Fælles Retningslinjer

Transkript

1 2018 EU PERSONDATAFORORDNINGEN APRIL 2018

2 Fælleserklæring: EU Persndatafrrdningen (GDPR) April 2018 v.01 Indledning: En arbejdsgruppe repræsenterende danske erhvervsrejsebureauer (medlemmer af Danmarks Rejsebureau Frening - DRF, CTO fraktinen Danske erhvervsrejsebureauer ) g Danish Business Travel Assciatin (DBTA - en netværksfrening fr indkøbere g leverandører af frretningsrejseydelser i Danmark), har arbejdet tæt sammen med det mål at sikre en frståelse af, hvrdan erhvervsrejsebureauer g erhvervskunder i fællesskab kan sikre at begge parter verhlder EU s Persndatafrrdning (GDPR), der træder i kraft den 25. maj EU Persndatafrrdningen (GDPR) er gældende fr alle. Både private aktører samt virksmheder g erhvervskunder. Målet med samarbejdet mellem DRF/CTO g DBTA er at sikre lige muligheder fr alle, således at både stre sm små erhvervsrejsebureauer, samt stre sm små kunder, har lige muligheder fr at verhlde reglerne. Retningslinjerne er derfr udfrmet på en sådan måde, at de kan tages i brug af alle erhvervsrejsebureauer under DRF/CTO g virksmheder med et dansk registreret CVR-nummer. Målet med dette dkument er ikke at frsøge at fraskrive sig ansvar, undgå arbejdspgaver eller andre undvigelser, men da man fra EU's side, g i den tilknyttede Artikel 29 gruppe, ikke endnu har afklaret alle frhld g vilkår, der kmmer til at gælde fr rejsebranchen, så har en arbejdsgruppe under Dansk Rejsebureau Frening arbejdet på fælles retningslinjer, der kan benyttes af freningens medlemmer. Dette dkument er IKKE et juridisk bindende dkument, men en fælles hensigtserklæring mellem DRF/CTO g DBTA m gd skik fr behandling af persnfølsmme data mellem rejsebureau g kunde. Arbejdsgruppen har i fællesskab vurderet g taget stilling indenfr de mråder af Persndatafrrdningen, der specifikt påvirker relatinerne mellem rejsebureauer g erhvervskunder. Dermed har Arbejdsgruppen fundet en fælles vej fr både rejsebureauer g erhvervskunder, således at begge parter bedst muligt kan sikre at alle regler i Persndatafrrdningen bliver verhldt g den rejsendes persnfølsmme data bliver beskyttet på bedste vis ud fra, hvad der er praktisk muligt i den glbale rejsebranche. Denne vejledning er lavet på grundlag af ffentligt tilgængelige dkumenter g vejledninger fra det danske Datatilsyn, der er den håndhævende myndighed i Danmark. Kmmer der nye vejledninger eller ændringer til de nuværende regler, der har direkte indflydelse på denne vejledning, så vil disse ændringer blive tilføjet. Når der bestilles erhvervsrejser, så udveksles der meget persndata mellem kunde, rejsebureau, reservatinssystemer, leverandører, betalingssystemer m.m. Da dette er et meget kmplekst Side 1

3 mråde, sm kan være vanskeligt at verskue fr de rejsebureauer g kunder, der ikke har et internt juridisk bagland til at udfrme retningslinjer, så er hensigten, at sådanne rejsebureauer kan benytte disse vejledninger, sm retningslinjer verfr deres kunder. Dette betyder, at når der indgås en samarbejdsaftale mellem et af DRF/CTO tilknyttet erhvervsrejsebureau g en virksmhedskunde, så kan dette GDPR vejledende dkument benyttes, sm et bilag der beskriver den anbefalede håndtering af persnfølsmme data i henhld til EU Persndatafrrdningen (GDPR). Ved at vælge at samarbejde med et af de DRF/CTO tilknyttede erhvervsrejsebureauer, der er medunderskriver af dette dkument, kan erhvervskunder i Danmark pnå sikkerhed fr at der arbejdes efter ensartede prcedurer fr prettelse, behandling, sletning g verdragelse af persndata. I det efterfølgende gennemgås de frskellige mråder, hvr bureauet g kunderne arbejder sammen mkring udveksling af persnfølsmme data. Alle prcedurer, henvisninger til lvtekster g regler samt generelle plysninger mkring EU Persndatafrrdningen er blevet gennemlæst g accepteret af DRFs advkatfirma DLA Piper. På arbejdsgruppens vegne Peter Skieller DRF/CTO Anne-Mette Berg DBTA På vegne af Hlstebr RejseCenter K/S Peter Kjærgaard Jensen Direktør/Indehaver Side 2

4 Indhldsfrtegnelse Afsnit 1 Generel gennemgang af GDPR i frbindelse med Erhvervsrejser... 5 Afsnit 2 Fælles stillingtagen til Persndatafrrdningen... 6 Frrdningen - KAPITEL I - Generelle bestemmelser... 6 Artikel 1 - Genstand g frmål... 6 Artikel 2 - Materielt anvendelsesmråde... 6 Artikel 3 - Territrialt anvendelsesmråde... 7 Frrdningen - Kapitel II - Principper... 8 Artikel 5 - Principper fr behandling af persnplysninger... 8 Ad 1.a (Artikel 5, stk. 1.a)... 8 Ad 1.b (Artikel 5, stk. 1.b)... 8 Ad 1.c (Artikel 5, stk. 1.c)... 9 Ad 1.d (Artikel 5, stk. 1.d) Ad 1.e (Artikel 5, stk. 1.e) Ad 1.f (Artikel 5, stk. 1.f) Ad 2. (Artikel 5, stk. 2) Artikel 6 Lvlig Behandling (Udsnit) Artikel 7 Betingelser fr samtykke (Udsnit) Artikel 9 Behandling af særlige kategrier af persnplysninger (Udsnit) Artikel 10 Behandling af persnplysninger vedrørende straffedmme g lvvertrædelser Artikel 87 Behandling af natinalt identifikatinsnummer Frrdningen KAPITEL III Den registreredes rettigheder Artikel 13 Oplysningspligt ved indsamling af persnplysninger hs den registrerede Artikel 15 Den registreredes indsigtsret Artikel 16 Ret til berigtigelse Artikel 17 Ret til sletning (Retten til at blive glemt) (Udsnit) Artikel 18 Ret til begrænsning af behandling Artikel 19 Underretningspligt i frbindelse med berigtigelse eller sletning af persnplysninger eller begrænsning af behandling Artikel 20 Ret til dataprtabilitet Frrdningen KAPITEL IV Dataansvarlig g databehandler Side 3

5 Artikel 24 - Den dataansvarliges ansvar Artikel 25 - Databeskyttelse gennem design g databeskyttelse gennem standardindstillinger Artikel 28 - Databehandler Artikel 40 Adfærdskdekser (Udsnit) Frrdningen - KAPITEL V - Overførsler af persnplysninger til tredjelande eller internatinale rganisatiner Artikel 44 - Generelt princip fr verførsler Artikel 45 Overførsler baseret på en afgørelse m tilstrækkelighed af beskyttelsesniveauet (Udsnit)29 Artikel 46 Overførsler mfattet af frnødne garantier (Udsnit) Artikel 47 Bindende virksmhedsregler (Udsnit) Artikel 48 Overførsel eller videregivelse uden hjemmel i EU-retten Artikel 49 Undtagelser i særlige situatiner (Udsnit) Kapitel 3 Fællesprcedurer i frbindelse med de registreredes rettigheder Ret til: (Kapitel III den registreredes rettigheder) Indsigt Sletning g rettelse af data Oplysning mkring verførsel af hvilke data, der benyttes ved rejseydelse-bestilling Oplysning mkring verførsel af hvilke data der verføres til 3die lande i frbindelse med rejseydelsebestilling Virksmheden vil indhente samtykke fra den registrerede Side 4

