oplysninger skal gives senest på tidspunktet for den første kommunikation. Desuden skal disse oplysninger gives i klare vendinger og holdes adskilt fra andre oplysninger.  

6.6.5 Ud over artikel 21 giver artikel 22 den registrerede ret til ikke at blive underlagt en afgørelse, der udelukkende er baseret på automatiseret behandling, herunder profilering, som har retsvirkning eller lignende betydelig virkning for den pågældende person.

6.6.6 Denne bestemmelse omfatter endvidere flere undtagelser, jf. stk. artikel 22, stk. Denne ret gælder blandt andet ikke, hvis afgørelsen er nødvendig for at indgå eller overholde en aftale mellem den registrerede og den dataansvarlige, hvis behandlingen er i overensstemmelse med lovgivningen, eller hvis behandlingen er baseret på den registreredes udtrykkelige samtykke.

6.6.7 Artikel 22 forudsætter dog generelt, at automatiserede beslutninger ikke er baseret på specifikke kategorier af personoplysninger, jf. pkt. artikel 9, stk. 1, medmindre der er givet udtrykkeligt samtykke, og der er truffet tilstrækkelige foranstaltninger til at beskytte den registreredes rettigheder og borgerlige rettigheder og legitime interesser.

6.7 Ret til begrænsning af behandlingen

6.7.1 Artikel 18 i den generelle databeskyttelsesforordning giver den registrerede ret til fra den dataansvarlige at få begrænsning af behandlingen, hvor et af følgende gælder: 
– nøjagtigheden af personoplysningerne bestrides af den registrerede i en periode, der gør det muligt for den registeransvarlige at verificere nøjagtigheden af personoplysningerne 
– behandlingen er ulovlig, og den registrerede modsætter sig sletning af personoplysningerne og anmoder i stedet om begrænsning af deres brug 
– den dataansvarlige ikke længere har brug for personoplysningerne til formålet med behandlingen, men sikkerhedskopiering af persondataene er påkrævet for at etablere, udøve eller forsvare retskrav 
– den registrerede har gjort indsigelse mod behandling i henhold til artikel 21, stk.

6.7.2 Denne ret er således en alternativ (og mindre) indblanding i behandlingen sammenlignet med den registreredes ret til at gøre indsigelse i henhold til artikel 21 og 22 og den registreredes "ret til at blive glemt" i henhold til artikel 17.

6.7.3 Det følger af denne bestemmelses stk. 2, at hvis behandlingen er begrænset, kan sådanne personoplysninger, bortset fra opbevaringsformål, stadig behandles, hvis bl.a. den registrerede giver sit samtykke, eller hvis behandlingen er nødvendig for at fastslå , udøve eller forsvare et retskrav.

6.7.4 Efter vores opfattelse vil denne bestemmelse kun have begrænset betydning for vores adgang til at behandle Personoplysninger som led i vores sagsbehandling.

7. Generelle behandlingsprincipper

7.1 Behandlingsprincipper

7.1.1 Vi vil behandle personoplysninger på en lovlig, rimelig og gennemsigtig måde.

7.1.2 Vores behandling af personoplysninger er underlagt formålsbegrænsning, hvilket betyder, at personoplysninger skal indsamles til specificerede, eksplicitte og legitime formål og ikke viderebehandles på en måde, der er uforenelig med disse formål,

7.1.3 Vi udfører restriktiv behandling af personoplysninger, hvilket betyder, at den skal være tilstrækkelig, relevant og begrænset til de nødvendige data til de formål, hvortil de behandles.

7.1.4 Personoplysninger skal behandles i overensstemmelse med et princip om nøjagtighed, som betyder, at de skal være korrekte og om nødvendigt opdaterede.

7.1.5 Vi behandler personoplysninger i overensstemmelse med et princip om opbevaringsbegrænsning, hvilket betyder, at personoplysninger skal opbevares på en sådan måde, at de registrerede ikke kan identificeres i længere tid, end hvad der er nødvendigt til de formål, hvortil de relevante personoplysninger er behandlet.

7.1.6 Personoplysninger skal behandles i overensstemmelse med principper om integritet og fortrolighed, hvilket betyder, at de skal behandles på en sådan måde, at personoplysningerne opbevares tilstrækkeligt sikkert og beskyttet mod uautoriseret eller ulovlig behandling og hændeligt tab, ødelæggelse eller beskadigelse, ved at anvende passende tekniske eller organisatoriske foranstaltninger.

