PERSONDATAPOLITIK FOR BEHANDLING OG BESKYTTELSE AF PERSONOPLYSNINGER I UDENRIGSMISTERIET
|
|
- Thea Kjeldsen
- 5 år siden
- Visninger:
Transkript
1 PERSONDATAPOLITIK FOR BEHANDLING OG BESKYTTELSE AF PERSONOPLYSNINGER I UDENRIGSMISTERIET
2 INDHOLD 1. Baggrund 3 2. Formål 4 3. Omfang 5 4. Definitioner 6 5. Roller og ansvar 8 6. Ansvarlighed Grundprincipperne for behandling af personoplysninger Lovlig behandling af personoplysninger Overførsel af person oplysninger til lande uden for EU og EØS (tredjelande) Fortegnelser over behandlingsaktiviteter Den registrerede persons rettigheder Dataansvarlig og databehandler Dataansvarlig Databehandler Fælles/delt dataansvar (fælles dataansvarlige) Risikovurdering af Udenrigsministeriets behandling af den registreredes personoplysninger Konsekvensanalyser (DPIA) Behandlingssikkerhed Sikkerhedsstyring Databeskyttelse gennem design og standardindstillinger Udenrigsministeriets procedure ved brud på persondatasikkerheden Anmeldelse til Datatilsynet Underretning til den registrerede Databeskyttelsesrådgiver (DPO) Kontakten til Datatilsynet 28 2 Persondatapolitik
3 1. BAGGRUND Europa-Parlamentet og Rådet har ved forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (herefter benævnt databeskyttelsesforordningen) vedtaget nye regler om behandling af personoplysninger. Fra og med den 25. maj 2018 gælder databeskyttelsesforordningen direkte i alle medlemslande. Herudover vil der i Danmark også fra den 25. maj 2018 gælde lov om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (herefter benævnt databeskyttelsesloven), som er vedtaget den 17. maj De nye regler viderefører til dels tidligere regler om behandling og beskyttelse af persondata, men indfører også væsentligt strammere regler på bestemte områder. Persondatapolitik 3
4 2. FORMÅL Formålet med Udenrigsministeriets persondatapolitik for behandling og beskyttelse af personoplysninger (herefter benævnt persondatapolitikken) er at fastlægge rammerne for behandling og beskyttelse af personoplysninger i Udenrigsministeriet. Denne politik skal være med til at sikre, at Udenrigsministeriet behandler personoplysninger i overensstemmelse med gældende regler samt politikker og retningslinjer herfor. Endvidere har persondatapolitikken til formål at sikre, at der i Udenrigsministeriet sker en løbende kontrol med efterlevelsen af de til enhver tid gældende regler samt politikker og retningslinjer for behandling og beskyttelse af personoplysninger. Udenrigsministeriets udarbejder løbende politikker, retningslinjer og skabeloner, som vil blive udgivet på Persondata-portalen. Her vil der også være link til Datatilsynets vejledninger og skabeloner, som bl.a. kan anvendes i de tilfælde, hvor Udenrigsministeriet endnu ikke har udarbejdet egne vejledninger eller skabeloner. 4 Persondatapolitik
5 3. OMFANG Udenrigsministeriets persondatapolitik finder anvendelse i hele Udenrigsministeriets departement, dvs. i forhold til behandling af persondata i både hjemmetjenesten og på de danske repræsentationer i udlandet. Persondatapolitikken finder også anvendelse for de af Udenrigsministeriets samarbejdspartnere, der udfører opgaver vedrørende behandling og beskyttelse af personoplysninger på Udenrigsministeriets vegne, f.eks. i kraft af en databehandleraftale. Fiskeristyrelsen er en del af Udenrigsministeriets ressort og hører under ministeren for fiskeri og ligestilling og ministeren for nordisk samarbejde. Fiskeristyrelsen har, som selvstændig offentlig myndighed, selv ansvaret for styrelsens overholdelse af gældende regler om behandling og beskyttelse af personoplysninger. Persondatapolitikken finder ikke anvendelse for Fiskeristyrelsen. Persondatapolitik 5
6 4. DEFINITIONER I denne persondatapolitik benyttes følgende definitioner: Personoplysninger Enhver form for information om en fysisk person, der enten i sig selv identificerer personen, eller som kan være med til at identificere personen. Der er tale om al information, der direkte eller indirekte kan identificere en fysisk person. Også en kombination af forskellige oplysninger kan identificere en person, ligesom oplysninger, som kun særligt indviede personer vil kunne identificere en fysisk person ud fra, er omfattet af begrebet. Begrebet personoplysninger skal fortolkes bredt. Behandling (af personoplysninger) Enhver aktivitet eller række af aktiviteter, som personoplysninger gøres til genstand for. Det kan f.eks. være indsamling, registrering, organisering, systematisering, opbevaring, ændring, søgning, formidling, videregivelse, genfinding og sletning mv. Begrebet behandling skal fortolkes bredt. Den registrerede person Den fysiske person, som de behandlede personoplysninger vedrører. Det kan f.eks. være en borger, en kunde, en medarbejder, en leverandør eller en samarbejdspartner m.fl. Dataansvarlig Den person eller institution, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger. Hvis Udenrigsministeriet er dataansvarlig, vil det som udgangspunkt være ministeriet som sådan (myndigheden), der er dataansvarlig. 6 Persondatapolitik
7 Databehandler Den person eller institution, der behandler personoplysninger på den dataansvarliges vegne, dvs. arbejder efter og under instruks fra den dataansvarlige. Risiko for den registrerede person Risikoen for, at den registrerede person udsættes for en fysisk, materiel eller immateriel skade, herunder tab af kontrol over sine personoplysninger, begrænsning af sine rettigheder, forskelsbehandling, identitetstyveri, finansielle tab eller sociale konsekvenser som f.eks. skade på omdømme. Sikkerhedsforanstaltninger (også kaldet sikkerhedskontroller) Sikkerhedsforanstaltninger omfatter såvel tekniske som organisatoriske sikkerhedsforanstaltninger og skal være med til at sikre, at uvedkommende ikke får adgang til systemer mv., der håndterer personoplysninger. Tekniske sikkerhedsforanstaltninger kan bl.a. omfatte autorisation og adgangskontroller, logning, kryptering, firewalls og antivirusprogrammer samt VPN og kryptering ved fjernarbejdspladser og brug af mobile devices, etc. Organisatoriske sikkerhedsforanstaltninger kan bl.a. bestå i at Udenrigsministeriets medarbejdere er instrueret i og uddannet til at håndtere behandlingen af personoplysninger korrekt og sikkert, samt foranstaltninger vedrørende den fysiske sikkerhed, herunder fysisk adgangskontrol, etc. Ovenstående eksempler på tekniske og organisatoriske foranstaltninger er ikke udtryk for en udtømmende opregning. Udenrigsministeriet Udenrigsministeriets departement dvs. både ude- og hjemmetjenesten. Enhed Et kontor eller en repræsentation inden for Udenrigsministeriets departement. Persondatapolitik 7
