Vejledning om behandling af personoplysninger
|
|
- Jesper Lauridsen
- 6 år siden
- Visninger:
Transkript
1 Vejledning om behandling af personoplysninger for FSR danske revisorers medlemmer Oktober
2 Indledning Persondataloven regulerer, hvordan man må behandle personoplysninger. Reglerne gælder kun oplysninger om fysiske personer. Det vil sige, at reglerne ikke gælder for oplysninger om selskaber som sådan, men derimod deres ansatte. I praksis betyder det, at alle revisionsvirksomheder er omfattet af persondataloven, da man altid vil have registreret personoplysninger om kunder, hvad enten de er fysiske personer eller selskaber, for hvilke man normalt har kontaktdata på ansatte i selskabet (fx adm. dir., bogholderen, regnskabschefen eller andre). Reglerne om persondata bygger på forskellige principper. Det er fx ikke tilladt at indsamle oplysninger om personer, hvis man ikke aktuelt har noget at bruge dem til. Man må heller ikke indsamle flere oplysninger, end det er nødvendigt. Desuden skal persondata slettes eller anonymiseres, når der ikke længere er brug for oplysningerne. Den grundlæggende interesse i at indsamle, behandle og opbevare persondata i henhold til reglerne er, ud over det selvfølgelige i at være inden for lovens rammer, at revisionsvirksomheden dermed sikrer sig kundernes fortsatte tillid. En forudsætning for at kunne overholde reglerne er, at man skaffer sig overblik over, hvordan man modtager personoplysninger, hvad de bliver brugt til og ikke mindst, hvordan disse oplysninger bliver sendt rundt såvel internt som eksternt. Det sidste er særligt vigtigt at være opmærksom på, hvis virksomhedens it hostes eksternt, eller virksomheden bruger cloud-tjenester, lønbureau eller eksterne konsulenter, såsom skatterådgivere eller it-support. Alle ansatte i revisionsvirksomheden skal i dagligdagen være opmærksomme på persondatareglerne i forhold til de arbejdsopgaver, som de hver især har. Databeskyttelse kræver løbende indsats, evaluering, overvågning og kontrol. For at medarbejderne kan være opmærksomme på reglerne, er uddannelse nødvendigt ikke bare for eksisterende medarbejdere, men også, når der kommer nye medarbejdere ind i virksomheden. Den nuværende persondatalov afløses i maj 2018 af persondataforordningen, som kommer til at gælde direkte i Danmark. I skrivende stund (oktober 2017) er en ny lov på vej, nemlig databeskyttelsesloven, som supplerer forordningen på en række punkter. Herudover vil Justitsministeriet udgive forskellige vejledninger om de nye regler. Formålet med denne vejledning er at give et overblik over reglerne, og hvordan man kan gribe processen med at implementere dem an. Vejledningen er målrettet mod revisorer, og det er kun de regler, som må formodes at have betydning for revisors virksomhed, som er taget med. Vejledningen er således ikke udtømmende. Hvis man er i tvivl om, hvordan en given regel skal forstås, eller den konkrete situation, som man ønsker vurderet, så er der hjælp at hente i de 7 bilag, som findes bagerst. 2
3 Indholdet af vejledningen er således: Side Kort om implementeringen af persondatareglerne 4 # 1. Kortlægning af persondata 6 # 2. Hvilke regler gælder? 9 # 3. Implementering af persondatareglerne 12 Bilag 1: Hvad er persondata? 13 Bilag 2: Databehandlingssikkerhed 15 Bilag 3: Databehandleraftaler 18 Bilag 4: s, hjemmesider og følsomme oplysninger 21 Bilag 5: Cookies 22 Bilag 6: Oplysninger om personale 23 Bilag 7: Indholdet af en persondatapolitik 27 I #1 - #3 gennemgås overordnet processen med at indføre reglerne i virksomheden. I bilagene er de krav, der stilles, nærmere gennemgået. FSR danske revisorers Faglige Hotline kan besvare generelle spørgsmål om persondataforordningen. Medlemmer af FSR danske revisorer kan også gratis kontakte revisorjura s hotline på FSRpersondata@revisorjura.dk 3
4 Kort om implementeringen af persondatareglerne Implementering af persondatareglerne i en revisionsvirksomhed adskiller sig i princippet ikke fra implementering af reglerne i andre typer af virksomheder; men der er forskel på, hvilke persondata virksomhederne behandler. For revisionsvirksomheder drejer det sig fx om: Man kan gribe dette arbejde an på forskellige måder, men grundlæggende set handler det om at få overblik over: 1. Hvilke persondata behandler virksomheden? 2. Hvilke regler i persondataforordningen gælder for denne behandling? 3. Hvordan det sikres, at virksomhedens behandling af persondata følger reglerne (implementering). Det er en god idé at udpege en person i virksomheden, som er tovholder for implementeringen og har overblikket over processen. Som nævnt ovenfor bygger persondatareglerne på en række principper. Et vigtigt princip er, at overholdelsen af reglerne om behandlingssikkerhed skal ske ud fra en risikovurdering. Noget forenklet kan man sige, at ressourcerne skal bruges der, hvor risikoen for fejl er størst, og der, hvor læk af personoplysninger har de mest alvorlige konsekvenser for de personer, det drejer sig om. Det vil typisk være ved læk af følsomme oplysninger, men også oplysninger om fx økonomiske forhold og andre typer af oplysninger, som normalt ville skulle behandles fortroligt. I en revisionsvirksomhed kan der være opbevaret følsomme oplysninger om ansatte helbredsforhold, personlighedstest, fagforeningsmedlemskab. Også i forbindelse med levering af ydelser kan der være følsomme oplysninger at finde. Det kan fx være ved lønadministration, hvor der kan være oplysninger om helbredsforhold og medlemskab af fagforening. Ved siden af persondataforordningen gælder revisors tavshedspligt efter revisorloven. I forhold til persondata skal reglerne i såvel persondataforordningen som revisorloven følges. 4
5 Persondatareglerne er de samme for alle revisionsvirksomheder; men implementeringen vil typisk være mere enkel i en mindre virksomhed, hvor risici, processer og kompleksitet ofte er meget mindre end i en stor revisionsvirksomhed. FAKTABOKS: Indsamle oplysninger Når revisionsvirksomheden modtager personoplysninger fra kunden i forbindelse med kundeoprettelse eller løsning af en konkret opgave, kaldes det at indsamle oplysninger. Det samme gælder, hvis revisor indhenter oplysninger fra andre end kunden selv fx hos RKI eller CPR. 5
6 # 1. Kortlægning af persondata Overblik Når persondatareglerne skal implementeres, er det helt afgørende at skaffe sig overblik over, hvilke persondata virksomheden behandler. FAKTABOKS: Behandle data Behandling af persondata dækker over en lang række forskellige måder at håndtere persondata på, såsom fx: indsamle, gemme, redigere, systematisere, sende, slette, kopiere og tilpasse. Persondata er i denne forbindelse et meget bredt begreb, som omfatter enhver oplysning, som kan henføres til en fysisk person. Se nærmere bilag 1, hvor definitionen af personoplysninger er gennemgået. I praksis vil almindelige persondata, såsom personnavne, adresser og , give langt det største arbejde i forhold til at efterleve persondatareglerne. Persondata optræder mange steder i virksomheden, som fx: Det er vigtigt at have overblik over de personoplysninger, som virksomheden behandler. Det kan gøres ved at udarbejde en oversigt over de processer i virksomheden, der involverer personoplysninger. Hjemmel Af procesoversigten bør det fremgå, hvilke formål der er med behandlingen. Samtidig bør man have overblik over, hvad hjemlen er til behandlingen. Hjemlen kan være: Samtykke fra personen At behandlingen sker for at opfylde en aftale (fx kundens navn og ) En retlig forpligtelse (fx opbevaring af legitimationsoplysninger, jf. hvidvaskloven eller bogføringsloven) At forfølge en berettiget interesse, som virksomheden har, og som ikke overstiger hensynet til personen (fx når en virksomhed lægger kontaktoplysninger til medarbejderne ud på hjemmesiden). 6
7 Databehandler Det er vigtigt at have overblik over, hvornår revisor benytter databehandler, da data, der behandles af andre, også skal være en del af kortlægningen, da revisionsvirksomheden også er ansvarlig for den rette behandling heraf. I de situationer skal der foreligge en databehandleraftale, som skal opfylde en række krav se bilag 3. Af databehandleraftalerne skal det fremgå, hvilke personoplysninger aftalen dækker. FAKTABOKS: Databehandler En databehandler behandler persondata på vegne af revisionsvirksomheden. Det kan fx dreje sig om et lønbureau eller en virksomhed, som står for it-driften i revisionsvirksomheden. I begge tilfælde vil revisionsvirksomheden sende personoplysninger ud til eksterne parter i forbindelse med, at de løser opgaver for revisionsvirksomheden. Når revisionsvirksomheden bruger en databehandler, er det revisionsvirksomheden, som bestemmer præcis, hvad databehandleren må gøre med personoplysningerne det vil sige har instruktionsbeføjelsen. Lønbureauet vil normalt altid få instruks om, at personoplysningerne alene må bruges i forbindelse med lønadministration og ikke fx til markedsføring af ydelser over for den personkreds, som bureauet behandler løn for. Hvis revisionsvirksomheden afbryder samarbejdet med lønbureauet, vil revisionsvirksomheden kunne kræve, at alle oplysninger, som lønbureauet har modtaget, bliver slettet. Når man benytter sig af en databehandler, er det lovpligtigt at indgå en databehandleraftale. Dette behøver ikke at være en særskilt aftale, men kan godt være et punkt i den aftale, som parterne har indgået om den ydelse, som skal leveres. Oversigter For revisionsvirksomheder med mere end 250 ansatte er det lovpligtigt med en oversigt over de personoplysninger, som virksomheden behandler. Det er ikke lovpligtigt for revisionsvirksomheder med færre medarbejdere; men det er en rigtig god idé at udarbejde en sådan oversigt. Det letter arbejdet, når virksomheden skal opfylde kravet om slettepligt, udlevering af oplysninger m.v. se nærmere i afsnit #2. Nedenfor er vist et eksempel på en oversigt over persondata vedr. medarbejdere. 7