7.2. Risikoanalyse

7.2.1 I forbindelse med vores sagsarbejde skal vi gennemføre tilstrækkelige tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der svarer til de risici, der specifikt er relateret til vores behandling af Personoplysninger.

7.2.2 Vi har udført en risikoanalyse, som danner grundlag for denne privatlivspolitik.

7.3 Data Protection Impact Assessment (DPIA)     

7.3.1 Artikel 35 i den generelle databeskyttelsesforordning indeholder et krav om, at hvor en form for behandling, især ved brug af nye teknologier, og under hensyntagen til behandlingens art, omfang, kontekst og formål, sandsynligvis vil resultere i en høj risiko for fysiske personers rettigheder og friheder, skal den dataansvarlige forud for behandlingen foretage en vurdering af de påtænkte behandlingers indvirkning på beskyttelsen af personoplysninger.

7.3.2 Pligten til at foretage en vurdering af påvirkningen gælder kun i konkrete tilfælde, hvor der konstateres en høj risiko for fysiske personers rettigheder og frihedsrettigheder.

7.3.3 Der kræves en konsekvensanalyse for databeskyttelse i tilfælde af: 
a) behandling i stor skala af særlige kategorier af data eller af personoplysninger i forbindelse med straffedomme og lovovertrædelser, eller 
b) en systematisk og omfattende vurdering af personforhold vedrørende fysiske personer, som er baseret på automatiseret behandling, herunder profilering, og som er baseret på afgørelser, der har retsvirkninger for den fysiske person eller tilsvarende påvirker den fysiske person væsentligt, eller 
c) en systematisk overvågning af et offentligt tilgængeligt område i stor skala. 

7.3.4 Det er vores vurdering, at vi sjældent vil foretage en behandling, som overholder et af ovenstående kriterier. Derfor forventer vi, at bestemmelserne om konsekvensanalyse vil have relativt lille indflydelse på vores behandling af personoplysninger om kunder.

7.3.5 Hvis der alligevel gennemføres en konsekvensanalyse, vil resultatet af vurderingen blive taget i betragtning, når der skal træffes passende foranstaltninger.

7.4 Databeskyttelsesansvarlig (DPO) 

7.4.1 Pligten til at udpege en databeskyttelsesrådgiver er i henhold til artikel 37 i den generelle databeskyttelsesforordning betinget af, at behandling af personoplysninger er ”kerneaktivitet”. Dette er hverken tilfældet, hvor Mellow fungerer som databehandler, eller i situationer, hvor Mellow fungerer som dataansvarlig.

7.4.2 Den dataansvarlige og databehandleren skal udpege en databeskyttelsesansvarlig i alle tilfælde, hvor: 
a) kerneaktiviteterne består af behandlingsoperationer, som efter deres art, deres omfang og/eller deres formål kræver regelmæssig og systematisk overvågning af registrerede i stor skala, eller 
b) kerneaktiviteterne består i behandling i stor skala af særlige kategorier af data, eller 
c) kerneaktiviteterne består af behandling i stor skala af personoplysninger vedrørende straffedomme og lovovertrædelser.

7.4.3 Det er vores vurdering, at Mellow ikke behandler personoplysninger i en skala som beskrevet ovenfor. Vi har derfor valgt ikke at udpege en databeskyttelsesrådgiver.

7.4.4 På grund af ansvarlighedsprincippet har vi - uanset om vi fungerer som dataansvarlig eller databehandler - udpeget en person i vores organisation, som er ansvarlig for at udføre vurderingerne og rådgivningen, som normalt udføres af en Databeskyttelsesrådgiver.

7.5 Dataansvarlig

7.5.1 Med hensyn til Persondata om medarbejdere og oplysninger om Mellows kunder, vil Mellow overvejende arbejde som dataansvarlig. Mellow vil selvstændigt vurdere, om der er grundlag for at indsamle/behandle personoplysninger, som er relevante og nødvendige, og hvor længe personoplysningerne skal opbevares.

7.6 Databehandleraftale

7.6.1 I de tilfælde, hvor vi er dataansvarlige og har vurderet, at aftalen med databehandleren udgør en databehandlerstruktur, udarbejder vi en databehandleraftale.  