8 5. ROLLER OG ANSVAR Nedenstående skema giver et overblik over roller og ansvar i Udenrigsministeriet i relation til behandling og beskyttelse af personoplysninger. Ledelse og medarbejdere i Udenrigsministeriet er forpligtet til at handle i henhold til nedenstående i forhold til de til enhver gældende regler for behandling og beskyttelse af personoplysninger. Gruppe / funktion Øverste ledelsesniveau (Direktionen) Daglig ansvarlig leder Roller og ansvar Den øverste ledelse (dvs. direktionen i Udenrigsministeriet) har det overordnede og endelige ansvar for, at Udenrigsministeriet efterlever gældende regler om behandling og beskyttelse af personoplysninger, herunder reglerne i databeskyttelsesforordningen. Den øverste ledelses rolle er at træffe endelige beslutninger om behandlingen og beskyttelsen af personoplysninger i Udenrigsministeriet. Den daglige ansvarlige leder er den person, der inden for en enhed har det daglige ansvar for, at enheden administrerer i overensstemmelse med gældende regler om behandling og beskyttelse af personoplysninger, herunder bl.a. at sikre, at persondatapolitikken samt tilhørende retningslinjer er kommunikeret klart og tydeligt til medarbejderne i enheden. Den daglige ansvarlige leder har en koordinerende rolle i forhold til at implementere de sikkerhedstiltag, som der er vurderet et behov for i forhold til behandlingen og beskyttelsen af personoplysninger i enheden. I Udenrigsministeriet er den daglige ansvarlige leder enhedschefen. 8 Persondatapolitik
9 Gruppe / funktion Databeskyttelsesrådgiver (DPO) Systemejer Medarbejdere Roller og ansvar Databeskyttelsesrådgiverens rolle er at yde rådgivning og vejledning om persondataret og persondatabeskyttelse til ministeriets organisation samt at kontrollere, at Udenrigsministeriet overholder gældende regler for behandling og beskyttelse af personoplysninger. Databeskyttelsesrådgiveren er endvidere Udenrigsministeriets kontaktperson udadtil, i forhold til registrerede personer, i forhold til tilsynsmyndighederne og i forhold til andre samarbejdspartnere. Databeskyttelsesrådgiveren rapporterer til det øverste ledelsesniveau. Systemejeren er den ansvarlige for driften og vedligeholdelsen af et system, der indeholder og behandler personoplysninger. I Udenrigsministeriet opereres der dels med forretningssystemer, der anvendes af alle enheder og medarbejdere, f.eks. F2, og dels fagsystemer, der kun anvendes af én eller enkelte enheder, f.eks. UM-VIS. Der er udpeget en ansvarlig systemejer for alle systemer i Udenrigsministeriet. Listen over systemejere kan findes her: Systemejerlisten. Medarbejdere, der behandler personoplysninger, er ansvarlige for at gøre sig bekendt med formålene med behandlingen, samt de regler, politikker og retningslinjer, der er relevante for udførelsen af deres arbejde i forbindelse med behandling og beskyttelse af personoplysninger. Persondatapolitik 9
10 6. ANSVARLIGHED Udenrigsministeriet udviser altid ansvarlighed, når der foretages behandling af personoplysninger. Det sker bl.a. ved at dokumentere: de beslutninger, der træffes de foranstaltninger og aktiviteter, der udføres, samt de retningslinjer og kontroller, der implementeres om behandlingen og beskyttelsen af personoplysninger. Samtlige ansatte i Udenrigsministeriet er forpligtet til at kende og holde sig opdateret om ministeriets persondatapolitik samt ministeriets retningslinjer om behandling og beskyttelse af persondata. Retningslinjerne kan findes på intranettet under Politik og retningslinjer. 7. GRUNDPRINCIPPERNE FOR BEHANDLING AF PERSONOPLYSNINGER Formålet er at fastlægge de overordnede rammer for, hvordan Udenrigsministeriet lovligt og forsvarligt behandler og beskytter personoplysninger. Databeskyttelsesforordningens artikel 5, 6 og 9. I Udenrigsministeriet behandles personoplysninger i overensstemmelse med de gældende regler i databeskyttelsesforordningen, herunder de grundprincipper for lovlig behandling i forordningens artikel 5, der gælder for al behandling af personoplysninger. Det betyder, at personoplysninger kun behandles til lovlige, rimelige og legitime formål, der kan dokumenteres. 10 Persondatapolitik
11 Udenrigsministeriet indsamler, opbevarer og behandler mv. kun personoplysninger, der er nødvendige for varetagelsen og opfyldelsen af det eller de angivne formål med behandlingen. Indsamlingen og behandlingen mv. af personoplysninger vil i den forbindelse blive minimeret til det, der er absolut nødvendigt af hensyn til opgavevaretagelsen. Udenrigsministeriet begrænser behandlingen af personoplysninger, således at personoplysninger ikke behandles på en måde, der er uforeneligt med det formål, hvortil personoplysningerne oprindeligt blev indsamlet. Endvidere sikrer Udenrigsministeriet, at personoplysninger ikke opbevares i et længere tidsrum, end hvad der er nødvendig for at opfylde formålet med behandlingen. Når behandlingen af personoplysninger ikke længere er nødvendig, sikres det, at oplysningerne enten slettes i overensstemmelse med forordningens regler om sletning, eller at der træffes andre tekniske eller organisatoriske foranstaltninger, således at den registrerede ikke længere kan identificeres ud fra oplysningerne. Såfremt behandlede personoplysninger viser sig at være urigtige, ufuldstændige eller mangelfulde i forhold til de formål, hvortil de er indsamlet og behandles, vil de blive rettet, opdateret eller slettet i overensstemmelse med forordningens regler. Kravene til grundprincipperne for behandling af personoplysninger vil blive uddybet i Retningslinje om lovlig behandling af personoplysninger. Kravene til opbevaring mv. vil blive uddybet i Retningslinje om opbevaringsbegrænsning, herunder om sletning og anonymisering af personoplysninger. Persondatapolitik 11
