DANSK ERHVERV ERHVERVSJURA RETNINGSLINJER FOR OVERHOLDELSE AF REGLER OM PERSONDATABESKYTTELSE

Størrelse: px
Starte visningen fra side:

Download "DANSK ERHVERV ERHVERVSJURA RETNINGSLINJER FOR OVERHOLDELSE AF REGLER OM PERSONDATABESKYTTELSE"

Transkript

1 fremtiden starter her... DANSK ERHVERV ERHVERVSJURA RETNINGSLINJER FOR OVERHOLDELSE AF REGLER OM PERSONDATABESKYTTELSE

2 Introduktion 3 Grundlæggende om persondatabeskyttelse 3 Hvad gælder for køb, salg og videregivelse af personoplysninger til brug ved markedsføring? 12 Virksomhedens loyalitets- og bonusklubber 12 Hvordan skal du beskytte personoplysninger? 13 Hvilke krav gælder for virksomhedens risikovurdering og sikkerhedspolitik 15 Hvad gælder når du anvender Cookies? 15 Hvornår må du foretage tv-overvågning? 16 Fremtidsperspektiver og hvordan du får styr på persondata compliance 18 2 Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv

3 INTRODUKTION Indsamling og behandling af personoplysninger er en integreret del af driften af en moderne virksomhed og er i stigende omfang også et egentlig forretningsområde. Indsamling og behandling af personoplysninger er underlagt de persondataretlige regler og overtrædelse af disse kan i fremtiden medføre væsentlige bøder. Det er dog ikke altid let at navigere i de reglerne, og opgaven kan forekomme uoverstigelig. Dansk Erhverv har udarbejdet denne pjece for at give dig et kort overblik over de regler, der gælder for din behandling af personoplysninger, samt de tiltag som du kan tage for at overholde reglerne. Dansk Erhverv henviser endvidere til PrivacyKompasset, der er udarbejdet af Erhvervsstyrelsen, hvor du også kan finde yderligere vejledning om, hvordan du kan sikre, at din virksomhed overholder reglerne på området. PrivacyKompasset kan findes på privacykompasset.erhvervsstyrelsen.dk. GRUNDLÆGGENDE OM PERSONDATABESKYTTELSE HVAD ER PERSONOPLYSNINGER? Personoplysninger er enhver form for oplysning, som kan henføres til en person. Det vil sige, at alle oplysninger, der vedrører en identificerbar fysisk person er personoplysninger, eksempelvis oplysningerne om en kunde. Der er stadig tale om personoplysninger selvom det kræver særligt kendskab, adgang og/eller information for at kunne identi-ficere personen, eksempelvis brug af kundenumre i stedet for -navne. Personligeoplysninger Navn og adresse Telefonnummer eller adresse Kundenummer eller ordrenummer Oplysninger om kundens præferencer eksempelvis hvilken størrelse tøj kunden bruger, eller hvilken bil kunden har Kundens købshistorik Kundens IP-adresse Kundens CPR-nummer Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv 3

4 FIGUR 1.: PERSONOPLYSNINGER KAN OPDELES I FIRE KATEGORIER AF OPLYSNINGER: ALMINDELIGE PERSONOPLYSNINGER Oplysninger der ikke har følsom karakter. Navn, adresse, telefonnummer, adresse eller oplysninger om køb af varer eller ydelser (købshistorik) PERSONOPLYSNINGER CPR-NUMRE Brug af CPR-numre er særligt reguleret i persondataloven. Persondatalovens regler om CPR-numre gælder alene, hvis det fulde CPR-nummer registreres. Hvis det alene er de fire første cifre i kundens CPR-nummer, der registreres, er der tale om almindelige personoplysninger. SEMI-FØLSOMME PERSONOPLYSNINGER Oplysninger om straf bare forhold, væsentlige sociale problemer og andre rent private forhold. FØLSOMME PERSONOPLYSNINGER Oplysninger om race, etnicitet, politisk eller fagforeningsmæssigt tilhørsforhold, religiøs eller filosofisk overbevisning. Oplysninger, der angiver eller indikerer, at en person har en sygdom (eksempelvis oplysninger om køb af medicin eller hjælpemidler). Oplysninger, der angiver eller indikerer en persons religiøse overbevisning (eksempelvis at en person ønsker kosher mad). Når en kunde eksempelvis foretager et køb via din webshop, eller tilmelder sig et nyhedsbrev, og kundens navn, adresse, kreditkortoplysninger, adresse, eller hvilke varer kunden har købt, registreres, er der altså tale om personoplysninger, der er omfattet af persondatalovens regler. CPR-NUMRE Du må som altovervejende hovedregel kun registrere en kundes CPR-nummer, hvis kunden har givet sit samtykke. Det er eksempelvis ikke lovligt at benytte kundens CPR-nummer som kundenummer, med mindre kunden har givet sit samtykke, og der skal samtidig være tungtvejende grunde til, at der ikke kan benyttes en anden form for kundenummer. Dog er det lovligt at videregive en kundes CPR-nummer uden samtykke, når videregivelsen er et naturligt led i den normale drift af din virksomhed, og når videregivelsen er af afgørende betydning for at sikre en entydig identifikation af kunden eller kræves af en offentlig myndighed. Dette betyder eksempelvis, at hvis du leverer hjælpemidler til kunder, der er henvist af deres kommuner, og du i den forbindelse modtager en kundes CPR-nummer, vil du skulle have kundens 4 Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv

5 samtykke til at benytte dette til din egen registrering af kunden. Dog vil du godt kunne videregive CPR-nummeret til kommunen, hvis dette kræves af kommunen. I praksis vil du eksempelvis kunne bede kunden om at give sit samtykke til din registrering af kundens CPR-nummer som en del af en eventuel formular som kunden udfylder med sine oplysninger. HVORNÅR GÆLDER PERSONDATALOVEN? Persondataloven gælder altid, hvis alle kravene i figur 2 er opfyldt. Der foretages en behandling af personoplysninger, hver gang oplysningerne håndteres enten manuelt eller elektronisk. Når persondataloven taler om behandling skal dette altså forstås bredt. Behandling er ikke betinget af, at du aktivt vælger at anvende, systematisere eller læse personoplysninger FIGUR 2.: PERSONDATALOVEN GÆLDER ALTID HVIS ALLE KRAVENE NEDENFOR ER OPFYLDT: DIN VIRKSOMHED ER ETABLERET I DANMARK DE PERSONOPLYSNINGER, DU INDSAMLER OG BEHANDLER ER ELEKTRONISKE ELLER EN DEL AF ET REGISTER INDSAMLINGEN OG BEHANDLINGEN AF PERSONOPLYSNINGER FINDER STED INDEN FOR EU/EØS OMRÅDET PERSONDATALOVEN GÆLDER FOR DIN VIRKSOMHED HVORNÅR KAN PERSONOPLYSNINGER BEHANDLES LOVLIGT? Det er et grundlæggende krav i persondataloven, at personoplysninger altid skal behandles i overensstemmelse med god databehandlingsskik. Kravet gælder altid og for al form for behandling af personoplysninger. Eksempelvis gælder kravet også, selvom en person har givet sit samtykke til behandlingen af personoplysninger. Behandling af personoplysninger Din virksomhed anses for at behandle personoplysninger, hver gang der indsamles, opbevares, systematiseres, ændres, tilpasses eller slettes personoplysninger. Eksempelvis vil det være behandling af personoplysninger, når oplysningerne lægges ind i virksomhedens it-systemer. Ligesom god markedsføringsskik er begrebet god databehandlingsskik en dynamisk størrelse og det er derfor en god ide, at undergive din virksomheds persondatapolitik et juridisk tjek med jævne mellemrum. Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv 5

6 God behandlingsskik betyder at personoplysninger behandles i overensstemmelse med : tydeligt angivne formål (eksempelvis oprettelse af en brugerprofil), og at senere behandling af oplysningerne ikke er uforenligt med det oplyste formål. At der ikke må indsamles flere oplysninger end hvad der er nødvendigt og relevant (eksempelvis er CPR-nummer ikke altid relevant). At behandlingen af oplysningerne tilrettelægges så oplysningerne kan ajourføres, berigtiges og slettes når behandling af oplysningerne ikke længere er nødvendig. Hvis du eksempelvis ønsker at etablere en online kundeklub, vil du skulle definere det specifikke formål, hvortil oplysninger om kunder indsamles (eksempelvis oprettelse af profiler og markedsføring af specifikke tilbud til kunder). Samtidig skal du sikre, at der ikke indsamles oplysninger, der ikke er nødvendige for at opfylde disse formål. Det vil eksempelvis være relevant at indsamle oplysninger om kundens præferencer i forbindelse med, at kunden handler på din webshop. Derimod vil det kun sjældent være relevant at indsamle oplysninger om kundernes privatøkonomi eller civilstand. Du må kun behandle personoplysninger, hvis der er bemyndigelse til det. Der er bemyndigelse til behandling af almindelige personoplysninger, hvis et af følgendekrav er opfyldt: Kunden har givet sit udtrykkelige samtykke Behandlingen sker for at opfylde en aftale med den registrerede (det er eksempelvis nødvendigt for en webshop at kende kundens navn og adresse for at kunne sende varen). Behandlingen finder sted for at opfylde en retlig forpligtelse for din virksomhed (eksempelvis bogføring). Behandlingen er nødvendig for, at din virksomhed kan forfølge en berettiget interesse, og at hensynet til den kunde, hvis oplysninger behandles, ikke overstiger denne interesse. Eksempelvis vil din virksomhed kunne have en berettiget interesse i at behandle oplysninger om kunders adfærd, når kunderne besøger din webshop for at forbedre funktionalitet og brugeroplevelse. Denne interesse vil som hovedregel overstige hensynet til kunderne. Omvendt vil hensynet til kunden overstige din interesse i at offentliggøre kundernes navne og information om kundens køb i din webshop. 6 Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv

7 Behandling af følsomme og semi-følsomme oplysninger Følsomme og semi-følsomme oplysninger må som udgangspunkt alene behandles af din virksomhed, hvis kunden giver udtrykkeligt samtykke eller oplysninerne er gjort offentlige af kunden selv. Oplysninger om fagforeningsmæssigt tilhørsforhold (følsom oplysning) kan godt behandles, hvis det er nødvendigt for at overholde din virksomheds arbejdsretlige forpligtelser eller specifikke rettigheder. HVAD ER ET GYLDIGT SAMTYKKE? Hvis din behandling af personoplysninger er baseret på et samtykke fra den person som oplysningerne vedrører, skal du sikre, at samtykket er frivilligt, specifikt og informeret. Det betyder, at den person, der afgiver samtykket, skal være i stand til at gennemskue (og forstå) omfanget og konsekvenserne af samtykket. Eksempel på et samtykke, der ikke er tilstrækkeligt præcist: Jeg giver hermed samtykke til, at Virksomhed A/S må behandle mine personoplysninger i forbindelse med aktiviteter vedrørende salg og markedsføring. Virksomhed A/S er endvidere berettiget til at videregive mine oplysninger til Virksomhed A/S leverandører og samarbejdspartnere til brug for tilsvarende formål. Eksempel på et samtykke, der er tilstrækkeligt præcist: Jeg giver hermed samtykke til, at Virksomhed A/S må behandle mine personoplysninger til brug for administrationen af min profil på Virksomhed A/S online kundeklub. I det omfang jeg eksplicit har accepteret dette, er Virksomhed A/S endvidere berettiget til at benytte mine oplysninger i forbindelse med fremsendelse af særlige tilbud og events. Samtykke kan altid tilbagekaldes Adgangen til at tilbagekalde et samtykke skal være let og umiddelbar. Dette krav vil eksempelvis kunne opfyldes ved at angive følgende i forbindelse med, at kunden afgiver sit samtykke. Eks.: Du kan til enhver tid tilbagekalde dit samtykke ved at kontakte os på eller telefonnummer Hvis du vælger at tilbagekalde dit samtykke vil dette eventuelt kunne medføre, at du ikke længere kan anvende vores kundeklub. HVAD ER DEN REGISTREREDES/KUNDENS RETTIGHEDER? Som kunde har man en række rettigheder: Man har ret til at blive oplyst om, at ens personoplysninger behandles. Man har ret til løbende at få indsigt i, hvordan ens personoplysninger behandles Man har ret til at klage over, at ens personoplysninger behandles. Du er derfor ansvarlig for at sikre, at disse rettigheder overholdes. Rettighederne gælder i relation til alle former for indsamling og behandling af personoplysninger. Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv 7

8 RETTEN TIL AT BLIVE OPLYST Retten til at blive oplyst om behandlingen af personoplysninger betyder, at du skal oplyse om følgende, når du indsamler personoplysninger: Din virksomheds identitet (dvs. din virksomheds CVR-nummer, adresse og øvrige kontaktoplysninger). Formålene med indsamlingen og behandlingen af personoplysningerne. Reglerne om indsigt i og om berigtigelse af personoplysningerne. Hvilken type oplysninger der indsamles, og hvem der modtager oplysningerne. Denne oplysningspligt gælder også selvom det ikke er nødvendigt at indhente kundens samtykke. Eksempelvis kan oplysningerne gives til kunder via din virksomheds persondatapolitik eller i forbindelse med, at kunden selv angiver oplysningerne (eksempelvis hvor kunden indtaster oplysningerne online). Desuden skal du oplyse om alle yderligere oplysninger, der konkret er nødvendige for, at kunden kan varetage sine interesser. Det omfatter eksempelvis oplysninger om, hvilke konsekvenser det vil have, hvis kunden ikke afgiver de efterspurgte personoplysninger (eksempelvis at det begrænser muligheden for at gøre brug af tjenester eller købe produkter). RETTEN TIL INDSIGT Foruden de oplysninger, som du skal oplyse kunden om i forbindelse med indsamlingen af oplysninger om kunden, er kunden også berettiget til løbende at få indsigt i, hvilke oplysninger du behandler om kunden Retten til at få indsigt i behandlingen af personoplysninger betyder, at du på anmodning skal oplyse en kunde om: Hvilke oplysninger der behandles? Hvad formålet er med behandlingen? Hvem der får adgang til de indsamlede oplysninger? Information om, hvor personoplysningerne stammer fra. Hvis en person retter henvendelse til din virksomhed og anmoder om indsigt, skal du besvare anmodningen inden for 4 uger efter modtagelse. Hvis det ikke er muligt, skal du inden for 4 uger underrette den pågældende om grunden hertil, samt om, hvornår den endelige besvarelse kan forventes at foreligge. Ved omfattende anmodninger kan du undersøge muligheden for at opkræve et mindre gebyr for en skriftlig besvarelse. Anmodning om indsigt Har du besvaret en anmodning om indsigt, har kunden ikke krav på indsigt før efter 6 måneder, medmindre personen godtgør en særlig interesse heri. RETTEN TIL INDSIGELSER En kunde kan til enhver tid over for din virksomhed gøre indsigelse mod, at oplysninger om vedkommende behandles. Hvis indsigelsen er berettiget, er du forpligtet til ikke længere at behandle de pågældende oplysninger. 8 Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv

9 HVAD GÆLDER NÅR DU OVERFØRER PERSONOPLYSNINGER UDEN FOR EU/EØS Persondatalovgivningen i EU er baseret på et EU Direktiv. Det betyder, at alle medlemsstater, samt EØS landende, har det samme grundlæggende niveau for beskyttelse af personoplysninger. Derfor gælder der også et princip om, at personoplysninger frit kan overføres til andre lande inden for EU/ EØS området. Lande uden for EU/EØS området betragtes som ikke-sikre tredjelande og personoplysninger kan derfor, som udgangspunkt, ikke overføres til disse lande. Der er dog alligevel en række muligheder for at overføre personoplysninger til sådanne tredjelande. Når du overvejer at overføre personoplysninger til et land uden for EU/EØS området, er det vigtigt at være opmærksom på, at både faktisk og potentiel overførsel af personoplysninger betragtes som overførsel. Det betyder eksempelvis, at der vil være tale om overførsel af personoplysninger, hvis en it-leverandør i et tredjeland har fjernadgang til personoplysninger i et it-system i Danmark. Det er uanset om it-leverandøren ikke faktisk tilgår personoplysningerne. SAMTYKKE TIL OVERFØRSEL Persondataloven opstiller en række undtagelser til hovedreglen om, at du ikke kan overføre personoplysninger til tredjelande, som gør, at du kan overføre personoplysninger til lande uden for EU/ EØS området. Den, i praksis, mest relevante undtagelse er situationen, hvor der er givet samtykke til overførslen. Hvis overførslen af personoplysninger sker løbende, eksempelvis i forbindelse med din brug af et HR system, vil overførslen som udgangspunkt ikke kunne baseres på et samtykke. Grunden til dette er, at du som udgangspunkt ikke kan forvente, at den person hvis oplysninger behandles kan overskue konsekvenserne af et samtykke til løbende overførsel. Du vil derfor skulle sikre dig et andet grundlag for overførslen typisk ved indgåelse af Kommissionens Standardkontrakter. KOMMISSIONENS STANDARDKONTRAKTER Kommissionens Standardkontrakter er en standardaftale, der kan indgås mellem en virksomhed beliggende inden for EU/EØS området og en virksomhed beliggende i et tredjeland. Ved at indgå standardkontrakten påtager den virksomhed, der er beliggende i et tredjeland, at beskytte oplysningerne som de ville være beskyttet inden for EU/EØS. Hvis en virksomhed beliggende inden for EU/EØS området og en virksomhed beliggende i et tredjeland har indgået en dataoverførselsaftale baseret på standardkontrakt, kan EU/EØS-virksomheden lovligt overføre personoplysninger til virksomheden i tredjelandet, uden at indhente samtykke til overførelsen hos de enkelte persondatasubjekter. Hvis der er tale om følsomme personoplysninger, vil du dog skulle informere de berørte kunder om overførslen. Kommissionens Standardkontrakter Der findes grundlæggende to typer kontrakter. Den ene version er bestemt til overførsel af personoplysninger fra en EU/EØS-virksomhed til en virksomhed i et tredjeland, med henblik på denne virksomheds behandling af personoplysninger på vegne af EU/EØS-virksomhed (dataansvarlig til databehandler). Den anden version er bestemt til overførsel af personoplysninger fra en EU/EØSvirksomhed til en virksomhed i et tredjeland med henblik på denne virksomheds selvstændige brug af personoplysninger (dataansvarlig til dataansvarlig). Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv 9

10 Hvis overførsel af personoplysninger er baseret på indgåelse af en dataoverførselsaftale, som er baseret på en standardkontrakt uden ændringer, er det ikke nødvendigt at få Datatilsynets godkendelse for at overførslen er lovlig. Standardkontrakter skal indgås direkte mellem din virksomhed og den virksomhed, der behandler eller får adgang til personoplysninger uden for EU/EØS. Hvis du eksempelvis har en aftale med en dansk it-leverandør, der benytter en indisk underleverandør til behandling af personoplysninger, skal du altså indgå standardkontrakten direkte med den indiske underleverandør. Du kan ikke indgå en standardkontrakt direkte med en it-leverandør, der er beliggende inden for EU/EØS. Standardkontrakterne dækker alene overførsel af personoplysninger til leverandører eller underleverandører, der er beliggende uden for EU/EØS og som derfor ikke er underlagt EU s databeskyttelsesregler. Du kan med fordel kræve, at din it-leverandør udarbejder og indhenter underskrift på standardkontrakterne. Standardkontrakten kan også anvendes, hvis du overfører personoplysninger til selskaber inden for din koncern, der er beliggende uden for EU/EØS. Ek-sempelvis vil standardkontrakten kunne anvendes, hvis du overfører HR-oplysninger til dit moderselskab i USA, i forbindelse med, at du anvender moderselskabets centrale HR-system. Download Kommissionens Standardkontrakter Kommissionens Standardkontrakter kan hentes gratis via EU Kommissionens hjemmeside eller via Datatilsynets hjemmeside (datatilsynet.dk). BINDENDE VIRKSOMHEDSREGLER Bindende virksomhedsregler (Binding Corporate Rules) er en model, der kan anvendes af større koncerner med henblik på at sikre lovlig overførsel af personoplysninger inden for koncernen til de af koncernens virksomheder, der er beliggende uden for EU/EØS området. For at etablere bindende virksomhedsregler, skal du udarbejde et bindende regelsæt for koncernens virksomheder, der skal godkendes af datatilsynene i de EU lande, hvor koncernens virksomheder er beliggende. Det er normalt en omfattende proces, at etablere bindende virksomhedsregler og du vil som oftest have brug for at kontakte en ekstern rådgiver, der kan hjælpe med processen. SAFE HARBOR Safe Harbor-ordningen er i oktober 2015 blevet kendt ugyldig af EU Domstolen i forbindelse med en sag anlagt mod Facebook. Derfor kan danske virksomheder ikke længere basere overførsel af personoplysninger til USA på Safe Harbor-ordningen. Hvis leverandører eller samarbejdspartnere tilbyder dette, som en del af deres vilkår, bør du derfor indgå en standardkontrakt i stedet. Der er blevet indgået en aftale mellem EU og USA om en ny ordning betegnet EU-US Privacy Shield. Denne ordning forventes at træde i kraft i foråret Det er i skrivende stund ikke klart, hvordan ordningen kommer til at fungere, men det må forventes, at ordningen i lighed med Safe Harborordningen vil gøre det lovligt at overføre personoplysninger til virksomheder i USA, der har tilsluttet sig ordningen. HVILKE KRAV ER DER TIL INDGÅELSE AF IT-, OUTSOURCING- OG CLOUD-AFTALER? Der anvendes ofte it-leverandører i forbindelse med din virksomheds daglige drift. Hvis du vælger 10 Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv

11 at lade dele af it-driften outsource, eller anvender du online applikationer/tjenester, vil det ofte også betyde, at personoplysninger behandles af en ekstern it-leverandør. Det kan eksempelvis være ved anvendelse af elektroniske betalingstjenester, mailtjenester, online kundekartoteker, webhosting eller ved helt eller delvis outsourcing at din virksomheds it-drift. Du er forpligtet til at sikre, at den behandling af personoplysninger, der foretages af eksterne it-leverandører, er i overensstemmelse med persondatalovens regler og alene sker under instruks fra din virksomhed. Det betyder i praksis, at der skal indgås en databehandleraftale mellem din virksomhed og it-leverandøren. Det kan enten ske i form af en selvstændig aftale eller indeholdt som et afsnit i serviceaftalen/leveranceaftalen mellem din virksomhed og it-leverandøren. Bagerst i disse retningslinjer kan du finde et eksempel på, hvilke bestemmelser du kan anvende i aftaler med leverandører, der behandler personoplysninger på vegne af din virksomhed. Hvis der anvendes en it-leverandør, som behandler og/eller tilgår personoplysninger fra lande uden for EU/EØS, skal reglerne om afsnit: Hvad gælder når du overfører personoplysninger uden for EU/EØS, Samtykke til overførsel og afsnit Kommisionens standartkontrakter på s.9 følges. Dette er særligt vigtigt at være opmærksom på i forhold til online- og cloud-tjenester, da disse typisk leveres ud af flere globale lokationer. Det vil ofte ikke være muligt, eller vanskeligt, for leverandøren at begrænse, hvor oplysningerne er lagret geografisk eller hvorfra oplysningerne tilgås. Dette skyldes, at cloud-tjenester ofte er bygget op omkring et globalt leverancesetup for at optimere og minimere omkostninger. De enkelte servere eller services kan derfor ikke udskilles til mindre lokale enheder, da dette ødelægger selve den forretningsmodel, som systemet er opbygget efter. Reglsæt ved indgåelse af it-, outsourcing- og cloud-aftaler Det skal af databehandleraftalen tydeligt fremgå, at it-leverandøren er underlagt samme regelsæt for behandling af personoplysninger som din virksomhed, og at it-leverandøren kun foretager behandling af personoplysningerne på instruks fra din virksomhed. FIGUR 3.: HVAD SKAL DU VÆRE OPMÆRKSOM PÅ, NÅR DU INDGÅR IT-AFTALER: Lagres eller behandles der overhovedet personoplysninger i de it-systemer eller cloud tjenester, der hostes, vedligeholdes eller leveres af eksterne it-leverandører? Er der indgået en databehandlingsaftale eller indeholder aftalen med it-leverandøren bestemmelser, der forpligter it-leverandøren til alene at behandle personoplysninger i henhold til din virksomheds instruks og sikre, at personoplysninger opbevares og behandles sikkert? Ved du, hvor it-leverandøren og dennes underleverandører opbevarer og tilgår personoplysninger fra? Hvis personoplysninger opbevares eller tilgås af it-leverandøren fra lande uden for EU/EØS, er der så indgået en dataoverførselsaftale (Kommissionens Standardkontrakt) mellem din virksomhed og it-leverandøren? Har du mulighed for at kontrollere it-leverandørens behandling af dine personoplysninger (eksempelvis via revision). Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv 11

12 HVAD GÆLDER FOR KØB, SALG OG VIDEREGIVELSE AF PERSONOPLYSNINGER TIL BRUG VED MARKEDSFØRING? Du må ikke videregive personoplysninger om en kunde til en anden virksomhed. Heller ikke til brug for markedsføring. Du må heller ikke anvende oplysningerne på vegne af en anden virksomhed til brug for markedsføring af denne virksomheds vare eller ydelser. Det betyder, at virksomheder ikke må sælge eller videregive personoplysninger om en forbruger til samarbejdspartnere eller associerede virksomheder. Det er kun tilladt, hvis kunden (forbrugeren) har samtykket til, at oplysningerne bliver videregivet. Det gælder også inden for virksomhedens egen koncern. Uden samtykke er det ikke lovligt at dele personoplysninger om en kunde (forbruger), der eksempelvis er mobilabonnent hos et selskab, med søsterselskabet, som forhandler internetløsninger. Det er derfor vigtigt, at virksomheden allerede i forbindelse med indsamling af oplysningerne sikrer et samtykke, som dækker din virksomheds behov 1. Er der givet samtykke til markedsføring og givet samtykke til overførslen? - Hvis ja, til markedsføring af hvilke ydelser/produkter? 2. Giver samtykket mulighed for at videregive oplysningerne til en anden erhvervsdrivende? - Giver samtykket mulighed for at videregive oplysningerne til en datter/søsterselskab? Hvis samtykke ikke allerede er givet, skal du være opmærksom på, at et efterfølgende samtykke skal indhentes i overensstemmelse med reglerne i markedsføringslovens 6 (spam reglerne). Det betyder eksempelvis, at du ikke må rette henvendelse til forbrugeren via for at indhente samtykket. VIRKSOMHEDENS LOYALITETS- OG BONUSKLUBBER Mange virksomheder opretter loyalitets- eller bonusklubber, hvor medlemmer opnår særlige rabatter og tilbud. Der indsamles og behandles i den forbindelse oplysninger om kundernes købshistorik, kundeprofil mv. Sådanne oplysninger er personoplysninger, hvis de kan henføres til en specifik kunde. Dette betyder også, at virksomheden skal informere kunderne om og sikre samtykke til den specifikke behandling af personoplysninger. Hvis oplysningerne skal bruges til markedsføring, skal kravene i Hvad er et gyldigt samtykke s.7 også overholdes. 12 Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv

13 Hvis virksomheden som en del af loyalitetsklubben foretager markedsføring på vegne af andre virksomheder, eksempelvis i form af tilbud fra disse virksomheder, skal virksomheden opfylde følgende krav: Der skal være en naturlig sammenhæng mellem loyalitetsklubben og de ydelser, der markedsføres via loyalitetsklubben. Der skal gives præcis information om de andre virksomheder, som virksomheden vil foretage markedsføring på vegne af. Virksomheden skal informere om, hvorvidt der senere kan blive tilknyttet yderligere samarbejdspartnere til loyalitetsklubben.. Hvis der kommer nye samarbejdspartnere til, så skal medlemmerne informeres og gives 14 dages frist til at gøre indsigelse. Det er eksempelvis lovligt at oprette en loyalitets- og bonusklub, hvor oplysninger om kundernes køb registreres og kunderne herefter tilbydes særlige rabatter eller fordelagtige tilbud ud fra kundens tidligere køb, når blot kunden har givet sit samtykke og er blevet informeret om behandlingen af kundens personoplysninger. Det er dog vigtigt at bemærke, at kundens samtykke altid er påkrævet. HVORDAN SKAL DU BESKYTTE PERSONOPLYSNINGER? Virksomheder, der behandler personoplysninger, skal ifølge persondataloven træffe fornødne tekniske og organisatoriske sikkerhedsforanstaltninger for at beskytte de personoplysninger, der behandles af virksomheden. Persondatalovens bestemmelser om sikkerhed er blandt persondatalovens mest grundlæggende krav. I praksis er sikkerhed en dynamisk størrelse, der udvikler sig i takt med teknologien og det aktuelle trusselsbillede. De sikkerhedsforanstaltninger der i dag er nødvendige for at sikre en tilstrækkelig sikkerhed, er ikke de samme som de foranstaltninger, der var nødvendige og tilgængelige i går. Loven foreskriver ikke de specifikke foranstaltninger, der skal træffes og du skal derfor løbende sikre, at din virksomheds beskyttelse af personoplysninger er tilstrækkelig ud fra de konkrete risici forbundet med din virksomheds brug af personoplysninger. Det er vigtigt, at du gør dig klart, at overholdelse af persondatalovens sikkerhedsregler er en opgave, der involverer hele virksomheden. Selv om mange af de foranstaltninger, der er nødvendige for at sikre tilstrækkelig sikkerhed i praksis, ofte vil være tæt knyttet til din virksomheds it-infrastruktur, er etableringen af fornødne sikkerhedsforanstaltninger ikke blot et anliggende for it-afdelingen. Det kan også betyde ændring af arbejdsgange eller omlægning af administrative opgaver for virksomhedens øvrige afdelinger. Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv 13

14 TABEL 1.: HVILKE ELEMENTER BØR INDGÅ I VIRKSOMHEDENS BESKYTTELSE AF PERSON- OPLYSNINGER? SIKKERHED EMNER HVAD SKAL DIN VIRKSOMHED GØRE Tekniske Ulovlig adgang og misbrug af data Du bør sikre, at din virksomheds it-systemer er beskyttet mod ulovlig indtrængen eller misbrug af personoplysninger. Sikkerhed der bør overvejes er eksempelvis adgangskontrol (password) til it-systemer og applikationer (programmer/apps), sikring af netværk (eksempelvis password til wifi eller intranet, firewall, intrusion detection), logning af brug af it-systemer og kryptering af følsomme data. Tab eller beskadigelse af data Du bør sikre, at personoplysninger ikke fortabes, beskadiges eller ændres utilsigtet. Derfor bør du sikre, at der tages nødvendig back-up af data. Fysiske Uretmæssig adgang til virksomheden. Tilstrækkelig sikkerhed betyder også, at virksomheden skal sikre det ydre værn mod ulovlig indtrængen både i virksomheden og i virksomhedens systemer. Organisatoriske Overblik over persondatabehandling Du skal have overblik over virksomhedens behandling af personoplysninger og de funktioner i virksomheden, der behandler personoplysninger (eksempelvis HR, Salg). Processer og retningslinjer Du bør sikre, at der er klare processer og retningslinjer for, hvordan din virksomheds enkelte funktioner behandler personoplysninger. Eksempelvis bør der være klare retningslinjer for, hvem der har adgang til kundeoplysninger og hvordan oplysningerne kan anvendes. Undervisning af medarbejdere Du bør sikre, at de medarbejdere, der behandler personoplysninger er uddannet i din virksomheds retningslinjer og ved hvilke regler, der gælder. Du kan overveje at søge vejledning i en anerkendt sikkerhedsstandard. Som eksempel kan nævnes ISO 27001, der er en generel standard for informationssikkerhed, der kan rekvireres via iso.org. Det er vigtigt at være opmærksom på, at det altid er dig, der er ansvarlig for, at din virksomhed behandler personoplysninger sikkert. Dette ansvar gælder også selv om din virksomhed benytter en ekstern leverandør (eksempelvis en it-leverandør) til behandlingen. Du skal derfor altid sikre dig, at du er bekendt med de sikkerhedsforanstaltninger, der er implementeret for at beskytte din virksomheds personoplysninger. 14 Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv

15 HVILKE KRAV GÆLDER FOR VIRKSOMHEDENS RISIKOVURDERING OG SIKKERHEDSPOLITIK Virksomhedens sikring af et tilstrækkeligt beskyttelsesniveau bør tage udgangspunkt i en risikovurdering af virksomhedens datasikkerhed. Den typiske fremgangsmåde, der anvendes i forbindelse med gennemførelsen af en risikoanalyse, omfatter en overordnet vurdering af de risici, der er forbundet med virksomhedens persondatabehandling og brug af informationsteknologi. Et eksempel på en risiko, der bør behandles i en risikoanalyse er risikoen for, at personoplysninger behandles til formål, der ikke er forenelige med det formål, de er indsamlet til (eksempelvis at virksomheden har indsamlet oplysningerne til brug for et log-in, men nu bruges de til at målrette annoncerne på hjemmesiden, hver gang brugeren er logget ind). Ved at afdække denne risiko gennem risikoanalysen, kan du lave en procedure for dokumentation af de formål, som personoplysninger er indsamlet til og sikre, at efterfølgende behandlinger af oplysningerne ikke er uforenelige med det formål. Du bør gennemgå risikoanalysen regelmæssigt for at sikre, at din virksomheds foranstaltninger til sikring af sikkerhed, afspejler det aktuelle trusselsbillede. HVAD GÆLDER NÅR DU ANVENDER COOKIES? Cookies er små tekstfiler, der gemmes på brugerens computer, tablet, telefon eller andet it-udstyr, når en bruger besøger en hjemmeside. Cookies gør det muligt at indsamle information om brugerens adfærd på hjemmesiden. Det kan være alt fra statistisk data, eller data, der hjælper til at optimere markedsføringen på hjemmesiden, til data der vedrører brugerens sprogpræferencer eller brug af en indkøbskurv. Data indsamlet fra Cookies vil derfor som udgangspunkt være personoplysninger. Brugen af Cookies reguleres derfor foruden af cookiebekendtgørelsen også af persondataloven. Cookies er almindelig anvendt og indgår som en integreret del af de fleste hjemmesideløsninger. Bannerannoncer på hjemmesider vil ofte placere Cookies, ligesom links i form af like -henvisninger til eksempelvis Facebook, Twitter eller Instagram ofte også vil placere en Cookie som en del af linket. Brugeren af en hjemmeside skal acceptere, at der placeres Cookies på brugerens udstyr. Cookievejledning Der henvises i øvrigt til Erhvervsstyrelsens cookievejledning, der kan hentes på Erhvervsstyrelsens hjemmeside: Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv 15

16 FIGUR 4.: NÅR EN BRUGER AF DIN VIRKSOMHEDS HJEMMESIDE SKAL ACCEPTERE, AT DER PLACERES COOKIES, SKAL BRUGEREN OPLYSES OM: TYPE Hvilke Cookies der anvendes OPLYSNINGER OM COOKIES FORMÅL Hvad formålet med placeringen af Cookien er (eksempelvis, at du bruger Cookies til statistik eller målrettet markedsføring til brugeren) HVEM BRUGER DEN Hvem der placerer Cookies (er det kun din virksomhed selv, eller anvendes tredjepart Cookies, som eksempelvis Google Analytics) AFVISNINGS MULIGHED Brugerens mulighed for ikke at acceptere lagring af Cookies, eller at tilbagekalde sin accept. UDLØBSDATO Hvor længe er Cookies gemt på brugerens udstyr (en Cookie vil normalt være sat til at have et bestemt udløbstidspunkt) HVORNÅR MÅ DU FORETAGE TV-OVERVÅGNING? Brug af tv-overvågning er underlagt både TV-overvågningslovens og persondatalovens regler. TV-overvågningsloven opstiller de grundlæggende regler for, hvor en virksomhed lovligt kan foretage TV-overvågning. Persondatalovens regler finder anvendelse i forhold til behandlingen af de personoplysninger, der er en følge af TV-overvågningen. TV-OVERVÅGNINGSLOVEN Udgangspunktet i TV-overvågningsloven er, at du ikke må foretage TV-overvågning af gade, vej, plads eller lignende område, som benyttes til almindelig færdsel. Derimod kan du lovligt foretage TV-overvågning af din virk-somheds egne lokaler. TV-overvågningsloven opstiller desuden en række undtagelser, hvorefter visse typer af virksomheder lovligt kan foretage TV-overvågning af offentlige områder (eksempelvis butikscentre, hæveautomater mv.). For at TV-overvågning af steder eller lokaler, hvortil der er almindelig adgang eller af arbejdspladser anses for lovlig, skal du tydeligt skilte med, at der foretages TV-overvågning. 16 Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv

17 PERSONDATALOVEN OG TV-OVERVÅGNING De almindelige regler i persondataloven, der er gældende for anden behandling af personoplysninger, gælder tilsvarende for behandlingen af optagelser fra TV-overvågning, hvori der indgår personoplysninger (eksempelvis optagelser af personer). Derudover opstiller persondataloven en række begrænsninger i forhold til, hvornår optagelser fra TV-overvågning med henblik på kriminalitetsforebyggelse kan videregives. Med mindre du er forpligtet til at videregive optagelser i henhold til anden lovgivning, er det således alene lovligt at videregive optagelser, hvis: (a) den person der optræder på optagelserne har givet sit samtykke til videregivelsen, eller (b) videregivelsen sker til politiet i kriminalitetsopklarende øjemed. Som udgangspunkt skal du slette optagelser senest 30 dage efter, at optagelserne er foretaget. Dog kan du opbevare optagelser længere, hvis det er nødvendigt for behandlingen af en konkret tvist. I dette tilfælde skal du dog underrette den som tvisten vedrører og på anmodning udlevere en kopi af optagelsen. Du er som udgangspunkt ikke forpligtet til at anmelde TV-overvågning til Datatilsynet. OPTAGELSE AF TELEFONSAMTALER Du kan som udgangspunkt optage telefonsamtaler, der eksempelvis foretages af kundeservice, forudsat at medarbejderne forinden er informeret herom. Desuden skal de kunder, der ringer til kundeservice også informeres om, at samtalen optages og optagelse af samtalen er kun lovlig, hvis dette sker til et sagligt formål så som træning og behandling af klager. De kunder der op-tages skal havde de samme oplysninger som de, der fremgår af Retten til at blive oplyst s.8. I praksis kan oplysningerne eksempelvis gives ved, at der inden samtalen påbegyndes gives en automatisk besked om, at samtalen optages og til hvilke formål optagelsen foretages. BEHANDLING AF MEDARBEJDEROPLYSNINGER Såvel i forbindelse med selve ansættelsen, som under ansættelsesforholdets beståen, vil der typisk blive indsamlet en række personoplysninger om medarbejderen som eksempelvis navn, adresse, eksamensbevis(er), helbredserklæringer, oplysninger om fagforeningsforhold osv. Oplysningerne indføres normalt i et personaleregister, der føres enten manuelt eller elektronisk eller som en kombination heraf. Dermed er oplysningerne omfattet af persondatalovens regler. Det indebærer, at: (a) du kun må indsamle personoplysninger til udtrykkeligt angivne og saglige formål, (b) personoplysningerne skal være relevante og tilstrækkelige og ikke omfatte mere end hvad der kræves til opfyldelse af disse formål, og at (a) personoplysningerne ikke må opbevares i et længere tidsrum end nødvendigt. På Dansk Erhvervs hjemmeside kan du finde uddybende retningslinjer for, hvordan du må indsamle og behandle personoplysninger om dine medarbejdere. Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv 17

18 FREMTIDSPERSPEKTIVER OG HVORDAN DU FÅR STYR PÅ PERSONDATA COMPLIANCE NY PERSONDATAFORORDNING I slutningen 2015 blev den endelige tekst til EU s ny databeskyttelsesforordning vedtaget. Forordningen kommer til at betyde en række ændringer af de krav, der stilles til din virksomheds behandling af personoplysninger. Den nye persondataforordning træder i kraft i De væsentligste nye regler, der har betydning for din virksomhed er: Den registreredes rettigheder. Oplysning: Ved indsamling af personoplysninger skal der oplyses om, hvilket hjemmelsgrundlag der anvendes, så som opfyldelse af en aftale eller samtykke. Ret til at blive glemt: Den registrerede får en ret til at blive glemt. Risikoanalyse. Før du behandler personoplysninger skal du foretage en analyse af konsekvensen af de påtænkte behandlinger. Indarbejde persondatabeskyttelse (Privacy by design and by default). Når du udvikler nye produkter, ydelser eller forretningsgange skal du tage persondatabeskyttelse med i dine overvejelser og sikre, at kunder altid som udgangspunkt beskyttes bedst muligt. Rapportering af databrud. Du vil være forpligtet til at underrette myndigheder og kunder om eventuelle brud på din virksomheds sikkerhed, hvis kunders personoplysninger er blevet kompromitterede. Dokumentation af compliance. Du vil skulle dokumentere, hvordan din virksomhed overholder de persondataretlige regler og løbende føre en fortegnelse over de kategorier af persondatabehandling som foretages af din virksomhed. Databeskyttelsesofficer. Nogle virksomheder vil være forpligtet til at udpege en databeskyttelsesofficer, der er ansvarlig for virksomhedens behandling af personoplysninger. Som udgangspunkt vil det særligt være virksomheder, der monitorerer personer i stort omfang eller som behandler mange følsomme personoplysninger, der vil skulle udpege en databeskyttelsesofficer. 18 Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv

19 DEN REGISTREREDES RETTIGHEDER De regler du i fremtiden skal være opmærksom på i forhold til de registreredes rettigheder er i al væsentlighed svarende til de regler, der er gengivet i punkterne af Retten til at blive oplyst og Retten til insigelser s.8. I fremtiden vil du dog også skulle oplyse dine kunder om, hvilket juridisk grundlag du har baseret indsamlingen og behandlingen af personoplysninger på. I praksis betyder dette, at du eksempelvis vil skulle angive, hvis behandlin-gen af personoplysninger er baseret på kundens samtykke eller er nødvendig for, at du kan opfylde gældende lovgivning (eksempelvis indberetning af skatteoplysninger om medarbejdere). RISIKOANALYSE, INDARBEJDELSE AF PERSONDATABESKYTTELSE OG DOKUMENTATION AF COMPLIANCE Reglerne om risikoanalyse, indarbejdelse af persondatabeskyttelse og dokumentation af compliance betyder grundlæggende, at du i fremtiden vil skulle overveje persondatabeskyttelse i forhold til alle aspekter af din virksomhed, herunder nye produkter og forretningsprocesser. I praksis vil du skulle vurdere, om der er særlige risici i forhold til den måde, hvorpå din virksomhed behandler og beskytter personoplysninger, hver gang din virksomhed udvikler et nyt produkt eller forretningsproces. Du skal endvidere kunne dokumentere, hvordan din virksomhed behandler personoplysninger, og at du har foretaget en risikovurdering i forhold til de enkelte former for behandling. Det er derfor væsentligt, at du fremadrettet husker at overveje persondatabeskyttelse i driften af din virksomhed og dokumenterer, når din virksomhed vælger at behandle personoplysninger. Desuden vil du løbende skulle føre en oversigt over, hvordan din virksomhed behandler personoplysninger og hvordan du overholder forordningens regler. RAPPORTERING AF DATABRUD Hvis din virksomhed oplever et brud på datasikkerheden, hvor der er risiko for, at personoplysninger er blevet kompromitterede, vil du med indførelsen af de nye regler skulle underrette Datatilsynet og de personer hvis oplysninger er blevet kompromitterede, om bruddet. Konkret vil underretningen skulle foretages senest 72 timer efter, at du er blevet bekendt med, at personoplysningerne er blevet kompromitterede, og du vil skulle underrette de berørte personer uden ugrundet ophold. I praksis vil du derfor med fordel kunne udarbejde en plan for, hvordan din virksomhed skal håndtere et brud på din virksomheds datasikkerhed, således at der foreligger klare retningslinjer for hvordan virksomhedens medarbejdere skal agere i situationen. BØDER FOR OVERTRÆDELSE AF REGLERNE Med den ny forordning indføres der også væsentligt skærpede bøder for overtrædelse af de persondataretlige regler, og overtrædelse af reglerne kan derfor i fremtiden have stor økonomisk betydning. Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv 19