8 Eksempel: Persondata om medarbejdere Hovedprocesser Underprocesser/ Formål Persondata Databehandler Hjemmel Ansættelse Ansøgning Personlighedstest Sociale medier Navn Adresse Telefon Noter (referencetjek) CPR-nr. Profil Ekstern backup GDPR, A 6, stk. 1, litra f (interesseafvejning) GDPR, A 6, stk. 1, litra f (interesseafvejning) GDPR, A 6, stk. 1, litra f (interesseafvejning) GDPR, A 6, stk. 1, litra a (samtykke) GDPR, A 87, stk. 1 (særlig regel for CPR nr.) GDPR A 9, stk. 2, litra a (samtykke) GDPR, A 9, stk. 2, litra e (offentliggjort af personen) Ansat (yderligere oplysninger) Medarbejder-nr. Billede til hjemmeside Bankoplysninger Fagforening Ansættelsesdato Arbejdstid Ekstern backup GDPR, A 6, stk. 1, litra f (interesseafvejning) GDPR, A 6, stk. 1, litra a (samtykke) GDPR, A 6, stk. 1, litra b (kontrakt) GDPR, A 9, Stk. 2, litra b (arbejdsretlig pligt) GDPR, A 6, stk. 1, litra b (kontrakt) GDPR, A 6, stk. 1, litra b (kontrakt) Tilsvarende oversigter kan udarbejdes for kunder delt op i processer, svarende til den måde, som virksomheden arbejder på. Hovedprocesser kunne fx være registrering af stamdata for nye kunder, udarbejdelse af regnskab, revision, skatterådgivning, anden rådgivning, erhvervsservice (lønadministration, ejendomsadministration m.v.). Herudover skal man også være meget opmærksom på de uformelle processer. Det forekommer ofte, at medarbejdere på eget initiativ opretter tjenester som Dropbox, Google Drive m.fl. og gemmer oplysninger om kunder for lettere at kunne tilgå oplysningerne uden for virksomheden, fx hos kunder. Der kan også være tale om små programmer til fx redigering og abonnementsstyring af nyhedsbreve. Desuden bør man gennemgå it-systemer for at se, om der her opbevares yderligere personoplysninger. Det vil fx ofte være tilfældet med mailsystemer (fx Outlook), hvor der ligger mange personoplysninger gemt i s. Det er vigtigt, at disse oversigter løbende vedligeholdes i takt med, at processer ændres, eller nye processer opstår, fx i forbindelse med nye produkter eller andre ændringer i virksomhedens drift. Kompleksiteten af de formelle processer og persondata samt kortlægningen heraf tager ofte mere tid, jo større virksomheden er. 8
9 # 2. Hvilke regler gælder? Som virksomhed skal man efterleve en lang række regler og principper, når man behandler personoplysninger. Her kan der være hjælp at hente ved at bruge Erhvervsstyrelsens og Datatilsynets PrivacyKompas, som giver vejledning om, hvordan persondatareglerne efterleves med udgangspunkt i virksomhedens konkrete forhold holdt op imod de dertil hørende krav (læs mere her). I forhold til den registrerede person søger reglerne at gøre det gennemsigtigt for den enkelte, hvilke personoplysninger der indsamles, anvendes, tilgås eller på anden vis behandles, og i hvilket omfang personoplysningerne behandles eller vil blive behandlet. Her har revisor en række oplysningsforpligtelser. Se bilag 7 om persondatapolitikker. Hvis virksomheden bruger databehandlere, skal der indgås særlige aftaler med de pågældende. Se nærmere i bilag 3. Samtidig har virksomheden pligt til at dokumentere, at virksomheden overholder reglerne i persondataforordningen. Det er ikke nok at følge dem. Det skal også dokumenteres, at det rent faktisk sker. Nedenfor er gennemgået, hvilke forpligtelser revisionsvirksomheden har: Persondatapolitik Kunder Man har som virksomhed en lang række oplysningsforpligtelser i forhold til de personer, som man har registreret personoplysninger om. Disse kan med fordel samles i en persondatapolitik og lægges på virksomhedens hjemmeside. I bilag 7 er oplistet en række punkter, som bør være med i en sådan politik. Ved implementering af forordningen i virksomheden er det vigtigt at sikre sig, at der er forretningsgange, som i praksis beskriver, hvad virksomheden internt skal gøre for at overholde de forpligtelser, som meddeles kunden. Interne retningslinjer Dokumentation Reglernes overholdelse Interne retningslinjer Indføre sletterutiner Opbevaringsbegrænsning Dataminimering Indsaml kun nødvendig data Der skal udarbejdes interne retningslinjer, som sikrer, at persondatareglerne efterleves internt i virksomheden. Efterlevelsen af reglerne skal dokumenteres. Der er ikke formkrav til dokumentationen. Nogle større virksomheder vælger at få en revisorerklæring. FSR danske revisorer har udarbejdet en standarderklæring, som kan afgives i forhold til databehandlere. Den indeholder en lang tjekliste over databehandlerens forpligtelser og kan også bruges som inspiration, når man skal udarbejde interne retningslinjer. En anden mulighed er, at man jævnligt følger op på de interne retningslinjer med dokumenteret kontrol af, om de efterleves i praksis. Persondata skal slettes, når det ikke er nødvendigt at opbevare oplysningerne længere. Opbevaringsregler, som følger af anden lovgivning fx hvidvaskloven og bogføringsloven gælder dog fortsat. I praksis betyder det, at revisor skal vurdere, om det er nødvendigt at opbevare personoplysninger efter udløbet af de lovbestemte opbevaringstidsrum. Princippet er, at virksomheden skal opbevare så få personoplysninger i så kort tid som muligt. Det skal undersøges, om der indsamles flere personoplysninger end nødvendigt. Her kan man bruge oversigten over processer og persondata. 9
10 Databehandler Særlige aftaler Personaleoplysninger Krav til behandling Sikkerhedsbrud Håndtering Det skal undersøges, i hvilket omfang virksomheden benytter sig af databehandlere, og sikres, at der er indgået databehandleraftaler, som lever op til kravene i forordningen. Ofte vil revisor også være i den situation, at han i visse henseender selv er databehandler. Ikke ved erklæringsopgaver, men hvis han under instruks behandler data for andre, fx ved bogføringsopgaver, lønadministration m.v., hvor de behandlede data efterfølgende (også) opbevares af revisor. Derfor bør der ofte også indgås databehandleraftaler med kunder. Se nærmere i bilag 3. Se nærmere i bilag 6 for de krav, der stilles i forbindelse med personaleoplysninger. Hvordan håndteres sikkerhedsbrud i forhold til registrerede personer? Håndtering af den registreredes rettigheder De personer, som revisionsvirksomheden behandler oplysninger om, har ret til at få at vide, hvilke oplysninger der behandles, få indsigt i oplysningerne, kræve, at de er rigtige, ret til at få dem slettet, sikkerhed for, at de bliver behandlet fortroligt samt at få en digital kopi: Retten til at modtage oplysning om en indsamling af personoplysninger Når kunden giver personoplysninger til revisor, skal revisor oplyse, hvad personoplysningerne vil blive brugt til. Hvis der indsamles oplysninger om en kunde uden dennes viden fx hos RKI skal kunden gøres opmærksom på dette, hvilke regler og rettigheder den pågældende har, og hvordan den pågældende kan udøve sine rettigheder i den forbindelse. Dette kan ske ved at henvise til revisionsvirksomhedens persondatapolitik. Se bilag 7. Retten til at få indsigt i personoplysninger Personen har ret til at få indsigt i de personoplysninger, som den pågældende ikke selv har afgivet. Retten til at få urigtige personoplysninger berigtiget Revisor vil normalt bestræbe sig på, at alle kundeoplysninger er korrekte, så bestemmelsen har i den forbindelse næppe den store betydning. Et eksempel kunne være en jobansøger, hvor revisionsvirksomheden har noteret vedkommendes adresse forkert og sender bekræftelse af ansøgningen til en anden. Her har ansøgeren krav på at få rettet adressen straks. Retten til at få personoplysninger slettet ( retten til at blive glemt ) Det kunne dreje sig om en ansøgning fra en ansøger, som ikke fik jobbet, eller personoplysninger om tidligere ansatte. Retten til at få personoplysninger behandlet fortroligt Personoplysninger skal behandles på en måde, der sikrer tilstrækkelig sikkerhed og fortrolighed, og som forhindrer uautoriseret adgang. Retten til at få udleveret personoplysninger digitalt (dataportabilitet) Kunden kan kræve at få udleveret de oplysninger, som revisor har om vedkommende, i et digitalt læsbart format. Retten til at tilbagekalde samtykke til behandling af oplysninger Hvis en person tidligere har givet samtykke til, at en virksomhed må bruge personens oplysninger, kan personen trække samtykket tilbage med den virkning, at virksomheden skal slette oplysningerne. Den dataansvarlige - og en eventuel databehandler har pligt til at sikre sig, at den person, som virksomheden meddeler oplysninger til, er rette person, så oplysninger om den registrerede ikke kommer til uvedkommendes kendskab. Der må kun udleveres oplysninger, når vedkommende har legitimeret sig behørigt, eller når der på anden måde er skabt sikkerhed for, at den, der fx fremsætter en indsigtsbegæring, er identisk med den person, som oplysningerne vedrører. 10
11 Hvis fx en kunde mailer til revisor for at få oplysninger om sin selvangivelse, skal revisor være sikker på, at en stammer fra den pågældende kunde. Bruger kunden sin normale adresse, vil det normalt ikke give anledning til tvivl; men hvis kunden har benyttet en adresse, som revisor ikke har set før, bør revisor undersøge, om en nu også kommer fra kunden (fx ved telefonisk at kontakte kunden). Særligt i forbindelse med udlevering af følsomme og fortrolige oplysninger er det vigtigt at sikre, at oplysningerne ikke udleveres til uvedkommende. Se bilag 4 og 5 vedrørende s, hjemmesider, følsomme oplysninger og brugen af cookies. Virksomhederne skal sikre, at de kan håndtere de nævnte rettigheder. I den forbindelse gælder en række mere specifikke regler. Se næste afsnit. 11
12 # 3. Implementering af persondatareglerne Rækken af opgaver ved implementering af persondatareglerne er lang. De ressourcer, der skal bruges på opgaven, afhænger meget af, hvor stor og kompleks revisionsvirksomheden er. Det er en god idé at lægge en plan for, hvordan implementeringen af persondataforordningen gribes an. Samtidig bør der udpeges en ansvarlig for processen, som også efter implementeringen kan sikre, at virksomhedens persondatapolitik og interne retningslinjer overholdes i praksis. Først og fremmest bør man udarbejde retningslinjer for, hvordan man internt efterlever reglerne. Hvem gør hvad, hvis en person henvender sig og beder om indsigt i de oplysninger, der behandles om vedkommende. Hvordan håndteres kravet om sletterutiner (opbevaringsbegrænsning)? Hvad skal der gøres i dagligdagen for at opnå en tilstrækkelig behandlingssikkerhed? Se afsnit #2 om de regler, som skal overholdes. Revisionsvirksomheden har som nævnt i afsnit #2 en oplysningsforpligtelse over for de personer, som virksomheden indsamler oplysninger om. En måde at håndtere denne forpligtelse på er at udarbejde en persondatapolitik. Se nærmere i bilag 7. Desuden skal revisionsvirksomheden udarbejde en bestemmelse om databehandling i virksomhedens aftalebrev. Samtidig skal virksomhedens aftaler med eksterne parter gennemgås med henblik på at vurdere, om der er persondata involveret og i givet fald, om der er behov for en databehandleraftale. Se nærmere i bilag 3. 12