12 8. LOVLIG BEHANDLING AF PERSONOPLYSNINGER Formålet er at sikre, at Udenrigsministeriet kun behandler personoplysninger, når der foreligger et lovligt behandlingsgrundlag (hjemmel) herfor. Databeskyttelsesforordningens artikel Udenrigsministeriet sikrer, at der altid foreligger et lovligt behandlingsgrundlag (hjemmel) for behandlingen af personoplysninger. Der skal således altid foreligge et af databeskyttelsesforordningens behandlingsgrundlag (hjemler), herunder særligt mindst ét af følgende behandlingsgrundlag: Behandlingsgrundlag (hjemmel) for behandling af almindelige personoplysninger, jf. databeskyttelsesforordningens artikel 6: Samtykke den registrerede person har givet samtykke til behandling af sine almindelige personoplysninger til et eller flere specifikke formål, jf. art. 6, stk. 1, litra a. K o n t r a k t behandlingen er nødvendig for at kunne opfylde eller indgå en kontrakt, som den registrerede person er en del af, jf. art. 6, stk. 1, litra b. Retlig forpligtelse behandlingen er nødvendig for at overholde en retlig forpligtelse. En retlig forpligtelse kan f.eks. være fastsat ved lov eller i en bekendtgørelse, eller følge af internationale regler, herunder EU-retlige regler, jf. art. 6, stk. 1, litra c. Vitale interesser behandlingen er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser, jf. art. 6, stk. 1, litra d. 12 Persondatapolitik
13 Samfundsmæssig interesse behandlingen er nødvendig for at kunne udføre en opgave i samfundets interesse, jf. art. 6, stk. 1, litra e. Offentlig myndighedsudøvelse behandlingen er nødvendig for at kunne udføre en opgave, der hører under offentlig myndighedsudøvelse, jf. art. 6, stk. 1, litra e. Behandlingsgrundlag (hjemmel) for behandling af følsomme personoplysninger, jf. databeskyttelsesforordningens artikel 9: Samtykke den registrerede person har givet udtrykkeligt samtykke til behandling af sine følsomme personoplysninger til et eller flere specifikke formål, jf. art. 9, stk. 2, litra a. Arbejds-, sundheds- og socialretlige forpligtelser og rettigheder behandlingen er nødvendig for at overholde den dataansvarliges eller den registrerede persons arbejds-, sundheds-, og socialretlige forpligtelser og specifikke rettigheder, jf. art. 9, stk. 2, litra b. Vitale interesser behandlingen er nødvendig, for at beskytte den registreredes eller en anden fysisk persons vitale interesser, i tilfælde, hvor vedkommende er ude af stand til selv at afgive samtykke til behandlingen, jf. art. 9, stk. 2, litra c. Offentliggjort af den registrerede person den registrerede person har selv offentliggjort personoplysningerne, jf. art. 9, stk. 2, litra e. Retskrav behandlingen er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares, jf. art. 9, stk. 2, litra f. Samfundsmæssig interesse behandlingen er nødvendig af hensyn til væsentlige samfundsinteresser, jf. art. 9, stk. 2, litra g. Forebyggende medicin eller diagnostik behandlingen er nødvendig med henblik på forebyggende medicin eller forebyggelse af arbejds- og miljørelaterede sygdomme, jf. art. 9, stk. 2, litra h. Persondatapolitik 13
14 Samfundsinteresser på folkesundhedsområdet behandlingen er nødvendig af hensyn til samfundsinteresser på folkesundhedsområdet, jf. art. 9, stk. 2, litra i. Arkiv, videnskabelige, historiske og statistiske formål behandlingen er nødvendig til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål, jf. art. 9, stk. 2, litra j. Samtykke Såfremt behandlingen foretages på baggrund af et indhentet samtykke fra den registrerede person, sikrer Udenrigsministeriet, at samtykket er afgivet frivilligt samt at erklæringen om samtykke er formuleret i et let forståeligt sprog, så den registrerede person ikke er tvivl om, hvad der gives samtykke til. Endvidere sikres det, at samtykket er afgivet ved en aktiv handling, således at den registrerede f.eks. skal klikke okay eller ja, skrive under eller lign. for at acceptere samtykket. Endelig sikres det, at den registrerede person bliver oplyst om, at samtykket altid kan trækkes tilbage. Ovenstående beskrivelse af behandlingsgrundlag efter databeskyttelsesforordningens artikel 6 og 9 er ikke udtryk for en udtømmende opregning. Kravene til et lovligt behandlingsgrundlag vil blive uddybet i Retningslinje om lovlig behandling af personoplysninger. Kravene til et lovligt samtykke vil blive uddybet i Retningslinje om samtykke som behandlingsgrundlag. 14 Persondatapolitik
15 9. OVERFØRSEL AF PERSON OPLYSNINGER TIL LANDE UDEN FOR EU OG EØS (TREDJELANDE) Formålet er at sikre, at der ikke overføres personoplysninger til lande uden for EU/EØS, uden at Udenrigsministeriet har et lovligt grundlag herfor. Databeskyttelsesforordningens artikel En overførsel til et tredjeland eller en international organisation dækker både over den situation, hvor Udenrigsministeriet videregiver personoplysninger til en dataansvarlig uden for EU, og den situation, hvor Udenrigsministeriet overlader en behandling af personoplysninger til en databehandler uden for EU. En overførsel kan ske ved f.eks. fremsendelse af oplysninger elektronisk, fremsendelse af en USB nøgle, eller at der f.eks. gives en ekstern konsulent uden for EU adgang til at kunne se oplysninger i et af Udenrigsministeriets systemer. Tredjelande er alle andre lande end EU- og EØS-lande (Island, Liechtenstein og Norge). Udenrigsministeriet overfører kun personoplysninger til lande uden for EU og EØS, såfremt der foreligger et lovligt, rimeligt og legitimt grundlag herfor, og såfremt der kan sikres et tilstrækkeligt beskyttelsesniveau i overensstemmelse med reglerne herom i databeskyttelsesforordningen. Kravene til overførsel af personoplysninger til tredjelande, herunder om sondringen mellem sikre og usikre tredjelande, vil blive uddybet i Retningslinje om overførsel af personoplysninger til lande uden for EU og EØS. Persondatapolitik 15
