PERSONDATA KUNDER OG LEVERANDØRER
|
|
- Hilmar Karlsen
- 5 år siden
- Visninger:
Transkript
1 PERSONDATA KUNDER OG LEVERANDØRER Dansk Maskinhandlerforening 4. og 9. april 2018 Kristian Storgaard, partner, Certificeret IT-Advokat, Master i IT (Org.) SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø
2 KORT OM DATABESKYTTELSESFORORDNINGEN SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø CVR. NR: DK
3 EU-FORORDNING OM DATABESKYTTELSE Vedtaget i Europa-Parlamentet den 14. april 2016 Anvendelsesfrist den 25. maj 2018 Overordnede ønsker er bl.a. Ensartede regler i EU Skærpet beskyttelse af fysiske personer Hårdere sanktioner Administrative bøder på op til EUR 10 mio. / 20 mio. eller for en virksomhed med op til 2 % / 4% af den samlede globale årlige omsætning i det foregående regnskabsår, såfremt dette beløb er højere SIDE 3
4 EU-FORORDNING OM DATABESKYTTELSE Udeståender Hvilke specifikke bestemmelser fastsættes i Danmark? databeskyttelsesloven under behandling Lovforslagets sanktioner: bøde eller fængsel indtil 6 måneder, med mindre højere straf efter den øvrige lovgivning Kommissionen kan vedtage delegerede retsakter Fortolkningsbidrag fra Det Europæiske Databeskyttelsesråd Justitsministeriet Datatilsynet SIDE 4
5 DEN JURIDISKE BAGGRUND FOR COMPLIANCEPROGRAMMET Hvad handler det om? SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø CVR. NR: DK
6 PERSONOPLYSNINGER: ENHVER FORM FOR INFORMATION OM EN IDENTIFICERET ELLER IDENTIFICERBAR FYSISK PERSON (DEN REGISTREREDE) - Persondatalovens 3, nr. 1 SIDE 6
7 [ ] VED IDENTIFICERBAR FYSISK PERSON FORSTÅS EN FYSISK PERSON, DER DIREKTE ELLER INDIREKTE KAN IDENTIFICERES, NAVNLIG VED EN IDENTIFIKATOR SOM F.EKS. ET NAVN, ET IDENTIFIKATIONSNUMMER, LOKALISERINGSDATA, EN ONLINEIDENTIFIKATOR ELLER ET ELLER FLERE ELEMENTER, DER ER SÆRLIGE FOR DENNE FYSISKE PERSONS FYSISKE, FYSIOLOGISKE, GENETISKE, PSYKISKE, ØKONOMISKE, KULTURELLE ELLER SOCIALE IDENTITET - databeskyttelsesforordningens art. 4, nr. 1 SIDE 7
8 RELEVANTE AKTØRER OG PERSONGRUPPER IFM. PERSONDATABEHANDLING Andre interessenter Ejere Leverandører Virksomheden Potentielle/tidligere kunder Kunder Slutkunder Eksterne konsulenter Ansatte Potentielle/tidligere ansatte Slutbrugere SIDE 8
9 BEHANDLING: [ ] F.EKS. INDSAMLING, REGISTRERING, ORGANISERING, SYSTEMATISERING, OPBEVARING, TILPASNING ELLER ÆNDRING, GENFINDING, SØGNING, BRUG, VIDEREGIVELSE VED TRANSMISSION, FORMIDLING ELLER ENHVER ANDEN FORM FOR OVERLADELSE, SAMMENSTILLING ELLER SAMKØRING, BEGRÆNSNING, SLETNING ELLER TILINTETGØRELSE - databeskyttelsesforordningens art. 4, nr. 2 SIDE 9
10 OVERBLIK OVER DE GRUNDLÆGGENDE REGLER Sundkrogsgade SUNDKROGSGADE 5, DK , København DK-2100 KØBENHAVN Ø Ø CVR-nr.: CVR. NR: DK 62 DK
11 GRUNDLÆGGENDE PERSONDATARET Principper for behandling af personoplysninger Behandlingshjemmel Registreredes rettigheder Oplysningspligt og indsigtsret Ret til berigtigelse og sletning Ret til begrænsning af behandling Ret til dataportabilitet Ret til indsigelse Anmeldelsespligt <=> påvise compliance, evt. fortegnelse over behandlingsaktiviteter og konsekvensanalyse (DPIA) SIDE 11
12 PRINCIPPER FOR BEHANDLING AF PERSONOPLYSNINGER De grundlæggende principper (art. 5) God databehandlingsskik: Lovlighed, rimelighed og gennemsigtighed Formålsbegrænsning: Indsamles til udtrykkeligt angivne og legitime formål Dataminimering: Tilstrækkelige, relevante og begrænset til det nødvendige Rigtighed: Korrekte og ajourførte urigtige personoplysninger skal straks slettes eller berigtiges Opbevaringsbegrænsning: Opbevares så det ikke er muligt at identificere registrerede i længere tidsrum end nødvendigt iht. formål Behandlingssikkerhed: Sikre tilstrækkelig sikkerhed Den dataansvarlige er ansvarlig for og skal kunne påvise overholdelse af ovennævnte principper SIDE 12
13 PERSONDATA KATEGORIER I DAG OG EFTER FORORDNINGEN 6 art. 6 7 art. 9 8 => alm. 11 Almindelige oplysninger - uændret Navn, journal nr. mv. Kontaktoplysninger Køn, alder mv. Interesser Kundeprofil, købshistorik Kreditoplysninger mv. IP adresser Muligheder for behandling: bl.a. samtykke, kontrakt, interesseafvejningsreglen kan ofte behandles uden samtykke Følsomme oplysninger to tilføjelser Race og etnisk baggrund Religion Politisk overbevisning Fagforeningsforhold Helbredsforhold Seksuelle forhold (ikke registreret partnerskab) Genetiske data (art. 9) Biometriske data (art. 9) Muligheder for behandling: som UP altid samtykke Oplysninger af rent privat karakter Strafbare forhold art. 10 Væsentlige sociale problemer Andre rent private forhold: personlighedstests, skilsmisse, adoptionsforhold, positive alkohol- eller narkotikatest mv. Muligheder for behandling i dag: som UP altid samtykke eller streng interesseafvejning CPR-numre Gælder kun for CPRnumre Muligheder for behandling i dag: samtykke eller bestemt ved lov, afgrænsede muligheder for videregivelse til brug for identifikation Forventer nationale særregler SIDE 13
14 Ikke-følsomme personoplysninger (ikke udtømmende liste) - 6 i persondataloven og artikel 6 i databeskyttelsesforordningen Følsomme personoplysninger (udtømmende liste) - 7 i persondataloven og artikel 9 i databeskyttelsesforordningen Strafbare forhold - 8 i persondataloven og artikel 10 i databeskyttelsesforordningen Særregler - 11 i persondataloven og databeskyttelsesloven Navn, journal nr., kunde nr. m.v. Kontaktoplysninger (adresse, telefon- og mobilnummer, m.v.) Køn, alder, fødselsdato. Kundeprofil, købshistorik, interesser m.v. Boligform, bil, nummerplade m.v. Pasnummer, kørekort nummer, medlemsnummer i forening m.v. IP adresser Lokaliserings-data (f.eks. GPS) Foto og video materiale, herunder stemmeoptagelser Underskrifter Økonomiforhold, kreditoplysninger, kontonummer, lønindkomst, skat, gæld (gæld til det offentlige, lån i pengeinstitut m.v.). Livsforsikring Pensionsordninger Civilstatus og familieforhold Eksamenskarakter Jobansøgning CV-oplysninger Ansættelsesdato, stilling, arbejdsområde, arbejdstelefon, antal sygedage m.v. Oplysninger af rent privat karakter efter 8 i persondataloven ikke-følsomme personoplysninger efter artikel 6 i databeskyttelsesforordningen Væsentlige sociale problemer som f.eks. oplysninger om langvarig arbejdsløshed eller modtagelse af førtidspension. Andre rent private forhold som f.eks. registreret partnerskab, foreningsmæssige tilhørsforhold, familiestridigheder, separationsog skilsmissebegæringer, adoptionsforhold, ulykkestilfælde med væsentlige personlige eller sociale konsekvenser, selvmord og forsøg derpå, positive alkohol- eller narkotikatest m.v. bortvisning fra jobbet, profilbillede, personlighedstest m.v. Race og etnisk baggrund Religiøs eller filosofisk overbevisning Politisk overbevisning Fagforeningsforhold Helbredsforhold Oplysninger om en fysisk persons tidligere, nuværende og fremtidige fysiske eller psykiske tilstand samt oplysninger om medicinmisbrug og misbrug af narkotika, alkohol og lignende nydelsesmidler. Seksuelle forhold og orientering (ikke registreret partnerskab) Genetiske data (ny tilføjelse) Biometriske data (ny tilføjelse) Overtrædelser af lovgivning, bøder m.v. Oplysninger om overtrædelse af lovgivning, hvor det ikke har udløst (eller kan udløse) et egentlig strafansvar, men evt. andre sanktioner som f.eks. en rettighedsfrakendelse anses også for omfattet. Det er ikke enhver oplysning om et muligt strafbart forhold, herunder enhver anmeldelse til politiet, der anses for omfattet, idet det er en forudsætning, at oplysningen i en eller anden form er underbygget. Oplysninger om personnummer (CPR) Side 14