13 Bilag 1: Hvad er persondata? Det er kun data, der er "personhenførbare", som er omfattet af persondataforordningen. Det betyder, at data skal kunne relatere sig til en bestemt fysisk person, for at loven finder anvendelse. Både almindelige oplysninger og følsomme oplysninger er omfattet af loven. Personoplysninger er alle informationer om en identificeret eller identificerbar person. En identificerbar person er en person, som kan identificeres (direkte eller indirekte). Navn Adresse CPR-nr. Mobil nr. Ægteskabelig status Børn Daginstitution Boligform Biler(er) Arbejdsplads Fagforening A-kasse Pas-nr. Investeringer Folkekirkemedlemskab Statsborgerskab Reklamebeskyttelse Forældre (inkl. CPR-nr.) Fødselssted Alle skatteoplysninger Sociale problemer Hvor man færdes (tele) Uddannelsesforhold Straffe Sygdomsbehandling Lønindkomst CVR-register Tingbogen Bilbogen Livsforsikring Køn Pensionsordninger Værnepligt Gæld til det offentlige Lån i pengeinstitut Realkreditlån Efterretningstjeneste (hvad?) Sikkert mange flere Oplysninger er også personhenførbare, selvom oplysningerne ikke kan identificere personen uden at blive kombineret med andre oplysninger Behandling af almindelige oplysninger om personer må kun finde sted, hvis én af betingelserne er opfyldt: a) Den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål. b) Behandling er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en kontrakt. c) Behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige. d) Behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser. e) Behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller en opgave, som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt. f) Behandling er nødvendig, for at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor, navnlig hvis den registrerede er et barn. 13
14 Typisk vil grundlaget for en revisionsvirksomheds behandling af personoplysninger være nødvendigt, for at aftalen med kunden kan opfyldes (pkt. b), eller for at forfølge en legitim interesse (pkt. f). Se også #1. Personoplysninger kan inddeles efter deres grad af følsomhed, og de såkaldte følsomme oplysninger findes i fjerde boks: Den behandling af personoplysninger, som revisionsvirksomheder foretager om kunder og evt. ansatte, vil normalt have hjemmel i persondatareglerne. Dette forudsætter naturligvis, at reglerne om dataminimering, opbevaringsbegrænsning, saglig behandling m.v. overholdes. Sondringen mellem almindelige og følsomme oplysninger har derimod betydning ved den risikovurdering, som skal foretages i forhold til behandlingssikkerhed. Her vil beskyttelse af følsomme oplysninger vægte højere end beskyttelse af almindelige oplysninger. 14
15 Bilag 2: Databehandlingssikkerhed Der er i forordningen krav om behandlingssikkerhed, og i den forbindelse er det et krav, at virksomheden har foretaget såkaldte tekniske og organisatoriske foranstaltninger. It-systemer indebærer risici; men det er vigtigt at være opmærksom på, at det gør personalet i revisionsvirksomheden også. Derfor er det ikke alene tekniske forhold, men også organisatoriske forhold, som skal indgå i virksomhedens risikostyring. Hvor meget der skal til, for at kravene om behandlingssikkerhed er opfyldt, kan der ikke siges noget generelt om, da det først og fremmest afhænger af en risikovurdering. Det afhænger bl.a. af, hvor megen data der behandles, hvilken type data der er tale om samt skadevirkningen af et eventuelt datalæk. Løsningens omfang skal stå i rimeligt forhold til den opnåede beskyttelse af persondata. Risikovurdering En risikovurdering fortæller, på hvilke områder virksomheden skal være særligt opmærksom, og hvor der skal sættes ind med foranstaltninger, som kan reducere denne risiko til et acceptabelt niveau. Revisionsvirksomheden kan derfor med fordel foretage en sådan vurdering for at skabe grundlaget for eventuelle tekniske foranstaltninger. Det kan være en praktisk hjælp at anvende Erhvervsstyrelsens it sikkerhedstjek, der netop hjælper med at identificere, hvor der skal sættes ind for at mindske risikoen for brud. Figuren til højre skitserer princippet i denne risikovurdering. Risikoen er mindst i det grønne område, stiger i det gule og er højest i det røde område. HØJ RISIKO Ved en risikovurdering skal man se på, hvor alvorlig konsekvensen for de registrerede personer er, hvis deres persondata bliver lækket, ændret eller går tabt. Alvorligheden skal herefter sammenholdes med sandsynligheden for, at persondata enten lækkes, ændres eller går tabt. Det er en individuel vurdering fra virksomhed til virksomhed. Omfanget af databehandlingen og antallet af planlagte dataoverførsler spiller også en stor rolle for risikovurderingen. LAV RISIKO LAV RISIKO I visse situationer vil virksomheden skulle udføre en konsekvensanalyse, hvis der foretages en type behandling, der - navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål - sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder. Det er indtil videre (september 2017) ikke meldt ud fra Justitsministeriet, i præcis hvilke situationer der skal foretages konsekvensanalyse. Der er annonceret en vejledning herom i december
16 Eksempel 1 Medarbejderne i revisionsvirksomhed X har alle mobiltelefoner med adgang til deres e- mail. Ved gennemgang af processer, data og risikovurdering konstateres det, at der er medarbejdere, som ikke har sat adgangskode på deres telefon. Det betyder, at hvis telefonen tabes eller bliver glemt et sted, så har den, som finder telefonen, adgang til alle den pågældende medarbejders s. Virksomheden vurderer, at sandsynligheden for, at det sker, er mellem lav og middel; men at konsekvensen er alvorlig, hvis det sker. Risikoen vurderes så høj, at alle medarbejdere bliver bedt om straks at få sat adgangskode på deres telefon. Eksempel 2 Virksomheden opbevarer kopier af persondata om pårørende til medarbejderne for det tilfælde, at det ved akut sygdom eller lign. kan blive nødvendigt at komme i kontakt med disse. Det er alene bogholderen i virksomheden, som kender til oplysningerne og har disse opbevaret i en mappe, som står frit tilgængeligt. Konsekvensen af, at uvedkommende får adgang til oplysningerne, vurderes at være lille, og sandsynligheden for, at det sker, vurderes også lille. Virksomheden indfører ikke yderligere sikkerhedsforanstaltninger. Organisatoriske foranstaltninger Som nævnt ovenfor er der ikke blot it-tekniske risici ved behandlingen af persondata, men der er også tilknyttet risici ved den behandling, som de ansatte foretager. Man bør overveje, hvordan man i sin virksomhed bedst imødegår disse risici. Det kunne fx være: - At kun de personer, som autoriseres dertil, må have adgang til personoplysninger, der behandles (normalt ved brug af password). - Det er kun de personer, som til løsning af deres arbejdsopgaver har brug for personoplysningerne, som må få adgang til dem. Ansatte må ikke få adgang til personoplysninger, som ikke er nødvendige for deres arbejdsopgaver. - De ansatte skal have tilstrækkelig uddannelse og instruktion, der tilsigter at øge medarbejdernes generelle sikkerhedsbevidsthed, herunder deres kendskab til virksomhedens interne retningslinjer. - Der bør løbende efter behov foretages kontrol af, at ansatte kun er tildelt de adgange, som de har behov for. - Personoplysninger, som opbevares på fysiske medier (ringbind, USB, dvd m.v.), skal være låst inde eller på anden vis sikret mod almindelig adgang. 16
17 Tekniske foranstaltninger Der indføres en passende it-sikkerhed i forhold til de risici, der findes ved virksomhedens behandling af personoplysninger. Det drejer sig fx om: - Beskyttelse mod uautoriseret adgang til systemet (internt og eksternt) - Evt. brug af kryptering ( s, flytbare lagringsmedier) - Forretningsgang ved bortskaffelse/reparation af it-udstyr, som indeholder persondata, - Foranstaltninger imod virus - Regelmæssig backup - Tekniske krav til hjemmearbejdspladser - Løbende vurdering af, om sikkerhedsniveauet er tilstrækkeligt i forhold til risikovurderingen - Fysiske foranstaltninger. 17
18 Bilag 3: Databehandleraftaler I dette afsnit gennemgås en række problemstillinger, som gælder for mange af revisionsvirksomhedernes aktiviteter: Ansvaret for kundernes oplysninger, når de overlades til andre (databehandlere) Overførsel af personoplysninger via Overførsel af personoplysninger via hjemmesider Behandling af personnumre Cookies. Herudover er der en række problemstillinger, der specifikt gælder for revisionsvirksomheders forretning og personaleadministration, som gennemgås i de følgende afsnit. Ansvaret for kundernes oplysninger, når de overlades til andre (databehandlere) Revisionsvirksomheden er såkaldt dataansvarlig for al den persondata, som registreres i forhold til kunder og ansatte. Den, der herefter udfører databehandlingen, betegnes som databehandler. Det kan fx være en ekstern leverandør, som bruges til at udbetale løn eller til at rekruttere nye medarbejdere eller til lagring/ backup af data via cloud-løsninger. Det er fortsat revisionsvirksomheden, som har ansvaret for, at oplysningerne opbevares i overensstemmelse med persondatareglerne. I den forbindelse skal der skriftligt indgås en såkaldt databehandleraftale, der skal indeholde: Formål og varighed Hvilke kategorier af data der behandles Kategorier af registrerede Organisatorisk sikkerhed hvem får adgang og hvorfor? Krav om fortrolighed Den dataansvarliges instruktionsbeføjelse Krav til sikkerhed Beredskab og notifikation ved sikkerhedsbrist Dokumentation for overholdelse af forpligtelserne som databehandler Sletning eller overlevering af data ved ophør. Revisionsvirksomheden skal sikre sig, at databehandleren overholder aftalen. En metode kan være at indhente en årlig revisionserklæring. FSR danske revisorer har udarbejdet en ny revisorerklæring, der giver sikkerhed for, at databehandlere har styr på procedurer til beskyttelse af persondata. 18