6 Afsnit 1 Generel gennemgang af GDPR i frbindelse med Erhvervsrejser Dette dkument er delt p i tre kapitler: 1. Afsnit 1 a. Gennemgang af dkumentet DRF/CTO g DBTA (Herefter samlet Arbejdsgruppen ) har i 2017 g 2018 arbejdet tæt sammen fr at sikre en fælles pfattelse af de udfrdringer, sm begge parter står verfr i frbindelse med den nye EU Persndatafrrdning, der træder i kraft den 25. maj Dette dkument tager udgangspunkt i den danske lvgivning g Datatilsynets frtlkninger af Persndatafrrdningen. Da der ikke findes et fælles kdeks i erhvervsrejsebranchen i EU (Se afsnit am Artikel 40 på side 28), så er Arbejdsgruppen klar ver, at fr virksmheder g rejsebureauer, der pererer udenfr Danmark vil have udfrdring med at sikre, at de øvrige EU landes lkale frtlkninger at Persndatafrrdningen verhldes. Det vil i udgangspunktet ikke blive behandlet i dette dkument, med mindre, det har direkte indflydelse på, hvrdan man i Danmark skal frhlde s. 2. Afsnit 2 a. Fælles stillingtagen til Persndatafrrdningen Fr at undgå at alle virksmheder g rejsebureauer, der indgår aftaler m samarbejde, skal bruge tid på at tlke g blive enige m frtlkninger af de afsnit i persndatafrrdningen, der vedrører erhvervsrejser, så gennemgår Kapitel 2 alle de afsnit, sm DRF/CTO g DBTA fællesskab anser er relevante af tage stilling til, således at man har samme pfattelse g dermed har samme tilgang til, hvrdan de skal håndteres, fr at verhlde persndatafrrdningen. Hvr Arbejdsgruppen har vurderet, at der skal udfrmes en stillingtagen eller kmmentar, der vil Arbejdsgruppen indsætte den relevante lvtekst med henvisning til Frrdningens Kapitel g Artikel nummer. Alle lvtekster Vil stå med fed skrift g i kursiv. Alle tekster fra Persndatafrrdningen vil stå UREDIGERET. Typisk vil hele teksten fr et gældende punkt være taget med her i dette dkument. Udfr visse tekster vil der stå; (Udsnit). Her er kun udsnit af teksten medtaget g kun den del af teksten, sm Arbejdsgruppen har vurderet, at det kræver specifik frtlkning i frhld til erhvervsrejser. Hvr Arbejdsgruppen har indsat en fælles frtlkning, der vil der stå et afsnit under den gældende lvtekst sm følger: Frtlkning: Kmmentar til gældende lvtekst 3. Afsnit 3 Arbejdsgruppens anbefalede prcedurer mellem DRF/CTO g DBTA mkring behandlingen af persnfølsmme data i frbindelse med samarbejdet mellem virksmhed g rejsebureau. Side 5

7 Afsnit 2 Fælles stillingtagen til Persndatafrrdningen Frrdningen - KAPITEL I - Generelle bestemmelser Artikel 1 - Genstand g frmål 1. I denne frrdning fastsættes regler m beskyttelse af fysiske persner i frbindelse med behandling af persnplysninger g regler m fri udveksling af persnplysninger. 2. Denne frrdning beskytter fysiske persners grundlæggende rettigheder g frihedsrettigheder, navnlig deres ret til beskyttelse af persnplysninger. 3. Den frie udveksling af persnplysninger i Uninen må hverken indskrænkes eller frbydes af grunde, der vedrører beskyttelse af fysiske persner i frbindelse med behandling af persnplysninger. Artikel 2 - Materielt anvendelsesmråde 1. Denne frrdning finder anvendelse på behandling af persnplysninger, der helt eller delvis fretages ved hjælp af autmatisk databehandling, g på anden ikkeautmatisk behandling af persnplysninger, der er eller vil blive indehldt i et register. 2. Denne frrdning gælder ikke fr behandling af persnplysninger: a) under udøvelse af aktiviteter, der falder uden fr EU-retten b) sm fretages af medlemsstaterne, når de udfører aktiviteter, der falder inden fr rammerne af afsnit V, kapitel 2, i TEU c) sm fretages af en fysisk persn sm led i rent persnlige eller familiemæssige aktiviteter d) sm fretages af kmpetente myndigheder med henblik på at frebygge, efterfrske, afsløre eller retsfrfølge strafbare handlinger eller fuldbyrde strafferetlige sanktiner, herunder beskytte md g frebygge trusler md den ffentlige sikkerhed. 3. Frrdning (EF) nr. 45/2001 finder anvendelse på behandling af persnplysninger, sm Uninens institutiner, rganer, kntrer g agenturer fretager. Frrdning (EF) nr. 45/2001 g andre EUretsakter, der finder anvendelse på sådan behandling af persnplysninger, tilpasses til principperne g bestemmelserne i nærværende frrdning i verensstemmelse med artikel Denne frrdning berører ikke anvendelsen af direktiv 2000/31/EF, navnlig reglerne m frmidleransvar fr tjenesteydere, der er fastsat i artikel i nævnte direktiv. Side 6

8 Artikel 3 - Territrialt anvendelsesmråde 1. Denne frrdning finder anvendelse på behandling af persnplysninger, sm fretages sm led i aktiviteter, der udføres fr en dataansvarlig eller en databehandler, sm er etableret i Uninen, uanset m behandlingen finder sted i Uninen eller ej. 2. Denne frrdning finder anvendelse på behandling af persnplysninger m registrerede, der er i Uninen, g sm fretages af en dataansvarlig eller databehandler, der ikke er etableret i Uninen, hvis behandlingsaktiviteterne vedrører: a) udbud af varer eller tjenester til sådanne registrerede i Uninen, uanset m betaling fra den registrerede er påkrævet, eller b) vervågning af sådanne registreredes adfærd, fr så vidt deres adfærd finder sted i Uninen. 3. Denne frrdning anvendes på behandling af persnplysninger, sm fretages af en dataansvarlig, der ikke er etableret i Uninen, men et sted, hvr medlemsstaternes natinale ret gælder i medfør af flkeretten. Frtlkning: Ovennævnte Artikel 1, 2 g 3 mhandler frmalia m, hvr frrdningen er gældende. Både DRF/CTO g DBTA anerkender EU Persndatafrrdning, tilhørende danske lve g Datatilsynets frtlkninger. Nærmere infrmatin mkring danske frtlkninger g lvtekster mkring Persndatafrrdningen kan hentes på Datatilsynets hjemmeside. (Link) Side 7