15 ARTIKEL 6: LOVLIG BEHANDLING Behandling er kun lovlig, hvis mindst ét af følgende forhold gør sig gældende: Den registrerede har givet samtykke hertil til et eller flere specifikke formål. Behandling er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i. Behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige. Behandling er nødvendig for at beskytte den registreredes vitale interesser. Behandling er nødvendig af hensyn til udførelse af en opgave, som er i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt. Behandling er nødvendig for, at den dataansvarlige kan forfølge en legitim interesse, med mindre den registreredes interesser går forud. SIDE 15
16 ARTIKEL 7: BETINGELSER FOR SAMTYKKE Samtykke er betinget af følgende: Den dataansvarlige skal kunne påvise, at der er givet samtykke. En anmodning om skriftligt samtykke skal klart kunne skelnes fra andre forhold, være i letforståelig og lettilgængelig form og i klart og enkelt sprog ellers ikke bindende. Et samtykke kan til enhver tid trækkes tilbage, og oplysning derom skal gives inden samtykke. Det skal være lige så let at trække sit samtykke tilbage som at give det. Samtykke ifm. opfyldelse af kontrakt må ikke være gjort betinget af samtykke til behandling, der ikke er nødvendig for opfyldelse af denne kontrakt. Afkrydsning i et felt eller valg af behørige tekniske indstillinger er stadig gyldig. SIDE 16
17 ARTIKEL 9: BEHANDLING AF SÆRLIGE KATEGORIER AF PERSONOPLYSNINGER Behandling af følgende typer af personoplysninger er forbudt: race etnisk oprindelse politisk overbevisning religiøs overbevisning filosofisk overbevisning fagforeningsmæssigt tilhørsforhold genetiske data biometriske data helbredsoplysninger oplysninger om en fysisk persons seksuelle forhold seksuel orientering SIDE 17
18 ARTIKEL 9: BEHANDLING AF SÆRLIGE KATEGORIER AF PERSONOPLYSNINGER Undtagelser: Den registrerede har givet udtrykkeligt samtykke. Det er nødvendigt for at overholde den dataansvarliges eller den registreredes arbejds-, sundheds- og socialretlige forpligtelser og specifikke rettigheder. Det er nødvendigt for at beskytte den registreredes vitale interesser. Behandling foretages af en stiftelse, en sammenslutning eller et andet organ, som ikke arbejder med gevinst for øje, og hvis sigte er af politisk, filosofisk, religiøs eller fagforeningsmæssig art som led i deres lovlige aktiviteter. Personoplysningerne er offentliggjort af den registrerede. Behandling er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares. Behandling er nødvendig af hensyn til væsentlige samfundsinteresser. Behandling er nødvendig mhp. forebyggende medicin eller arbejdsmedicin til vurdering af arbejdstagere. Behandling er nødvendig af hensyn til samfundsinteresser på folkesundhedsområdet. Behandling er nødvendig til arkivformål i samfundets interesse. En medlemsstat kan opretholde eller indføre yderligere betingelser ift. genetiske data, biometriske data eller helbredsoplysninger. SIDE 18
19 SÆRLIGT VEDRØRENDE KUNDEDATA SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø CVR. NR: DK
20 KUNDEDATA LOVLIG BEHANDLING Art. 6: Behandlingen er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende Samtykke Bør kun indhentes, når hjemlen ikke kan søges andet steds Dog altid et krav ved markedsføring, nyhedsbreve mv. Opfyldelse af en kontrakt Forsendelse, service, overordnet CRM Retlig forpligtelse Interesseafvejning Eksempler: Leeds, overfladisk profilering, ajourføring fra andre kilder Din virksomhed har bevisbyrden for, at vurderingen er korrekt SIDE 20
21 KUNDEDATA SAMTYKKE Tydelig og adskilt fra øvrig tekst om f.eks. salgs- og leveringsvilkår Skal være et aktivt tilvalg (modsat et forud afkrydset samtykkefelt) Klart og enkelt sprog, som er let forståeligt for målgruppen Specificere formålet med den påtænkte behandling Hvis I ønsker samtykke til flere forskellige formål, spørger I om separat samtykke for hvert formål Din virksomheds navn (som dataansvarlig) skal fremgå I skal oplyse om muligheden for til enhver tid at trække samtykket tilbage Skal være lige så let, som det var at afgive samtykket Ingen negative konsekvenser forbundet med ikke at afgive samtykke Det skal kunne dokumenteres, at der er givet samtykke og til hvad I skal regelmæssigt følge op på, at samtykket stadig er aktuelt og korrekt SIDE 21
22 KUNDER OPBEVARINGSPERIODE IFT. KUNDEOPLYSNINGER IKKE UDTØMMENDE Der sondres mellem potentielle kunder, nuværende kunder og forhenværende kunder Må ikke opbevares i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de behandles Formål kan eksempelvis være winback af forhenværende kunder, at sikre kundegenkendelse, dokumentationshensyn, at sikre retsstillingen Konkret vurdering og ofte branche- eller produktspecifikt Eksempler: mobilabonnementer med binding i 6 mdr., leasing af bil med binding i 12 mdr., kontaktlinser købes hver måned Særlovgivning kan dog kræve opbevaring af visse personoplysninger i en længere periode (eksempelvis 5 år efter bogføringsloven) SIDE 22
23 DATAANSVARLIG OG DATABEHANDLER SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø CVR. NR: DK
24 GENERELLE FORPLIGTELSER Artikel 24: Den dataansvarliges ansvar at gennemføre passende tekniske og organisatoriske foranstaltninger, at implementere passende databeskyttelsespolitikker, at overholde godkendte adfærdskodekser eller certificeringsmekanismer at være i stand til at påvise overholdelse af den dataansvarliges forpligtelser efter forordningen. SIDE 24
25 GENERELLE FORPLIGTELSER Artikel 25: Databeskyttelse gennem design og gennem standardindstillinger Den dataansvarlige gennemfører passende tekniske og organisatoriske foranstaltninger. Standardindstillinger skal sikre, at kun personoplysninger, der er nødvendige til hvert specifikt formål med behandlingen, behandles. Denne forpligtelse gælder følgende: den mængde personoplysninger, der indsamles, omfanget af behandlingen, opbevaringsperioden, personoplysningernes tilgængelighed. Det skal sikre, at personoplysninger ikke stilles til rådighed for et ubegrænset antal fysiske personer uden den pågældende fysiske persons indgriben. Pseudonymisering og dataminimering er anerkendte teknikker i databeskyttelse gennem design. SIDE 25