19 Systematikken i brugen af databehandlere kan skitseres således: I eksemplet modtager revisor personoplysninger fra kunden. I forbindelse med revisors backup ender oplysningerne hos en ekstern hoster. Persondatareglerne gælder ikke oplysninger om selskaber. Revisor vil dog i praksis altid modtage personoplysninger fra kunder, som er selskaber. Det drejer sig fx om kontaktperson i virksomheden (typisk navn, , telefonnummer, stillingsbetegnelse m.v.). Det kan også dreje sig om aktionærer i selskabet eller om selskabets medarbejdere, når revisor står for lønadministration. Ved brug af databehandlere skal man være opmærksom på, om der sker behandling uden for EU. Princippet for behandling af personoplysninger uden for EU er, at det ikke må ske i et land, hvor beskyttelsen af personoplysninger er dårligere lovgivningsmæssigt set. Persondata kan overlades til databehandlere i andre EU- og EØS-lande, når reglerne om overførsel af persondata til databehandlere i øvrigt overholdes. Overlades personoplysninger til andre lande, kræver det, at dette land har et tilstrækkeligt beskyttelsesniveau for persondata + samtykke fra den registrerede. EU-Kommissionen har godkendt visse lande uden for EU (december 2012): Andorra Argentina Færøerne Guernsey Schweiz Canada (begrænset anvendelsesområde) Israel Jersey Isle of Man New Zealand Uruguay Herudover kan Datatilsynet give konkret tilladelse. Endelig kan overførsel ske ved at indgå en særlig EU-standardkontrakt. Det kræver altid Datatilsynets tilladelse at overføre (overlade) følsomme oplysninger eller oplysninger om kreditværdighed. 19
20 For en god ordens skyld skal det nævnes, at digitalt regnskabsmateriale kan opbevares i udlandet, hvis den bogføringspligtige i Danmark sørger for, at opbevaringen af regnskabsmaterialet sker på en måde, så det til enhver tid kan fremskaffes og gives adgang til her i landet. Her skal man være opmærksom på, at hvis regnskabsmateriale indeholder persondata, kan opbevaring ske inden for EU, men sker det uden for EU, skal det i hvert tilfælde undersøges, om det giver anledning til problemer i forhold til persondatareglerne. Den dataansvarlige skal sikre, at databehandleren overholder reglerne Når den dataansvarlige bruger en databehandler, stilles der en række krav til den dataansvarlige ud over selve databehandleraftalen. Det vigtigste er, at den dataansvarlige påser, at databehandleren har etableret passende tekniske og organisatoriske foranstaltninger, som imødegår de risici, som databehandleren vurderer, der er ved at behandle de pågældende persondata. Der foretages løbende - og mindst én gang årligt en vurdering af, hvorvidt risikovurderingen er opdateret og passende i forhold til de tekniske og organisatoriske foranstaltninger. 20
21 Bilag 4: s, hjemmesider og følsomme oplysninger Overførsel af personoplysninger via Datatilsynet anbefaler kryptering ved overførsel via af: Følsomme personoplysninger Personnummer Passwords m.v. Almindelige private (fortrolige) personoplysninger. Disse anbefalinger bør følges, da det at sende en svarer til at sende et åbent postkort med posten. Krypteringen kan siges at være kuverten. I øvrigt kan det nævnes, at offentlige myndigheder ikke må sende en ukrypteret, når den indeholder fortrolige oplysninger. Behandling af personnumre Persondataforordningen giver mulighed for at udstede regler om CPR-nr. I skrivende stund (september 2017) er det ikke meldt ud, hvordan Justitsministeriet har tænkt sig at bruge denne adgang. Meget tyder dog på, at reglerne vil blive som hidtil. Disse er gennemgået i det følgende. Revisionsvirksomheder må som hovedregel kun behandle CPR-nr., når det følger af lovgivningen, eller hvis personen har givet udtrykkeligt samtykke, når der samtidigt er et sagligt formål. Kravet om sagligt formål vil normalt være opfyldt i en revisionsvirksomhed, da de fleste opgaver, som løses for personer, kræver oplysninger om den pågældendes CPR-nr. Behandling skal forstås bredt som fx indsamling, registrering, systematisering, opbevaring, ændring, søgning, brug, videregivelse, formidling eller enhver anden form for overførsel, samkøring, sletning eller tilintetgørelse. Herudover skal man være opmærksom på, at der gælder særlige krav, hvis man overfører CPRnr. via hjemmesider eller s. 21
22 Bilag 5: Cookies Ved indsamling af oplysninger på virksomhedens hjemmeside er det Datatilsynets opfattelse, at den dataansvarlige bør give oplysninger om følgende: Den dataansvarliges identitet og adresse (både den fysiske og den elektroniske) Formålet med indsamlingen (alle formålene, hvis der er flere) Hvorvidt de oplysninger, der anmodes om, er obligatoriske eller valgfri (der må ikke være konsekvenser, hvis den registrerede vælger ikke at afgive en valgfri oplysning) Modtagerne/kategorier af modtagere af oplysningerne, og hvorfor der sker videregivelse - der skal samtidig være mulighed for at gøre indsigelse mod dette - eksempelvis med et afkrydsningsfelt Retten til indsigt og rettelse, samt hvem henvendelse skal ske til Retten til at gøre indsigelse, samt hvem henvendelse skal ske til Om der anvendes automatiske indsamlingsprocedurer Sikkerhedsniveauet ved behandlingerne, herunder ved overførslen af oplysninger, samt i modtagerlandet, hvis oplysningerne videregives til et andet land, og Navn og adresse (både den fysiske og den elektroniske) på den, der er ansvarlig for at besvare spørgsmål om beskyttelse af personoplysninger. Der bør desuden også være adgang til fuld information om virksomhedens persondatapolitik for beskyttelse af personoplysninger. Alt dette skal være direkte tilgængeligt på webstedet og alle de steder, hvor der indsamles personoplysninger. Det forudsættes, at persondatalovens regler i øvrigt overholdes. Det betyder bl.a., at der ikke må indsamles flere oplysninger, end hvad der er nødvendigt, ligesom indsamlingen skal ske til specifikke og saglige formål. 22
23 Bilag 6: Oplysninger om personale Der gælder en række regler for behandling af persondata om egne ansatte, som gennemgås i det følgende: Datatilsynets krav om datasikkerhed i forbindelse med personaleadministration Logning og kontrol af medarbejderes brug af telefon, internet og s Behandling af en fratrådt medarbejders konto Når en virksomhed indsamler og opbevarer oplysninger om personer, der er ansat i virksomheden, eller som har været ansat, eller som søger job i virksomheden, gælder persondataloven. Datatilsynets krav om datasikkerhed i forbindelse med personaleadministration Datatilsynet har udarbejdet en 12-punkts liste, som indeholder minimumskrav ved behandling af personaleoplysninger. Det skal dokumenteres skriftligt, hvilke tiltag revisionsvirksomheden har gjort for at opfylde de enkelte punkter, og dokumentation skal udleveres til Datatilsynet på anmodning. 1. Beskriv, hvordan I beskytter jeres personaleoplysninger i personaleadministration og i praksis har implementeret pkt Beskrivelsen kan være særlige retningslinjer, der indgår i virksomhedens uddybende sikkerhedsregler, i en it-sikkerhedspolitik eller som en del af virksomhedens information til medarbejderne. 2. Adgang til oplysningerne skal begrænses til personer, der har et sagligt behov for adgang til oplysningerne. Det skal være så få personer som muligt. 3. Medarbejdere, der håndterer personaleoplysninger, skal have instruktion og oplæring i, hvad de må gøre med oplysningerne, og hvordan de skal beskytte oplysningerne. 4. Personaleoplysninger på papir fx i kartoteker og ringbind skal opbevares aflåst, når de ikke er i brug. Når dokumenter (papirer, kartotekskort m.v.) med personaleoplysninger skal smides ud, skal der anvendes makulering eller anden foranstaltning, der forhindrer, at uvedkommende kan få adgang til oplysningerne. 5. Der skal anvendes adgangskode for at få adgang til pc er og andet elektronisk udstyr med personoplysninger. Kun de personer, der skal have adgang, må få en kode. De personer, der har adgangskode, må ikke overlade koden til andre eller lade den ligge, så andre kan se den. Kontrol af tildelte koder skal foretages mindst en gang hvert halve år. 6. Det skal registreres, hvis der er forgæves forsøg på at få adgang til it-systemer med følsomme personaleoplysninger. Hvis der registreres et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg, skal der blokeres for yderligere forsøg. 7. Hvis personaleoplysninger lagres på en USB-nøgle, skal oplysningerne beskyttes. Der kan fx bruges en USB-nøgle med adgangskode og kryptering. Ellers skal USB-nøglen opbevares i aflåst skuffe eller skab. Tilsvarende gælder ved opbevaring af personaleoplysninger på andre bærbare datamedier. 8. Pc er koblet til internettet skal have en opdateret firewall og viruskontrol installeret. 9. Hvis der benyttes hjemmesideformularer, hvor følsomme personaleoplysninger og personnummer kan indtastes og fremsendes, skal der anvendes kryptering. 10. Hvis følsomme personaleoplysninger og personnummer sendes med via internettet, anbefaler Datatilsynet kryptering. 11. I forbindelse med reparation og service af dataudstyr, der indeholder personoplysninger, og når datamedier skal sælges eller kasseres, skal der træffes de fornødne foranstaltninger, så oplysninger ikke kan komme til uvedkommendes kendskab. 12. Ved brug af en ekstern databehandler til håndtering af oplysninger skal persondatalovens 42 om skriftlig databehandleraftale m.v. følges. Det gælder eksempelvis, når der anvendes et eksternt dokumentarkiv eller rekrutteringssystem på internettet. 23