16 10. FORTEGNELSER OVER BEHANDLINGSAKTIVITETER Formålet er at sikre, at Udenrigsministeriet fører de nødvendige fortegnelser over behandlingsaktiviteter, for at have et samlet overblik over disse, samt kunne fremvise fortegnelserne for tilsynsmyndighederne på deres anmodning, idet forordningen stiller krav herom. Endvidere er formålet at sikre, at der foreligger et grundlag for vurderingen af risikoen ved behandlingen af de registrerede personers personoplysninger. Databeskyttelsesforordningens artikel 30. I overensstemmelse med reglerne i databeskyttelsesforordningens artikel 30 fører Udenrigsministeriet en række fortegnelser over de behandlinger af personoplysninger (behandlingsaktiviteter), som ministeriet foretager. Fortegnelserne opdateres løbende. Der er for de enkelte fortegnelser udpeget én eller flere enhed(er) i ministeriet, der er ansvarlig for den løbende opdatering. Fortegnelserne skal stilles til rådighed for Datatilsynet, ved tilsyn, som dokumentation for ministeriets behandlingsaktiviteter. Endvidere har fortegnelserne til formål, at danne grundlag for vurdering af risiciene for den registrerede ved Udenrigsministeriets behandling af dennes personoplysninger. Kravene til fortegnelserne vil blive uddybet i Retningslinje om fortegnelser efter artikel Persondatapolitik
17 11. DEN REGISTREREDE PERSONS RETTIGHEDER Formålet er at sikre at behandlingen af personoplysninger tilgodeser den registrerede persons ret til at kontrollere hvornår, hvordan og i hvilket omfang dennes personoplysninger bliver behandlet i Udenrigsministeriet. Databeskyttelsesforordningens artikel Udenrigsministeriet sikrer den registrerede persons rettigheder ved bl.a. at behandle personoplysninger på en åben og oplyst måde. Det betyder, at Udenrigsministeriet oplyser en registreret person om, at ministeriet behandler dennes personoplysninger, samt om, hvordan de behandles. På den baggrund har en registreret person mulighed for at gøre sine rettigheder i henhold til databeskyttelsesforordningen og anden relevant persondataretlig lovgivning gældende over for Udenrigsministeriet. Herudover hjælper Udenrigsministeriet den registrerede person med at udøve sine rettigheder og ministeriet håndterer anmodninger fra en registreret person, som gør sine rettigheder gældende. Kommunikation til og med den registrerede person sker altid i kortfattet form og i et klart og letforståeligt sprog. Nedenfor er listet, hvilke rettigheder Udenrigsministeriet hjælper den registrerede person med, såfremt vedkommende anmoder herom: Indsigt i de behandlinger af personoplysninger, som Udenrigsministeriet foretager om en registreret person (indsigtsretten), jf. art. 15. Persondatapolitik 17
18 Berigtigelse, såfremt behandlede personoplysninger om en registreret person er forkerte eller mangelfulde, jf. art. 16. Sletning af behandlede personoplysninger om en registreret person., jf. art. 17. Begrænsning af behandling af personoplysninger om en registreret personer, jf. art. 18. Udlevering af personoplysninger samt transmission heraf til anden dataansvarlig (dataportabilitet), jf. 20. Behandling af indsigelser fra en registreret person mod behandling af dennes personoplysninger, jf. art. 21. Såfremt Udenrigsministeriet træffer afgørelser, som betydeligt påvirker den registrerede person, sikres det, at en sådan afgørelse ikke udelukkende er truffet ved en automatisk behandling eller profilering. Udenrigsministeriet videregiver ikke personoplysninger til andre, medmindre den registrerede person har givet samtykke til dette eller Udenrigsministeriet er retligt forpligtet og berettiget til at videregive personoplysningerne. Det vil være tilfældet, hvis der foreligger det fornødne behandlingsgrundlag (hjemmel) herfor i enten databeskyttelsesforordningen eller andet retsgrundlag. Såfremt Udenrigsministeriet har videregivet personoplysninger til andre uden for Udenrigsministeriet, sikres det, at modtagerne af personoplysningerne informeres om enhver berigtigelse, sletning eller begrænsning, som Udenrigsministeriet har truffet foranstaltninger om, jf. artikel 19, i databeskyttelsesforordningen. Kravene til den registreredes rettigheder vil blive uddybet i Retningslinje om de registreredes rettigheder. 18 Persondatapolitik
19 12. DATAANSVARLIG OG DATABEHANDLER Formålet er at sikre, at det er afklaret, hvorvidt Udenrigsministeriet er dataansvarlig eller databehandler i forhold til processer, der involverer behandling af personoplysninger. Endvidere er formålet at sikre, at der er overblik over, hvilke databehandlere Udenrigsministeriet benytter, og at der er indgået de nødvendige databehandleraftaler. Databeskyttelsesforordningens artikel Når Udenrigsministeriet behandler personoplysninger, vurderes det, hvornår Udenrigsministeriet er henholdsvis dataansvarlig, databehandler eller har et fælles/delt dataansvar med en anden institution (fælles dataansvarlige) Dataansvarlig Såfremt Udenrigsministeriet er dataansvarlig, sikres det, at de databehandlere der benyttes, kan stille de fornødne sikkerhedsgarantier for behandlingen og beskyttelsen af personoplysninger. Endvidere sikres det, at databehandlerne er instrueret i, hvordan de må behandle personoplysninger på Udenrigsministeriets vegne, samt at der er indgået en databehandleraftale, der overholde de til enhver tid gældende regler herfor Databehandler Såfremt Udenrigsministeriet er databehandler, sikres det, at ministeriet kun behandler personoplysninger under instruks fra den dataansvarlige. Persondatapolitik 19