26 GENERELLE FORPLIGTELSER Artikel 28: Databehandler Foretager behandling på vegne af en dataansvarlig. Der skal indgås en kontrakt for navnlig at sikre, at databehandleren: kun behandler personoplysninger efter dokumenteret instruks fra den dataansvarlige, sikrer, at de personer, der er autoriseret til at behandle personoplysninger, har forpligtet sig til fortrolighed, iværksætter passende sikkerhedsforanstaltninger, opfylder betingelserne for at gøre brug af en anden databehandler krav om forudgående specifik eller generel skriftlig godkendelse fra den dataansvarlige, og at den oprindelige databehandler forbliver fuldt ansvarlig, bistår den dataansvarlige med besvarelse af anmodninger om udøvelse af den registreredes rettigheder, bistår den dataansvarlige med at sikre overholdelse af forpligtelserne til behandlingssikkerhed, sletter eller tilbageleverer alle personoplysninger til den dataansvarlige, efter at tjenesterne vedrørende behandling er ophørt, stiller alle oplysninger, der er nødvendige for at påvise overholdelse af forordningen, til rådighed for den dataansvarlige. SIDE 26
27 FORTEGNELSE OVER BEHANDLINGSAKTIVITETER Artikel 30: Fortegnelser over behandlingsaktiviteter Hver dataansvarlig eller dennes eventuelle repræsentant fører fortegnelser over behandlingsaktiviteter, der skal omfatte alle af følgende oplysninger: Navn på og kontaktoplysninger for den dataansvarlige, den fælles dataansvarlige, den dataansvarliges repræsentant og databeskyttelsesrådgiveren, formålene med behandlingen, en beskrivelse af kategorierne af registrerede og kategorierne af personoplysninger, de kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til, overførsler af personoplysninger til et tredjeland og dokumentation for fornødne garantier, de forventede tidsfrister for sletning af de forskellige kategorier af oplysninger, en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, der implementeres. Forpligtelsen gælder dog ikke, hvis virksomheden beskæftiger under 250 personer, med mindre behandlingen f.eks. omfatter følsomme oplysninger. Der stilles lignende krav til databehandleren og dennes eventuelle repræsentant. SIDE 27
28 KONCERNFORHOLD OG TREDJELANDSOVERFØRSLER SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø CVR. NR: DK
29 KONCERNFORHOLD OG TREDJELANDSOVERFØRSLER Videregivelse i koncernforhold betragtes som videregivelse til tredjemand krav om sagligt formål, hjemmel til videregivelse (f.eks. samtykke eller interesseafvejningsreglen) mv. Særlige krav ved videregivelse til tredjelande, dvs. lande uden for EU, lande, der ikke er omfattet af EØS-samarbejdet, og lande, der ikke er særligt godkendt som et tredjeland med tilstrækkeligt beskyttelsesniveau Eksempler på særligt godkendte lande: Israel, Schweiz og Argentina forordningen opretholder sådanne godkendelser, indtil de bliver ændret, erstattet eller ophævet videregivelse kræver stadig ikke specifik godkendelse SIDE 29
30 TREDJELANDSOVERFØRSLER HOVEDREGEL: Forbud Særligt hjemmelsgrundlag for dataoverførsel til tredjelande, der ikke vurderes at yde et tilstrækkeligt sikkerhedsniveau for de overførte oplysninger, f.eks. EU Standard Model Contractual Clauses Ikke krav om tilladelse fra Datatilsynet, medmindre ordlyden ændres Yderligere bestemmelser som UP ok, hvis ikke i strid hermed Binding Corporate Rules Skal godkendes af Datatilsynet og evt. et andet datatilsyn i EU USA: EU-U.S. Privacy Shield ordning virkning fra 1. august 2016 Udtrykkeligt samtykke fra de registrerede eller en af de andre særlige undtagelsesbestemmelser, f.eks. kontrakt- eller lovgrundlag SIDE 30
31 DEN REGISTREREDES RETTIGHEDER Sundkrogsgade SUNDKROGSGADE 5, DK , København DK-2100 KØBENHAVN Ø Ø CVR-nr.: CVR. NR: DK 62 DK
32 DEN REGISTREREDES RETTIGHEDER (1) Den person, der behandles personoplysninger om, har en række rettigheder ifølge forordningen: Ret til gennemsigtig kommunikation: Al kommunikation med den registrerede skal ske på en kortfattet, letforståelig og lettilgængelig form og i et klart og enkelt sprog. Oplysningspligt: Den registrerede skal bl.a. oplyses om den dataansvarlige identitet, kontaktoplysninger (telefonnummer, adresse eller lignende), formålene og hjemmelsgrundlaget for behandlingen. Ret til indsigt: Den registrerede har ret til at få bekræftet, hvorvidt personoplysninger om den pågældende behandles, og i så fald adgang til oplysningerne. Ret til berigtigelse, sletning og begrænset behandling: Personoplysninger, der viser sig at være urigtige, behandlet i strid med persondatareglerne, ikke længere er nødvendige for formålet m.v., skal på anmodning berigtiges, slettes eller blokeres. Ret til dataportabilitet: Den registrerede har ret til i et struktureret almindeligt anvendt og maskinlæsbart format at modtage indsamlede oplysninger om sig selv, når behandlingshjemlen er baseret på kontrakt eller samtykke. Ret til at klage: Den registrerede kan til enhver tid klage til Datatilsynet over behandling af oplysninger om den pågældende Frist for at besvare henvendelser: Uden unødig forsinkelse og i alle tilfælde senest 30 dage efter modtagelsen af en anmodning fra en registreret. SIDE 32
33 DEN REGISTREREDES RETTIGHEDER (2) Begrænsninger i den registreredes rettigheder i forhold til oplysningspligt og indsigtsret: hvis den registeredes interesse i oplysningerne findes at burde vige for afgørende hensyn til private interesser, herunder hensynet til den pågældende selv Undtagelsen kan tænkes anvendt f.eks. ifm. behandling af henvendelser fra whistleblowere og andre interne undersøgelser eller beskyttelse af forretningshemmeligheder SIDE 33
34 PÅVISNING AF ANSVARLIGHED (ACCOUNTABILITY) Sundkrogsgade SUNDKROGSGADE 5, DK , København DK-2100 KØBENHAVN Ø Ø CVR-nr.: CVR. NR: DK 62 DK
35 PÅVISNING AF ANSVARLIGHED (ACCOUNTABILITY) Efter den 25. maj 2018 skal den dataansvarlige kunne påvise overholdelse af den dataansvarliges forpligtelser efter forordningen, hvilket bl.a. kræver: Overblik over behandling af personoplysninger og lovligheden heraf, f.eks. ved udarbejdelsen af en fortegnelse over behandlingsaktiviteter Implementering af passende tekniske og organisatoriske sikkerhedsforanstaltninger Iværksættelse af foranstaltninger, der sikrer efterlevelse af databeskyttelsesreglerne, f.eks. uddannelse af personale, implementering af databeskyttelsespolitikker og procedurer for behandling af anmodninger om indsigt, klager fra de registrerede mv. SIDE 35
36 PERSONDATARETLIG COMPLIANCE - HVAD SKAL VIRKSOMHEDEN GØRE? SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø CVR. NR: DK
37 KROMANN REUMERTS COMPLIANCE-MODEL Fase 1 Afgrænsning og forberedelse Fase 3 Complianceanalyse Fase 5 Implementering Vedligeholdelse og opfølgning på handlingsplanen Fase 2 Kortlægning af datastrømme Fase 4 Handlingsplan SIDE 37