9 Frrdningen - Kapitel II - Principper Artikel 5 - Principper fr behandling af persnplysninger Ad 1.a (Artikel 5, stk. 1.a) Frtlkning: Persnplysninger skal behandles lvligt, rimeligt g på en gennemsigtig måde i frhld til den registrerede (»lvlighed, rimelighed g gennemsigtighed«) Alle medlemmer er certificerede IATA agenter g har retten til at drive rejsebureauvirksmhed. Alle medlemmer er medlem af Danmarks Rejsebureau Frening samt Danmarks Rejse Garantifnd. Dette giver bl.a. medlemmerne ret til at reservere g udstede flybilletter ifølge IATA knventinen. Medlemmerne har via denne certificering frpligtet sig til at verhlde alle gældende regler fr udveksling af data mellem kunder, mellemhandlere, reservatinssystemer g prduktleverandørerne. Medlemmer er gså frpligtede til at verhlde gældende regler fr flybilletafregning (BSP), kreditkrt håndtering med videre. Medlemmerne registrerer, pbevarer g udveksler persnfølsmme data ud fra gældende branchenrmer, der skal sikre, at reservatiner via alle gængse bestillingskanaler kan gennemføres krrekt g hensigtsmæssigt. Ad 1.b (Artikel 5, stk. 1.b) Frtlkning: Persnplysninger skal indsamles til udtrykkeligt angivne g legitime frmål g må ikke viderebehandles på en måde, der er ufrenelig med disse frmål; viderebehandling til arkivfrmål i samfundets interesse, til videnskabelige eller histriske frskningsfrmål eller til statistiske frmål i verensstemmelse med artikel 89, stk. 1, skal ikke anses fr at være ufrenelig med de prindelige frmål (»frmålsbegrænsning«) Et erhvervsrejsebureau handler med følgende typer af virksmheder: Enkeltmandsvirksmheder med CVR nummer Private selskaber registreret i CVR registeret Freninger der er registreret i CVR registeret Offentlige eller halvffentlige virksmheder Offentlige virksmheder indenfr kmmune, regin eller staten Anden type af virksmheder, der ikke kan kategriseres sm privatrejsende ud fra et rejsefrsikringsmæssigt/skattemæssigt synspunkt Side 8

10 Og leverer rejsearrangementer sm f.eks. men ikke begrænset til: Individuelle rejser fr virksmhedens ansatte Grupperejser fr virksmhedens ansatte Møde g event Kan være fr både virksmhedens ansatte g inviterede gæster Rejsearrangementer kan kun klassificeres sm erhvervsrejser, hvis de bestilles g indkøbes af virksmhedstyper, sm beskrevet nedenfr. Ellers er der tale m privatrejser. (Jævnfør Skattelvens vejledning: C.A Rejser. Til følgende persngrupper indenfr vennævnte virksmhedstyper, men ikke begrænset til: Bestyrelse Ledelse/Direktin Ansatte af virksmheden Gæster inviteret af virksmheden i erhvervsøjemed Familiemedlemmer i frbindelse med f.eks. udstatinering Ad 1.c (Artikel 5, stk. 1.c) Persnplysninger skal være tilstrækkelige, relevante g begrænset til, hvad der er nødvendigt i frhld til de frmål, hvrtil de behandles (»dataminimering«) Frtlkning: Et erhvervsrejsebureau indsamler frskellige type data i frbindelse med leveringen af bureauets frretningsmdel. Dette er typisk delt p i følgende 2 hvedmråder: 1. Primærydelser (Almindelige Rejsebureau ydelser) a. Reservatin af rejseydelser sm f.eks. flybilletter, htelvernatninger, billeje m.m. 2. Sekundærydelser (Travel Management Services) a. Indsamling af data til ydelser, sm f.eks. rejsestatistikker, Risk management rapprter, erstatning/frsikringssager m.m. Hvert rejsebureau har udarbejdet et bilag til samarbejdskntrakten ver hvilke primære g sekundære ydelser, sm der indgår i samarbejdet. De frskellige services g ydelser kræver frskellige typer af data, hvrfr, der gså pstillet en liste ver hvilke typer data, der benyttes i frbindelse med de frskellige ydelser. Det er p til kunden g rejsebureauet at udfylde skemaet g lade det indgå i den verrdnede kntrakt g SLA. Side 9

11 Et erhvervsrejsebureau indsamler følgende typer af data, begrænset til det minimum af data, der er nødvendig fr at kunne levere de frskellige typer af primære g sekundære ydelser. Nrmalt udveksles der t typer af data mellem kunden g bureauet; Definitin af virksmhedsdata virksmhedsdata g persnfølsmme data. Virksmhedsdata er infrmatin der ikke mfattes af persndatafrrdningen, da der ikke er tale m infrmatiner på en medarbejder. Ofte er denne infrmatin ffentlig tilgængelig fra virksmhedens hjemmeside, CVR register eller lign. Nget infrmatin kan være frtrlig, men dette er udelukkende en sag mellem kunden g bureauet, der bør nteres i en kntrakt. Firmadata kan typisk pdeles i 2 kategrier: 1. Virksmhedens stamdata a. Navn på virksmheden b. Adresse, pstnummer, by c. Telefnnummer, , website g andre kntaktinfrmatiner d. CVR nummer/mms nummer e. Kntaktinfrmatin på invlverede medarbejdere i frbindelse med kntrakt, samarbejde, afregning, travel management m.m. f. Betalingsplysninger, bank, kreditkrtselskab m.m. 2. Virksmhedens rejseplitik a. Opstillede rejseplitik g travel management aftaler b. Leverandøraftaler c. Andre Side 10

12 Definitin af persnfølsmme data Persnfølsmme data er data, der kan direkte henføres til en enkeltstående persn. Dette kan deles p i 4 niveauer, hvr nederste niveau er de mindst følsmme data g tp niveauet er de mest følsmme data ifølge Persndatafrrdningen. Se Figur 1 herunder. Figur 1: Typer af persndata Kilde DLA Piper Persnhenførbare data kan pdeles i t grupper 1. Persnlige data a. Definitiner fra GDPR i. Følsmme data (Artikel 9) ii. Andre følsmme data (Artikel 10 iii. CPR nummer (Artikel 87) iv. Almindelige plysninger (Artikel 6) 2. Virksmhedsdata (Persnhenførbare) a. Persninfrmatin udstedt af virksmheden (Kunden) i. Unikt persnalenummer, der kan identificere den enkelte ansatte ii. Firmambilnummer, der kan identificere den enkelte ansatte iii. Firma , der kan identificere den enkelte ansatte Herudver, er det fte, at der knyttes andre infrmatiner til købet, da dette er med til at placere mkstningerne i virksmhedens kntplan/regnskab. Side 11

13 3. Virksmhedsdata (Transaktins/Købsrelaterede) a. Divisins navn/nummer b. Afdelings navn/nummer c. Kntplansnummer ( Cst Center ) d. Rekvisitinsnummer e. Gdkender af mkstninger (Persn navn) f. Rejsefrmål g. Andre relevante nøgleplysninger Når en kunde køber et rejsearrangement, så kan følgende infrmatin være nteret på fakturaen til kunden: 1. Virksmhedens stamdata a. Navn på virksmheden b. Adresse, pstnummer, by c. Telefnnummer, , website g andre kntaktinfrmatiner d. CVR nummer/mms nummer e. Kntaktinfrmatin på invlverede medarbejdere i frbindelse med kntrakt, samarbejde, afregning, travel management m.m. f. Betalingsplysninger, bank, kreditkrtselskab m.m. 2. Virksmhedsdata (Transaktins/Købsrelaterede) a. Divisins navn/nummer b. Afdelings navn/nummer c. Cst center d. Rekvisitinsnummer e. Gdkender af mkstninger (Persn navn) f. Rejsefrmål g. Andre relevante nøgleplysninger 3. Persnrelaterede data a. Medarbejderinfrmatin i. Almindelige plysninger (Artikel 6) 1. Frnavn, Mellemnavn, Efternavn b. Persninfrmatin udstedt af virksmheden (Kunden) i. Unikt persnalenummer, der kan identificere den enkelte ansatte Hvert medlem har udarbejdet et skema ver hvilke data, der kan benyttes i samarbejdet mellem kunde g bureau. Det gælder både virksmhedens stamdata, købsrelaterede data samt persnfølsmme data på den rejsende. Det er p til kunden g rejsebureauet at udfylde skemaet g lade det indgå i den verrdnede kntrakt g SLA. Side 12