20 Endvidere sikres det, at Udenrigsministeriet ikke gør brug af andre databehandlere (underdatabehandlere) uden at anvendelsen heraf er godkendt af den dataansvarlige. Såfremt anvendelsen af andre databehandlere (underdatabehandlere) er skriftligt godkendt af den dataansvarlige, sikres det, at den dataansvarlige underrettes, såfremt Udenrigsministeriet planlægger at udskifte anvendte databehandlere (underdatabehandlere) eller indgå aftale med nye, således at den dataansvarlige får mulighed for at gøre indsigelser mod sådanne ændringer. Såfremt den dataansvarlige har godkendt, at Udenrigsministeriet bruger andre databehandlere (underdatabehandlere), sikres det, at de som minimum lever op til de krav, som den dataansvarlige har stillet til Udenrigsministeriet Fælles/delt dataansvar (fælles dataansvarlige) Hvis Udenrigsministeriet er fælles dataansvarlig med en anden institution, sikres det, at Udenrigsministeriet har fastlagt det delte ansvar i forhold til overholdelse af de til enhver tid gældende regler for behandling og beskyttelse af personoplysninger. Endvidere sikres det, at de forpligtelser, som Udenrigsministeriet har over for en registreret person, overholdes, herunder at det er fastlagt, hvem der gør oplysningerne tilgængelige for den registrerede person, samt at dette sker på en åben og oplyst måde. Den registrerede person kan dog altid frit vælge, hvilken dataansvarlig vedkommende vil udøve sine rettigheder over for. Kravene, der stilles til henholdsvis dataansvarlige og databehandlere, vil blive uddybet i Retningslinje om dataansvarlig, databehandler og fælles/delt dataansvar, mens kravene til databehandleraftaler vil blive uddybet i Retningslinje om databehandleraftaler. 20 Persondatapolitik
21 13. RISIKOVURDERING AF UDENRIGSMINISTERIETS BEHANDLING AF DEN REGISTREREDES PERSONOPLYSNINGER Formålet er at identificere, hvilke potentielle risici for den registrerede person, der kan være i forbindelse med Udenrigsministeriets behandling af dennes personoplysninger. Når Udenrigsministeriet behandler personoplysninger, vurderer ministeriet risiciene for den registrerede person ved behandlingen af dennes personoplysninger. Vurderingen foretages på baggrund af de foretagne behandlingsaktiviteter, herunder de anvendte systemer. Derved skabes et samlet overblik over de potentielle risici forbundet med en behandling. Risiciene er beregnet og identificeret på baggrund af en mulig konsekvens for den registrerede person ved behandlingen af dennes personoplysninger, samt sandsynligheden for at konsekvensen indtræffer. Risikovurderingen er dokumenteret og godkendes af det øverste ledelsesniveau. Metoden til vurderingen af risiciene for den registrerede person ved behandling af dennes personoplysninger vil blive uddybet i Retningslinje om risikovurdering for den registrerede. Persondatapolitik 21
22 14. KONSEKVENSANALYSER (DPIA) Formålet er at sikre, at der foretages konsekvensanalyser forud for behandlingen af personoplysninger, der sandsynligvis indebærer en høj risiko for den registrerede person, for dermed at identificere tiltag, der kan reducere denne risiko. Databeskyttelsesforordningens artikel 35 og 36. Hvis det i forbindelse med registreredes risikovurdering er vurderet, at en bestemt behandling af personoplysninger sandsynligvis vil indebære en høj risiko for de registreredes rettigheder, udfører Udenrigsministeriet en konsekvensanalyse. Konsekvensanalysen skal hjælpe med at fastlægge de foranstaltninger, som Udenrigsministeriet påtænker kan imødegå de risici, der er forbundet med en behandling af personoplysninger, der vurderes at indebære en bestemt høj risiko for de registrerede personer. Såfremt de påtænkte tekniske og organisatoriske sikkerhedsforanstaltninger ikke i tilstrækkeligt omfang kan imødegå risiciene for de registrerede personer, rådfører Udenrigsministeriet sig hos Datatilsynet, inden ministeriet foretager den pågældende behandling af personoplysningerne. Udenrigsministeriet skal altid inddrage DPO en i forbindelse med udarbejdelse af en DPIA. Kravene til udarbejdelse af konsekvensanalyser vil blive uddybet i Retningslinje om konsekvensanalyser (DPIA). 22 Persondatapolitik
23 15. BEHANDLINGSSIKKERHED Formålet er at sikre, at der i Udenrigsministeriet er en tilstrækkelig sikkerhed ved behandlingen af personoplysninger, som afdækker de identificerede risici i risiko- og konsekvensanalyserne. Databeskyttelsesforordningens artikel 25 og 32. Udenrigsministeriet sikrer, at der vedvarende opretholdes et tilstrækkeligt sikkerhedsniveau både teknisk og organisatorisk ved behandlingen af personoplysninger Sikkerhedsstyring På baggrund af de udarbejdede risiko- og konsekvensanalyser defineres det, hvilket sikkerhedsniveau og hvilke sikkerhedstiltag, der skal implementeres for at sikre et tilstrækkeligt beskyttelsesniveau, når Udenrigsministeriet foretager behandling af personoplysninger. I den forbindelse overvejes følgende forhold, jf. også artikel 32 i databeskyttelsesforordningen: Brugen af pseudonymisering, kryptering og anonymisering. Sikring af fortrolighed og integritet. Systemers tilgængelighed og modstandsdygtighed (robusthed). Muligheden for at genskabe tilgængelighed og adgang til behandlede personoplysninger inden rimelig tid (backup). De identificerede risici, som behandlingen af personoplysninger kan indebære, herunder hændelig eller ulovlig tilintetgørelse, tab, ændring eller uautoriseret videregivelse af eller adgang til de behandlede personoplysninger, som kan føre til fysisk, materiel eller immateriel skade for den registrerede person. Persondatapolitik 23
24 Udenrigsministeriet vurderer løbende proceduren for sikkerhedstiltag. Ved ændringer testes og evalueres sikkerheden, for at sikre at sikkerhedsniveauet fortsat og til enhver tid er tilstrækkeligt Databeskyttelse gennem design og standardindstillinger Udenrigsministeriet sikrer, at løsninger, som ministeriet udvikler fremadrettet til brug for behandling og beskyttelse af personoplysninger, designes således at de reducerer graden af indgriben i den registrerede persons privatliv. Endvidere efterstræbes det, at løsninger, der anvendes til behandling af personoplysninger, har sikkerhedsindstillingerne slået til som standard, således at der ikke indhentes eller behandles flere personoplysninger, end hvad der er nødvendigt til at opfylde behandlingens formål, samt at personoplysninger ikke opbevares i længere tid end nødvendigt. Herudover sikres det, at personoplysninger ikke stilles til rådighed for andre, uden at der har været en fysisk person involveret, hvilket betyder, at udlevering af personoplysninger til andre ikke må ske automatisk, f.eks. som følge af en proces. Kravene, der skal sikre en tilstrækkelig behandlingssikkerhed af personoplysninger, vil blive uddybet i Retningslinje om behandlingssikkerhed af personoplysninger, herunder om sikker kommunikation mv.. 24 Persondatapolitik
