Denne privatlivspolitik forklarer, hvordan neexo ApS (CVR-nr.: 46273125) ("vi", "os" eller "vores") indsamler, behandler, opbevarer og beskytter dine personoplysninger i overensstemmelse med gældende databeskyttelseslovgivning, herunder EU's Databeskyttelsesforordning (GDPR) 2016/679.
1. Dataansvarlig
neexo ApS er dataansvarlig for behandlingen af dine personoplysninger. Hvis du har spørgsmål, ønsker at udøve dine rettigheder eller har andre henvendelser vedrørende denne politik, kan du kontakte os på:
Kontaktoplysninger
- neexo ApS
- CVR-nr.: 46273125
- Adresse: Andkærvej 19, 7100 Vejle
- Email: hello@neexo.dk
- Telefon: +45 3165 5460
Databeskyttelsesrådgiver (DPO)
Vi har ikke udpeget en databeskyttelsesrådgiver (DPO), da vi ikke er forpligtet hertil under GDPR artikel 37.
2. Personoplysninger vi indsamler
Vi indsamler og behandler kun de personoplysninger, der er nødvendige for at levere vores tjenester og overholde juridiske krav. Dette omfatter:
Medarbejdere og jobansøgere
- Navn, CPR-nummer, fødselsdato, statsborgerskab
- Adresse, telefonnummer, email-adresse
- Bankoplysninger (kontonummer til lønudbetaling), skatteoplysninger
- CV og ansøgning (for jobansøgere), uddannelsesbaggrund og kvalifikationer, ansættelseskontrakt og ansættelsesvilkår, arbejdstidsregistrering
Kunder og samarbejdspartnere (B2B)
- Navn på kontaktperson, email-adresse, telefonnummer, virksomhedsnavn, CVR-nummer, faktureringsadresse
- Fakturaoplysninger, transaktionshistorik, betalingsoplysninger
- Email-korrespondance, mødereferater, support-henvendelser
3. Formål og retsgrundlag for behandling
Vi behandler dine personoplysninger til følgende formål med angivelse af det juridiske grundlag:
Behandlingsformål
- Ansættelsesadministration: Kontraktopfyldelse (artikel 6(1)(b))
- Lovmæssig efterlevelse: Juridisk forpligtelse (artikel 6(1)(c))
- Rekruttering: Kontraktopfyldelse (artikel 6(1)(b)) og legitim interesse (artikel 6(1)(f))
- Levering af konsulentydelser: Kontraktopfyldelse (artikel 6(1)(b))
- Kundeservice og support: Kontraktopfyldelse (artikel 6(1)(b)) eller legitim interesse (artikel 6(1)(f))
- Bogføring og fakturering: Juridisk forpligtelse (artikel 6(1)(c)) og kontraktopfyldelse (artikel 6(1)(b))
- Sikkerhed og IT-drift: Legitim interesse (artikel 6(1)(f))
Konsekvenser og automatiserede beslutninger
Hvis du ikke afgiver de nødvendige personoplysninger (f.eks. navn, kontaktoplysninger, CPR-nummer for medarbejdere, bankoplysninger for lønudbetaling), kan vi ikke indgå eller opfylde ansættelsesforhold, levere vores ydelser eller opfylde vores juridiske forpligtelser. Vi foretager ikke automatiserede individuelle afgørelser eller profilering af vores brugere.
4. Deling af personoplysninger
Vi deler kun dine personoplysninger, når det er nødvendigt og i overensstemmelse med gældende lovgivning:
Med tjenesteudbydere (databehandlere)
- IT-hosting og cloud-tjenester: Til sikker opbevaring af virksomhedsdata og dokumenter
- Email- og kommunikationstjenester: Til email-kommunikation og samarbejdsværktøjer
- Regnskabs- og lønsystemer: Til bogføring, fakturering og lønudbetaling
- IT-support og vedligeholdelse: Til drift og vedligeholdelse af vores IT-systemer
Andre modtagere
Alle vores databehandlere er underlagt databehandleraftaler, der sikrer passende beskyttelse af dine personoplysninger i overensstemmelse med GDPR artikel 28. Når det kræves ved lov, kan vi dele dine data med relevante myndigheder (f.eks. SKAT, Datatilsynet, politiet eller andre relevante tilsynsmyndigheder). I tilfælde af fusion, opkøb eller salg af virksomheden kan dine personoplysninger overdrages til den nye ejer. Vi sælger ikke dine personoplysninger til tredjeparter til markedsføringsformål.