14 Ad 1.d (Artikel 5, stk. 1.d) Frtlkning: Persnplysninger skal være krrekte g m nødvendigt ajurførte; der skal tages ethvert rimeligt skridt fr at sikre, at persnplysninger, der er urigtige i frhld til de frmål, hvrtil de behandles, straks slettes eller berigtiges (»rigtighed«) DA Den Eurpæiske Unins Tidende L 119/35 ( 1 ) Eurpa-Parlamentets g Rådets direktiv (EU) 2015/1535 af 9. september 2015 m en infrmatinsprcedure med hensyn til tekniske frskrifter samt frskrifter fr infrmatinssamfundets tjenester (EUT L 241 af , s. 1). Det er af afgørende betydning fr at kunne levere krrekte rejseydelser, at de registrerede data er krrekte g ajurførte. I værste tilfælde kan en rejsende blive nægtet mbrdstigning på et fly eller nægtet indrejse i et land, hvis de relaterede persndata er krrekte. Derfr er det i alles interesse, at alle data er krrekte. Der er derfr hs hvert enkelt medlem pstillet prcedurer fr, hvrdan data hldes krrekte g ajurførte. Disse prcedurer prettes fte i samarbejde med virksmhederne, således, der er enighed m, hvrdan data hldes ajurførte. Følgende generelle prcedurer aftales mellem rejsebureau g virksmhederne: Oprettelse, ændring, pdatering g sletning af virksmhedsdata Stamdata Købsdata Oprettelse, ændring, pdatering g sletning af persnfølsmme data Persndata i rejseprfiler Købsdata/rejsedata fr den enkelte medarbejder/rejsende Opdatering af data kan ske på frskellige måder sm f.eks.: Manuel gennemgang af data Elektrnisk pdatering af data fra kunders HR system I Afsnit 3 på side 34 er der en nærmere gennemgang af Arbejdsgruppens anbefalede prcedurer. Hvert medlem har udarbejdet et skema ver hvilke prcedurer, der benyttes i samarbejdet mellem kunde g bureau vedrørende prettelse, ændring, pdatering g sletning af data. Det gælder både virksmhedens stamdata, købsrelaterede data samt persnfølsmme data på den rejsende. Det er p til kunden g rejsebureauet at aftale de endelige prcedurer g lade det indgå i den verrdnede kntrakt g SLA. Side 13

15 Ad 1.e (Artikel 5, stk. 1.e) Frtlkning: Persnplysninger skal pbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de frmål, hvrtil de pågældende persnplysninger behandles; persnplysninger kan pbevares i længere tidsrum, hvis persnplysningerne alene behandles til arkivfrmål i samfundets interesse, til videnskabelige eller histriske frskningsfrmål eller til statistiske frmål i verensstemmelse med artikel 89, stk. 1, under frudsætning af, at der implementeres passende tekniske g rganisatriske franstaltninger, sm denne frrdning kræver fr at sikre den registreredes rettigheder g frihedsrettigheder (»pbevaringsbegrænsning«) Rejsebureauerne pbevarer data i krtere g længere tid afhængig af de frskellige frmål g krav, der stilles fr at kunne levere de primære g sekundære ydelser. Dette er bl.a. til følgende: Virksmhedsdata Indehlder typisk stamdata g ffentlige plysninger mkring virksmheden til brug ved psøgende salg, kundekarttek m.m. Disse data indehlder meget sjældent persnfølsmme data, der er mfattet af GDPR Rejseprfiler Disse data benyttes ved bestilling af rejseydelser Disse data indehlder nrmalt almindelige plysninger (Artikel 6). Disse data kan indehlde følsmme persnplysninger, der er nødvendige i frbindelse med reservatin af særlige ydelser (Artikel 9) eller ved prettelse af rejsefrsikringer, visumansøgninger (Artikel 9, 10, 87) m.m. Disse data pbevares nrmalt kun så længe, sm den rejsende er ansat i virksmheden. Prfildata slettes i henhld til kntrakt/sla aftaler mellem rejsebureau g virksmheden Fakturadata/Købsdata Disse data pbevares ifølge regler g krav i regnskabslven Rejseydelsesplysninger Disse data benyttes til statistikker, sm levers til kunder samt de benyttes internt i rejsebureauet 1. Disse data kan indehlde almindelige persn data (Artikel 6) sm f.eks. navn Disse data pbevares i henhld til aftale med kunder m histriske data Side 14

16 Hvert rejsebureauhar udarbejdet et skema ver hvilke data, der pbevares g i hvr lang tid. Grundlæggende princip, sm alle medlemmer arbejder ud fra er, at der ikke gemmes data, der ikke har en direkte relevans fr levering af primære g sekundære rejseydelser. Data der benyttes til rejsebureauets interne funktiner indehlder meget sjældent persnfølsmme data i henhld til GDPR. Hvert rejsebureau har udarbejdet en versigt ver hvilke data, der gemmes g i hvr lang tid. Her beskrives gså, hvrdan data annymiseres, efter der ikke er brug fr at kunne henføre data til den enkelte rejsende. Ad 1.f (Artikel 5, stk. 1.f) Persnplysninger skal behandles på en måde, der sikrer tilstrækkelig sikkerhed fr de pågældende persnplysninger, herunder beskyttelse md uautriseret eller ulvlig behandling g md hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller rganisatriske franstaltninger (»integritet g frtrlighed«). Frtlkning: Rejsebureauerne pbevarer data flere frskellige steder. Det er gså kun udvalgte persner i rejsebureauet, der har helt eller delvis adgang til kunderne plysninger Datapbevaring Ngle data bliver pbevaret internt i rejsebureauets egne systemet eller hs tredjeparts leverandører (databehandlere). Hvert medlem har udarbejdet en versigt ver hvr de frskellige data bliver pbevaret g hs hvilke udbydere. Denne versigt kan rekvireres hs rejsebureauet. Persngrupper i rejsebureauerne, der har adgang til data Det er kun udvalgte persngrupper hs rejsebureauerne der har adgang til virksmhedens data. Der er således kun følgende persngrupper, der har adgang til virksmhedens data: Prfil data Fuld adgang til alle persnfølsmme data 1. Rejseagenter, hvis pgaver er at udføre reservatin af rejseydelser fr den pågældende virksmhed Side 15