38 Projektet fokuserer på afgrænsning, kortlægning af datastrømme samt udarbejdelse af compliance-analyse Afgrænsning og forberedelse Kortlægning af datastrømme Complianceanalyse Handlingsplan Implementering Vedligeholdelse Sikre organisatorisk forankring Skabe vision og mål for projektet Organisering af projektet sikre ejerskab samt allokering af ressourcer på tværs af organisationen Kortlægning af datastrømme som grundlag for det videre compliancearbejde Dokumentation Juridisk vurdering af hvorvidt behandlingen er lovlig ift. persondataloven, forordningen og andre relevante regler Konklusion og anbefalinger Prioritering af indsatsområder Anbefaling af relevante og konkrete tiltag Eksekver handlingsplanen herunder bl.a. udarbejdelse af dokumenter, implementering af nye processer, uddannelse af medarbejdere etc. Opfølgning på projektet Sikre at organisationen forbliver compliant Håndtering af ændringer herunder ajourføring af dokumentation Side 38
39 FASE 1 AFGRÆNSNING OG FORBEREDELSE SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø CVR. NR: DK
40 FASE 1 - AFGRÆNSNING OG FORBEREDELSE (1) Fase 1 skal sætte scenen for compliance-projektet og sikre organisatorisk forankring Indledende fase Projektoverblikket Formålet med fase 1 er at sikre, at organisationen og projektet bliver klar til at gennemføre de øvrige aktiviteter Forberedelse er afgørende for et velgennemført compliance-program Awareness og forankring i ledelsen Forberedelse af projektet Organisering Fastlæggelse af regler SIDE 40
41 FASE 1 - AFGRÆNSNING OG FORBEREDELSE (2) Awareness og forankring i ledelsen Skab awareness om persondataret og compliance i organisationen særligt på relevante ledelsesniveauer Den brændende platform - Hvad er persondata, og hvorfor er det vigtigt? Sørg for forankring i ledelsen Opbakning og prioritering Budget både penge og timer Placering af det organisatoriske ansvar hvem har det overordnede ansvar? Skab en vision og et mål for projektet hvad vil I opnå? Organisering Etabler en hensigtsmæssig organisation til gennemførsel af compliance-projektet Sørg for at have de nødvendige ressourcer og kompetencer til projektet: Jura men det er ikke (kun) et juridisk projekt IT / IT-sikkerhed Forretningen Ledelseskontakt (evt. i form af styregruppe el.lign.) Andre? (HR, compliance, marketing mv.) Den konkrete organisering afhænger af virksomhedens størrelse, art og organisation Afklaring af ressourcer og budget SIDE 41
42 FASE 1 - AFGRÆNSNING OG FORBEREDELSE (3) Forberedelse af projektet Overordnet koordinering af projektet Realistisk tidsplan for hele projektet og de enkelte faser Forventninger til output af de forskellige faser? Afgrænsning Afgrænsning af de relevante juridiske enheder og de relevante databehandlingsaktiviteter Afgrænsning af relevante personer til interviews Afklaring af antal IT systemer, der indeholder persondata Afklaring af eksisterende dokumentation Hvor langt er I allerede? Beskrevne processer, politikker mv. Fastlæggelse af regler Fastlæggelse af regler mv., der skal efterleves Afklaring af relevante særregler Internationale aspekter Er der grænseoverskridende aktiviteter og hvordan håndterer I dem? SIDE 42
43 FASE 2 KORTLÆGNING AF DATASTRØMME SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø CVR. NR: DK
44 FASE 2 - KORTLÆGNING AF DATASTRØMME (1) Datastrømskortlægningen skal danne grundlaget for compliancearbejdet og kan anvendes til dokumentation iht. forordningen Hvilke data? Hvem anvender dataene? Til hvilke formål? Hvem har adgang? Videregives data? Mv. Tilgang til kortlægningen Procesorienteret Tager udgangspunkt i, hvordan data flyder i forbindelse med forretningens processer -> typisk ved interviews, workshops, beskrevne processer Systemorienteret Tager udgangspunkt i, hvilke IT-systemer virksomheden anvender, og hvorledes persondata lagres, anvendes og stilles til rådighed i disse SIDE 44
45 FASE 2 - KORTLÆGNING AF DATASTRØMME (2) Dataindsamling og dokumentation via workshops En workshop er en tre timers-session, der har til formål at kortlægge datastrømme i de forskellige afdelinger i virksomhedenfilm A/S. Selve kortlægningen kan sammenlignes med en interviewsituation, hvor juristen stiller deltagerne en række spørgsmål om deres daglige arbejdsprocesser, hvori de behandler persondata. Kromann Reumert dokumenterer dette undervejs. Forud for hver workshop anbefales deltagerne at bruge ca minutter på forberedelse Efter hver workshop vil deltagerne blive bedt om at validere dokumentationen. Dette tager maks. 30 minutter SIDE 45
46 FASE 3 COMPLIANCE-ANALYSE SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø
47 FASE 3 - COMPLIANCE- ANALYSE (1) Formålet med compliance-analysen er at vurdere virksomhedens anvendelse af data i forhold til de relevante regler Afklaring af, hvilke oplysninger behandles til hvilke formål Vurdering af, om persondatabehandlingen er lovlig i forhold til databeskyttelsesforordningens regler og eventuelle andre relevante regelsæt Grundlæggende en gap-analyse, der skal identificere de gaps (huller), der skal lukkes, for at virksomheden efterlever gældende regler SIDE 47
48 FASE 3 - COMPLIANCE- ANALYSE (2) Dokumentation Resultat af compliance-analysen gap-analyse, der beskriver de områder, hvor virksomheden ikke lever op til reglerne Det endelige produkt: en compliance-rapport baseret på gap-analysen med angivelse af konkrete konklusioner og anbefalinger SIDE 48
49 FASE 4 HANDLINGSPLAN SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø CVR. NR: DK
50 FASE 4 - HANDLINGSPLAN (1) Formålet med handlingsplanen er at fastlægge og prioritere de indsatser, der skal til for at udfylde hullerne fra gap-analysen i rette tid og med rette prioritet Anbefalingerne fra compliance-rapporten danner grundlaget for udarbejdelse af en handlingsplan Handlingsplanen bør indeholde anbefalinger og planer for relevante tiltag Handlingsplanen bør indeholde prioritering, deadlines og ansvarsfordeling SIDE 50
51 FASE 4 - HANDLINGSPLAN (2) Udarbejdelse af behandlingsoversigter og konsekvensanalyse (hvor relevant) Udarbejdelse af nye politikker, guidelines, instrukser mv. (eller tilpasning af de eksisterende) Eksempler: IT politik, politik/guidelines for håndtering af persondata/hr data/kundedata, instrukser for håndtering af klager, interne retningslinjer for whistleblowerordning, intern Code of Conduct, procedurer for tilfælde, hvor DPO/juridisk afdeling/it skal involveres osv. Træning af medarbejdere Workshops, webinarer, krav om beståelse af en persondata test mv. Udarbejdelse eller tilpasning af databehandleraftaler Procedurer og/eller tjeklister til at sikre, at databehandleren er i stand til at give tilstrækkelige garantier for lovlig behandling Revisorerklæringer, certificeringer mv. Retningslinjer/procedurer for at indgå aftaler med databehandlere Håndtering af eksisterende aftaler ændring mv. Tilpasning af de øvrige dokumenter, såsom samtykketekster, privacy policies/notices, Binding Corporate Rules mv. SIDE 51
52 FASE 4 - HANDLINGSPLAN (3) Tilpasning af IT systemer til at håndtere sletning, blokering, begrænsning, indsigtsret, de nødvendige sikkerhedstiltag mv. Opfølgning hos tredjepartsleverandører Sikring af persondatabeskyttelse i igangværende udviklingsprojekter Data protection by design Data protection by default Indførelse af slettefrister mv. Implementering af procedurer til håndtering af sikkerhedsbrud, herunder konkrete instrukser til medarbejderne om: Hvad der forstås ved et sikkerhedsbrud Hvordan man skal agere mv. Procedurer for, hvordan man boarder en ny medarbejder/kunde mv. efter 25. maj 2018 for at sikre compliance Nødvendig for enhver proces, hvor persondata er involveret Udarbejdelse af kontrolprocedurer og retningslinjer for håndtering af inspektioner/kontrolbesøg SIDE 52