24 Følgende oplysninger anses som henholdsvis almindelige oplysninger og følsomme oplysninger, når det drejer sig om personaleadministration: Almindelige oplysninger er fx: Navn Adresse Telefonnummer Stillingsbetegnelse Uddannelse Kontonummer Sådanne almindelige oplysninger vil normalt kunne registreres i det omfang, hvori virksomheden skal bruge oplysningerne. Virksomheden må normalt registrere de oplysninger om en ansøger, som personen selv afgiver i sin ansøgning. Følsomme oplysninger er ifølge forordningen: Race eller etnisk oprindelse Politisk, religiøs eller filosofisk overbevisning Fagforeningsmæssigt tilhørsforhold Behandling af genetiske data Biometriske data med det formål entydigt at identificere en fysisk person Helbredsoplysninger Oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering Som hovedregel må en virksomhed kun registrere følsomme oplysninger om en medarbejder, hvis medarbejderen har givet udtrykkeligt samtykke til dette. Der er dog også muligheder for at registrere følsomme oplysninger, hvis det er nødvendigt for at opfylde bestemmelser i en lov eller bekendtgørelse udstedt i medfør af lov. Der kan fx registreres helbredsoplysninger i nødvendigt omfang i forbindelse med en aftale i henhold til dagpengelovens 28. Et andet eksempel er funktionærloven, som i visse tilfælde nødvendiggør registrering af følsomme oplysninger. Dette gælder fx i tilfælde af opsigelse, hvor en tidligere ansats ret til på begæring at få oplysning om årsagen til afskedigelsen nødvendiggør registrering af oplysninger herom. Der skal være tale om registrering, som er nødvendig, for at det kan fastlægges, om nogen har et retskrav. Det vil fx kunne forekomme, at en virksomhed har behov for at registrere oplysninger om et strafbart forhold i form af underslæb begået af en medarbejder, hvis dette er nødvendigt for at kunne gøre virksomhedens krav på erstatning gældende over for medarbejderen. Også på områder, hvor der kan tænkes at opstå et retskrav til medarbejderen, fx på erstatning som følge af en arbejdsskade, kan det være nødvendigt at foretage registreringer af følsomme oplysninger til brug for en eventuel sag. Logning og kontrol af medarbejderes brug af telefon, internettet og s Forbud mod registrering af de telefonnumre, som ansatte ringer til Der er forbud mod automatisk at registrere de telefonnumre, som ansatte ringer til. Det er heller ikke tilladt at modtage oversigter fra teleselskabet, der indeholder specifikation af de telefonnumre, der er ringet til. Det er dog tilladt at registrere telefonnumre, hvis det kun er en del af telefonnummeret, der fremgår (fx hvor de sidste to cifre mangler). 24
25 Overvågning af medarbejdernes brug af internettet Revisionsvirksomhedens registrering (logning) af medarbejdernes hjemmesidebesøg samt gennemgang af registreringerne ved mistanke om misbrug af internettet er ikke i strid med persondataloven, hvis medarbejderne på forhånd - på en klar og utvetydig måde er blevet informeret om, at registreringen/logningen finder sted, og at registreringen eventuelt vil blive gennemset som led i en kontrol ved mistanke om brug af internettet i strid med arbejdspladsens retningslinjer. Logningen bør som minimum fremgå af personalehåndbogen, og samtidig skal alle nye ansatte orienteres herom ved ansættelsen. Modsat hvad der gælder for offentlige myndigheder, er der ikke krav om anmeldelse til Datatilsynet ved private virksomheders logning og kontrol af medarbejdernes internetbrug. Overvågning af medarbejdernes s Revisionsvirksomheden kan under visse betingelser gennemgå medarbejdernes s ved mistanke om misbrug af systemet, uden at det er i strid med persondataloven. Følgende betingelser skal være opfyldt: Eventuel gennemgang af en medarbejders s må kun ske, hvis det er nødvendigt, for at arbejdsgiveren kan forfølge berettigede interesser, og hensynet til den ansatte ikke overstiger disse interesser. De berettigede interesser kan fx være hensynet til drift, sikkerhed, genetablering og dokumentation samt hensynet til kontrol af medarbejderes brug. Medarbejderne skal på forhånd - på en klar og utvetydig måde - være informeret om sikkerhedskopieringen og den eventuelle gennemgang af den enkelte medarbejders s. Ved en gennemgang af en medarbejders s må arbejdsgiveren ikke læse medarbejderens private e- mails. Det skal understreges, at man som arbejdsgiver ikke må læse medarbejderens private s. Hvis revisionsvirksomheden bliver opmærksom på, at der er tale om en privat uden relation til virksomhedens drift, må den pågældende ikke læses, da det vil være en krænkelse af brevhemmeligheden, jf. straffelovens bestemmelse herom. En praktisk løsning vil være at opfordre medarbejderne til at oprette en særlig folder til private e- mails. Behandling af en fratrådt medarbejders konto Hvis der ikke er aftalt andet, gælder følgende ifølge Datatilsynet: Når en medarbejder har forladt arbejdspladsen og ikke længere kan få adgang til sin personlige konto på arbejdspladsen, må kontoen kun holdes aktiv i en periode, der er så kort som muligt. Periodens længde fastsættes under hensyntagen til den fratrådte medarbejders stilling og funktion og kan maksimalt være på 12 måneder. Snarest muligt efter, at medarbejderen har forladt arbejdspladsen og ikke længere kan få adgang til sin personlige konto, sættes et auto-svar på kontoen med besked om medarbejderens fratræden og eventuel anden relevant information. Den aktive konto benyttes kun til modtagelse af s hvis der modtages private e- mails, kan kontoen dog benyttes til videresendelse af disse til den fratrådte medarbejders private konto. Oplysninger om den personlige adresse skal hurtigst muligt fjernes fra arbejdspladsens hjemmeside og andre offentligt tilgængelige informationssteder. 25
26 Kun en enkelt eller ganske få betroede medarbejdere bør have adgang til den fratrådte medarbejders personlige konto. Persondatalovens bestemmelser, herunder reglerne om oplysningspligt, indsigt m.v., skal iagttages, når en arbejdsgiver holder en fratrådt medarbejders konto åben. Arbejdsgivere anbefales som led i den almindelige personalepolitik at forholde sig til spørgsmålet om håndtering af fratrådte medarbejderes konti og informere medarbejderne herom. Persondataloven giver ikke en arbejdsgiver lov til at tilsidesætte straffelovens regler om brevhemmelighed m.v. 26
27 Bilag 7: Indholdet af en persondatapolitik Det er et krav, at revisionsvirksomheden har en persondatapolitik, som beskriver, hvad den gør for at overholde den registreredes rettigheder. Som nævnt i afsnit #2 har den registrerede person en række rettigheder efter persondataforordningen: Retten til at modtage oplysning om en behandling af personoplysninger(oplysningspligt) Retten til at få indsigt i personoplysninger Retten til at få urigtige personoplysninger berigtiget Retten til at få personoplysninger slettet Retten til at gøre indsigelse mod, at personoplysninger anvendes til direkte markedsføring Retten til at gøre indsigelse mod automatiske individuelle afgørelser, herunder profilering Retten til at flytte personoplysninger (dataportabilitet) Hvis den registrerede beder om at få slettet sine oplysninger, kan det give en række udfordringer. Det er ikke alene oplysninger i fx personalemappen eller kundemappen, der skal slettes. Det er alle oplysninger! Hvis der fx opbevares s, som omhandler den pågældende person, skal de også slettes. Det kan fx være tilfældet, hvis en jobansøgning fra den pågældende person har været sendt fra den ene medarbejder til den anden, og en fortsat ligger i Sendt post eller Indbakke. Hertil kommer, at der gælder en regel om, at oplysninger skal slettes eller anonymiseres, når man ikke længere har brug for dem. Denne regel skal bidrage til at sikre mod en unødvendig ophobning af personoplysninger. Det vil sandsynligvis være sjældent, at en revisionsvirksomhed modtager en henvendelse fra en registreret, som direkte påberåber sig en af de nævnte rettigheder i boksen ovenover; men det kan ikke udelukkes, at det kan ske. Med den nye EU-forordning introduceres en ny rettighed dataportabilitet - som indebærer, at de registrerede kan kræve at få udleveret deres personoplysninger i et struktureret, almindeligt anvendt og maskinlæsbart format, således at de registrerede kan sende disse personoplysninger til en anden dataansvarlig. Det kunne fx være på et USB memory stick. Såvel sletningen som håndteringen af kravet om at udlevere oplysninger kan være en udfordring, hvis man ikke har overblik over de persondata, der er opbevaret i revisionsvirksomheden. Udover at skaffe sig overblik bør man også se på, om der er behov for forretningsgange for at håndtere persondata. I forhold til eksemplet om en jobansøgning, der sendes videre på , kunne man overveje interne retningslinjer for, hvordan jobansøgninger må håndteres i forhold til intern rundsending, printning af kopier og evt. efterfølgende opbevaring. 27
28 Nedenfor er angivet en række punkter, som bør indgå i persondatapolitikken: Hvem er vi? Hvorfor har vi en persondatapolitik? Hvornår og hvordan indsamler vi oplysninger om dig? - etablering af kundeforhold - abonnement på nyhedsbrev Hvilken type information indsamles fra dig? - kun relevant - nødvendig - korrekt Hvad er formålet med indsamlingen? - løsning af kundeopgaver - udsendelse af nyhedsbreve Hvem har adgang til dine oplysninger? - vi videregiver ikke uden samtykke Hvordan kan du få adgang til og opdatere dine oplysninger? - hvad gør du i praksis? - opfyldelse af krav om dataportabilitet Hvordan kan du sørge for, at vi sletter dem? - kontakt os Hvordan opbevarer vi dem? - behandlingssikkerhed Fortrolighed - hvad gør vi for at sikre den? Indsamling af personoplysninger ved brug af cookies - cookiepolitik til opfyldelse af de regler, som gælder (se cookiebekendtgørelsen) Overførsel af dine oplysninger uden for Europa - er det noget, virksomheden gør, og hvordan sikres personens rettigheder i givet fald? Indsamling af oplysninger i henhold til hvidvaskloven - af hvidvaskloven følger en række krav til oplysninger om persondata, der skal gives (se FSR danske revisorers vejledning om hvidvask) 28
Datatilsynet: Krav om datasikkerhed i forbindelse med personaleadministration
Side 1 af 2 Forside / Erhverv / Personaleadministration / Krav om datasikkerhed i forbindelse med personaleadministration Opdateret: 06.05.15 Krav om datasikkerhed i forbindelse med personaleadministration
Læs merePersondataforordning din dig din
Persondataforordning Hvad betyder den nye persondataforordning for din virksomhed? Er du omfattet af ordningen? Alle virksomheder, organisationer og offentlige myndigheder, der behandler personoplysninger,
Læs mereVi har udarbejdet en særlig fortegnelse over vores databehandlingsaktiviteter. Denne fortegnelse indeholder:
1. Persondatapolitik 1.1. Generelt Dette dokument skal være tilgængeligt for medarbejdere, kunder, potentielle kunder, leverandører mv. Det skal give dem sikkerhed for, at vi arbejder professionelt med,
Læs merePERSONDATA - HVAD ER DET FOR NOGET OG HVORDAN BRUGES DET?