17 Delvis eller begrænset adgang 1. IT supprt persner, der har ansvar fr at vedligehlde IT systemer, reservatinssystemer, prfilsystemer m.m. 2. Budservice eller anden persnale, der håndterer f.eks. visumansøgninger m.m. Købsdata Fuld adgang til virksmhedsdata 1. Regnskabsmedarbejdere g supervisrs, der er tilknyttet den pågældende virksmhed Hvert rejsebureau har udarbejdet en versigt ver hvilke medarbejdere, der har adgang til virksmhedens data. Denne versigt kan rekvireres hs rejsebureauet. Ad 2. (Artikel 5, stk. 2) Den dataansvarlige er ansvarlig fr g skal kunne påvise, at stk. 1 verhldes (»ansvarlighed«) Frtlkning: Hs hvert rejsebureau er der udpeget en eller flere persner, der har ansvaret fr, at Artikel 5 stk. 1 verhldes. Disse persner har mandat fra ledelsen til at vervåge g fretage de nødvendige tiltag til, at GDPR bliver verhld efter frskrifterne. I det tilhørende dkument Privatlivsplitik har rejsebureauet beskrevet hvrdan rejsebureauet verhlder Persndatafrrdningen. Hvert rejsebureau kan udarbejde en versigt ver hvilke(n) medarbejder(e), der har det frmelle daglige peratinelle ansvar fr, at GDPR bliver verhldt i rejsebureauet. Denne versigt kan rekvireres hs rejsebureauet. Artikel 6 Lvlig Behandling (Udsnit) 1. Behandling er kun lvlig, hvis g i det mfang mindst ét af følgende frhld gør sig gældende: a) Den registrerede har givet samtykke til behandling af sine persnplysninger til et eller flere specifikke frmål. Side 16

18 b) Behandling er nødvendig af hensyn til pfyldelse af en kntrakt, sm den registrerede er part i, eller af hensyn til gennemførelse af franstaltninger, der træffes på den registreredes anmdning frud fr indgåelse af en kntrakt. Frtlkning: Når en virksmhed køber rejseydelser hs et erhvervsrejsebureau, så er det baseret på en samarbejdsaftale, der er indgået mellem parterne. Det kan være i frm af en skriftlig kntrakt eller en mundtlig aftale. Virksmheden kan indkøbe rejser til en tilknyttet persngruppe, der skal ud at rejse fr at repræsentere virksmheden. Det kan være frskellige persngrupper, sm beskrevet nærmere i afsnittet m Artikel 5 stk 1.b Når virksmheden fretager bestillinger af rejseydelser fr virksmhedens rejsende, så frventer rejsebureauet, at virksmheden har det nødvendige samtykke fra den rejsende til, at virksmheden må udlevere persnfølsmme infrmatiner til rejsebureauet. Rejsebureauet vil derfr ikke søge samtykke hs rejsende, fr hvem rejsebureauet laver reservatiner af rejseydelser til. Dette ansvar placeres derfr hs virksmheden g ikke hs rejsebureauet g dets medarbejdere. (Se tilhørende dkument Samtykkeerklæring ) Se nærmere i afsnittet mkring samtykke Artikel 7 herunder. Artikel 7 Betingelser fr samtykke (Udsnit) 1. Hvis behandling er baseret på samtykke, skal den dataansvarlige kunne påvise, at den registrerede har givet samtykke til behandling af sine persnplysninger. 2. Hvis den registreredes samtykke gives i en skriftlig erklæring, der gså vedrører andre frhld, skal en anmdning m samtykke frelægges på en måde, sm klart kan skelnes fra de andre frhld, i en letfrståelig g lettilgængelig frm g i et klart g enkelt sprg. Enhver del af en sådan erklæring, sm udgør en vertrædelse af denne frrdning, er ikke bindende. 3. Den registrerede har til enhver tid ret til at trække sit samtykke tilbage. Tilbagetrækning af samtykke berører ikke lvligheden af den behandling, der er baseret på samtykke inden tilbagetrækningen. Inden der gives samtykke, skal den registrerede plyses m, at samtykket kan trækkes tilbage. Det skal være lige så let at trække sit samtykke tilbage sm at give det. 4. Ved vurdering af, m samtykke er givet frit, tages der størst muligt hensyn til, bl.a. m pfyldelse af en kntrakt, herunder m en tjenesteydelse, er gjrt betinget af samtykke til behandling af persnplysninger, sm ikke er nødvendig fr pfyldelse af denne kntrakt. Side 17

19 Frtlkning: Når et rejsebureau indgår en samarbejdsaftale med en virksmhed m levering af rejseydelser, så er det på den betingelse af, at virksmheden har fået et tilstrækkeligt samtykke fra den rejsende, m at persnfølsmme data, nødvendig fr at kunne fretage reservatiner af rejseydelser, må verføres til rejsebureauet g eventuelt gemmes i rejsebureauets såkaldte rejseprfiler. Denne garanti fr, at virksmheden altid vil garantere, at virksmheden har de nødvendige samtykker fra de rejsende, skal efter frrdningens ikrafttræden den 25. maj 2018 altid indgå sm et særligt afsnit i en samarbejdsaftale. Det vil ikke være rejsebureauets pgave løbende at kntrllere, m der er indhentet samtykke fr hver enkelt rejsende. I udgangspunktet, hvis virksmheden ikke har meddelt rejsebureauet m, at en rejseprfil skal slettet, så har rejsebureauet den nødvendige hjemmel til at fretage reservatin af rejseydelser til den rejsende. Prcedurer fr hvrdan prettelse, ændringer g sletning af rejseprfiler nævnes yderlige i Afsnit 3 på side 34. Artikel 9 Behandling af særlige kategrier af persnplysninger (Udsnit) 1. Behandling af persnplysninger m race eller etnisk prindelse, plitisk, religiøs eller filsfisk verbevisning eller fagfreningsmæssigt tilhørsfrhld samt behandling af genetiske data, bimetriske data med det frmål entydigt at identificere en fysisk persn, helbredsplysninger eller plysninger m en fysisk persns seksuelle frhld eller seksuelle rientering er frbudt. 2. Stk. 1 finder ikke anvendelse, hvis et af følgende frhld gør sig gældende: a) Den registrerede har givet udtrykkeligt samtykke til behandling af sådanne persnplysninger til et eller flere specifikke frmål, medmindre det i EU-retten eller medlemsstaternes natinale ret er fastsat, at det i stk. 1 mhandlede frbud ikke kan hæves ved den registreredes samtykke. Frtlkning: I rejsebranchen har plysninger mkring type af måltid (F.eks. Ksher mad) eller plysninger mkring persnlige hjælpemidler (Sm f.eks. kørestl, særlig medicin sv.) været almindelige plysninger. Ifølge Persndatafrrdningen, er denne type plysninger kategriseret sm Følsmme data, da det kan henføres til persnens religiøse frhld eller plyse mkring helbredsmæssige frhld ifølge Artikel 9. Side 18