53 FASE 5 IMPLEMENTERING SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø CVR. NR: DK
54 FASE 5 - IMPLEMENTERING Eksekvering af handlingsplanen Udarbejdelse af dokumenterne nævnt i handlingsplanen Og der skal skabes kendskab til indholdet! Implementering af nye processer Uddannelse af medarbejdere Udpegning af en DPO, hvis lovkrav eller vurderes at være nødvendigt/hensigtsmæssigt Test af de tekniske løsninger og ændrede processer de skal jo fungere den 25. maj 2018 Evt. udeståender hvis tidsplanen skrider Hvordan og hvornår håndteres disse bedst? SIDE 54
55 VEDLIGEHOLDELSE SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø
56 VEDLIGEHOLDELSE Opfølgning på projektet Eks. årlig/halvårlig evaluering Håndtering af ændringer Tilpasning af processer, som ikke fungerer hensigtsmæssigt Hold øje med ny lovgivning og praksis på området En afgørelse hos CNIL i Frankrig kan lige pludselig få en meget større betydning end før! Awareness og træning Sørg for at persondata er et kendt og accepteret fokusområde Governance En governance-struktur, der sikrer, at nye systemer og processer ikke kan etableres uden fornøden tanke på persondata Efterleves reglerne? Løbende audit og intern afprøvning SIDE 56
57 TOP 5 FINDINGS I COMPLIANCEPROJEKTER 1 Dataminimering 2 Sletteregler 3 Der behandles for mange data i forholdt til formålet Der behandles følsomme data uden behandlingshjemmel Ingen politik eller regler for hvor længe data skal opbevares (herunder i back-up) Data opbevares for længe Oplysningspligt Ingen oplysning til registrerede om behandlingen (eks. om brug eller videregivelse) Ingen oplysning om rettigheder for registrerede 4 Databehandleraftaler 5 Dokumentation og * Manglende databehandleraftaler (særligt koncerninterne) Databehandleraftaler ikke klar til GDPR-krav Ingen brug af ret til audit kontrol Ingen politikker, dokumentation eller løbende kontrol af hvordan persondata behandles. Manglende opfølgning på sikkerhed og adgangsret men også Manglende kendskab til reglerne Manglende forståelse for regelsættene Manglende kultur om beskyttelse af persondata SIDE 57
58 KRISTIAN STORGAARD Kristian Storgaard arbejder primært med it, telekommunikation og persondata samt immaterialret, og rådgiver klienter i forbindelse med indkøb og kontraktforhold. Kristian har indgående erfaring med at udarbejde og forhandle kontrakter om anskaffelse og drift af IT og telekommunikation. Herudover har Kristian arbejdet med andre IT-retlige forhold, regulatoriske forhold og beskyttelse af persondata. Ud over IT-retten beskæftiger Kristian sig i betydeligt omfang med immaterialret og markedsføringsret, blandt andet licenskontrakter og udviklingssamarbejde. Kristian har desuden stor erfaring med sager om krænkelse af varemærker, ophavsret og design, samt produktefterligning. Desuden rådgiver Kristian virksomheder om andre former for tvister i erhvervsretlige forhold. Partner, advokat (L), certificeret IT-advokat, Master i IT (Org.) M.: D.: kst@kromannreumert.com SIDE 58
ER DIN VIRKSOMHED KLÆDT PÅ TIL DEN NYE PERSONDATAFORORDNING?
ER DIN VIRKSOMHED KLÆDT PÅ TIL DEN NYE PERSONDATAFORORDNING? Udvalgsmøde hos Den Danske Fondsmæglerforening 14. november 2016 Tina Brøgger Sørensen, partner, advokat SUNDKROGSGADE 5, DK-2100 KØBENHAVN
Læs mereN. Zahles Skole Persondatapolitik
N. Zahles Skole Persondatapolitik Indholdsfortegnelse Side 1. Baggrund for persondatapolitikken 3 2. Formål med persondatapolitikken 3 3. Definitioner 3 4. Ansvarsfordeling 4 5. Ansvarlighed 5 6. Lovlighed,
Læs mereVandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker
Vandforsyningens håndtering af den kommende persondataforordning Danske Vandværker Praktiske spørgsmål vi modtog Hvem har ansvaret for beskyttelse af forbrugernes persondata? Er medlemslister i ringbindsmapper
Læs mereThea Præstmark WW W W W.SKA W UR.SKA EIP UR UR EIP TH UR. TH C. OM C
Thea Præstmark WWW.SKAUREIPURTH.COM Præsentation og forventningsafstemning Dagsorden 1. Hvorfor er persondata vigtigt? 2. Hvad er personoplysninger? 3. Hvem er hvem og hvem skal hvad (dataansvarlig og
Læs merePersondatapolitik Vordingborg Gymnasium & HF
Persondatapolitik Vordingborg Gymnasium & HF Indholdsfortegnelse Indhold Baggrund for persondatapolitikken... 3 Formål... 3 Definitioner... 3 Ansvarsfordeling... 4 Ansvarlighed... 4 Lovlighed, rimelighed
Læs merePersondata politik for GHP Gildhøj Privathospital
Persondata politik for GHP Gildhøj Privathospital Baggrund for persondatapolitikken Denne persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU)
Læs merePersondatapolitik for Tørring Gymnasium 2018
Persondatapolitik for Tørring Gymnasium 2018 Baggrund for persondatapolitikken Tørring Gymnasiums persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning
Læs mereopfylde vores kontraktuelle forpligtelser over for dig, samt at
PRIVATLIVSPOLITIK Det er vigtigt for FloodFrame A/S ( FloodFrame ), at du føler dig tryg ved at overlade persondata til os. Det er derfor også vigtigt, at du er oplyst om, hvilke oplysninger FloodFrame
Læs merePersondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.
Persondatapolitik for Horsens HF & VUC Baggrund for persondatapolitikken Horsens HF & VUCs persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU)
Læs merePersondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].
Baggrund for persondatapolitikken Nykøbing Katedralskoles persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse
Læs merePersondatapolitik for Aabenraa Statsskole
Persondatapolitik for Aabenraa Statsskole Baggrund for persondatapolitikken s persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af
Læs mereIntroduktion til persondataforordning
Introduktion til persondataforordning Lektor Dorte Høilund Anvendelse fra 25. maj 2018 Direktiv contra forordning Mange muligheder for nationale særregler Opbygning og struktur Forslag til Databeskyttelseslov
Læs mereEcofleet. Persondataforordningen Kort fortalt. Del 1. Peter Dam Nordic Project Manager
Ecofleet Persondataforordningen Kort fortalt Del 1 Peter Dam Nordic Project Manager Del 1: Hvad er Persondataforordningen? Hvilke rettigheder har den registrerede? Del 2: Hvilke data behandler Ecofleet
Læs merePersondatapolitik. for Social- og Sundhedsskolen Esbjerg
Persondatapolitik for Social- og Sundhedsskolen Esbjerg Indhold Baggrund for persondatapolitikken... 2 Formål... 2 Definitioner... 2 Ansvarsfordeling... 3 Øverste ledelse (bestyrelsen)... 3 Daglig ledelse
Læs merePersondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.
Baggrund for persondatapolitikken Kolding Gymnasiums persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse
Læs mereFormålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.