20 TABEL 2.: HVILKE OVERTRÆDELSER UDLØSER BL.A. BØDE BØDENIVEAU Bøde op til eller 2% af din virksomheds årlige globase omsætning. HVILKE OVERTRÆDELSER UDLØSER BL.A. BØDE Manglende overholdelse af regler vedrørende behandling af personoplysninger om børn Manglende overholdelse af regler om privacy by design and by default Manglende samarbejde med databeskyttelsesmyndigheder Manglende overholdelse af sikkerhedskrav eller underretning om databrud Manglende udarbejdelse af risikoanalyse Manglende overholdelse af regler om databeskyttelsesofficer (Data Protection Officer) Bøde op til eller 4% af din virksomheds årlige globale omsætning. Behandling af personoplysninger uden behandlingshjemmel Manglende overholdelse af reglerne om indsigt eller rettelse af oplysninger Ulovlig overførsel af personoplysninger uden for EU/EØS HVORDAN FÅR DU STYR PÅ COMPLIANCE At få styr på compliance af personoplysningsreglerne er omfattende og tidskrævende, og det er derfor vigtigt at skabe sig et overblik og gå systematisk til værks. Det første skridt til at få styr på compliance er at lave en data flow mapping over indsamling af personoplysninger, organisationens struktur, it-systemer og data flows (dvs. et landkort over de virksomheder, leverandører systemer og brugere, der har adgang til og behandler personoplysninger). Ved at udarbejde en oversigt over din virksomheds behandling af personoplysninger, kan du få et overblik over de tiltag, der er nødvendige for, at du kan overholde persondatalovgivningen. FIGUR 5.: OVERSIGT OVER DIN VIRKSOMHEDS BEHANDLING AF PERSONOPLYSNINGER Din virksomhed It-systemer It-leverandør Underleverandør Kina USA Datterselvskaber Kunder 20 Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv

21 FIGUR 6.: UD FRA OVERSIGTEN, BØR DU FOR HVER ENKELT BEHANDLING AF PERSONOP- LYSNINGER OVERVEJE FØLGENDE: SAMTYKKE? Har du lov til at behandle personoplysningerne? RISICI Hvilke risici er forbundet med behandlingen? GODKENDELSE FRA DATATILSYNET Skal du have godkendelse fra Datatilsynet? PERSONOPLYSNING DATABEHANDLINGS- AFTALER Er der indgået databehandlingsaftaler med evt. leverandører, der behandler personoplysningerne? SIKKERHED Har du styr på sikkerheden i forhold til behandlingen af personoplysninger? DATAOVERFØRSELS- AFTALER Overføres personoplysningerne til lande uden for EU/EØS, og er der indgået dataoverførselsaftale? Hvis din virksomhed behandler mange personoplysninger, kan det være en god ide at søge rådgivning fra en specialist, der kan hjælpe med at identificere, hvilke tiltag du bør foretage. Du bør også overveje, hvordan du løbende vil sikre, at du overholder reglerne om persondatabeskyttelse. Dette vil ofte kræve, at du udarbejder procedurer og politikker for, hvordan din virksomhed beskytter personoplysninger. En måde du i praksis kan systematisere, hvordan din virksomhed løbende sikrer personoplysninger er at anvende en risikostyringstilgang. Denne metode betyder, at hver enkelt del af organisationen skal forholde sig til følgende spørgsmål, i forhold til hvordan personoplysninger behandles i din virksomhed: Hvilke risici er der ved behandlingen af personoplysnin-gerne og hvad er de mulige konsekvenser Hvordan kan disse risici overvåges og kontrolleres hvilke foranstaltninger er nødvendige for at imødegå risici (henset til konsekvenser og sandsynlighed)? Hvordan kan du løbende evaluere, om foranstaltningerne er effektive og om der er nye risici, der skal tages i betragt-ning? Det er vigtigt, at din virksomheds bestræbelser på at overholde reglerne om persondatabeskyttelse forankres i hele virksomhedes og ikke kun i it-afdelingen eller i den juridiske afdeling. Beskyttelsen af personoplysninger kræver, at alle dele af organisationen har fokus på opgaven og løbende vurderer, om den behandling af personoplysninger, der foretages af en del af organisationen udgør en risiko. HVAD SKAL DU GØRE FREM TIL PERSONDATAFORORDNINGEN TRÆDER I KRAFT? Du kan med fordel bruge tiden frem til at persondataforordningen træder i kraft til at sikre, at din virksomhed er klar til at overholde reglerne. Dette kan være en omfattende øvelse, men der er en række enkle tiltag du kan igangsætte, med henblik på din virksomheds fremadrettede overholdelse af reglerne. Vi har samlet en tjekliste over tiltag. Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv 21

22 TABEL 3.: TILTAG TIL DIN VIRKSOMHEDS FREMADRETTEDE OVERHOLDELSE AF REGLERNE: TILTAG HVAD SKAL DU GØRE Skab overblik Skab overblik over de personoplysninger, som din virksomhed indsamler og behandler (data flow mapping). Sammen med de medarbejdere, der har indsigt i din virksomheds it-systemer, forretningsprocesser og HR processer kan du gennemgå din virksomheds enkelte afdelinger og identificere, hvilke personoplysninger, der indsamles og behandles. Du bør som minimum dokumentere, hvilke kategorier af persondatabehandling, der foretages i din virksomhed. Det bør i den forbindelse dokumenteres hvilke personoplysninger, der behandles, hvad der er formålet med behandlingen og hvordan oplysningerne behandles. Tjek at der er behandlingshjemmel Vurder om du har lov til at behandle personoplysninger. For hver indsamling og behandling af personoplysninger, bør du vurdere, om din virksomhed har lov til at behandle oplysningerne, herunder om du opfylder de krav, der er angivet under punkt 0. Overvej også om din virksomhed bør anmelde behandlingen af personoplysninger - eksempelvis din virksomheds HRadministration. Etabler rutiner for sletning af personoplysninger Undersøg om du har indgået databehandleraftaler og aftaler om overførsel af personoplysninger til modtagere uden for EU/EØS med din virksomheds leverandører, herunder særligt med din virksomheds it-leverandører. Du bør i alle aftaler som din virksomhed har indgået med leverandører, der har adgang til personoplysninger have bestemmelser, der opfylder de krav, der fremgår af Hvilke krav er der til it-, outsourcing - og colud-aftaler? s.10. Hvis en leverandør eller dennes underleverandør er beliggende uden for EU/EØS og har adgang til personoplysninger, skal du endvidere indgå en dataoverførselsaftale som beskrevet i afsnit Kommissionens standardkontrakter s.9 Etabler politikker og procedurer Etabler en persondatapolitik. Start arbejdet med at udarbejde retningslinjer for, hvordan din virksomhed behandler personoplysninger og hvilke sikkerhedsforanstaltninger som din virksomhed anvender for at beskytte personoplysninger. Samtidig kan du med fordel også beskrive din virksomheds procedurer i tilfælde af et brud på din virksomheds datasikkerhed. Hvis din virksomhed ikke har en juridisk afdeling, kan du overveje at inddrage en ekstern rådgiver. 22 Retningslinjer for overholdelse af regler om databeskyttelse / Dansk Erhverv

23 Kontakt Dansk Erhverv spørgsmål vedrørende den persondataretlige behandling af medarbejderoplysninger skal stiles til Hotlinen på T sven petersen Erhvervsjuridisk fagchef T M martin jørgensen Advokat, chefkonsulent T M Eksempler på bestemmelser til databehandlingsaftale: Nedenfor finder du eksempler på bestemmelser, som du kan anvende i forbindelse med, at din virksomhed indgår aftaler med leverandører (eksempelvis it-leverandører), der vil udføre behandling af personoplysninger på vegne af din virksomhed. 1. Instruks, sikkerhed, opfølgning mv. 1.2 Leverandøren må alene behandle personoplysninger i henhold til Kundens instruks, herunder som led i leveringen af de aftalte Ydelser i henhold til Aftalen. 1.3 Leverandøren skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lov om behandling af personoplysninger. 1.4 Leverandøren skal på Kundens anmodning give Kunden tilstrækkelige oplysninger og dokumentation til, (i) at Kunden kan påse, at de nævnte tekniske og organisatoriske sikkerhedsforanstaltninger er truffet, (ii) at Kunden kan verificere, at personoplysninger alene behandles af Leverandøren i henhold til Kundens instruks samt (iii) at Kunden kan opfylde sine forpligtelser i henhold til lov om behandling af personoplysninger. 1.5 Leverandøren skal give relevante myndigheder adgang til at foretage inspektion af Leverandørens be hand-ling af personoplysninger og skal, efter anmodning, yde sådanne myndigheder assistance i forbindelse med gennemførelsen af inspektion. 1.6 Leverandøren skal straks informere Kunden, såfremt Leverandøren bliver opmærksom på sikkerhedsbrud, herunder at Kundens personoplysninger hændeligt eller ulovligt er tilintetgjort, fortabt, forringet, er kommet til uvedkommendes kendskab, misbrugt eller i øvrigt behandlet i strid med lov om behandling af per sonoplysninger. 1.7 Leverandøren må ikke uden Kundens skriftlige samtykke eksportere personoplysninger til modtagere, herunder underleverandører, der er beliggende i lande uden for EU/EØS-området. Såfremt Kunden samtykker til sådan eksport af personoplysninger skal Leverandøren foranledige, at der indgås dataover førselsaftaler baseret på EU Kommissionens Standardkontraktbestemmelser mellem Kunden og modtagen af personoplys-ningerne uden for EU/EØS-området.