20 Oplysninger mkring madønsker, der kan skyldes enten religiøse eller helbredsmæssige frhld, bruges typisk ved reservatin af rejseydelser: På fly, skib, tg eller andre rejsetransprtselskaber, der serverer måltider i frbindelse med persntransprten På hteller, arrangementer, møder m.m., hvr måltider serveres sm en del af rejsearrangementet Oplysninger mkring helbredsinfrmatiner, der er vigtige fr at sikre, at den rejsende kan gennemføre en erhvervsrejse: Infrmatiner til rejsefrsikringsselskaber i frbindelse med tegning af frsikring eller assistance i frbindelse med skadessager Infrmatin til flyselskaber, skibe, tg eller andre persntransprtselskaber i frbindelse med særlig assistance, sm f.eks. kørestl, Behv fr særlig medicin der skal med på rejsen m.m. Infrmatin til transfer service, hteller, behandlingsinstitutiner eller andre rejserelaterede services eller ydelser, der er reserveret i frbindelse med erhvervsrejsen. Assistance i frbindelse med bestilling af vaccinatin eller andre prfylakse behandlinger g andre typer af helbredsplysningsdkumenter Artikel 10 Behandling af persnplysninger vedrørende straffedmme g lvvertrædelser Behandling af persnplysninger vedrørende straffedmme g lvvertrædelser eller tilknyttede sikkerhedsfranstaltninger på grundlag af artikel 6, stk. 1, må kun fretages under kntrl af en ffentlig myndighed, eller hvis behandling har hjemmel i EU-retten eller medlemsstaternes natinale ret, sm giver passende garantier fr registreredes rettigheder g frihedsrettigheder. Ethvert mfattende register ver straffedmme må kun føres under kntrl af en ffentlig myndighed. Frtlkning: I frbindelse med frskellig rejseydelser, kan det være nødvendigt at få infrmatin mkring den rejsende vedrørende straffedmme g lvvertrædelser. Det kan være i frbindelse med udfrmning af ansøgninger, hvr den mdtagne myndighed kræver, at infrmatin mkring den rejsende plyser m verstående. Side 19

21 Det kan f.eks. være i frbindelse med: Assistance med at generhverve pas eller andre identifikatinsdkumenter Assistance med at ansøge m indrejsevisum, ESTA m.m. samt andre typer af phldstilladelser, gennemrejsedkumenter sv. Artikel 87 Behandling af natinalt identifikatinsnummer Frtlkning: Medlemsstaterne kan nærmere fastsætte de specifikke betingelser fr behandling af et natinalt identifikatinsnummer (CPR nummer) eller andre almene midler til identifikatin. I så fald anvendes det natinale identifikatinsnummer eller ethvert andet alment middel til identifikatin udelukkende med de frnødne garantier fr den registreredes rettigheder g frihedsrettigheder i henhld til denne frrdning. I frbindelse med frskellige service, så kan det være nødvendigt at få infrmatin mkring den rejsende vedrørende CPR nummer. Det kan være i frbindelse af udfrmning af ansøgninger, hvr den mdtagne myndig kræver, at infrmatin mkring den rejsende plyser m verstående. Det kan f.eks. være i frbindelse med: Assistance med at generhverve pas eller andre identifikatinsdkumenter Assistance med at ansøge m indrejse visum, ESTA m.m. samt andre typer af phldstilladelser, gennemrejsedkumenter sv. Frrdningen KAPITEL III Den registreredes rettigheder Artikel 13 Oplysningspligt ved indsamling af persnplysninger hs den registrerede 1. Hvis persnplysninger m en registreret indsamles hs den registrerede, giver den dataansvarlige på det tidspunkt, hvr persnplysningerne indsamles, den registrerede alle følgende plysninger: a) identitet på g kntaktplysninger fr den dataansvarlige g dennes eventuelle repræsentant b) kntaktplysninger fr en eventuel databeskyttelsesrådgiver Side 20

22 c) frmålene med den behandling, sm persnplysningerne skal bruges til, g retsgrundlaget fr behandlingen d) de legitime interesser, sm frfølges af den dataansvarlige eller en tredjemand, hvis behandlingen er baseret på artikel 6, stk. 1, litra f) e) eventuelle mdtagere eller kategrier af mdtagere af persnplysningerne f) hvr det er relevant, at den dataansvarlige agter at verføre persnplysninger til et tredjeland eller en internatinal rganisatin, g m hvrvidt Kmmissinen har truffet afgørelse m tilstrækkeligheden af beskyttelsesniveauet, eller i tilfælde af verførsler i henhld til artikel 46 eller 47 eller artikel 49, stk. 1, andet afsnit, litra h), henvisning til de frnødne eller passende garantier, g hvrdan der kan fås en kpi heraf, eller hvr de er blevet gjrt tilgængelige. 2. Ud ver de plysninger, der er mhandlet i stk. 1, giver den dataansvarlige på det tidspunkt, hvr persnplysningerne indsamles, den registrerede følgende yderligere plysninger, der er nødvendige fr at sikre en rimelig g gennemsigtig behandling: a) det tidsrum, hvr persnplysningerne vil blive pbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum b) retten til at anmde den dataansvarlige m indsigt i g berigtigelse eller sletning af persnplysninger eller begrænsning af behandling vedrørende den registrerede eller til at gøre indsigelse md behandling samt retten til dataprtabilitet. c) når behandling er baseret på artikel 6, stk. 1, litra a), eller artikel 9, stk. 2, litra a), retten til at trække samtykke tilbage på ethvert tidspunkt, uden at dette berører lvligheden af behandling, der er baseret på samtykke, inden tilbagetrækning heraf d) retten til at indgive en klage til en tilsynsmyndighed e) m meddelelse af persnplysninger er lvpligtigt eller et krav i henhld til en kntrakt eller et krav, der skal være pfyldt fr at indgå en kntrakt, samt m den registrerede har pligt til at give persnplysningerne g de eventuelle knsekvenser af ikke at give sådanne plysninger f) frekmsten af autmatiske afgørelser, herunder prfilering, sm mhandlet i artikel 22, stk. 1 g 4, g i disse tilfælde sm minimum meningsfulde plysninger m lgikken heri samt betydningen g de frventede knsekvenser af en sådan behandling fr den registrerede. 3. Hvis den dataansvarlige agter at viderebehandle persnplysningerne til et andet frmål end det, hvrtil de er indsamlet, giver den dataansvarlige frud fr denne viderebehandling den registrerede plysninger m dette andet frmål g andre relevante yderligere plysninger, jf. stk. 2. Side 21

23 4. Stk. 1, 2 g 3 finder ikke anvendelse, hvis g i det mfang den registrerede allerede er bekendt med plysningerne. Artikel 15 Den registreredes indsigtsret 1. Den registrerede har ret til at få den dataansvarliges bekræftelse på, m persnplysninger vedrørende den pågældende behandles, g i givet fald adgang til persnplysningerne g følgende infrmatin: a) frmålene med behandlingen b) de berørte kategrier af persnplysninger c) de mdtagere eller kategrier af mdtagere, sm persnplysningerne er eller vil blive videregivet til, navnlig mdtagere i tredjelande eller internatinale rganisatiner d) m muligt det påtænkte tidsrum, hvr persnplysningerne vil blive pbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes til fastlæggelse af dette tidsrum e) retten til at anmde den dataansvarlige m berigtigelse eller sletning af persnplysninger eller begrænsning af behandling af persnplysninger vedrørende den registrerede eller til at gøre indsigelse md en sådan behandling f) retten til at indgive en klage til en tilsynsmyndighed g) enhver tilgængelig infrmatin m, hvrfra persnplysningerne stammer, hvis de ikke indsamles hs den registrerede h) frekmsten af autmatiske afgørelser, herunder prfilering, sm mhandlet i artikel 22, stk. 1 g 4, g sm minimum meningsfulde plysninger m lgikken heri samt betydningen g de frventede knsekvenser af en sådan behandling fr den registrerede. 2. Hvis persnplysningerne verføres til et tredjeland eller en internatinal rganisatin, har den registrerede ret til at blive underrettet m de frnødne garantier i medfør af artikel 46 i frbindelse med verførslen. 3. Den dataansvarlige udleverer en kpi af de persnplysninger, der behandles. Fr yderligere kpier, sm den registrerede anmder m, kan den dataansvarlige pkræve et rimeligt gebyr baseret på de administrative mkstninger. Hvis den registrerede indgiver anmdningen elektrnisk, g medmindre den registrerede anmder m andet, udleveres plysningerne i en almindeligt anvendt elektrnisk frm. 4. Retten til at mdtage en kpi sm mhandlet i stk. 3 må ikke krænke andres rettigheder g frihedsrettigheder. Side 22