Baggrund for persondatapolitikken Ribe Katedralskoles persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse
Læs mereEU Persondataforordning GDPR
EU Persondataforordning GDPR 14. juni 2018 Agenda Persondataforordningen - GDPR Hvad går forordningen grundlæggende ud på og hvorfor? Hvad stiller forordningen af krav til nødvendig indsats? Hvordan sikrer
Læs merePersondataforordningen
Klik for at tilføje en undertiteltitel Persondataforordningen Ved adv.fm. Kasper Hendrup Andersen Persondataretten: Før og nu Data Protection Directive General Data Protection Regulation (GDPR) Lighed
Læs merePersondatapolitik på Gentofte Studenterkursus
Persondatapolitik på Gentofte Studenterkursus Baggrund for persondatapolitikken Gentofte Studenterkursus persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets
Læs mereDatabeskyttelsesforordningen og dansk forskning. v/ chefkonsulent Kim Taasby & jurist Anahita Khatam-Lashgari 24. maj 2018
Databeskyttelsesforordningen og dansk forskning v/ chefkonsulent Kim Taasby & jurist Anahita Khatam-Lashgari 24. maj 2018 Databeskyttelsesforordningen og dansk forskning Intro: Grundtræk af Databeskyttelsesforordningen
Læs mereOVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106.
OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106. INDHOLDSFO RTEGNELSE: 1. Generelt 3 2. Om nærværende Persondatapolitik 3 3. Definitioner 4 4. Persondataprincipper
Læs mereBAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4
Persondatapolitik Skanderborg Gymnasium Indholdsfortegnelse BAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4 LOVLIGHED, RIMELIGHED OG GENNEMSIGTIGHED...4
Læs merePersondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.
Persondatapolitik for Horsens Statsskole Baggrund for persondatapolitikken Horsens Statsskoles persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning
Læs merePersondatapolitikken er godkendt på VUC Roskildes bestyrelsesmøde den 7 juni 2018.
Persondatapolitik Baggrund for persondatapolitikken VUC Roskildes persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016
Læs mereOVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I. INDHOLDSFORTEGNELSE: 1. Generelt... 2
OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I DANSK FORENING FOR OSTEOGENEIS IMPERFECTA (DFOI) INDHOLDSFORTEGNELSE: 1. Generelt... 2 2. Om nærværende persondatapolitik...
Læs mere1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du
PERSONDATAPOLITIK FOR FORENINGEN EVENTYRJUL 1 Generelt 1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du giver til os, og/eller som vi indsamler om dig, enten som
Læs mereDATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde
DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER Vejledning til brug af skabelonen Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde sig til indholdet evt.
Læs merePersondatapolitik for Odense Katedralskole
Bilag 5. Persondatapolitik for Odense Katedralskole Møde for Odense Katedralskoles bestyrelse d. 11. sept. 2018 Persondatapolitik for Odense Katedralskole Baggrund for persondatapolitikken Odense Katedralskoles
Læs merePERSONDATAPOLITIK FOR AXIS
PERSONDATAPOLITIK FOR AXIS 1. Generelt 1.1. Denne Persondatapolitik er gældende for samtlige de oplysninger, som du giver til os, og/eller som vi indsamler om dig, enten som led i et medlems-/ eller bidragyderforhold
Læs mereDANVA, Dansk Vand- og Spildevandsforening. Godthåbsvej Skanderborg. og
DANVA, Dansk Vand- og Spildevandsforening Godthåbsvej 83 8660 Skanderborg Sendt til: Cc: danva@danva.dk lgc@danva.dk og sv@danva.dk 21. december 2018 DANVAs henvendelse til Datatilsynet om behandling af
Læs merePERSONDATAPOLITIK FOR DANSK TOURETTE FORENING
PERSONDATAPOLITIK FOR DANSK TOURETTE FORENING 1 Generelt 1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du giver til os, og/eller som vi indsamler om dig, enten som
Læs merePERSONDATAPOLITIK FOR Slagelse Børneklub
PERSONDATAPOLITIK FOR Slagelse Børneklub 1 Generelt 1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, du giver til os, og/eller vi indsamler om dig, enten som led i et medlems-
Læs merePERSONDATAFORORDNINGEN STATUS???? OG ER DER NOGET NYT I DEN?
PERSONDATAFORORDNINGEN STATUS???? OG ER DER NOGET NYT I DEN? Jacob Bjørnsholm Madsen, BL, Juridisk Konsulent 3. Maj Hotel Nyborg Strand, EBF Seminar Hvorfor en persondatalov? Persondataloven af 1. juli
Læs mereVelkommen til seminar om Persondataforordningen. Den 16. maj 2018.
Velkommen til seminar om Persondataforordningen Den 16. maj 2018. CFSA udvikler frivilligheden Rådgivning Kurser Se mere på frivillighed.dk Netværk Analyse Evaluering Undersøgelse Nyheder Konferencer Konsulentbistand
Læs merePersonoplysninger. Jens Hørlück
Personoplysninger Enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede) Vi bør have kontrol over vores personoplysninger. Det er vigtigt at skabe den tillid,
Læs mereCirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring
Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring 1. Indledning 1.1. Denne cirkulæreskrivelse er udarbejdet af Styrelsen
Læs mereDatabeskyttelsesforordningspolitik
Databeskyttelsesforordningspolitik 1. Introduktion 1.1 Ørbækskilde ønsker at sikre et højt og fyldestgørende databeskyttelsesniveau. Beskyttelse af privatliv og personoplysninger er et centralt element
Læs mere"forordningen" i det følgende) og gælder for alle ansatte på Midtfyns Gymnasium, der behandler personoplysninger.
Retningslinje om de registreredes rettigheder Holmehøjvej 4 5750 Ringe Tlf. 6262 2577 e-mail: post@mfg. dk www. mfg. dk Maj, 2018 Anvendelsesområde Retningslinje om de registreredes rettigheder er udarbejdet
Læs merePERSONDATAPOLITIK FOR ORDET OG ISRAEL
PERSONDATAPOLITIK FOR ORDET OG ISRAEL 1 Generelt 1.1 Denne Persondatapolitik er gældende for samtlige de oplysninger, som du giver til os, og/eller som vi indsamler om dig, enten som led i et medlems-/kunde-
Læs mereNy Persondataforordning mv.
Ny Persondataforordning mv. Agri Nord, 23. maj 2018 Jacob Langvad Nielsen, advokat og specialkonsulent SEGES, Jura & Skat Proces mod 25. maj 2018 Persondataforordningen er vedtaget. Skal anvendes direkte
Læs mereAftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi
Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi Indledning Denne aftale er udarbejdet af Dansk Boldspil-Union under henvisning til databeskyttelsesforordningen
Læs mereDatabehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:
Databehandleraftale Mellem Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: og Databehandleren Virksomhed: OnlineFox CVR: 38687794 Adresse: Pilagervej 32 Postnummer & By: 4200 Slagelse
Læs mereMaj 2018 Retningslinje om de registreredes rettigheder på Frederiksberg Gymnasium
Maj 2018 Retningslinje om de registreredes rettigheder på Frederiksberg Gymnasium Anvendelsesområde Retningslinje om de registreredes rettigheder er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets
Læs merePOLITIK FOR DATABESKYTTELSE
POLITIK FOR DATABESKYTTELSE 1 Formål... 2 2 Anvendelsesområde... 2 3 Referencer... 2 4 Definitioner... 2 5 Vision og mål for beskyttelse af personoplysninger... 3 6 Roller og ansvar... 3 7 Databehandlingsprincipper...
Læs mereDATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )
DATABEHANDLERAFTALE Mellem Silkeborg Kommune Søvej 1 8600 Silkeborg CVR. nr.: 29 18 96 41 (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren
Læs merePersondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017
Persondataforordningen fra Dansk Energis perspektiv Xellent inspirationsdag, 1. juni 2017 Brancheorganisationen Mathilde Øelund Jensen Konsulent cand. Jur. Direkte: 35 300 422 msj@danskenergi.dk Agenda
Læs mereCC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")
DATABEHANDLERAFTALE Aftalen foreligger mellem Adresse Post nr. og By CVR. nr. xx xx xx xx (i det følgende betegnet Dataansvarlig ) og CC GROUP DENMARK Møllebugtvej 5 7000 Fredericia Att: CVR. nr. 27415032
Læs mereDatabeskyttelsespolitik for advokatanpartsselskabet Vibeke Westergaard
Databeskyttelsespolitik for advokatanpartsselskabet Vibeke Westergaard Sådan behandles dine personoplysninger De relevante persondataretlige regler, som på nuværende tidspunkt gælder for min behandling
Læs mereFormålet med denne retningslinje er at sikre, at Ringkjøbing Gymnasium udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.