7.6.2 Databehandleraftalen skal indgås mellem os (den dataansvarlige) og den anden part (databehandleren) og skal overholde kravene til databehandleraftaler som fastsat i databeskyttelsesforordningen, jf. artikel 28, stk. 3, i den generelle databeskyttelsesforordning. Det betyder, at der skal udarbejdes en kontrakt eller et andet juridisk dokument, som er bindende for databehandleren. Det er endvidere et krav, at databehandleraftalen er skriftlig, herunder elektronisk.

7.6.3 Endvidere opstiller den generelle databeskyttelsesforordning flere specifikke krav til indholdet af databehandleraftalen. Kontrakten skal blandt andet angive emnet og varigheden af behandlingen, arten og formålet med behandlingen, typen af personoplysninger og kategorier af registrerede samt den dataansvarliges forpligtelser og rettigheder samt databehandlerens forpligtelser med hensyn til udførelsen af opgaven. Disse krav er detaljeret beskrevet i artikel 28(3), litra a-h, i den generelle databeskyttelsesforordning.

7.6.4 Hvis vi fungerer som databehandler for kunden, skal vi indgå en skriftlig databehandleraftale med kunden.

7.7 Overførsel til tredjelande

7.7.1 Der vil ikke være nogen overførsel af personlige data til tredjelande.

7.8 Databehandlere - en oversigt

7.8.1 Den tekniske drift af Mellow udføres af eksterne virksomheder. Disse virksomheder fungerer som databehandlere af de personoplysninger, som vi er dataansvarlige for.

7.8.2 Databehandlingen udføres inden for Den Europæiske Union.

7.8.3 Databehandleren handler udelukkende efter vores instruktion.

7.8.4 Vi bruger følgende databehandlere:

Databehandler

Beliggenhed: Danmark

Kontrakttype: Databehandleraftale

7.8.5 Databehandleren har truffet de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre, at personoplysningerne ikke hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, og at de ikke bliver kendt for uvedkommende, misbruges eller på anden måde behandles. på en måde, der er i strid med databeskyttelsesloven. Databehandleren vil efter anmodning - og mod betaling af databehandlerne til enhver tid gældende timepriser for sådant arbejde - give dig tilstrækkelige Persondata til at bevise, at databehandleren har truffet de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger.

7.9 Overførsel – kundedata

7.9.1 Vi kan videregive personlige data til andre virksomheder eller personer under enhver af følgende omstændigheder:

– hvis deling af oplysningerne er rimeligt nødvendigt for at levere eller på anden måde stille Mellow og enhver funktion af Mellow eller en tjeneste, som du har anmodet om, til rådighed. 
– for at holde dig opdateret om de seneste produktmeddelelser, softwareopdateringer, specialtilbud eller anden information, som vi tror, du gerne vil høre om enten fra os eller fra vores forretningspartnere (medmindre du har fravalgt disse typer kommunikation) . (Bemærk, at du ikke vil være i stand til at fravælge servicemeddelelser, der indeholder vigtige oplysninger, der er relevante for din brug af Mellow og ikke er salgsfremmende.) 
– hvis vi i god tro mener, at vi er forpligtet til at gøre det ved lov, om retssager, for at forhindre en forbrydelse eller for at beskytte personlig ejendom, offentligheden eller Mellow. 
– om et salg eller fusion med en anden enhed, konsolidering, omstrukturering, salg af virksomhedsaktiver, finansiering eller anden virksomhedsændring, herunder i løbet af enhver due diligence-proces, eller hvis Mellow nogensinde skulle indgive en konkursbegæring eller en relateret sag. 
– når vi ellers har den registreredes samtykke til at dele oplysningerne. 
– Mellow kan også dele ikke-personlige data med tredjeparter (f.eks. aggregerede eller demografiske data).

7.10 Overførsel til sociale medier netværk

7.10.1 Ingen personlige data vil blive overført til sociale medier.

7.11 Andre overførsler

7.11.1 Hvis vi modtager en anmodning fra politiet (eller lignende offentlig myndighed) eller retssystemet om at udlevere Persondata, udleverer vi dine Persondata i overensstemmelse med gældende lovgivning.

7.12 Offentliggørelse af juridiske årsager

7.12.1 Vi videregiver personoplysninger til virksomheder, organisationer eller enkeltpersoner uden for vores gruppe af virksomheder, hvis vi i god tro mener, at adgang, brug, bevaring eller videregivelse er nødvendig for at: (1) overholde gældende lov, regulering, juridisk proces eller håndhævelig regeringsanmodning, (2) håndhæve gældende brugervilkår, herunder undersøgelse af potentielle overtrædelser, (3) registrere, forhindre eller på anden måde beskytte mod adressebedrageri, sikkerhed eller tekniske problemer, eller (4) skadesløsholdelse af os, vores brugere eller offentlighedens rettigheder, ejendom eller sikkerhed efter behov.