24 Artikel 16 Ret til berigtigelse Den registrerede har ret til at få urigtige persnplysninger m sig selv berigtiget af den dataansvarlige uden unødig frsinkelse. Den registrerede har under hensyntagen til frmålene med behandlingen ret til få fuldstændiggjrt ufuldstændige persnplysninger, bl.a. ved at fremlægge en supplerende erklæring. Artikel 17 Ret til sletning (Retten til at blive glemt) (Udsnit) 1. Den registrerede har ret til at få persnplysninger m sig selv slettet af den dataansvarlige uden unødig frsinkelse, g den dataansvarlige har pligt til at slette persnplysninger uden unødig frsinkelse, hvis et af følgende frhld gør sig gældende: a) Persnplysningerne er ikke længere nødvendige til at pfylde de frmål, hvrtil de blev indsamlet eller på anden vis behandlet. b) Den registrerede trækker det samtykke, der er grundlaget fr behandlingen, jf. artikel 6, stk. 1, litra a), eller artikel 9, stk. 2, litra a), tilbage, g der er ikke et andet retsgrundlag fr behandlingen. Artikel 18 Ret til begrænsning af behandling 1. Den registrerede har ret til fra den dataansvarlige at pnå begrænsning af behandling, hvis et af følgende frhld gør sig gældende: a) rigtigheden af persnplysningerne bestrides af den registrerede, i periden indtil den dataansvarlige har haft mulighed fr at fastslå, m persnplysningerne er krrekte b) behandlingen er ulvlig, g den registrerede mdsætter sig sletning af persnplysningerne g i stedet anmder m, at anvendelse heraf begrænses c) den dataansvarlige ikke længere har brug fr persnplysningerne til behandlingen, men de er nødvendige fr, at et retskrav kan fastlægges, gøres gældende eller frsvares d) den registrerede har gjrt indsigelse md behandlingen i medfør af artikel 21, stk. 1, i periden mens det kntrlleres, m den dataansvarliges legitime interesser går frud fr den registreredes legitime interesser. 2. Hvis behandling er blevet begrænset i medfør af stk. 1, må sådanne persnplysninger, brtset fra pbevaring, kun behandles med den registreredes samtykke eller med henblik Side 23

25 på, at et retskrav kan fastlægges, gøres gældende eller frsvares eller fr at beskytte en anden fysisk eller juridisk persn eller af hensyn til Uninens eller en medlemsstats vigtige samfundsinteresser. 3. En registreret, der har pnået begrænsning af behandling i medfør af stk. 1, underrettes af den dataansvarlige, inden begrænsningen af behandlingen phæves. Artikel 19 Underretningspligt i frbindelse med berigtigelse eller sletning af persnplysninger eller begrænsning af behandling Den dataansvarlige underretter hver mdtager, sm persnplysningerne er videregivet til, m enhver berigtigelse eller sletning af persnplysningerne eller begrænsning af behandling, der er udført i henhld til artikel 16, artikel 17, stk. 1, g artikel 18, medmindre dette viser sig umuligt eller er ufrhldsmæssigt vanskeligt. Den dataansvarlige plyser den registrerede m disse mdtagere, hvis den registrerede anmder herm. Artikel 20 Ret til dataprtabilitet 1. Den registrerede har ret til i et struktureret, almindeligt anvendt g maskinlæsbart frmat at mdtage persnplysninger m sig selv, sm vedkmmende har givet til en dataansvarlig, g har ret til at transmittere disse plysninger til en anden dataansvarlig uden hindring fra den dataansvarlige, sm persnplysningerne er blevet givet til, når: a) behandlingen er baseret på samtykke, jf. artikel 6, stk. 1, litra a), eller artikel 9, stk. 2, litra a), eller på en kntrakt, jf. artikel 6, stk. 1, litra b), g b) behandlingen fretages autmatisk. 2. Når den registrerede udøver sin ret til dataprtabilitet i henhld til stk. 1, har den registrerede ret til at få transmitteret persnplysningerne direkte fra en dataansvarlig til en anden, hvis det er teknisk muligt. 3. Udøvelsen af den ret, der er mhandlet i denne artikels stk. 1, berører ikke artikel 17. Den nævnte ret finder ikke anvendelse på behandling, der er nødvendig fr udførelse af en pgave i samfundets interesse eller sm henhører under ffentlig myndighedsudøvelse, sm den dataansvarlige har fået pålagt. 4. Den ret, der er mhandlet i stk. 1, må ikke krænke andres rettigheder eller frihedsrettigheder. Side 24

26 Frtlkning: I frbindelse med frrdningens Kapitel III (Artikel 13 Artikel 20) så vil alle rejsebureauer verhlde den registreredes individuelle rettigheder. Den registrerede har altid ret til at kntakte enhver dataansvarlig g påberåbe sig sine rettigheder sm nævnt i Kapitel III. Det vil i dette tilfælde være hs f.eks.: Virksmheden, hvr den rejsende er ansat Rejsebureauer, der pbevarer den registreredes rejseprfil Hs de rejseleverandører, der er Dataansvarlige jfr. Afsnittet m Dataansvarlige side xx. Af praktiske årsager, så har Arbejdsgruppen aftalt prcedurer, sm virksmheden vil plyse den rejsende, når der indhentes samtykke til brug fr virksmhedens bestilling af rejseydelser hs rejsebureauet. Årsagen til, at der i fællesskab er prettet disse prcedurer, er fr at gøre det praktisk muligt at håndtere g verhlde Frrdningens Kapitel III. Ved at den registrerede pfrdres til at følge de aftalte prcedurer, så vil de sikre den bedste håndtering g pfyldelse af kravene i Kapitel III. Også fr den registrerede. Ved på frhånd at plyse den registrerede m de aftalte prcedurer, så kan de måske gså give den registrerede den nødvendige infrmatin g tryghed, således at der ikke yderligere ønskes nærmere indsigt i behandlingen af den registreredes persnfølsmme data i frbindelse med reservatin af erhvervsrejseydelser: 1. Prcedurer vedr. plysning af registrerede persnfølsmme data 2. Prcedurer vedr. pdatering g rigtighed af persnfølsmme data 3. Prcedurer vedr. sletning af persnfølsmme data Disse prcedurer er nærmere beskrevet i Afsnit 3 side 34. Side 25