DANSK ERHVERV ERHVERVSJURA RETNINGSLINJER FOR OVERHOLDELSE AF REGLER OM PERSONDATABESKYTTELSE

DANSK ERHVERV ERHVERVSJURA RETNINGSLINJER FOR OVERHOLDELSE AF REGLER OM PERSONDATABESKYTTELSE fremtiden starter her... DANSK ERHVERV ERHVERVSJURA RETNINGSLINJER FOR OVERHOLDELSE AF REGLER OM PERSONDATABESKYTTELSE Introduktion 3 Grundlæggende om persondatabeskyttelse 3 Hvad gælder for køb, salg

Læs mere

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD INDHOLD INDHOLD... 1 1. Baggrund... 2 2. Definitioner... 2 3. Behandling af personoplysninger... 3 4. Behandlinger uden instruks... 3 5. Sikkerhedsforanstaltninger... 3 6. Underdatabehandling... 4 7. Overførsel

Læs mere

Det skal du have styr pa inden 2018

Det skal du have styr pa inden 2018 Det skal du have styr pa inden 2018 Nedenfor kan du få et overblik over, hvad din virksomhed skal have styr på inden den ny persondataforordning træder i kraft. Dataansvarlig eller databehandler I persondatalovens

Læs mere

Databehandleraftale. mellem. [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler)

Databehandleraftale. mellem. [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler) Databehandleraftale mellem [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler) og Hedensted Kommune Horsens Kommune Odder Kommune Niels Espes Vej 8 Rådhustorvet 4 Rådhusgade

Læs mere

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT DATABEHANDLERAFTALE Aftale omkring behandling af persondata Udarbejdet af: Mentor IT Aftalen Denne databehandleraftale (Aftalen) er er et tillæg til den indgåede kontrakt mellem kunden (Dataansvarlig)

Læs mere

BILAG 14: DATABEHANDLERAFTALE

BILAG 14: DATABEHANDLERAFTALE BILAG 14: DATABEHANDLERAFTALE Side 1/9 Aftale om databehandling mellem Kunden og Leverandøren Side 2/9 Vejledning: [Dette bilag kan ikke ændres af tilbudsgiver. Bilaget udgør således i sin helhed et mindstekrav

Læs mere

[Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.]

[Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.] !"#!"$! % &&&$!"$! [Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.] Du har fra Rigspolitiet modtaget en blank børneattest, dvs. en attest, hvoraf det fremgår, at den person, oplysningerne

Læs mere

Persondataforordningen. Henrik Aslund Pedersen Partner

Persondataforordningen. Henrik Aslund Pedersen Partner www.pwc.dk Persondataforordningen Morgenmøde Henrik Aslund Pedersen Partner Revision. Skat. Rådgivning. Hvorfor en ny Persondataforordning? EU persondataforordning - Morgenmøde Hillerød 2 Hvorfor en ny

Læs mere

Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007)

Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007) Side 1 af 8 Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007) Kapitel 1 Lovens område 1. Stk. 7. Loven gælder for enhver form for behandling af personoplysninger i forbindelse

Læs mere

Kontraktbilag 3. Databehandleraftale

Kontraktbilag 3. Databehandleraftale Kontraktbilag 3 Databehandleraftale 1. DATABEHANDLERAFTALENS OMFANG OG FORMÅL Formålet med behandlingen af personoplysninger er overordnet set at drive en iværksætterpilotordning som nærmere fastlagt i

Læs mere

BILAG 5 DATABEHANDLERAFTALE

BILAG 5 DATABEHANDLERAFTALE BILAG 5 DATABEHANDLERAFTALE INDHOLDSFORTEGNELSE 1. Formål og omfang... 5 2. Databehandlers opgave... 5 3. Instruks... 5 4. Brug af ekstern Databehandler eller underleverandør... 5 5. Behandling i udlandet...

Læs mere

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Forsvarsministeriets Materiel- og Indkøbsstyrelse Bilag 8 Databehandleraftale [Vejledning til Tilbudsgiverne: Bilaget skal ikke udfyldes af Tilbudsgiver i forbindelse med afgivelse af tilbud. Bilag udfyldes i fællesskab med FMI, hvis det er nødvendigt.

Læs mere

Driftskontrakt. Databehandleraftale. Bilag 14

Driftskontrakt. Databehandleraftale. Bilag 14 Databehandleraftale Bilag 14 DATABEHANDLERAFTALE mellem Danpilot Havnepladsen 3A, 3. sal 5700 Svendborg CVR-nr. 30071735 (herefter den Dataansvarlige ) og [Leverandørens navn] [adresse] [postnr. og by]

Læs mere

Persondatapolitik. for MyLyconet Hjemmesiden

Persondatapolitik. for MyLyconet Hjemmesiden Persondatapolitik for MyLyconet Hjemmesiden Lyoness og ejeren ("Ejer") af denne MyLyconet hjemmeside ("Hjemmesiden") [navn på Ejer] tror på vigtigheden af at beskytte dine persondata. Følgende information

Læs mere

Rammeaftalebilag 5 - Databehandleraftale

Rammeaftalebilag 5 - Databehandleraftale Rammeaftalebilag 5 - Databehandleraftale Denne databehandleraftale (Aftale) er indgået mellem Norddjurs Kommune Torvet 3 8500 Grenaa (Kommunen) Dataansvarlig og Leverandør Adresse Postnummer CVR nr.: (Leverandøren)

Læs mere

Senest opdateret: 15. januar 2010 FORTROLIGHEDSPOLITIK

Senest opdateret: 15. januar 2010 FORTROLIGHEDSPOLITIK FORTROLIGHEDSPOLITIK Senest opdateret: 15. januar 2010 Fortrolighedspolitikkens indhold Denne fortrolighedspolitik ("Fortrolighedspolitikken") beskriver, hvordan Rezidor Hotel Group, via vores danske holdingselskab,

Læs mere

hos statslige myndigheder

hos statslige myndigheder IT-Universitetet i København Rued Langgaards Vej 7 2300 København S Sendt til: itu@itu.dk 25. juni 2015 Udtalelse til anmeldelsen Videnskabelige og statistiske undersøgelser hos statslige myndigheder Datatilsynet

Læs mere

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Databehandleraftale. Der er indgået denne Databehandlingsaftale (Aftale) mellem Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")

Læs mere

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler Blankettype: Kreditoplysning Datatilsynet Borgergade 28 1300 København K Anmeldelse af behandlinger af oplysninger der foretages for en privat dataansvarlig, og som sker med henblik på erhvervsmæssig videregivelse

Læs mere

PERSONDATAPOLITIK. Som hovedregel kan du tilgå vores hjemmeside uden at fortælle os, hvem du er eller give personlige oplysninger om dig selv.

PERSONDATAPOLITIK. Som hovedregel kan du tilgå vores hjemmeside uden at fortælle os, hvem du er eller give personlige oplysninger om dig selv. PERSONDATAPOLITIK Ved at benytte dig af Forælder Fondens hjemmeside, www.foraelderfonden.dk, og funktionerne derpå samt ansøge Forælder Fonden om hjælp og rådgivning accepterer du, at vi behandler dine

Læs mere

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren )

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren ) AFTALE OM BEHANDLING AF PERSONOPLYSNINGER Mellem [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren ) og Midttrafik Søren Nymarks Vej 3 8270 Højbjerg CVR-nr.: 29943176 (herefter Midttrafik

Læs mere

Har I styr på reglerne? Forsyningsselskabers behandling af persondata

Har I styr på reglerne? Forsyningsselskabers behandling af persondata Har I styr på reglerne? Forsyningsselskabers behandling af persondata Langt de fleste virksomheder vil i forbindelse med deres virke få adgang til persondata af den ene eller anden slags. En forsyningsvirksomhed

Læs mere

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren ) #BREVFLET# Click here to enter text. Dokument: Neutral titel Aalborg Kommune Boulevarden 13, 9000 Aalborg Databehandleraftale mellem [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.]

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Økonomiforvaltningen Koncernservice CVR.nr.: 64 94 22 12 Borups Allé 177 2400 København NV (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.:

Læs mere

Sag 61828-mho Udkast 06.05.2015. Cookiepolitik. 1. Politik for brug af HC Containers onlinetjenester

Sag 61828-mho Udkast 06.05.2015. Cookiepolitik. 1. Politik for brug af HC Containers onlinetjenester Sag 61828-mho Udkast 06.05.2015 Cookiepolitik 1. Politik for brug af HC Containers onlinetjenester På denne side oplyses om de nærmere vilkår for brugen af www.hccontainer.dk og eventuelle andre hjemmesider,

Læs mere

Vejledning til udfyldelse af anmeldelsesskemaet for Sundhedsvidenskabelig

Vejledning til udfyldelse af anmeldelsesskemaet for Sundhedsvidenskabelig Gældende fra 2. marts 2015 og erstatter tidligere vejledninger Vejledning til udfyldelse af anmeldelsesskemaet for Sundhedsvidenskabelig forskning i Region Syddanmark Generelt om anmeldelse Alle forskningsprojekter

Læs mere

Anmeldelse af behandlinger af oplysninger der foretages for en privat dataansvarlig, og som sker med henblik på at føre en spærreliste.

Anmeldelse af behandlinger af oplysninger der foretages for en privat dataansvarlig, og som sker med henblik på at føre en spærreliste. Blankettype: Spærreliste Datatilsynet Borgergade 28 1300 København K Anmeldelse af behandlinger af oplysninger der foretages for en privat dataansvarlig, og som sker med henblik på at føre en spærreliste.

Læs mere

DEN NYE PERSONDATAFORORDNING. er din virksomhed klar?

DEN NYE PERSONDATAFORORDNING. er din virksomhed klar? DEN NYE PERSONDATAFORORDNING er din virksomhed klar? DEN NYE PERSONDATAFORORDNING ER DIN VIRKSOMHED KLAR? Den nye europæiske persondataforordning, General Data Protection Regulation, træder i kraft den

Læs mere

Uddrag af lov om behandling af personoplysninger

Uddrag af lov om behandling af personoplysninger Myndighed: Justitsministeriet Udskriftsdato: 7. oktober 2016 (Gældende) Uddrag af lov om behandling af personoplysninger 1-4. (Udelades) Afsnit II Behandlingsregler Kapitel 4 Behandling af oplysninger

Læs mere

Almindelig viden om persondataforordningen

Almindelig viden om persondataforordningen Almindelig viden om persondataforordningen Hvad er persondata? En Personoplysning er enhver form for information om en identificeret eller identificerbar fysisk person ( den registrerede ). Dette gælder

Læs mere

Privatlivspolitik for Hellers Massage

Privatlivspolitik for Hellers Massage Privatlivspolitik for Hellers Massage Overblik Jeg respekterer dit privatliv og gør mig umage for at beskytte dine data. Jeg indsamler derfor ikke data om dig uden dit samtykke og vil aldrig misbruge dine

Læs mere

Datatilsynets inspektionsrapport

Datatilsynets inspektionsrapport Side 1 af 28 Datatilsynets inspektionsrapport Version 1.0 af Datatilsynets inspektionsskema i SurveyXact Dette skema anvendes på Datatilsynets inspektioner hos myndigheder. Tilsynet udfylder skemaet med

Læs mere

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Det er, jf. Kontrakt om levering af Skolesystem (Læringsplatform) som servicebureauløsning, aftalt, at [leverandørnavn

Læs mere

6.1 Introduktion. Af Jeppe Høyer Jørgensen, LETT Advokatpartnerselskab Indhold. Denne artikel har følgende

6.1 Introduktion. Af Jeppe Høyer Jørgensen, LETT Advokatpartnerselskab Indhold. Denne artikel har følgende HR Dokumenter Forlaget Andersen A/S 6.1 Introduktion Af Jeppe Høyer Jørgensen, LETT Advokatpartnerselskab jej@lett.dk Indhold Denne artikel har følgende 1. Indledning 2. Persondataloven gældende regler

Læs mere

Oplysninger om databeskyttelse

Oplysninger om databeskyttelse Oplysninger om databeskyttelse Beskyttelse af dine data er et væsentligt anliggende for os Hvad er personoplysninger? Princippet om anonym behandling Vi byder dig velkommen til vores hjemmeside og sætter

Læs mere

Vejledning VEDRØRENDE GENERELLE BETINGELSER FOR ANVENDELSE AF NEMHANDEL. Februar 2015 (VERSION 1.4 AF FEBRUAR 2015)

Vejledning VEDRØRENDE GENERELLE BETINGELSER FOR ANVENDELSE AF NEMHANDEL. Februar 2015 (VERSION 1.4 AF FEBRUAR 2015) Vejledning Februar 2015 VEDRØRENDE GENERELLE BETINGELSER FOR ANVENDELSE AF NEMHANDEL (VERSION 1.4 AF FEBRUAR 2015) Side 2 af 12 Indholdsfortegnelse: Indholdsfortegnelse:... 2 INDLEDNING... 4 GENERELLE

Læs mere

COOKIES & PERSONDATAPOLITIK

COOKIES & PERSONDATAPOLITIK COOKIES & PERSONDATAPOLITIK Cookies En cookie er en lille tekstfil, der gemmes af din browser når du besøger en hjemmeside. En cookie kan indeholde tekst, tal eller f.eks. en dato, men der er ingen personlige

Læs mere

Privatlivspolitik for DV Partner ApS.