7.13 Anden oplysning

7.13.1 Mellow bruger ikke dine personlige data til profilering.

7.14 Generelle tekniske foranstaltninger

7.14.1 Datatilsynets IT-sikkerhedsvejledning, jf. stk. nedenfor, danner grundlag for de overvejelser og vurderinger, vi har foretaget i henhold til den generelle databeskyttelsesforordning.

7.14.2 Adgang til persondata er begrænset til personer, der har et væsentligt behov for adgang til persondata. Personlige data vil kun blive tilgået på et "need to know"-grundlag.

7.14.3 Medarbejdere, der håndterer persondata, er instrueret og trænet i, hvad de skal gøre med persondata, og hvordan de beskytter personlige data.

7.14.4 Der skal være så få personer som muligt med adgang til Persondata under hensyntagen til driften. Der skal dog være et tilstrækkeligt antal medarbejdere til at sikre varetagelsen af de pågældende opgaver i tilfælde af sygdom, ferie, personaleudskiftning osv. Persondata vil kun blive tilgået på "need to know"-basis.

7.14.5 Persondata på papir - for eksempel i kartoner og ringbind - opbevares lukket og låst, når de ikke er i brug.

7.14.6 Når dokumenter (papirer, diagrammer osv.) kasseres, anvendes makulering og andre foranstaltninger for at forhindre uautoriseret adgang til persondata.

7.14.7 Vi bruger adgangskoder til at få adgang til pc'er og andet elektronisk udstyr med persondata. Kun de, der skal have adgang, får en adgangskode og så kun til de systemer, de skal bruge. De, der har en adgangskode, må ikke overlade koden til andre eller efterlade den, så andre kan se den. Ændring af tildelte koder skal ske mindst en gang hvert halve år.

7.14.8 Vi har udpeget en ansvarlig person til at overvåge sådanne utilgængelige adgangsforsøg. Under hensyntagen til den teknologiske udvikling findes der software, der kan afklare, hvem der har forsøgt at få adgang til Persondata.

7.14.9 Hvis Persondata opbevares på en USB-nøgle, skal Persondata beskyttes, f.eks. ved brug af adgangskode og krypteringsnøgle. Ellers skal USB-nøglen opbevares i en aflåst skuffe eller skab. Lignende krav gælder for opbevaring af personlige data på andre bærbare datamedier.

7.14.10 Pc'er, der er tilsluttet internettet, skal have en opdateret firewall og viruskontrol installeret. Ved tilslutning til WiFi, for gratis adgang, sikrer vi passende sikkerhedsforanstaltninger under hensyntagen til den aktuelle teknologiske udvikling på IT-området.

7.14.11 Hvis følsomme persondata eller personnumre sendes via e-mail via internettet, skal sådanne e-mails krypteres. Hvis du sender personlige data til os via e-mail, skal du være opmærksom på, at det ikke er sikkert at sende til os, hvis dine e-mails ikke er krypteret.

7.14.12 I forbindelse med reparation og service af dataudstyr, der indeholder Persondata, og når datamedier skal sælges eller kasseres, træffer vi de nødvendige foranstaltninger for at forhindre, at oplysninger videregives til tredjemand.

7.14.13 Når vi bruger en ekstern databehandler til at håndtere persondata, underskrives en skriftlig databehandleraftale mellem os og databehandleren. Det gælder for eksempel, når vi anvender et eksternt dokumentarkiv, eller hvis der anvendes cloudsystemer i behandlingen af Persondata – herunder kommunikation med kunden. På samme måde indgås altid en skriftlig aftale mellem os og vores kunde, hvis vi fungerer som databehandler. Databehandleraftaler er også tilgængelige elektronisk.

7.14.14 Vi har interne regler om informationssikkerhed. Vi har vedtaget interne regler om informationssikkerhed, der indeholder instruktioner og foranstaltninger, der beskytter persondata mod at blive ødelagt, tabt eller ændret, mod uautoriseret videregivelse og mod uautoriseret adgang eller kendskab til dem. Vi vil sikre, at indsamlede personoplysninger behandles med omhu og beskyttes i overensstemmelse med gældende sikkerhedsstandarder. Vi har strenge sikkerhedsprocedurer for indsamling, lagring og overførsel af personlige data for at forhindre uautoriseret adgang og overholdelse af gældende love.