27 Frrdningen KAPITEL IV Dataansvarlig g databehandler Artikel 24 - Den dataansvarliges ansvar 1. Under hensyntagen til den pågældende behandlings karakter, mfang, sammenhæng g frmål samt risiciene af varierende sandsynlighed g alvr fr fysiske persners rettigheder g frihedsrettigheder gennemfører den dataansvarlige passende tekniske g rganisatriske franstaltninger fr at sikre g fr at være i stand til at påvise, at behandling er i verensstemmelse med denne frrdning. Disse franstaltninger skal m nødvendigt revideres g ajurføres. 2. Hvis det står i rimeligt frhld til behandlingsaktiviteter, skal de franstaltninger, der er mhandlet i stk. 1, mfatte den dataansvarliges implementering af passende databeskyttelsesplitikker. 3. Overhldelse af gdkendte adfærdskdekser sm mhandlet i artikel 40 eller gdkendte certificeringsmekanismer sm mhandlet i artikel 42 kan bruges sm et element til at påvise verhldelse af den dataansvarliges frpligtelser. Frtlkning: Da et bureau handler selvstændigt fr at udføre pgaverne med at reservere rejseydelser til kunderne, så påtager bureauet rllen sm dataansvarlig (Artikel 29 gruppens definitin). Når kunden vælger at benytte et bureau, der tager rllen sm dataansvarlig, så er den kun nødvendigt at indgå en nrmal kntrakt/samarbejdsaftale. Kunden verdrager herefter ansvaret fr, at persnfølsmme data behandles krrekt til bureauet. Artikel 25 - Databeskyttelse gennem design g databeskyttelse gennem standardindstillinger 1. Under hensyntagen til det aktuelle tekniske niveau, implementeringsmkstningerne g den pågældende behandlings karakter, mfang, sammenhæng g frmål samt risiciene af varierende sandsynlighed g alvr fr fysiske persners rettigheder g frihedsrettigheder, sm behandlingen indebærer, gennemfører den dataansvarlige både på tidspunktet fr fastlæggelse af midlerne til behandling g på tidspunktet fr selve behandlingen passende tekniske g rganisatriske franstaltninger, såsm pseudnymisering, sm er designet med henblik på effektiv implementering af databeskyttelsesprincipper, såsm dataminimering, g med henblik på integrering af de frnødne garantier i behandlingen fr at pfylde kravene i denne frrdning g beskytte de registreredes rettigheder. 2. Den dataansvarlige gennemfører passende tekniske g rganisatriske franstaltninger med henblik på gennem standardindstillinger at sikre, at kun persnplysninger, der er nødvendige til Side 26

28 hvert specifikt frmål med behandlingen, behandles. Denne frpligtelse gælder den mængde persnplysninger, der indsamles, g mfanget af deres behandling samt deres pbevaringsperide g tilgængelighed. Sådanne franstaltninger skal navnlig gennem standardindstillinger sikre, at persnplysninger ikke uden den pågældende fysiske persns indgriben stilles til rådighed fr et ubegrænset antal fysiske persner. 3. En gdkendt certificeringsmekanisme i medfør af artikel 42 kan blive brugt sm et element til at påvise verhldelse af kravene i nærværende artikels stk. 1 g 2. Frtlkning: Erhvervsrejsebureauerne benytter internatinale reservatinssystemer g databehandlingsplatfrme, der lever p til den internatinale rejsebranches regler g krav (Se afsnit m Artikel 5 stk. 1a.). Der arbejdes derfr ud fra branchespecifikke standardarder. Der benyttes leverandører i både Danmark, EU g udenfr EU En gennemgang af erhvervsrejsebranchens typiske leverandører er inkluderet i dkumentet Privatlivsplitik sm rejsebureauet udfrmer til kunderne. Artikel 28 - Databehandler Frtlkning: 1. Hvis en behandling skal fretages på vegne af en dataansvarlig, benytter den dataansvarlige udelukkende databehandlere, der kan stille de frnødne garantier fr, at de vil gennemføre de passende tekniske g rganisatriske franstaltninger på en sådan måde, at behandling pfylder kravene i denne frrdning g sikrer beskyttelse af den registreredes rettigheder. 2. Databehandleren må ikke gøre brug af en anden databehandler uden frudgående specifik eller generel skriftligt gdkendelse fra den dataansvarlige. I tilfælde af generel skriftlig gdkendelse skal databehandleren underrette den dataansvarlige m eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere g derved give den dataansvarlige mulighed fr at gøre indsigelse md sådanne ændringer. Erhvervsrejsebureauerne benytter gså databehandlere. En gennemgang af rejsebureauets databehandlere er inkluderet i dkumentet Privatlivsplitik sm rejsebureauet udfrmer til kunderne. Side 27

29 Artikel 40 Adfærdskdekser (Udsnit) 1. Medlemsstaterne, tilsynsmyndighederne, Databeskyttelsesrådet g Kmmissinen tilskynder til udarbejdelse af adfærdskdekser, der under hensyntagen til de særlige frhld i de frskellige behandlingssektrer g mikrvirksmheders g små g mellemstre virksmheders specifikke behv bidrager til krrekt anvendelse af denne frrdning. 2. Sammenslutninger eller andre rganer, der repræsenterer kategrier af dataansvarlige eller databehandlere, kan udarbejde adfærdskdekser eller ændre eller udvide sådanne kdekser med henblik på at specificere anvendelsen af denne frrdning 3. Adfærdskdekser, der er gdkendt i henhld til denne artikels stk. 5 g er generelt gyldige i henhld til denne artikels stk. 9, kan ud ver verhldelse af de dataansvarlige eller databehandlere, der er mfattet af denne frrdning gså verhldes af dataansvarlige eller databehandlere, der i henhld til artikel 3 ikke er mfattet af denne frrdning, med henblik på at sikre frnødne garantier inden fr rammerne af verførsel af persnplysninger til tredjelande eller internatinale rganisatiner, jf. artikel 46, stk. 2, litra e). Sådanne dataansvarlige eller databehandlere skal, gennem kntrakter eller andre retligt bindende instrumenter, afgive bindende tilsagn, sm kan håndhæves, m at anvende disse frnødne garantier, herunder fr så vidt angår registreredes rettigheder. 4. En adfærdskdeks mhandlet i denne artikels stk. 2 skal indehlde mekanismer, der sætter rganet mhandlet i artikel 41, stk. 1, i stand til at fretage bligatrisk kntrl fr at sikre, at den dataansvarlige eller databehandler, der påtager sig at anvende adfærdskdeksen, verhlder dens bestemmelser, uden at dette berører pgaverne g beføjelserne fr de tilsynsmyndigheder, der er kmpetente i henhld til artikel 55 eller Sammenslutninger g andre rganer mhandlet i denne artikels stk. 2, der har til hensigt at udarbejde en adfærdskdeks eller at ændre eller udvide en eksisterende adfærdskdeks, frelægger et udkast til kdeks, ændring eller udvidelse fr den tilsynsmyndighed, der er kmpetent i henhld til artikel 55. Tilsynsmyndigheden afgiver udtalelse m, hvrvidt udkastet til adfærdskdeks, ændring eller udvidelse verhlder denne frrdning, g gdkender dette udkast til kdeks, ændring eller udvidelse, hvis den finder, at kdeksen sikrer tilstrækkelige frnødne garantier. 6. Hvis udkastet til kdeks eller ændring eller udvidelse gdkendes i verensstemmelse med stk. 5, g hvis den pågældende adfærdskdeks ikke vedrører behandlingsaktiviteter i flere medlemsstater, registrerer g ffentliggør tilsynsmyndigheden kdeksen. 7. Hvis et udkast til adfærdskdeks vedrører behandlingsaktiviteter i flere medlemsstater, frelægger den tilsynsmyndighed, der er kmpetent i henhld til artikel 55, inden gdkendelsen af udkastet til kdeks, ændring eller udvidelse, efter prceduren i artikel 63 udkastet fr Databeskyttelsesrådet, der afgiver en udtalelse m, hvrvidt udkastet til kdeks, ændring eller udvidelse verhlder denne frrdning eller sikrer frnødne garantier i den situatin, der er mhandlet i denne artikels stk. 3. Side 28