Privatlivspolitik for DV Partner ApS. Privatlivspolitik for DV Partner ApS. Dataansvar Vi tager din databeskyttelse alvorligt Vi behandler persondata og har derfor vedtaget denne privatlivsbeskyttelsespolitik, der fortæller dig, hvordan vi

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Bilag K Dags dato er indgået nedenstående aftale mellem Københavns Kommune [Forvaltning] [Center] CVR.nr.: 64 94 22 12 [Adresse] (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.] [Adresse] [Postnummer

Læs mere

EasyParks Datapolitik

EasyParks Datapolitik EasyParks Datapolitik Gældende fra 16. December 2016 1. Om EasyParks Datapolitik Når du anvender Easy Park A/S, Jægersborg Alle 16, 3. th., DK-2920 Charlottenlund ( EasyPark ) tjenester, afgiver du visse

Læs mere

Bilag 11 - Databehandleraftale

Bilag 11 - Databehandleraftale Bilag 11 - Databehandleraftale [Vejledning til tilbudsgiver: Bilaget skal ikke udfyldes af tilbudsgiver. Bilaget er i sin helhed at betragte som et mindstekrav (MK), jf. udbudsbetingelsernes punkt 3.2.3.2

Læs mere

FORSYNINGSTRÆF 2016 PERSONDATARET HVORFOR NU EGENTLIG DET?

FORSYNINGSTRÆF 2016 PERSONDATARET HVORFOR NU EGENTLIG DET? FORSYNINGSTRÆF 2016 - BEHANDLING AF PERSONDATA Line Markert, advokat Egil Husum, advokat 4. og 11. februar 2016 PERSONDATARET HVORFOR NU EGENTLIG DET? side 2 Er persondataretten relevant for forsyningsselskaber?

Læs mere

Databeskyttelsesregler

Databeskyttelsesregler Databeskyttelsesregler Almindelige databeskyttelsesregler for benyttelse af PARSHIP.dk - version 10.05.2011 1. Sikkerhed og anonymitet PARSHIP tager spørgsmålet om sikkerhed meget alvorligt. PARSHIP gør

Læs mere

Vejledning til udfyldelse af anmeldelsesskema til Datatilsynet

Vejledning til udfyldelse af anmeldelsesskema til Datatilsynet Afdeling: Direktionssekretariatet Udarbejdet af: Dorte Riskjær Larsen Sagsnr.: 13/1121 E-mail: dorte.riskjaer.larsen @ouh.regionsyddanmark.dk Dato: 26. september 2013 Telefon: 2128 4616 Vejledning til

Læs mere

Aktuelle betingelser autobutler.dk

Aktuelle betingelser autobutler.dk Aktuelle betingelser autobutler.dk Brugervilkår for køretøjsejere Ved at oprette en brugerprofil som køretøjsejer på autobutler.dk accepterer du disse brugervilkår, og du opfordres hermed til at læse brugervilkårene

Læs mere

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016 Persondataforordningen Overblik over initiativer og ansvar Dubex Summit - Rasmus Lund november 2016 Rasmus Lund Advokat, partner Leder af persondata team Agenda Henning Mortensen, DI har givet overblik

Læs mere

Persondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017

Persondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017 Persondataforordningen fra Dansk Energis perspektiv Xellent inspirationsdag, 1. juni 2017 Brancheorganisationen Mathilde Øelund Jensen Konsulent cand. Jur. Direkte: 35 300 422 msj@danskenergi.dk Agenda

Læs mere

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017 SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 1.0 af 3. april 2017 Side 1/19 Vejledning til brug af skabelonen Tekst, der er sat i [ ] og markeret med gul er aftaletekst,

Læs mere

September Indledning

September Indledning September 2016 Eksempel fra KOMBIT: Vejledning til gennemførelse af indledende overordnet kortlægning af it-løsningers parathed i forhold til efterlevelse af kendte krav i Databeskyttelsesforordningen

Læs mere

Honda MaRIS Pay & Go. Politik for cookies og beskyttelse af personlige oplysninger

Honda MaRIS Pay & Go. Politik for cookies og beskyttelse af personlige oplysninger Honda MaRIS Pay & Go Politik for cookies og beskyttelse af personlige oplysninger Honda anerkender vigtigheden af retskaffen og ansvarlig brug af dine personlige oplysninger. Denne politik for cookies

Læs mere

PERSONDATA - INDSAMLING, BEHANDLING OG OPBEVARING AF FORBRUGSDATA I FORSYNINGSSEKTOREN

PERSONDATA - INDSAMLING, BEHANDLING OG OPBEVARING AF FORBRUGSDATA I FORSYNINGSSEKTOREN PERSONDATA - INDSAMLING, BEHANDLING OG OPBEVARING AF FORBRUGSDATA I FORSYNINGSSEKTOREN PRÆSENTATION DAN B. LARSEN Advokat (H), Partner hos DAHL Advokatfirma Udvalgte beskæftigelsesområder: Forsyningsselskaber

Læs mere

Vedrørende behandling af flypassagerers biometriske oplysninger i form af template af fingeraftryk

Vedrørende behandling af flypassagerers biometriske oplysninger i form af template af fingeraftryk Brevdato: 23. maj 2006 Modtager: Scandinavian Airlines Danmark (SAS) J.nr. 2006-219-0370 Stikord: Fingeraftryk, personoplysninger, saglighed og proportionalitet, alternativ løsning, oplysningspligt, datasikkerhed.

Læs mere

Whistleblower-politik

Whistleblower-politik Whistleblower-politik 1. Hvad er formålet med whistleblower-politikken? Hvis du som medarbejder bliver opmærksom på uregelmæssigheder, så vil det være naturligt at du går til din chef, til HR-afdelingen,

Læs mere

ARTIKEL 29 -GRUPPEN VEDRØRENDE DATABESKYTTELSE. Artikel 29-gruppen vedrørende databeskyttelse

ARTIKEL 29 -GRUPPEN VEDRØRENDE DATABESKYTTELSE. Artikel 29-gruppen vedrørende databeskyttelse ARTIKEL 29 -GRUPPEN VEDRØRENDE DATABESKYTTELSE 5058/00/DA/endelig WP 33 Artikel 29-gruppen vedrørende databeskyttelse Udtalelse 5/2000 om Brugen af offentlige registre til reverse- eller flerkriterie-søgetjenester

Læs mere

persondatabeskyttelse er ikke en hindring for offshoring af it

persondatabeskyttelse er ikke en hindring for offshoring af it persondatabeskyttelse er ikke en hindring for offshoring af it PERSONDATABESKYTTELSE ER IKKE EN HINDRING FOR OFFSHORING AF IT Juni 2009 Forfatter: DANSK IT s fagråd for IT og Jura ved: Susanne Mark, Lett

Læs mere

Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup

Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup 14. maj 2012 Orientering om nye regler om private dataansvarliges anmeldelsespligt Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29

Læs mere

AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN

AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN Mellem Norddjurs Kommune Torvet 3 8500 Grenaa (i det følgende benævnt Dataansvarlige ) og Leverandør

Læs mere

Databehandleraftale. om [Indsæt navn på aftale]

Databehandleraftale. om [Indsæt navn på aftale] Databehandleraftale om [Indsæt navn på aftale] Jf. bestemmelserne i lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer (Persondataloven) mellem Vesthimmerlands Kommune

Læs mere

(Dataansvarlig og Databehandler herefter under et benævnt Parterne og enkeltvis Part )

(Dataansvarlig og Databehandler herefter under et benævnt Parterne og enkeltvis Part ) Databehandleraftale 1 Mellem: Firma: Cvr-nr.: Adresse: Postnr. ( Dataansvarlig ) By: Og: MedCom Cvr-nr.: 26919991 Forskerparken 10 5230 Odense M ( Databehandler ) (Dataansvarlig og Databehandler herefter

Læs mere

Bilag 9 Databehandleraftale

Bilag 9 Databehandleraftale Bilag 9 Databehandleraftale Aftale om databehandling mellem Trafik-, Bygge- og Boligstyrelsen Edvard Thomsens Vej 14 2300 København S (i det følgende betegnet som den Dataansvarlige) og XXX XX XX (i det

Læs mere

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren ) #BREVFLET# Click here to enter text. Dokument: Neutral titel Rammeaftalebilag G til udbud på levering af Stomiprodukter Databehandleraftale mellem [anfør kontraktpart] [anfør adresse] [anfør postnummer]

Læs mere

Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt

Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt Folketinget Udvalgssekretariatet Christiansborg 1240 København K Sendt til: Birgitte.Toft-Petersen@ft.dk 29. august 2014 Vedrørende høring over beretning

Læs mere

EU Persondataforordningen, skærpet krav til sikkerheden om data

EU Persondataforordningen, skærpet krav til sikkerheden om data EU Persondataforordningen, skærpet krav til sikkerheden om data Her er de væsentligste hovedpunkter i aftalen Den 15. december blev EU s lovgivende institutioner enige om udformningen af EU Persondataforordningen.