5. Opbevaringsperioder
Vi opbevarer dine personoplysninger kun så længe, det er nødvendigt for at opfylde de formål, der er beskrevet i denne politik, eller for at overholde juridiske forpligtelser:
Opbevaringsperioder pr. datatype
- Medarbejderoplysninger (CPR, adresse, bankoplysninger): Varigheden af ansættelsesforholdet + 5 år (Bogføringsloven og skattelovgivning)
- Jobansøgninger (afviste ansøgere): 6 måneder efter afslutning af rekrutteringsprocessen
- Kundeoplysninger og kontraktdata: Så længe kundeforholdet er aktivt + 5 år (Bogføringsloven)
- Fakturaer og transaktionsdata: Minimum 5 år fra regnskabsårets afslutning (Bogføringsloven)
- Email-korrespondance og support-henvendelser: Varigheden af kundeforholdet + 12 måneder
- System-logs og sikkerhedslogs: 12 måneder
Sletning
Efter opbevaringsperioden slettes eller anonymiseres data sikkert i overensstemmelse med vores retningslinjer for datasletning.
6. Dataoverførsler til tredjelande
Vi opbevarer og behandler primært data inden for EU/EØS. I visse tilfælde kan data overføres til tredjelande uden for EU/EØS i forbindelse med brug af it-tjenesteudbydere. Hvis vi overfører data til tredjelande, sikrer vi passende garantier ved hjælp af:
Garantier ved overførsel
- Standard Contractual Clauses (SCC) godkendt af EU-Kommissionen
- Tilstrækkelighedsafgørelser fra EU-Kommissionen for det pågældende land (f.eks. Storbritannien, Schweiz)
- Andre passende sikkerhedsforanstaltninger i overensstemmelse med GDPR kapitel V
Yderligere oplysninger
Du kan få yderligere oplysninger om vores garantier og kopier af relevante dokumenter ved at kontakte os på hello@neexo.dk.
7. Dine rettigheder under GDPR
Som registreret har du følgende rettigheder:
Dine rettigheder
- Ret til indsigt (artikel 15): Få bekræftet om vi behandler dine personoplysninger og modtage en kopi
- Ret til berigtigelse (artikel 16): Få urigtige personoplysninger rettet og ufuldstændige fuldstændiggjort
- Ret til sletning (artikel 17): Anmode om sletning af dine personoplysninger, medmindre vi har lovpligt til at opbevare dem
- Ret til begrænsning af behandling (artikel 18): Anmode om begrænsning af behandlingen under visse omstændigheder
- Ret til dataportabilitet (artikel 20): Modtage dine data i et struktureret, maskinlæsbart format
- Ret til indsigelse (artikel 21): Gøre indsigelse mod behandling baseret på legitime interesser
- Ret til at trække samtykke tilbage (artikel 7): Trække samtykke tilbage til enhver tid
- Ret til ikke at være genstand for automatiserede afgørelser (artikel 22)
Udøvelse af rettigheder og klageadgang
Kontakt os på hello@neexo.dk eller send et brev til vores adresse. Vi vil besvare din anmodning inden for 30 dage (kan forlænges til 90 dage ved komplekse eller mange anmodninger). Vi kan anmode om yderligere information til at bekræfte din identitet, før vi imødekommer din anmodning. Du har ret til at indgive en klage til Datatilsynet (Carl Jacobsens Vej 35, 2500 Valby, Telefon: 33 19 32 00, Email: dt@datatilsynet.dk, Website: www.datatilsynet.dk).
8. Datasikkerhed
Vi implementerer passende tekniske og organisatoriske foranstaltninger for at beskytte dine personoplysninger mod utilsigtet eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse eller adgang.
Tekniske foranstaltninger
- Kryptering af data under transmission (TLS/SSL) og når det er gemt
- Firewall og antivirus-beskyttelse
- Regelmæssige sikkerhedsopdateringer af systemer og software
- Logging og monitoring af sikkerhedshændelser
- Sikker adgangskodepolitik og multi-faktor autentifikation hvor relevant
- Backup-løsninger for at sikre data mod tab
Organisatoriske foranstaltninger
- Adgangskontrol: Kun autoriseret personale har adgang til personoplysninger
- Fortrolighedsaftaler med medarbejdere
- Regelmæssig træning af personale i datasikkerhed og GDPR
- Klare procedurer for håndtering af databrud
- Regelmæssige risikovurderinger i overensstemmelse med GDPR artikel 32
- Databehandleraftaler med alle eksterne leverandører
- Clear desk- og clear screen-politikker for medarbejdere
Databrud
Ingen system er dog fuldstændig sikkert, og vi opfordrer brugere til at træffe forholdsregler, når de håndterer følsomme oplysninger (f.eks. brug af stærke adgangskoder, forsigtig håndtering af login-oplysninger og rapportering af mistænkelige aktiviteter). Hvis vi opdager et databrud, der sandsynligvis indebærer en høj risiko for dine rettigheder og frihedsrettigheder, vil vi underrette dig uden unødig forsinkelse i overensstemmelse med GDPR artikel 34.