PERSONDATA - HVAD ER DET FOR NOGET OG HVORDAN BRUGES DET? Jimmy Povlsen og Toke Arndal Aabenraa, den 19. januar 2018 Baggrunden for persondataloven Hvorfor en persondatalov? Persondataloven af 1. juli
Læs merePersondatapolitik i Dansk Oplysnings Forbund
Persondatapolitik i Dansk Oplysnings Forbund 1. Om DOF s persondatapolitik. I dette dokument beskrives, hvordan vi indsamler, behandler og opbevarer personoplysninger. Det er vores klare mål at skabe åbenhed
Læs mereDATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde
DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER Vejledning til brug af skabelonen Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde sig til indholdet evt.
Læs mereTilladelsen gives på følgende vilkår:
Amgros I/S Dampfærgevej 22 2100 København Ø Sendt til: amgros@amgros.dk og cch@amgros.dk 6. april 2016 Vedrørende anmeldelse af behandlingen "Behandling af ESPD dokumentation" Datatilsynet Borgergade 28,
Læs mereCC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")
DATABEHANDLERAFTALE Aftalen foreligger mellem Adresse Post nr. og By CVR. nr. xx xx xx xx (i det følgende betegnet Dataansvarlig ) og CC GROUP DENMARK Møllebugtvej 5 7000 Fredericia Att: CVR. nr. 27415032
Læs mere2.1 Vi behandler persondata og har derfor vedtaget denne persondatapolitik, der beskriver, hvordan vi behandler persondata.
Pharmaforce ApS CVR nr. 26394198 PERSONDATAPOLITIK 1. Databeskyttelsesforordningen og persondataloven 1.1 Databeskyttelsesforordningen og Persondataloven regulerer behandling af personoplysninger, som
Læs merePERSONDATAPOLITIK FOR ORDET OG ISRAEL
PERSONDATAPOLITIK FOR ORDET OG ISRAEL 1 Generelt 1.1 Denne Persondatapolitik er gældende for samtlige de oplysninger, som du giver til os, og/eller som vi indsamler om dig, enten som led i et medlems-/kunde-
Læs mereIntroduktion til persondataforordning
Introduktion til persondataforordning Lektor Dorte Høilund Anvendelse fra 25. maj 2018 Direktiv contra forordning Mange muligheder for nationale særregler Opbygning og struktur Forslag til Databeskyttelseslov
Læs merePRIVATLIVSPOLITIK FOR VÆRFTET NEXØ KRISTNE SKATECENTER, LEGELAND OG CAFE
PRIVATLIVSPOLITIK FOR VÆRFTET NEXØ KRISTNE SKATECENTER, LEGELAND OG CAFE INDHOLDSFORTEGNELSE: 1 Generelt... 3 2 Definitioner 3 3 Formål med behandlingen af dine personoplysninger... 4 4 De personlige oplysninger,
Læs mereOVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106.
OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106. INDHOLDSFO RTEGNELSE: 1. Generelt 3 2. Om nærværende Persondatapolitik 3 3. Definitioner 4 4. Persondataprincipper
Læs merePERSONDATAPOLITIK FOR AXIS
PERSONDATAPOLITIK FOR AXIS 1. Generelt 1.1. Denne Persondatapolitik er gældende for samtlige de oplysninger, som du giver til os, og/eller som vi indsamler om dig, enten som led i et medlems-/ eller bidragyderforhold
Læs mereNexø Frikirke. PRIVATLIVSPOLITIK i NEXØ FRIKIRKE
PRIVATLIVSPOLITIK i NEXØ FRIKIRKE 1 INDHOLDSFORTEGNELSE: 1 Generelt... 3 1 Definitioner... 3 3 Formål med behandlingen af dine personoplysninger... 4 4 De personlige oplysninger, som vi behandler om dig...
Læs mereVandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker
Vandforsyningens håndtering af den kommende persondataforordning Danske Vandværker Praktiske spørgsmål vi modtog Hvem har ansvaret for beskyttelse af forbrugernes persondata? Er medlemslister i ringbindsmapper
Læs merePersondatapolitik. Dataansvarlig Paarup Hansen ApS Enghaven Roskilde Danmark CVR-nr.:
Persondatapolitik Dataansvarlig Paarup Hansen ApS Enghaven 59 4000 Roskilde Danmark CVR-nr.: 66234118 1 1. Indledning 1.1 Denne politik om indsamling og behandling af personoplysninger og anvendelse af
Læs merePERSONDATAPOLITIK FOR DANSK TOURETTE FORENING
PERSONDATAPOLITIK FOR DANSK TOURETTE FORENING 1 Generelt 1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du giver til os, og/eller som vi indsamler om dig, enten som
Læs mere! Databehandleraftale
! Databehandleraftale Indledning 1.1. Denne aftale vedrørende behandling af personoplysninger ( Databehandleraftalen ) regulerer Pensopay APS CVR-nr. 36410876 (databehandleren) og Kunden (den Dataansvarlige
Læs mereStandardvilkår. Databehandleraftale
Standardvilkår Databehandleraftale 1 Indhold 2 Vilkårenes status... 2 3 Baggrund for databehandleraftalen... 2 4 Formål med databehandlingen... 2 5 Personoplysninger omfattet af databehandleraftalen...
Læs merePolitik for behandling af oplysninger
Politik for behandling af oplysninger PERSONDATALOVEN Indledning Denne politik beskriver, hvordan vi beskytter persondata, og skal sikre, at medarbejderne har kendskab til de regler, der gælder for brug
Læs mereCuranet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")
DATABEHANDLERAFTALE Databehandleraftalen foreligger mellem Åstvej 10, B 7190 Billund CVR. nr. 30 56 13 17 (i det følgende betegnet Dataansvarlig ) og Curanet A/S Højvangen 4 8660 Skanderborg CVR. nr. 29
Læs mereN. Zahles Skole Persondatapolitik
N. Zahles Skole Persondatapolitik Indholdsfortegnelse Side 1. Baggrund for persondatapolitikken 3 2. Formål med persondatapolitikken 3 3. Definitioner 3 4. Ansvarsfordeling 4 5. Ansvarlighed 5 6. Lovlighed,
Læs mereJeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )
DATABEHANDLERAFTALEN Databehandleraftale ( Aftalen ) mellem: Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK-36726350 ( Leverandøren ) A: OMFANG A.1 Databehandleraftale
Læs mereSlettepolitik for Euro Accident Livförsäkring Aktiebolag som dataansvarlig
Slettepolitik for Euro Accident Livförsäkring Aktiebolag som dataansvarlig Denne slettepolitik er udarbejdet for at sikre, at Euro Accident Livförsäkring Aktiebolag ( Euro Accident ) som dataansvarlig
Læs mereEcofleet. Persondataforordningen Kort fortalt. Del 1. Peter Dam Nordic Project Manager
Ecofleet Persondataforordningen Kort fortalt Del 1 Peter Dam Nordic Project Manager Del 1: Hvad er Persondataforordningen? Hvilke rettigheder har den registrerede? Del 2: Hvilke data behandler Ecofleet
Læs mereDistrict or. Vejledning til Zonta klubber Sådan behandler vi persondata
District or Vejledning til Zonta klubber Sådan behandler vi persondata August 2018 1 1. Indledning... 3 2. Hvad er personoplysninger?... 3 3. Hvornår må klubben behandle personoplysninger?... 3 3.1 Zontas
Læs mereKontaktoplysninger LiebhaverSkovfogeden er dataansvarlig, og vi sikrer, at dine persondata behandles i overensstemmelse med lovgivningen.
Persondatapolitik Vi tager din databeskyttelse alvorligt Vi behandler persondata og har derfor vedtaget denne privatlivsbeskyttelsespolitik, der fortæller dig, hvordan vi behandler dine data. Kontaktoplysninger
Læs mereBEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen
BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni 2019 Ministerium: Undervisningsministeriet Journalnummer: Undervisningsmin., Styrelsen for It og Læring, j.nr. 18/13045 Senere ændringer til
Læs mere1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du
PERSONDATAPOLITIK FOR FORENINGEN EVENTYRJUL 1 Generelt 1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du giver til os, og/eller som vi indsamler om dig, enten som
Læs mereDatabehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD
INDHOLD INDHOLD... 1 1. Baggrund... 2 2. Definitioner... 2 3. Behandling af personoplysninger... 3 4. Behandlinger uden instruks... 3 5. Sikkerhedsforanstaltninger... 3 6. Underdatabehandling... 4 7. Overførsel
Læs merePersondataforordningen kommer hvad gør man? - Guide til virksomheder
Persondataforordningen kommer hvad gør man? Guide til virksomheder Hvad er persondataforordningen? EU har vedtaget en forordning, der opstiller regler for behandling af persondata. Persondata er alle de
Læs mereBILAG 5 DATABEHANDLERAFTALE
BILAG 5 DATABEHANDLERAFTALE INDHOLDSFORTEGNELSE 1. Formål og omfang... 5 2. Databehandlers opgave... 5 3. Instruks... 5 4. Brug af ekstern Databehandler eller underleverandør... 5 5. Behandling i udlandet...
Læs mereAftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )
Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig ) og Steuermann ApS Flæsketorvet 68 1711 København V CVR. nr. 35809422 (i det følgende betegnet Databehandler ) (herefter samlet
Læs merePERSONDATAPOLITIK. Indholdsfortegnelse. Kontaktoplysninger ) Generelt om databeskyttelse Gennemsigtighed og samtykke...
PERSONDATAPOLITIK Indholdsfortegnelse Kontaktoplysninger... 2 1) Generelt om databeskyttelse... 2 Gennemsigtighed og samtykke... 2 Videregivelse af personoplysninger... 2 2) Registreredes rettigheder...