7.14.15 Vi har taget de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger for at beskytte dine personlige data mod hændelig eller ulovlig ødelæggelse, tab eller ændring og mod uautoriseret offentliggørelse, misbrug eller andre handlinger i strid med gældende lovgivning.

7.14.16 Systemerne er placeret på servere i sikrede lokaler.

7.14.17 Vi bruger industristandarder såsom firewalls og autentificeringsbeskyttelse til at beskytte dine personlige data.

7.14.18 Alle data, der overføres mellem klient (browser og webapp) og server(e) er krypteret i henhold til HTTPS-protokollen.

7.14.19 Alle faciliteter er aflåste, og kun medarbejdere, der har underskrevet en fortrolighedserklæring, har adgang til faciliteterne. Efter normal arbejdstid er produktionsfaciliteterne aflåst. Adgang til produktionsfaciliteterne sker altid under opsyn af en medarbejder.

7.14.20 Vi tager en backup af alle databaser og filer på fællesdrev hver aften. Sikkerhedskopien gemmes på en intern server.

7.15 Back-up

7.15.1 Vi laver følgende typer sikkerhedskopiering:
a) Rullende backup. Denne metode tager daglig backup af alle fil- og dataopdateringer og opretter en backup af alle nye data. Dette skaber en historik med ændringer, så muligheden for at gendanne tabte data øges.
b) backup klon. Denne backup-strategi skaber en perfekt kopi af hver enhed på netværket
c) backup offsite. Denne backup sikrer mod tab af data, hvis backup er gemt på stedet. Alle data og filer er sikkerhedskopieret og backup gemt offsite.

7.15.2 Alle sikkerhedskopierede data og filer overskrives med 40 dages intervaller. Det er ikke teknisk muligt at fuldføre sletningen af individuelle filer på en sikkerhedskopi, før en sådan overskrivning finder sted. Så hvis du har anmodet om, at vi sletter personlige data, vil sådanne personlige data blive slettet i live-miljøet, men vil forblive på backup, indtil den specifikke backup er overskrevet efter 40 dage. Vi har dog indført interne processer og procedurer for at sikre, at persondata ikke genindføres som livedata ved at genindlæse data og filer fra en sikkerhedskopi, da persondata er blevet slettet i henhold til "retten til at blive glemt."

7.16 Sletning - hvornår

7.16.1 Når en opgave fra en kunde er afsluttet, har vi ikke yderligere behov for at behandle personoplysningerne. Opgaven er løst.

7.16.2 Men flere andre hensyn og særlige bestemmelser betyder, at persondata ikke bør eller kan slettes, før der er gået et stykke tid.

7.16.3 Den periode, hvori Personoplysningerne opbevares før sletning, bør besluttes.

7.16.4 I henhold til bogføringsreglerne skal Personoplysninger vedrørende en betaling opbevares i 5 år + indeværende kalenderår efter regnskabsårets afslutning.

7.16.5 For at sikre, at vi er i stand til at varetage vores interesser i tilfælde af en erstatningssag, kan Personoplysninger opbevares i 3 år efter opgavens afslutning.

7.16.6 For at sikre den logiske synergi med behandlingen af konti bør kundedata opbevares i 5 år efter kundeforholdets ophør.

7.16.7 Kontaktoplysninger - CRM skal løbende slettes og opdateres. E-mails, der kan være vigtige for afgørelsen af et retskrav, skal opbevares i 5 år og derefter slettes, medmindre der er indgivet retskrav mod eller kan indgives af Mellow.

7.17 Sletning - hvordan

7.17.1 Det fremgår af IT-sikkerhedstekst ST3 fra Datatilsynet vedrørende sletning af Persondata, at sletning af Persondata betyder, at Persondata uigenkaldeligt fjernes fra alle lagringsmedier, hvorpå de har været opbevaret, og at Persondata ikke kan genskabt i enhver form. I den forbindelse er det nødvendigt at være opmærksom på alle lagringsmedier - herunder bærbare lagringsmedier såsom bærbare computere, USB sticks etc. samt backup.

7.17.2 For at lette sletteprocessen skal alt fysisk materiale scannes til den elektroniske sag og derefter makuleres eller returneres til kunden.