25 16. UDENRIGSMINISTERIETS PROCEDURE VED BRUD PÅ PERSONDATASIKKERHEDEN Formålet er at sikre, at brud på persondatasikkerheden håndteres korrekt, herunder at der sker anmeldelse af bruddet til Datatilsynet, og at den registrerede underrettes, såfremt bruddet indebærer en høj risiko for den registrerede persons rettigheder. Databeskyttelsesforordningens artikel 33 og Anmeldelse til Datatilsynet Såfremt der sker et brud på persondatasikkerheden, anmelder Udenrigsministeriet bruddet til Datatilsynet. Anmeldelsen sker uden unødigt ophold og senest 72 timer efter, persons at Udenrigsministeriet har opdaget bruddet. Hvis det er usandsynligt, at bruddet indebærer en risiko for den registrerede persons rettigheder, er Udenrigsministeriet ikke forpligtet til at anmelde bruddet til Datatilsynet Underretning til den registrerede Hvis bruddet sandsynligvis vil indebære en høj risiko for den registrerede persons rettigheder eller frihedsrettigheder, vil Udenrigsministeriet uden unødig forsinkelse underrette den registrerede person om bruddet, samt oplyse om, hvilke sandsynlige konsekvenser bruddet måtte have for vedkommende. Kravene, der sikrer en korrekt håndtering af brud på persondatasikkerheden, vil blive uddybet i Retningslinje om brud på behandlingssikkerheden i forhold til personoplysninger og hvad der skal gøres i tilfælde af sikkerhedsbrud. Persondatapolitik 25
26 17. DATABESKYTTELSESRÅDGIVER (DPO) Formålet er at sikre, at der er udpeget en databeskyttelsesrådgiver, samt at databeskyttelsesrådgiverens rolle, herunder stilling og opgaver, er fastlagt og opfyldes. Databeskyttelsesforordningens artikel Som en offentlig myndighed, der foretager behandling af personoplysninger, er Udenrigsministeriet forpligtet til at udpege en databeskyttelsesrådgiver (DPO). Databeskyttelsesrådgiveren i Udenrigsministeriet er udvalgt på baggrund af sine faglige kvalifikationer, herunder ekspertise inden for persondataret og persondatabeskyttelse. Databeskyttelsesrådgiverens rolle er dels at kontrollere, at Udenrigsministeriet overholder de til enhver tid gældende regler for behandling og beskyttelse af personoplysninger. Endvidere skal databeskyttelsesrådgiveren yde både konkret og generel rådgivning om reglerne for behandling og beskyttelse af personoplysninger til Udenrigsministeriets organisation. Endelig er Databeskyttelsesrådgiveren Udenrigsministeriets kontaktperson udadtil, både i forhold til registrerede personer og i forhold til tilsynsmyndighederne. Medarbejdere i Udenrigsministeriet kan til enhver tid kontakte databeskyttelsesrådgiveren ved spørgsmål til indholdet af denne persondatapolitik eller de tilhørende retningslinjer, eller ved øvrige spørgsmål om, hvordan personoplysninger skal behandles og beskyttes, herunder hvordan de registrerede personers rettigheder skal efterleves mv. 26 Persondatapolitik
27 Kontaktoplysninger til databeskyttelsesrådgiveren i Udenrigsministeriet: Navn: Jake Lillethorup Mahs dpo@um.dk Telefonnr.: eller Databeskyttelsesrådgiverens rolle, herunder opgaver og ansvar, vil blive uddybet i Retningslinje om databeskyttelsesrådgiveren (DPO). Der henvises endvidere til Kommissorium for databeskyttelsesrådgiveren i Udenrigsministeriet. Persondatapolitik 27
28 18. KONTAKTEN TIL DATATILSYNET Formålet er at sikre, at eventuelle tilsyn og henvendelser fra Datatilsynet håndteres korrekt, herunder at Datatilsynet får den rette dokumentation. Databeskyttelsesforordningens artikel Såfremt Datatilsynet skulle foretage tilsyn eller rette henvendelse til Udenrigsministeriet, sikrer det øverste ledelsesniveau (Direktionen), at tilsynet får den efterspurgte og rette information, herunder fortegnelserne over behandlingsaktiviteter i henhold til databeskyttelsesforordningens artikel 30. Endvidere sikres det, at Udenrigsministeriet til enhver tid overholder de tidsfrister, som Datatilsynet måtte stille i forbindelse med et tilsyn eller andre henvendelser til Udenrigsministeriet. 2 Asiatisk Plads DK-1448 Copenhagen K Denmark Ministry of Foreign Affairs of Denmark Tel Fax um@um.dk
Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den
Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den 25.05.2018 Indholdsfortegnelse 1 Baggrund... 3 2 Formål... 3 3 Omfang... 3 4 Roller og ansvar...
Læs merePersondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.
Persondatapolitik for Horsens HF & VUC Baggrund for persondatapolitikken Horsens HF & VUCs persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU)
Læs merePersondatapolitik for Aabenraa Statsskole
Persondatapolitik for Aabenraa Statsskole Baggrund for persondatapolitikken s persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af
Læs merePersondatapolitik Vordingborg Gymnasium & HF
Persondatapolitik Vordingborg Gymnasium & HF Indholdsfortegnelse Indhold Baggrund for persondatapolitikken... 3 Formål... 3 Definitioner... 3 Ansvarsfordeling... 4 Ansvarlighed... 4 Lovlighed, rimelighed
Læs merePersondatapolitik for Tørring Gymnasium 2018
Persondatapolitik for Tørring Gymnasium 2018 Baggrund for persondatapolitikken Tørring Gymnasiums persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning
Læs merePersondata politik for GHP Gildhøj Privathospital
Persondata politik for GHP Gildhøj Privathospital Baggrund for persondatapolitikken Denne persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU)
Læs merePersondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].
Baggrund for persondatapolitikken Nykøbing Katedralskoles persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse
Læs merePersondatapolitik. for Social- og Sundhedsskolen Esbjerg
Persondatapolitik for Social- og Sundhedsskolen Esbjerg Indhold Baggrund for persondatapolitikken... 2 Formål... 2 Definitioner... 2 Ansvarsfordeling... 3 Øverste ledelse (bestyrelsen)... 3 Daglig ledelse
Læs mereFormålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.
Baggrund for persondatapolitikken Ribe Katedralskoles persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse
Læs merePersondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.