Læs merePersondatapolitik i musikskolen SPIL OP
Persondatapolitik i musikskolen SPIL OP 1. Om skolens persondatapolitik. I dette dokument beskrives, hvordan vi indsamler, behandler og opbevarer personoplysninger. Det er vores klare mål at skabe åbenhed
Læs merePersonoplysninger om kunder og forretningsforbindelser
Personoplysninger om kunder og forretningsforbindelser 1 INDLEDENDE BEMÆRKNINGER 1.1 Formål 1.1.1 Hos Jysk Tagpap ApS (herefter "Selskabet") vil vi løbende komme til elektronisk/automatisk at behandle
Læs mereProcedure for håndtering af personoplysninger - GDPR Denne udgave: /TW
Procedure for håndtering af personoplysninger - GDPR Denne udgave: 23.08.2018/TW DolphinEyes ApS (i det følgende virksomheden) beskriver med denne procedure, hvordan vi opfylder persondataloven. Proceduren
Læs mereOVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I. INDHOLDSFORTEGNELSE: 1. Generelt... 2
OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I DANSK FORENING FOR OSTEOGENEIS IMPERFECTA (DFOI) INDHOLDSFORTEGNELSE: 1. Generelt... 2 2. Om nærværende persondatapolitik...
Læs merePERSONDATAPOLITIK FOR Slagelse Børneklub
PERSONDATAPOLITIK FOR Slagelse Børneklub 1 Generelt 1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, du giver til os, og/eller vi indsamler om dig, enten som led i et medlems-
Læs mere1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du giver til os, og
PERSONDATAPOLITIK FOR Dansk Forening for Tuberøs Sclerose 1 Generelt 1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du giver til os, og som vi indsamler om dig, enten
Læs mereDatabeskyttelsespolitik (oplysningspligten) 1. Introduktion. 2. Vores behandlingsaktiviteter Kundesamarbejdet
Databeskyttelsespolitik (oplysningspligten) 1. Introduktion Haamann Statsautoriseret Revisionspartnerselskab (Haamann) er forpligtet til at beskytte fortroligheden, integriteten og tilgængeligheden af
Læs mereEN DAG OM PERSONDATAFORORDNINGEN. STU Foreningen. 7. december 2017
EN DAG OM PERSONDATAFORORDNINGEN STU Foreningen 7. december 2017 Oplæg v/ Peter Sindal Lundsberg Advokat, underviser, fast værge Hovedvagtsgade 6, 4. sal 1103 København K T: 3311 3636 M: 5373 2100 E: psl@petersindal.dk
Læs merePersondatapolitik for Ehlers-Danlos Foreningen i Danmark
Persondatapolitik for Ehlers-Danlos Foreningen i Danmark 1 Generelt 1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige af de oplysninger, som du giver til os, og som vi indsamler om dig,
Læs mereEU Persondataforordning GDPR
EU Persondataforordning GDPR 14. juni 2018 Agenda Persondataforordningen - GDPR Hvad går forordningen grundlæggende ud på og hvorfor? Hvad stiller forordningen af krav til nødvendig indsats? Hvordan sikrer
Læs merePERSONDATAPOLITIK. Jeg optræder som dataansvarlig, når jeg behandler personoplysninger.
ADVOKAT MORTEN RIISE-KNUDSEN Møderet for Højesteret Havnegade 41, 1., 1058 København K Telefon: 3333 9042 * Mobil: 2788 1024 * e-mail: morten@mr-k.dk * www.mr-k.dk Danske Bank 9541-2505 672 618 * CVR-nr.
Læs merePersondatapolitik i Yoga Being
Persondatapolitik i Yoga Being 1. Om skolens persondatapolitik. I dette dokument beskrives, hvordan vi indsamler, behandler og opbevarer personoplysninger. Det er vores klare mål at skabe åbenhed omkring
Læs mereBehandling af personoplysninger
Behandling af personoplysninger Orientering til kunder om Zibo Athene A/S behandling af personoplysninger. Nærværende dokument er en information til dig som kunde hos Zibo Athene A/S (herefter Zibo Athene)
Læs merePERSONDATAPOLITIK FOR Dansk forening for Williams Syndrom
PERSONDATAPOLITIK FOR Dansk forening for Williams Syndrom 1 Generelt 1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige af de oplysninger, som du giver til os, og/eller som vi indsamler om
Læs mereDatabehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:
Databehandleraftale Mellem Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: og Databehandleren Virksomhed: OnlineFox CVR: 38687794 Adresse: Pilagervej 32 Postnummer & By: 4200 Slagelse
Læs mereDen dataansvarlige organisation for behandling af dine personoplysninger er:
PERSONDATAPOLITIK FOR IC-Meter 1 Generelt Denne Persondatapolitik er gældende for samtlige de oplysninger, som du giver til os, og/eller som vi indsamler om dig, enten som led i et kundeforhold eller som
Læs merePERSONDATAPOLITIK 1. INTRODUKTION
PERSONDATAPOLITIK 1. INTRODUKTION 1.1. Personoplysninger er alle typer oplysninger, som kan bruges til at identificere dig som person. Frandsen El A/S (fremover betegnet som FE) opfordrer dig derfor til
Læs merePERSONDATAPOLITIK FOR HETAG TAG MATERIALER A/S
PERSONDATAPOLITIK FOR HETAG TAG MATERIALER A/S 1 Generelt 1.1 Denne Persondatapolitik ( i det efterfølgende benævnt Politik ) er gældende for samtlige de oplysninger, som du giver til os, og/eller indsamler
Læs mereEKSTERN PERSONDATAPOLITK
EKSTERN PERSONDATAPOLITK 1. GENERELT 1.1. Denne politik om behandling af personoplysninger ( Persondatapolitik ) beskriver, hvorledes FOCUS leasing A/S, Focus Finans ApS, FOCUS flex leasing A/S og Focus
Læs mereDen Dataansvarlige og Databehandleren benævnes herefter samlet "Parter" og hver for sig "Part".
DATABEHANDLERAFTALE mellem KUNDEN (som defineret i punkt 2 nedenfor) (den "Dataansvarlige") og TECHEM DANMARK A/S CVR-nr. 29 41 69 82 Trindsøvej 7 A-B 8000 Aarhus C ("Databehandleren") Den Dataansvarlige
Læs merePERSONDATABESKYTTELSESPOLITIK FOR ADVOKATFIRMAET KRARUP
PERSONDATABESKYTTELSESPOLITIK FOR ADVOKATFIRMAET KRARUP 1.1 Databeskyttelse I forbindelse med udøvelse af juridisk bistand behandler Advokatfirmaet Krarup personhenførbare oplysninger (persondata) om sine
Læs mereDATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )
DATABEHANDLERAFTALE Mellem Silkeborg Kommune Søvej 1 8600 Silkeborg CVR. nr.: 29 18 96 41 (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren
Læs mereRetningslinje om fortegnelser over behandlingsaktiviteter
Bilag 4 Retningslinje om fortegnelser over behandlingsaktiviteter Anvendelsesområde Retningslinje om fortegnelser over behandlingsaktiviteter er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets
Læs mere2. HVILKE OPLYSNINGER VI INDSAMLER FORMÅL OG RETSGRUNDLAG
INFORMATION OM CAREMORE PRIVAT AGENTUR OG FORSIKRINGSAGENTURET CAREMORES INDSAMLING OG BEHANDLING AF PERSONOPLYSNINGER Med denne information vil vi fortælle om, hvilke oplysninger vi indsamler om dig,
Læs merePERSONDATAPOLITIK (EKSTERN)
PERSONDATAPOLITIK (EKSTERN) INDSAMLING OG ANVENDELSE AF PERSONOPLYSNINGER HOS FREDERIKSHAVN HAVN Denne politik er en del af Frederikshavn Havns samlede dokumentation for, at virksomheden overholder den
Læs mereDATABEHANDLERAFTALE. Conscia A/S. Conscia A/S Kirkebjerg Parkvej 9 DK-2605 Brøndby Tlf
DATABEHANDLERAFTALE Conscia A/S Conscia A/S Kirkebjerg Parkvej 9 DK-2605 Brøndby Tlf. +45 7020 7780 www.conscia.com 1 INDHOLDSFORTEGNELSE 1. BAGGRUND OG FORMÅL... 3 2. OMFANG... 3 3. VARIGHED... 3 4. DEN
Læs merePERSONDATA. Politik om Privatlivsbeskyttelse og Datasikkerhed for Ejendomsadministration hos EcoVillage.
PERSONDATA Politik om Privatlivsbeskyttelse og Datasikkerhed for Ejendomsadministration hos EcoVillage. EcoVillage tager som dataansvarlig beskyttelsen af dine persondata alvorligt. Vi vil altid gøre vores
Læs merePERSONDATAPOLITIK Behandling af personoplysninger om ansøgere til stillinger hos Seafood Sales ApS
348-203194 KSO/kso 27.06.2018 PERSONDATAPOLITIK Behandling af personoplysninger om ansøgere til stillinger hos Seafood Sales ApS 1. Indledning Seafood Sales er meget opmærksom på behovet for hensigtsmæssig
Læs mereDATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )
DATABEHANDLERAFTALE Mellem [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren ) er
Læs mereBilag B Databehandleraftale pr
1. BAGGRUND, FORMÅL OG OMFANG 1.1 Som led i den Dataansvarliges (s kunde) indgåelse af aftale om levering af ydelser, som beskrevet i Aftalen, foretager Databehandleren () behandling af personoplysninger,
Læs mereEkstern Persondatapolitik - Sankt Lukas Stiftelsen
EKSTERN PERSONDATAPOLITIK for Diakonissehuset Sankt Lukas Stiftelsen 1 Generelt 1.1 Denne persondatapolitik er gældende for samtlige de oplysninger, som Stiftelsen modtager og/eller indsamler om dig, det
Læs merePERSONDATAPOLITIK. Håndtering af personoplysninger om kunder, samarbejdspartnere mv. hos Seafood Sales ApS
348-203194 KSO/kso 27.06.2018 PERSONDATAPOLITIK Håndtering af personoplysninger om kunder, samarbejdspartnere mv. hos Seafood Sales ApS Denne politik er en del Seafood Sales ApS` samlede dokumentation
Læs mereSelskabet har efter lovgivningen pligt til at informere dig om, hvordan Selskabet behandler og videregiver personoplysninger.