7.17.3 Alternativt kan personoplysninger anonymiseres fuldstændigt med det resultat, at de ikke kan tilskrives en bestemt person. I dette tilfælde gælder den generelle databeskyttelsesforordning ikke, og fuldstændig anonymisering er derfor et alternativ til sletning. Det er dog vigtigt at huske, at anonymisering som alternativ til sletning er betinget af sletning af alle spor, der kan føre til den person, dataene vedrører. Dette er ofte en meget vanskelig opgave.

7.17.4 Efter sletning/anonymisering vil vi foretage passende krydstjek i form af søgninger på navn/CPR-nr. mv vedrørende kunden og sagen for at sikre, at intet fremkommer.

7.18 Oplysningspligt - Kunde

7.18.1 Hver kunde modtager et link til vores privatlivspolitik, hvis det bliver bedt om det, og privatlivspolitikken er tilgængelig på mellowcopenhagen.com.

8. Detaljerede behandlingsregler

8.1 Beføjelse til at behandle

8.1.1 Vores beføjelse til at behandle personoplysninger er primært baseret på forholdet til vores kunde og vores evne til at administrere aftaler, vi har indgået. Generelt vil vi have beføjelse til at behandle de nødvendige data inden for rammerne af denne opgave. Dette følger konkret af den generelle databeskyttelsesforordning, artikel 6, stk. 1, litra a-c og f, samt artikel 9, stk. 2, litra a og f.

8.1.2 Disse bestemmelser regulerer retten til at behandle personoplysninger, (i) hvis der er samtykke, (ii) hvis behandlingen er nødvendig for at opfylde vilkårene i en aftale, (iii) hvis behandlingen er nødvendig for at overholde et lovkrav, (iv) nødvendigt for at overholde væsentlige interesser, der går forud for den registreredes interesser; eller (v) nødvendigt for at sikre, at et retskrav kan etableres, udøves eller forsvares. 

8.1.3 Vi er bemyndiget til at behandle cpr-numre (i) når det følger af loven, (ii) hvis der er samtykke; eller (iii) hvis det er nødvendigt for at fastslå et retskrav, jf. pkt. databeskyttelseslovens § 11, jf. stk. afsnit 7.

8.1.4 Vi mener, at vores behandling af personoplysninger med hensyn til en kunde i vid udstrækning vil have sin autorisation i de ovennævnte bestemmelser.

8.2 Aktivering

8.2.1 Vi indsamler personoplysninger fra dig og den registrerede, når du aktiverer den service, vi leverer, og når du og den registrerede bruger mellowcopenhagen.com.

8.3 Besøg på vores hjemmeside

8.3.1 Når du besøger mellowcopenhagen.com, indsamler vi også ikke-personlige data, som er oplysninger, der ikke i sig selv kan bruges til at identificere eller kontakte dig, såsom demografiske oplysninger (f.eks. alder eller køn) eller brugsoplysninger (f.eks. browseren) du bruger, den URL, der henviste dig til Mellow og de områder af Mellow, du besøger). Vi kan også supplere de oplysninger, vi indsamler, med oplysninger fra andre kilder for at hjælpe os med at evaluere og forbedre vores platform og tilbud.

8.4 IP-adresser og browserindstillinger

8.4.1 For hvert besøg på mellowcopenhagen.com registreres den anvendte IP-adresse og browserindstillinger. Din IP-adresse er adressen på den computer, du bruger til at besøge mellowcopenhagen.com. Browserindstillinger er for eksempel den browsertype du bruger, browsersprog, tidszone osv. IP-adressen og browserindstillingerne er registreret for at sikre, at Mellow altid kan identificere den anvendte computer i tilfælde af misbrug eller uautoriseret brug om besøget til eller brug af mellowcopenhagen.com. IP-adressen bruges også til at bestemme din omtrentlige placering (på by-IP-adresseniveau).

8.5 Nyhedsbrev

8.5.1 Hvis du abonnerer på Mellows nyhedsbreve, vil dine personlige data blive registreret direkte hos Mellow. Hvis du ikke længere ønsker at modtage nyhedsbreve fra Mellow, kan du afmelde dig ved at bruge linket i bunden af det seneste nyhedsbrev.

8.6 Anonymisering

8.7 Mellow anvender anonymisering af data fra kunder til statistik- og forskningsformål, samt for at forbedre systemer, processorer og produkter.