Bilag 2 Retningslinje om behandlingsgrundlag Anvendelsesområde Retningslinje om behandlingsgrundlag er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU) 2016/679
Læs mereDen registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.
Behandlingsgrundlag Anvendelsesområde Retningslinje om behandlingsgrundlag er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse
Læs merePersondatapolitikken er godkendt på Vesthimmerlands Gymnasium og HF s bestyrelsesmøde den 25. juni 2018
Databeskyttelsesforordning Persondatapolitik Vesthimmerlands Gymnasium og HF s persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af
Læs mereCirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer
CIS nr 9223 af 23/03/2018 (Gældende) Udskriftsdato: 14. maj 2019 Ministerium: Finansministeriet Journalnummer: Finansmin., Moderniseringsstyrelsen Senere ændringer til forskriften Ingen Cirkulæreskrivelse
Læs merePersondatapolitik til ansøgere og rekruttering
Persondatapolitik til ansøgere og rekruttering Dataansvarlig ITD, Brancheorganisation For Den Danske Vejgodstransport Lyren 1 6330 Padborg Danmark CVR-nummer: 40990917 1. Introduktion Denne persondatapolitik
Læs mereFysiske personer. Vi ved jo alle, hvad en person er. Det er sådan en som os selv (Peter Blume: Databeskyttelsesret, 4. udg., 2013, s. 30f.
GDPR and all that Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne
Læs merePERSONDATAPOLITIK FOR HOLMSBORG SOMMERLEJRE
PERSONDATAPOLITIK FOR HOLMSBORG SOMMERLEJRE 1 Generelt 1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, du giver til os, og/eller vi indsamler om dig, enten som led i et
Læs mereHvis vi har brug for yderligere oplysninger end angivet ovenfor, vil vi orientere dig herom ved indsamlingen heraf.
Persondatapolitik Dataansvarlig ITD Forsikringsmægler A/S Lyren 1 6330 Padborg Danmark CVR-nummer: 38725440 1. Introduktion Denne persondatapolitik (herefter benævnt Politikken") beskriver, hvordan ITD
Læs mereVilkår for behandling af personoplysninger
Vilkår for behandling af personoplysninger Indsamling og behandling af personoplysninger AL Finans (ALF) indhenter oplysninger til brug for tilbud af finansielle ydelser af enhver art, herunder betalinger,
Læs mereNexø Frikirke. PRIVATLIVSPOLITIK i NEXØ FRIKIRKE
PRIVATLIVSPOLITIK i NEXØ FRIKIRKE 1 INDHOLDSFORTEGNELSE: 1 Generelt... 3 1 Definitioner... 3 3 Formål med behandlingen af dine personoplysninger... 4 4 De personlige oplysninger, som vi behandler om dig...
Læs mereRetningslinje om de registreredes rettigheder
N. Zahles Skole Nørre Voldgade 5 1358 København K Danmark t: + 45 33 69 79 00 e: kontakt@zahles.dk Retningslinje om de registreredes rettigheder Anvendelsesområde Retningslinje om de registreredes rettigheder
Læs mereAftale vedrørende fælles dataansvar
Aftale vedrørende fælles dataansvar Mellem Dataansvarlig 1 og Dataansvarlig 2 Baptisternes Børne- og Ungdomsforbund CVR 28536364 Fælledvej 16 7200 Grindsted 1. Fælles dataansvar 1.1. Denne aftale fastsætter
Læs mereInformation om PenSam s behandling af ansøgeres personoplysninger mv.
Information om PenSam s behandling af ansøgeres personoplysninger mv. I PenSam passer vi godt på de personlige oplysninger, vi får i forbindelse med, at du søger en stilling hos os. Det gælder også, selvom
Læs mereBehandling af personoplysninger
Behandling af personoplysninger Orientering til kunder om Zibo Athene A/S behandling af personoplysninger. Nærværende dokument er en information til dig som kunde hos Zibo Athene A/S (herefter Zibo Athene)
Læs mereRetningslinje om fortegnelser over behandlingsaktiviteter
Bilag 4 Retningslinje om fortegnelser over behandlingsaktiviteter Anvendelsesområde Retningslinje om fortegnelser over behandlingsaktiviteter er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets
Læs mereDen registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.
Ansvarsfordeling Anvendelsesområde Retningslinje om ansvarsfordeling er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse
Læs mereINTERN HR PERSONDATAPOLITIK FOR LIONS MD106. Nærværende gælder for MD 106, dvs. alle ansatte og medlemmer i Lions MD 106.
INTERN HR PERSONDATAPOLITIK FOR LIONS MD106 Nærværende gælder for MD 106, dvs. alle ansatte og medlemmer i Lions MD 106. INDHOLDSFO RTEGNELSE: Generelt 3 2 Definitioner 3 3 Formål med Behandlingen af dine
Læs mereSeptember Indledning
September 2016 Eksempel fra KOMBIT: Vejledning til gennemførelse af indledende overordnet kortlægning af it-løsningers parathed i forhold til efterlevelse af kendte krav i Databeskyttelsesforordningen
Læs mereFormålet med denne retningslinje er at sikre, at Nykøbing Katedralskole udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.
Behandlingsgrundlag Anvendelsesområde Retningslinje om behandlingsgrundlag er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse
Læs mereRetningslinjer for behandling af personoplysninger for kunder og leverandører i med Anker Hansen og Co. A/S ( AHC ) CVR-nr
OPLYSNINGER OM PERSONDATA TIL KUNDER OG ØVRIGE SAMARBEJDSPARTNERE Retningslinjer for behandling af personoplysninger for kunder og leverandører i med Anker Hansen og Co. A/S ( AHC ) CVR-nr. 11 57 33 47.
Læs mereVelkommen til. Informationsmøde om. Persondataforordningen 2018
Velkommen til Informationsmøde om Persondataforordningen 2018 1 Program Kl. 14.30 15.00 Kaffe og vand Kl. 15.00 15.15 Præsentation forordningens formål Kl. 15.15 16.15 De overordnede (grundlæggende) begreber
Læs mereDatabeskyttelse i den almene sektor en digital fremtid. 30. august 2018
Databeskyttelse i den almene sektor en digital fremtid 30. august 2018 2 Corporate Compliance & Investigations Vi er eksperter indenfor Vi hjælper din virksomhed med at få et overblik og identificere væsentlige
Læs mereCuranet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")
DATABEHANDLERAFTALE Databehandleraftalen foreligger mellem Åstvej 10, B 7190 Billund CVR. nr. 30 56 13 17 (i det følgende betegnet Dataansvarlig ) og Curanet A/S Højvangen 4 8660 Skanderborg CVR. nr. 29
Læs mereANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2 BEHANDLINGSGRUNDLAG... 3 KONTROL OG DOKUMENTATION... 8
Retningslinje om behandlingsgrundlag Indholdsfortegnelse ANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2 BEHANDLINGSGRUNDLAG... 3 BEHANDLINGSGRUNDLAG FOR ALMINDELIGE/FORTROLIGE PERSONOPLYSNINGER...