Læs mere

Persondataforordningen og offentlige organisationer

Persondataforordningen og offentlige organisationer Persondataforordningen og offentlige organisationer Nis Peter Dall, advokat, partner BvHD Gladsaxe, den 30. oktober 2012 www.bvhd.dk Forordning, ikke et direktiv 2 1 Forordning, ikke direktiv Hvad betyder

Læs mere

ELEKTRONISK VINDUESKIGGERI HVOR ER

ELEKTRONISK VINDUESKIGGERI HVOR ER ELEKTRONISK VINDUESKIGGERI HVOR ER GRÆNSEN? Af advokat, LL.M., Benjamin Lundström og advokat, HD(O), Pernille Borup Vejlsgaard fra advokatfirmaet von Haller. Ifølge den nugældende lovgivning er der grænser

Læs mere

Den nye persondataforordning. 2. februar 2017

Den nye persondataforordning. 2. februar 2017 Den nye persondataforordning 2. februar 2017 Vores persondata compliance team er forankret i afdelingen for Corporate Compliance & Investigations Det største advokatkontor i Danmark* Retsområder Arbejdsret

Læs mere

Tjekliste til arbejde med persondata. Branchefælleskab for Intelligent Energi

Tjekliste til arbejde med persondata. Branchefælleskab for Intelligent Energi Tjekliste til arbejde med persondata Branchefælleskab for Intelligent Energi Dataanvendelse i energisektoren Smart Grid, Smart Energi, Smart City og Smart Home er bare nogle af de begreber, som relaterer

Læs mere

Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014

Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014 Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014 Hvorfor vælger vi Cloud? No cloud (On-Premise) Infrastructure (as a Service) Platform (as a Service) Software (as a Service)

Læs mere

Til rette vedkommende. 11. april 2013. NOTAT - IC-Meter indeklimamålinger i relation til Persondataloven

Til rette vedkommende. 11. april 2013. NOTAT - IC-Meter indeklimamålinger i relation til Persondataloven Til rette vedkommende NORDIA Advokatfirma Østergade 16 1100 København K Christina Wiesner Advokat (H), LL.M. Mobil +45 20206325 cwi@nordialaw.com Journalnr. 21354 11. april 2013 NOTAT - IC-Meter indeklimamålinger

Læs mere

Europaudvalget EUU Alm.del EU Note 27 Offentligt

Europaudvalget EUU Alm.del EU Note 27 Offentligt Europaudvalget 2016-17 EUU Alm.del EU Note 27 Offentligt Europaudvalget, Sundheds- og Ældreudvalget, Uddannelses- og Forskningsudvalget og Retsudvalget EU-konsulenterne EU-note Til: Dato: Udvalgets medlemmer

Læs mere

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.: Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter

Læs mere

Privatlivspolitik for studerende

Privatlivspolitik for studerende UNIVERSITY COLLEGE LILLEBÆLT Privatlivspolitik for studerende Retningslinjer for registrering, håndtering og anvendelse af data om studerende hos UCL Vedtaget på HSU den 16. november 2015 Indhold 1. Formål...

Læs mere

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,

Læs mere

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) og Databehandler Dansk Telemedicin A/S Robert Jacobsens Vej 68 2300 København S CVR.nr.:

Læs mere

Privatlivspolitik for nef Fiber A/S.

Privatlivspolitik for nef Fiber A/S. Privatlivspolitik for nef Fiber A/S. Dataansvar Vi tager din databeskyttelse alvorligt Vi behandler persondata og har derfor vedtaget denne privatlivsbeskyttelsespolitik, der fortæller dig, hvordan vi

Læs mere

DanID A/S Lautrupbjerg 10 Postboks 500 2750 Ballerup

DanID A/S Lautrupbjerg 10 Postboks 500 2750 Ballerup DanID A/S Lautrupbjerg 10 Postboks 500 2750 Ballerup 24. september 2010 Vedrørende sikkerhedsforanstaltningerne omkring udstedelse af NemID Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29

Læs mere

Persondataretlig compliance i praksis. Uddannelsesdagen 28. maj 2015 v/ partner Thomas Munk Rasmussen og partner Mikkel Friis Rossa

Persondataretlig compliance i praksis. Uddannelsesdagen 28. maj 2015 v/ partner Thomas Munk Rasmussen og partner Mikkel Friis Rossa Persondataretlig compliance i praksis Uddannelsesdagen 28. maj 2015 v/ partner Thomas Munk Rasmussen og partner Mikkel Friis Rossa Compliance hvorfor er det vigtigt nu? Øget fokus på persondata Den teknologisk

Læs mere

DI og DI ITEK's vejledning om bevissikring

DI og DI ITEK's vejledning om bevissikring DI og DI ITEK's vejledning om bevissikring Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN 978-87-7353-974-3 0.05.12 2 Indledning Denne vejledning er lavet med det formål at ruste danske virksomheder

Læs mere

Om denne hjemmeside. Om denne hjemmeside og persondatapolitik. Denne hjemmeside www.rygestop-udfordringen.dk er ejet af: Pfizer ApS.

Om denne hjemmeside. Om denne hjemmeside og persondatapolitik. Denne hjemmeside www.rygestop-udfordringen.dk er ejet af: Pfizer ApS. Om denne hjemmeside Om denne hjemmeside og persondatapolitik Denne hjemmeside www.rygestop-udfordringen.dk er ejet af: Pfizer ApS Lautrupvang 8 2750 Ballerup Danmark CVR. nr.: 66 35 19 12 Telefonnummer:

Læs mere

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven). Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.

Læs mere

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig)

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig) Databehandleraftale Mellem Egedal Kommune Dronning Dagmars Vej 200 3650 Ølstykke (Herefter benævnt Dataansvarlig) Og (Herefter benævnt Databehandler) side 1 af 5 Generelt Databehandleren indestår for at

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Teknik- og Miljøforvaltningen Njalsgade 13 2300 København S CVR.nr.: 64 94 22 12 (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.]

Læs mere

Johnson Controls' erklæring om beskyttelse af personoplysninger

Johnson Controls' erklæring om beskyttelse af personoplysninger Johnson Controls' erklæring om beskyttelse af personoplysninger Johnson Controls, Inc. og dets associerede selskaber (under ét betegnet som Johnson Controls, vi, os eller vores) varetager beskyttelsen

Læs mere

Uddrag af persondataloven

Uddrag af persondataloven Uddrag af persondataloven Behandling af oplysninger 5. Oplysninger skal behandles i overensstemmelse med god databehandlingsskik. Stk. 2. Indsamling af oplysninger skal ske til udtrykkeligt angivne og

Læs mere

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler Blankettype: Stillingsbesættende virksomhed Datatilsynet Borgergade 28 1300 København K Anmeldelse af behandlinger af oplysninger der foretages for en privat dataansvarlig, og som sker med henblik på erhvervsmæssig

Læs mere

Behandling af personoplysninger

Behandling af personoplysninger Behandling af personoplysninger IT Universitetet, 5. april 2005 Jan Trzaskowski Copenhagen Business School 1 Persondataloven Anvendelsesområde Dataansvarlig etableret i Danmark Tredjelandsaktiviteter på

Læs mere

Persondataforordningen Data Protection Officer. Advokat, Marie Albæk Jacobsen

Persondataforordningen Data Protection Officer. Advokat, Marie Albæk Jacobsen Persondataforordningen Data Protection Officer Advokat, Marie Albæk Jacobsen 2 Data Protection Officer - DPO Data Protection Officer (DPO) Databeskyttelsesrådgiver Ny bestemmelse - har ikke tidligere været

Læs mere

VIRKSOMHEDSREGLER VEDRØRENDE BRUGERE

VIRKSOMHEDSREGLER VEDRØRENDE BRUGERE Disse Virksomhedsregler vedrørende brugere er tilgængelige for Brugere til hver en tid via et link i den gældende Politik om beskyttelse af personlige oplysninger for Tjenesten. I. FORMÅL ebays mål er

Læs mere

Uanmodede henvendelser. Uanmodede henvendelser. Uanmodede henvendelser

Uanmodede henvendelser. Uanmodede henvendelser. Uanmodede henvendelser Uanmodede henvendelser Anmodede henvendelser (samtykke) HNG-sagen (1998.83H) Ikke betydning for beslutningen Begreberne opt in og opt out Uanmodede personlige henvendelser Forbrugeraftalelovens 6 Bopæl,

Læs mere

BIG DATA OG PERSONDATABESKYTTELSE

BIG DATA OG PERSONDATABESKYTTELSE BIG DATA OG PERSONDATABESKYTTELSE B R A I N S B U S I N E S S / I C T N O R T H - K O N F E R E N C E D. 1 3. S E P T E M B E R 2 0 1 6 S Ø R E N S A N D F E L D J A K O B S E N P R O F E S S O R, P H.

Læs mere

Rigsarkivets konference 2. november 2016

Rigsarkivets konference 2. november 2016 Pligten til at huske retten til at blive glemt Rigsarkivets konference 2. november 2016 Birgit Kleis, kommitteret i Datatilsynet Persondatabeskyttelse: afvejning af hensyn Privatlivets fred Informations-

Læs mere

Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S

Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S Customer Managed Hvorfor vælger man som kunde Cloud? Customer Customer No cloud (On-Premise)

Læs mere

BRIDGESTONE FIRESTONE FORTROLIGHEDSPOLITIK

BRIDGESTONE FIRESTONE FORTROLIGHEDSPOLITIK BRIDGESTONE FIRESTONE FORTROLIGHEDSPOLITIK Det glæder os, at du er i interesseret i vores selskab. Det er os meget magtpåliggende at beskytte vores besøgendes privatliv. Vi gør derfor alt, hvad vi kan,

Læs mere

Jura og brug af testdata med personoplysninger

Jura og brug af testdata med personoplysninger 12. september 2016 Jura og brug af testdata med personoplysninger KOMBIT A/S Halfdansgade 8 2300 København S Tlf 3334 9400 www.kombit.dk kombit@kombit.dk CVR 19 43 50 75 Side 1/10 Indholdsfortegnelse 1.

Læs mere

BRUGERBETINGELSER FOR GENVEJ HERUNDER NEMPOST

BRUGERBETINGELSER FOR GENVEJ HERUNDER NEMPOST BRUGERBETINGELSER FOR GENVEJ HERUNDER NEMPOST Følgende betingelser gælder for brugen af Genvej (www.genvej.gentofte.dk) herunder e- mailløsningen NemPost (www.nempost.dk), som er en integreret del af Genvej.

Læs mere

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler Blankettype: Privat virksomhed Datatilsynet Borgergade 28 1300 København K Anmeldelse af behandlinger af oplysninger om rent private forhold der foreta- ges for en privat dataansvarlig. Felter markeret

Læs mere

Retningslinjer for videoovervågning. Etablering af videoovervågning i Rudersdal Kommune

Retningslinjer for videoovervågning. Etablering af videoovervågning i Rudersdal Kommune Retningslinjer for videoovervågning Etablering af videoovervågning i Rudersdal Kommune 1 Organisatorisk placering Sekretariatet varetager administrationen af disse retningslinjer. Regler Videoovervågning

Læs mere

Anmeldelse forskningsprojekter herunder forskningsbiobanker

Anmeldelse forskningsprojekter herunder forskningsbiobanker Anmeldelse forskningsprojekter herunder forskningsbiobanker Dansk Selskab for GCP - 3. november 2014 Annette Sand juridisk konsulent www.regionmidtjylland.dk Program Præsentation og formål Kort om persondataloven

Læs mere

Vejledning om informationssikkerhed

Vejledning om informationssikkerhed Vejledning om informationssikkerhed Birgitte Drewes, afdelingschef, Sundhedsdatastyrelsen Marchen Lyngby, fuldmægtig, Sundhedsdatastyrelsen Vejledningen kan downloades her: http://sundhedsdatastyrelsen.dk/da/rammer-og-retningslinjer/om-informationssikkerhed

Læs mere