Baggrund for persondatapolitikken Kolding Gymnasiums persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse
Læs merePersondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.
Persondatapolitik for Horsens Statsskole Baggrund for persondatapolitikken Horsens Statsskoles persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning
Læs merePersondatapolitik på Gentofte Studenterkursus
Persondatapolitik på Gentofte Studenterkursus Baggrund for persondatapolitikken Gentofte Studenterkursus persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets
Læs mereBAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4
Persondatapolitik Skanderborg Gymnasium Indholdsfortegnelse BAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4 LOVLIGHED, RIMELIGHED OG GENNEMSIGTIGHED...4
Læs merePersondatapolitikken er godkendt på VUC Roskildes bestyrelsesmøde den 7 juni 2018.
Persondatapolitik Baggrund for persondatapolitikken VUC Roskildes persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016
Læs merePersondatapolitik for Odense Katedralskole
Bilag 5. Persondatapolitik for Odense Katedralskole Møde for Odense Katedralskoles bestyrelse d. 11. sept. 2018 Persondatapolitik for Odense Katedralskole Baggrund for persondatapolitikken Odense Katedralskoles
Læs merePersondatapolitikken er godkendt på Vesthimmerlands Gymnasium og HF s bestyrelsesmøde den 25. juni 2018
Databeskyttelsesforordning Persondatapolitik Vesthimmerlands Gymnasium og HF s persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af
Læs mereN. Zahles Skole Persondatapolitik
N. Zahles Skole Persondatapolitik Indholdsfortegnelse Side 1. Baggrund for persondatapolitikken 3 2. Formål med persondatapolitikken 3 3. Definitioner 3 4. Ansvarsfordeling 4 5. Ansvarlighed 5 6. Lovlighed,
Læs mereRetningslinjer om brud på persondatasikkerheden
Retningslinjer om brud på persondatasikkerheden Indhold Retningslinjer om brud på persondatasikkerheden... 1 Anvendelsesområde... 2 Formål... 2 Definitioner... 2 Hvordan håndterer vi et brud på persondatasikkerheden?...
Læs mereBilag 8. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner
Bilag 8 Retningslinje om brud på persondatasikkerheden Anvendelsesområde Retningslinje om brud på persondatasikkerheden er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning
Læs mereRetningslinjer om brud på persondata
Retningslinjer om brud på persondata Anvendelsesområde Retningslinje om brud på persondatasikkerheden er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU) 2016/679
Læs mereBrud på datasikkerheden
Brud på datasikkerheden Anvendelsesområde Retningslinje om brud på persondatasikkerheden er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april
Læs mereFormål. Definitioner. ø Retningslinjer om brud på datasikkerheden Anvendelsesområde
ø Retningslinjer om brud på datasikkerheden Anvendelsesområde Retningslinje om brud på persondatasikkerheden er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU)
Læs mereRetningslinjer om brud på persondatasikkerheden
Retningslinjer om brud på persondatasikkerheden Anvendelsesområde Retningslinje om brud på persondatasikkerheden er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning
Læs mereRetningslinje om brud på persondatasikkerhed Skanderborg Gymnasium ANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2
Retningslinje om brud på persondatasikkerhed Skanderborg Gymnasium Indholdsfortegnelse ANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2 HVORDAN HÅNDTERER VI ET BRUD PÅ PERSONDATASIKKERHEDEN?... 3 NÅR
Læs mereMidtfyns. Gymnasium. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner
Retningslinje om brud på persondatasikkerheden HolmehiEijvej 4 5750 Ringe Tlf. 6262 2577 e-mail: post@mfg. dk www.mfg. dk Juni, 2018 Anvendelsesområde Retningslinje om brud på persondatasikkerheden er
Læs mereDatabehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:
Databehandleraftale Mellem Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: og Databehandleren Virksomhed: OnlineFox CVR: 38687794 Adresse: Pilagervej 32 Postnummer & By: 4200 Slagelse
Læs mereBehandling af personoplysninger
Behandling af personoplysninger Orientering til kunder om Zibo Athene A/S behandling af personoplysninger. Nærværende dokument er en information til dig som kunde hos Zibo Athene A/S (herefter Zibo Athene)
Læs mereDatabehandleraftale (v.1.1)
Denne databehandleraftale er et tillæg til gældende Nordcad salgs og leveringsbetingelser mellem Kunden og Nordcad Systems A/S. Databehandleraftalens underbilag B opdateres løbende for at sikre korrekt
Læs mereDatabehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.
Databehandleraftale Mellem Den dataansvarlige og Databehandleren ErhvervsHjemmesider.dk ApS CVR 36944293 Haslegårdsvej 8 8210 Aarhus V DK 1 Indhold 2 Baggrund for databehandleraftalen... 3 3 Den dataansvarliges
Læs mereWinWinWeb Databehandleraftale. Databehandleraftale. Mellem. Den Dataansvarlige: Kunden. Databehandleren: WinWinWeb CVR:
Databehandleraftale Mellem Den Dataansvarlige: Kunden og Databehandleren: WinWinWeb CVR: 35 62 15 20 Odinsvej 9 2800 Kgs. Lyngby Danmark Side 1 af 12 1 Baggrund for databehandleraftalen 1. Denne aftale
Læs mereBilag 1 Databehandler aftale (v.1.2)
Denne databehandleraftale er et tillæg til gældende rammeaftale mellem Kunden og Telefonmøder ApS. Databehandleraftalens underbilag B opdateres løbende for at sikre korrekt overblik over vores underdatabehandlere.
Læs mereDatabehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren.
Databehandleraftale Mellem Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] og Databehandleren Dandodesign CVR 36899042 Vanløsevej 9 8000 Aarhus Danmark 1 Indhold 2 Baggrund
Læs mereRetningslinje om fortegnelser over behandlingsaktiviteter
Bilag 4 Retningslinje om fortegnelser over behandlingsaktiviteter Anvendelsesområde Retningslinje om fortegnelser over behandlingsaktiviteter er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets
Læs mereAftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi
Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi Indledning Denne aftale er udarbejdet af Dansk Boldspil-Union under henvisning til databeskyttelsesforordningen
Læs mereSletteregler. v/rami Chr. Sørensen
Sletteregler v/rami Chr. Sørensen 1 Generelt om retten til berigtigelse og sletning efter artikel 16-17 Efter begæring (artikel 5, stk. 1, litra d) Skal angå den registrerede selv Ingen formkrav Den dataansvarlige
Læs mereDatabehandleraftale. Mellem. Brugere af software fra Datalogisk. Den dataansvarlige: Databehandleren: Datalogisk A/S CVR Stubbekøbingvej 41
Databehandleraftale Mellem Brugere af software fra Datalogisk Den dataansvarlige: og Databehandleren: Datalogisk A/S CVR 78871911 Stubbekøbingvej 41 4840 Nr. Alslev Danmark 1. Baggrund for databehandleraftalen
Læs mereStandardvilkår. Databehandleraftale
Standardvilkår Databehandleraftale 1 Indhold 2 Vilkårenes status... 2 3 Baggrund for databehandleraftalen... 2 4 Formål med databehandlingen... 2 5 Personoplysninger omfattet af databehandleraftalen...