Privatlivspolitik 1. Indledning Beskyttelse af dine Personoplysninger har Selskabets højeste prioritet. Selskabet behandler Personoplysninger og har derfor vedtaget denne personoplysningspolitik, der fortæller
Læs mereVilkår og privatlivspolitik
Vilkår og privatlivspolitik 1. Ansvar Beskyttelse af dine persondata har vores højeste prioritet, uanset om disse data handler om dig, dine transaktioner, dine produkter eller dine serviceydelser. Vi behandler
Læs merePERSONDATAPOLITIK FOR FANCONI ANÆMI DANMARK
PERSONDATAPOLITIK FOR FANCONI ANÆMI DANMARK 1 Generelt 1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du giver til os, og/eller som vi indsamler om dig, enten som
Læs mereDATABEHANDLERAFTALE. General aftale omkring behandling af persondata. Udarbejdet af: ZISPA ApS
DATABEHANDLERAFTALE General aftale omkring behandling af persondata Udarbejdet af: ZISPA ApS Aftalen Denne databehandleraftale (Aftalen) er ZISPA s generelle databehandler aftale til den indgåede samhandelsaftale
Læs mereBilag A Databehandleraftale pr
1. BAGGRUND, FORMÅL OG OMFANG 1.1 Som led i den Dataansvarliges (Beierholms kunde) indgåelse af aftale om levering af finansielle ydelser, som beskrevet i samarbejdsaftale, foretager Databehandleren (Beierholm)
Læs mereInformation om Willis Towers Watsons indsamling og behandling af personoplysninger
Information om Willis Towers Watsons indsamling og behandling af personoplysninger April 2018 Information om Willis Towers Watsons indsamling og behandling af personoplysninger Med denne skrivelse informeres
Læs merePersondata politik for GHP Gildhøj Privathospital
Persondata politik for GHP Gildhøj Privathospital Baggrund for persondatapolitikken Denne persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU)
Læs merePrivatlivspolitik. for Odense LM
Privatlivspolitik for Odense LM 1. Generelt 1.1 Denne Privatlivspolitik er gældende for samtlige personoplysninger, som du giver til Odense LM og/eller som Odense LM indsamler om dig, fordi du er tilknyttet
Læs mereNy Persondataforordning mv.
Ny Persondataforordning mv. Agri Nord, 23. maj 2018 Jacob Langvad Nielsen, advokat og specialkonsulent SEGES, Jura & Skat Proces mod 25. maj 2018 Persondataforordningen er vedtaget. Skal anvendes direkte
Læs merePersondatapolitik for Musikhøjskolen, Frederiksberg Musik og Kulturskole, og Musikhøjskolens Aftenskole
Persondatapolitik for Musikhøjskolen, Frederiksberg Musik og Kulturskole, og Musikhøjskolens Aftenskole 1. Om skolens persondatapolitik. I dette dokument beskrives, hvordan vi indsamler, behandler og opbevarer
Læs mereINTERN HR PERSONDATAPOLITIK FOR LIONS MD106. Nærværende gælder for MD 106, dvs. alle ansatte og medlemmer i Lions MD 106.
INTERN HR PERSONDATAPOLITIK FOR LIONS MD106 Nærværende gælder for MD 106, dvs. alle ansatte og medlemmer i Lions MD 106. INDHOLDSFO RTEGNELSE: Generelt 3 2 Definitioner 3 3 Formål med Behandlingen af dine
Læs mereRetningslinje om fortegnelser over behandlingsaktiviteter
Retningslinje om fortegnelser over behandlingsaktiviteter Anvendelsesområde Retningslinje om fortegnelser over behandlingsaktiviteter er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets
Læs merePersondatapolitik 1. GENERELT 2. INDSAMLING AF PERSONOPLYSNINGER SAMT FORMÅL OG RETSGRUNDLAG. Member of Epicent Relations Group
Persondatapolitik 1. GENERELT Denne politik om behandling af personoplysninger ("persondatapolitik", persondatapolitikken ) beskriver, hvorledes EPICENT PUBLIC RELATIONS A/S ("os", "vores", "vi") indsamler
Læs mereUDVALGET FOR HUSMODERFERIE Politik for opbevaring og sletning af personlige oplysninger
UDVALGET FOR HUSMODERFERIE Politik for opbevaring og sletning af personlige oplysninger -2019-1 1. Indledning 1.1.1 Denne politik for opbevaring og sletning af personoplysninger fastlægger de overordnede
Læs merePERSONDATAPOLITIK. Indholdsfortegnelse. Kontaktoplysninger... 2
PERSONDATAPOLITIK Indholdsfortegnelse Kontaktoplysninger... 2 1) Generelt om databeskyttelse... 2 Gennemsigtighed og samtykke... 2 Videregivelse af personoplysninger... 2 Som registreret har du ret til:...
Læs mereTønder Kommune BILAG 10
Tønder Kommune BILAG 10 Databehandleraftale mellem Tønder kommuner og Leverandør Side 1/14 DATABEHANDLERAFTALE Mellem Tønder Kommune Wegners Plads 2 6270 Tønder CVR. nr.: 29189781 (herefter Kommunen )
Læs merePersondatapolitik. Dataansvarlig Fiberby ApS Otto Busses Vej København SV Danmark CVR-nr.:
Persondatapolitik Dataansvarlig Fiberby ApS Otto Busses Vej 5-048 2450 København SV Danmark CVR-nr.: 28292139 1 1. Indledning 1.1 Denne politik om indsamling og behandling af personoplysninger og anvendelse
Læs merePERSONDATAPOLITIK. Håndtering af personoplysninger om kunder og samarbejdspartnere hos BOXITs containerafdeling
PERSONDATAPOLITIK Håndtering af personoplysninger om kunder og samarbejdspartnere hos BOXITs containerafdeling Denne politik er en del af Boxits, herefter virksomheden, samlede dokumentation for, at virksomhedens
Læs mereIshøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR.
IT Databehandleraftale Databehandleraftale om [SYSTEMNAVN] mellem Ishøj Kommune Ishøj Store Torv 20 2635 Ishøj CVR. 11 93 13 16 (herefter nævnt som dataansvarlige) Og [behandlernes navn] [behandlerens
Læs mere[Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.]
!"#!"$! % &&&$!"$! [Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.] Du har fra Rigspolitiet modtaget en blank børneattest, dvs. en attest, hvoraf det fremgår, at den person, oplysningerne
Læs merePrivatlivspolitik for tilmeldte til SocialBar
Privatlivspolitik for tilmeldte til SocialBar 1 Indhold Introduktion til privatlivspolitik for tilmeldte til SocialBar... 3 Behandling i henhold til gældende regler om databeskyttelse... 3 Definitioner
Læs mereTEMP-TEAMs Privatlivspolitik
TEMP-TEAMs Privatlivspolitik Indledning Når vi modtager personoplysninger om dig, er det vores målsætning, at du har tillid til, at vi behandler dine personoplysninger på en gennemsigtig og sikker måde.
Læs merePRIVATLIVSPOLITIK FOR MATCHWORK, OFIR OG BRANDERO
PRIVATLIVSPOLITIK FOR MATCHWORK, OFIR OG BRANDERO 1. BESKYTTELSE AF DIT PRIVATLIV MatchWork A/S (herefter Udbyder ) tager behandling af dine persondata alvorligt. Vi sikrer rimelig og gennemsigtig databehandling
Læs mereSURVIVAL-KIT. Hvad kan jeg nå at gøre inden 25. maj 2018? p e r s o n d a t a f o r o r d n i n g e n
SURVIVAL-KIT Hvad kan jeg nå at gøre inden 25. maj 2018? Den 25. maj 2018 træder den nye persondataforordning i kraft og stiller en lang række krav til, hvordan persondata må behandles i fx virksomheder,
Læs mereVEJLEDNING TIL BEBOERREPRÆSENTANTER - BESKYTTELSE AF PERSONDATA
VEJLEDNING TIL BEBOERREPRÆSENTANTER - BESKYTTELSE AF PERSONDATA HVILKE PERSONOPLYSNINGER LIGGER I INDE MED? Side 1 af 10 Oktober 2018 BESKYTTELSE AF PERSONDATA - DET ER OGSÅ JERES ANSVAR Som beboerrepræsentanter
Læs mereRetningslinjer for behandling af personoplysninger for kunder og leverandører i med Anker Hansen og Co. A/S ( AHC ) CVR-nr
OPLYSNINGER OM PERSONDATA TIL KUNDER OG ØVRIGE SAMARBEJDSPARTNERE Retningslinjer for behandling af personoplysninger for kunder og leverandører i med Anker Hansen og Co. A/S ( AHC ) CVR-nr. 11 57 33 47.
Læs merePERSONDATAPOLITIK. Kontaktoplysninger ) Generelt om databeskyttelse ) Registreredes rettigheder... 2
PERSONDATAPOLITIK Indholdsfortegnelse Kontaktoplysninger... 2 1) Generelt om databeskyttelse... 2 Gennemsigtighed... 2 Videregivelse af personoplysninger... 2 2) Registreredes rettigheder... 2 Som registreret
Læs merePersondatabeskyttelsespolitik for REFA
Persondatabeskyttelsespolitik for REFA 1. Introduktion... 3 2. Ansvarlighed... 3 3. Hvem er Persondatabeskyttelsespolitikken rettet til... 3 4. Hvem er ansvarlig for denne politik... 3 5. Hvilke oplysninger...
Læs merePERSONDATAPOLITIK FOR HOLMSBORG SOMMERLEJRE
PERSONDATAPOLITIK FOR HOLMSBORG SOMMERLEJRE 1 Generelt 1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, du giver til os, og/eller vi indsamler om dig, enten som led i et
Læs mereINFORMATIONSMEDDELELSE
INFORMATIONSMEDDELELSE Denne informationsmeddelelse er fastlagt af Acies A/S (samlet betegnet Acies, vi, os eller vores i denne informationsmeddelelse) og gælder for vores virksomhed. 1 OM ACIES Acies
Læs mereDATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx
DATABEHANDLERAFTALE Mellem Svendborg Kommune Ramsherred 5 5700 Svendborg CVR. nr.: 29189730 (herefter Kommunen ) og XXXXXX xxxxxx xxxx CVR. nr.: [XXXX] (herefter Leverandøren ) er der indgået nedenstående
Læs merePersondatapolitik. Behandling af oplysninger Leasing Fyn behandler ikke personfølsomme oplysninger.
Persondatapolitik Behandlingen af personoplysninger er reguleret af EU s Databeskyttelsesforordning (GDPR) og Databeskyttelsesloven og gælder for direkte personoplysninger eller personhenførbare oplysninger
Læs mere