8.8 Mellow anonymiserer uigenkaldeligt personlige data på en sådan måde, at den registrerede ikke længere kan identificeres. For eksempel vil navn, adresse eller personligt identifikationsnummer blive erstattet af en kode, serienummer osv. Koder tildeles tilfældigt og kan ikke gendannes ved hjælp af lister, nøgler osv., der viser forholdet mellem serienummeret og de faktiske identifikationsoplysninger . Dette betyder også, at personlige data, såsom billede, en persons stemme, fingeraftryk eller genetiske karakteristika slettes i aboutonymization.

8.9 Kontaktoplysninger

8.9.1 Kontaktoplysninger vil løbende blive opdateret og permanent slettet. E-mails, der kan påvirke afgørelsen af et retskrav, skal opbevares i 5 år og derefter slettes, medmindre et retskrav er blevet rejst, eller Mellow har mistanke om, at et vil blive rejst.

9. Cookies

9.1 Vi indsamler forskellige oplysninger om dig i forbindelse med driften af mellowcopenhagen.com. Vi indsamler oplysninger om dig og din brug af mellowcopenhagen.com på to måder: Gennem de såkaldte 'cookies' og gennem registrering og brug af mellowcopenhagen.com.

9.2 Cookies er små bidder af information, som mellowcopenhagen.com placerer på din computers harddisk, på din tablet eller på din smartphone. Cookies indeholder information, som mellowcopenhagen.com bruger til at strømline kommunikationen mellem dig og din webbrowser. Cookien identificerer dig ikke som en individuel bruger, men identificerer din computer.

9.3 Der er to typer cookies - session cookies og persistente cookies. Sessionscookies er informationsstykker, der slettes, når du lukker din webbrowser. Vedvarende cookies er informationsstykker, der gemmes på din computer, indtil de slettes. Vedvarende cookies sletter sig selv efter en vis periode, men fornyes hver gang du besøger mellowcopenhagen.com. mellowcopenhagen.com bruger både midlertidige og vedvarende cookies.

9.4 Vi bruger lignende teknologier, der gemmer og læser information på browseren eller enheden, som bruger lokale enheder og lokal lagring, såsom HTML 5-cookies, Flash og andre teknologier. Disse teknologier kan fungere på tværs af dine browsere. I nogle tilfælde styres brugen af disse teknologier ikke af browseren, men kræver specielle værktøjer. Vi bruger disse teknologier til at gemme information, der bruges til at sikre kvaliteten af anmeldelser og til at opfange uregelmæssigheder i din brug af mellowcopenhagen.com.

9.5 En cookie kan indeholde tekst, tal eller for eksempel en dato, men der er ingen personlige data i en cookie. Det er ikke et program og kan ikke indeholde virus.

9.6 Når du besøger mellowcopenhagen.com for første gang, modtager du automatisk en cookie. Vi bruger cookies til at tilpasse og skabe indhold og tjenester, der matcher dine interesser og ønsker. Vi bruger også cookies til at lave demografiske og brugerrelaterede statistikker og dermed bestemme, hvem der besøger mellowcopenhagen.com. Vi registrerer kun anonyme oplysninger såsom IP-numre, antal bytes sendt og modtaget, internetværtstid, browsertype, version og sprog osv.

9.7 Vi bruger cookies

-   til statistik, dvs.: måling af trafik på mellowcopenhagen.com, herunder antallet af besøg på mellowcopenhagen.com, hvilke domæner besøgende kommer fra, hvilke sider de kigger på på mellowcopenhagen.com og hvilket generelt geografisk område brugeren befinder sig i.

-  for at forbedre funktionalitetens funktionalitet: forbedre funktionaliteten og optimere din oplevelse af mellowcopenhagen.com og hjælpe dig med at huske dit brugernavn og adgangskode, så du ikke behøver at logge ind igen, når du vender tilbage til mellowcopenhagen.com.

-   at integrere med sociale medier, dvs.: give dig mulighed for at integrere med sociale medier såsom Facebook.

-  til kvalitetssikring: at sikre kvaliteten af anmeldelser og forebygge svindel og uregelmæssigheder i forbindelse med at skrive anmeldelser og ansøge mellowcopenhagen.com.

-  til målrettet markedsføring, dvs. vise specifik markedsføring på mellowcopenhagen.com, som vi tror, du vil finde interessant.

9.8 mellowcopenhagen.com giver adgang for sin tredjeparts leverandører til at inspicere indholdet af de cookies, der er sat af mellowcopenhagen.com. Disse oplysninger skal udelukkende bruges på vegne af mellowcopenhagen.com og må ikke bruges til tredjemands egne formål.