Læs mereRetningslinje om behandlingsgrundlag (hjemmel)
Retningslinje om behandlingsgrundlag (hjemmel) Indhold Retningslinje om behandlingsgrundlag (hjemmel)... 1 Anvendelsesområde... 2 Formål... 2 Definitioner... 2 Behandlingsgrundlag... 3 Behandlingsgrundlag
Læs merePersondatapolitik for Ehlers-Danlos Foreningen i Danmark
Persondatapolitik for Ehlers-Danlos Foreningen i Danmark 1 Generelt 1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige af de oplysninger, som du giver til os, og som vi indsamler om dig,
Læs mereOverblik over persondataforordningen
Overblik over persondataforordningen November 2016 2 Sanktioner Overtrædelsestype: Indhentning af samtykke ift. børn Behandlinger, som ikke kræver identifikation Data protection by Design/Default Delt
Læs merePer Løkken, Partner. CAMPUS November 2018
1 Per Løkken, Partner CAMPUS 2018 21. November 2018 2 Tilgange til Persondataforordningen Usikkerhed og iver efter at få styr på det. Organisationer som også ser en værdi i at have styr på data og processer
Læs mereStandardvilkår. Databehandleraftale
Standardvilkår Databehandleraftale 1 Indhold 2 Vilkårenes status... 2 3 Baggrund for databehandleraftalen... 2 4 Formål med databehandlingen... 2 5 Personoplysninger omfattet af databehandleraftalen...
Læs mere1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du giver til os, og
PERSONDATAPOLITIK FOR Dansk Forening for Tuberøs Sclerose 1 Generelt 1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du giver til os, og som vi indsamler om dig, enten
Læs mere1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?
Her finder I 12 spørgsmål, som I, der er dataansvarlige, med fordel kan forholde jer til allerede nu for at forberede jer på den nye databeskyttelsesforordning, som finder anvendelse fra den 25. maj 2018.
Læs mereBorgerens rettigheder, når regionen behandler personoplysninger
Juridisk kontor Regionssekretariatet Skottenborg 26 8800 Viborg Borgerens rettigheder, når regionen behandler personoplysninger Når regionen behandler oplysninger om borgere, har borgerne nogle rettigheder,
Læs mereRetningslinje om fortegnelser over behandlingsaktiviteter
Retningslinje om fortegnelser over behandlingsaktiviteter Anvendelsesområde Retningslinje om fortegnelser over behandlingsaktiviteter er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets
Læs merePERSONDATABESKYTTELSESPOLITIK FOR ADVOKATFIRMAET KRARUP
PERSONDATABESKYTTELSESPOLITIK FOR ADVOKATFIRMAET KRARUP 1.1 Databeskyttelse I forbindelse med udøvelse af juridisk bistand behandler Advokatfirmaet Krarup personhenførbare oplysninger (persondata) om sine
Læs merePersondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den
Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den 25.05.2018 Indholdsfortegnelse 1 Baggrund... 3 2 Formål... 3 3 Omfang... 3 4 Roller og ansvar...
Læs merePRIVATLIVSPOLITIK for Advokatfirmaet Gaarn Pedersen. (Opdateret maj 2018)
PRIVATLIVSPOLITIK for Advokatfirmaet Gaarn Pedersen CVR-nr.: 34 93 22 04 (Opdateret maj 2018) Advokatfirmaet Gaarn Pedersen herefter benævnt (Gaarn Pedersen) er en del af Denlaw Advokater - et kontorfællesskab
Læs mereFormålet med denne retningslinje er at sikre, at Midtfyns Gymnasium udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.
Retningslinje om behandlingsgrundlag Midtfyns ^^ Holmehøjvej 4 5750 Ringe Tlf. 6262 2577 e-mail: post@mfg. dk www.mfg. dk Juni, 2018 Anvendelsesområde Retningslinje om behandlingsgrundlag er udarbejdet
Læs mere2.1 Vi behandler persondata og har derfor vedtaget denne persondatapolitik, der beskriver, hvordan vi behandler persondata.
Pharmaforce ApS CVR nr. 26394198 PERSONDATAPOLITIK 1. Databeskyttelsesforordningen og persondataloven 1.1 Databeskyttelsesforordningen og Persondataloven regulerer behandling af personoplysninger, som
Læs merePERSONDATAPOLITIK FOR FANCONI ANÆMI DANMARK
PERSONDATAPOLITIK FOR FANCONI ANÆMI DANMARK 1 Generelt 1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du giver til os, og/eller som vi indsamler om dig, enten som
Læs mereRetningslinje om de registreredes rettigheder
Retningslinje om de registreredes rettigheder Indhold Retningslinje om de registreredes rettigheder... 1 Anvendelsesområde... 2 Formål... 2 Definitioner... 2 De registreredes rettigheder... 3 På dataansvarliges
Læs mereRigsarkivets konference 2. november 2016
Pligten til at huske retten til at blive glemt Rigsarkivets konference 2. november 2016 Birgit Kleis, kommitteret i Datatilsynet Persondatabeskyttelse: afvejning af hensyn Privatlivets fred Informations-
Læs mereAftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )
Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig ) og Steuermann ApS Flæsketorvet 68 1711 København V CVR. nr. 35809422 (i det følgende betegnet Databehandler ) (herefter samlet
Læs mereFormålet med denne retningslinje er at sikre, at Nakskov Gymnasium og HF udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.
Anvendelsesområde Retningslinje om behandlingsgrundlag er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske
Læs merePRIVATLIVSPOLITIK FOR VÆRFTET NEXØ KRISTNE SKATECENTER, LEGELAND OG CAFE
PRIVATLIVSPOLITIK FOR VÆRFTET NEXØ KRISTNE SKATECENTER, LEGELAND OG CAFE INDHOLDSFORTEGNELSE: 1 Generelt... 3 2 Definitioner 3 3 Formål med behandlingen af dine personoplysninger... 4 4 De personlige oplysninger,
Læs mereDATABEHANDLERAFTALE Version 1.1a
DATABEHANDLERAFTALE Version 1.1a Mellem Institutionens navn Institutions nr. Adresse Kommune Institutions CVR. nr. og WEBTJENESTEN LÆRIT.DK ApS Ellehammersvej 93 7500 Holstebro CVR: 35862056 (herefter
Læs mereRetningslinje om ansvarsfordeling - dataansvarlig vs. databehandler
Retningslinje om ansvarsfordeling - dataansvarlig vs. databehandler Anvendelsesområde Retningslinje om ansvarsfordeling er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning
Læs merePERSONDATAPOLITIK FOR HETAG TAG MATERIALER A/S
PERSONDATAPOLITIK FOR HETAG TAG MATERIALER A/S 1 Generelt 1.1 Denne Persondatapolitik ( i det efterfølgende benævnt Politik ) er gældende for samtlige de oplysninger, som du giver til os, og/eller indsamler
Læs mereProcedure for håndtering af personoplysninger - GDPR Denne udgave: /TW
Procedure for håndtering af personoplysninger - GDPR Denne udgave: 23.08.2018/TW DolphinEyes ApS (i det følgende virksomheden) beskriver med denne procedure, hvordan vi opfylder persondataloven. Proceduren
Læs mereCIR1H nr 9352 af 23/05/2018 (Gældende) Udskriftsdato: 24. maj Senere ændringer til forskriften Ingen. Journalnummer: Kirkemin., j.nr.
CIR1H nr 9352 af 23/05/2018 (Gældende) Udskriftsdato: 24. maj 2018 Ministerium: Kirkeministeriet Journalnummer: Kirkemin., j.nr. 7520 Senere ændringer til forskriften Ingen Cirkulære om fælles dataansvar
Læs mereTønder Kommune BILAG 10
Tønder Kommune BILAG 10 Databehandleraftale mellem Tønder kommuner og Leverandør Side 1/14 DATABEHANDLERAFTALE Mellem Tønder Kommune Wegners Plads 2 6270 Tønder CVR. nr.: 29189781 (herefter Kommunen )
Læs mereRetningslinje om dataansvarlig/databehandler
N. Zahles Skole Nørre Voldgade 5 1358 København K Danmark Retningslinje om dataansvarlig/databehandler t: + 45 33 69 79 00 e: kontakt@zahles.dk Anvendelsesområde Retningslinje om ansvarsfordeling er udarbejdet
Læs mere