9.9 Vores hjemmeside bruger cookies fra følgende tredjeparter:

-   Google Analytics: til statistiske formål. Du kan afvise cookies sat af Google Analytics ved at klikke her: http://tools.google.com/dlpage/gaoptout

-   Facebook: lavet af Facebook.

-   Twitter: indstillet af Twitter, hvis du interagerer med Twitter-pluginnet eller allerede er logget på Twitter fra en anden kilde med det formål at interagere med dem.

9.10 De fleste browsere giver dig mulighed for at slette cookies fra din harddisk, blokere alle cookies eller modtage en advarsel, før en cookie gemmes. Du skal være opmærksom på, at tjenester og funktioner i sådanne tilfælde ikke kan bruges af dig, fordi de kræver cookies for at huske dine valg. Vi håber, at du vil tillade de cookies, vi sætter, da de hjælper os med at forbedre mellowcopenhagen.com.

9.11 Du har altid mulighed for at slette cookies gemt på din computer.

- Sådan sletter du cookies i Microsoft Internet Explorer

- Sådan sletter du cookies i Mozilla Firefox-browseren

- Sådan sletter du cookies i Google Chrome-browseren

- Sådan sletter du cookies i Opera-browseren

- Sådan sletter du flash-cookies - gælder for alle browsere

9.12 mellowcopenhagen.com bruger Google Analytics til at analysere, hvordan brugere bruger mellowcopenhagen.com. De oplysninger, der genereres af cookien om din brug (trafikdata, inklusive din IP-adresse) overføres til og lagres på Googles servere i USA. Google bruger disse oplysninger til at evaluere din brug af mellowcopenhagen.com, kompilere rapporter om aktiviteten på mellowcopenhagen.com og levere andre tjenester relateret til driften af mellowcopenhagen.com og internetbrug. Google kan også overføre disse oplysninger til tredjeparter, hvis loven kræver det, eller hvis tredjeparter behandler oplysningerne på Googles vegne.

9.13 Google Analytics sætter to typer cookies: (a) persistente cookies, der giver information om, hvorvidt brugeren er tilbagevendende, hvor brugeren kommer fra, hvilken søgemaskine der bruges, søgeord osv., og (b) sessionscookies der bruges for at vise hvornår og hvor længe en bruger bruger mellowcopenhagen.com. Sessionscookies udløber efter hver session, det vil sige når du lukker din fane eller browser. Google vil ikke behandle din IP-adresse med andre data, som Google besidder.

9.14 De fleste browsere giver dig mulighed for at slette cookies fra Google Analytics. Læs mere om Google Analytics cookies.

9.15 Ved at bruge mellowcopenhagen.com giver du dit samtykke til vores brug af cookies som beskrevet. Hvis du ikke længere ønsker at give samtykke til brugen af cookies, skal du fravælge cookies ved at ændre indstillingerne i din browser.

10. Spørgsmål

Hvis du har spørgsmål til denne privatlivspolitik eller vores behandling af persondata, berigtigelse eller dit forhold til os generelt, er du velkommen til at kontakte os på følgende adresse: Mellow Chocolate ApS, CVR-nr: 41257903

Hammerholmen 9T, 1.

2650 Hvidovre
Danmark,

E: info@mellowcopenhagen.com

I: https://mellowcopenhagen.com

11. Ændringer

11.1 Vi kan ændre vores privatlivspolitik til enhver tid. Du bør regelmæssigt gennemgå vores privatlivspolitik. Sådanne ændringer træder i kraft straks. Hvis du ikke accepterer den ændrede privatlivspolitik, bedes du stoppe med at bruge vores tjeneste. I tilfælde af en konflikt mellem denne fortrolighedspolitik og de ændrede vilkår, gælder de ændrede vilkår. Din fortsatte brug af de tjenester, der leveres af os efter den dato, hvor de ændrede vilkår er offentliggjort, vil udgøre din accept af den ændrede privatlivspolitik.

12. Supervision

12.1 Datatilsynet fører blandt andet tilsyn med overholdelsen af den gældende nationale persondataforordning. Kontaktoplysningerne til Datatilsynet er:

Datatilsynet
Borgergade 28, 5
DK- 1300 København K
T: 3319 3200
F: 3319 3218
E-mail: dt@datatilsynet.dk