Læs mereAftale vedrørende fælles dataansvar
Aftale vedrørende fælles dataansvar Mellem Dataansvarlig 1 og Dataansvarlig 2 Baptisternes Børne- og Ungdomsforbund CVR 28536364 Fælledvej 16 7200 Grindsted 1. Fælles dataansvar 1.1. Denne aftale fastsætter
Læs mereRetningslinje om fortegnelser over behandlingsaktiviteter
Retningslinje om fortegnelser over behandlingsaktiviteter Indhold Retningslinje om fortegnelser over behandlingsaktiviteter... 1 Anvendelsesområde... 2 Formål... 2 Definitioner... 2 Den dataansvarliges
Læs mereRetningslinje om fortegnelser over behandlingsaktiviteter
Retningslinje om fortegnelser over behandlingsaktiviteter Anvendelsesområde Retningslinje om fortegnelser over behandlingsaktiviteter er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets
Læs mereDen registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.
Ansvarsfordeling Anvendelsesområde Retningslinje om ansvarsfordeling er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse
Læs mereDatabehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD
INDHOLD INDHOLD... 1 1. Baggrund... 2 2. Definitioner... 2 3. Behandling af personoplysninger... 3 4. Behandlinger uden instruks... 3 5. Sikkerhedsforanstaltninger... 3 6. Underdatabehandling... 4 7. Overførsel
Læs mereOVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106.
OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106. INDHOLDSFO RTEGNELSE: 1. Generelt 3 2. Om nærværende Persondatapolitik 3 3. Definitioner 4 4. Persondataprincipper
Læs mereBorgerens rettigheder, når regionen behandler personoplysninger
Juridisk kontor Regionssekretariatet Skottenborg 26 8800 Viborg Borgerens rettigheder, når regionen behandler personoplysninger Når regionen behandler oplysninger om borgere, har borgerne nogle rettigheder,
Læs mereVi har udarbejdet en særlig fortegnelse over vores databehandlingsaktiviteter. Denne fortegnelse indeholder:
1. Persondatapolitik 1.1. Generelt Dette dokument skal være tilgængeligt for medarbejdere, kunder, potentielle kunder, leverandører mv. Det skal give dem sikkerhed for, at vi arbejder professionelt med,
Læs mereOVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I. INDHOLDSFORTEGNELSE: 1. Generelt... 2
OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I DANSK FORENING FOR OSTEOGENEIS IMPERFECTA (DFOI) INDHOLDSFORTEGNELSE: 1. Generelt... 2 2. Om nærværende persondatapolitik...
Læs mereDatabeskyttelsesdagen
www.pwc.dk Databeskyttelsesdagen GDPR: Ping-pong mellem teori og praksis! Revision. Skat. Rådgivning. Præsentation Claus Bartholin Senior Manager, IT Risk Assurance E: cbt@pwc.dk T: +45 3945 3973 M: +45
Læs mere! Databehandleraftale
! Databehandleraftale Indledning 1.1. Denne aftale vedrørende behandling af personoplysninger ( Databehandleraftalen ) regulerer Pensopay APS CVR-nr. 36410876 (databehandleren) og Kunden (den Dataansvarlige
Læs mereDen registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.
Bilag 9 RETNINGSLINJE OM DATABESKYTTELSESRÅDGIVERE Anvendelsesområde Retningslinje om databeskyttelsesrådgivere er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning
Læs mereVandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker
Vandforsyningens håndtering af den kommende persondataforordning Danske Vandværker Praktiske spørgsmål vi modtog Hvem har ansvaret for beskyttelse af forbrugernes persondata? Er medlemslister i ringbindsmapper
Læs mereIntroduktion til persondataforordning
Introduktion til persondataforordning Lektor Dorte Høilund Anvendelse fra 25. maj 2018 Direktiv contra forordning Mange muligheder for nationale særregler Opbygning og struktur Forslag til Databeskyttelseslov
Læs mereCirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer
CIS nr 9223 af 23/03/2018 (Gældende) Udskriftsdato: 14. maj 2019 Ministerium: Finansministeriet Journalnummer: Finansmin., Moderniseringsstyrelsen Senere ændringer til forskriften Ingen Cirkulæreskrivelse
Læs mereDen Dataansvarlige og Databehandleren benævnes herefter samlet "Parter" og hver for sig "Part".
DATABEHANDLERAFTALE mellem KUNDEN (som defineret i punkt 2 nedenfor) (den "Dataansvarlige") og TECHEM DANMARK A/S CVR-nr. 29 41 69 82 Trindsøvej 7 A-B 8000 Aarhus C ("Databehandleren") Den Dataansvarlige
Læs mereRetningslinje om de registreredes rettigheder
N. Zahles Skole Nørre Voldgade 5 1358 København K Danmark t: + 45 33 69 79 00 e: kontakt@zahles.dk Retningslinje om de registreredes rettigheder Anvendelsesområde Retningslinje om de registreredes rettigheder
Læs mere1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?
Her finder I 12 spørgsmål, som I, der er dataansvarlige, med fordel kan forholde jer til allerede nu for at forberede jer på den nye databeskyttelsesforordning, som finder anvendelse fra den 25. maj 2018.
Læs mereDatabehandleraftale. Mellem. Den dataansvarlige: Databehandleren. Ribe Mediehus CVR Industrivej Ribe. Danmark
Databehandleraftale Mellem Navn: CVR: Adresse: Postnummer og by: Land: Den dataansvarlige: og Databehandleren Ribe Mediehus CVR 36901632 Industrivej 2 6760 Ribe Danmark Denne aftale træder i kræft i samme
Læs mereCirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring
Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring 1. Indledning 1.1. Denne cirkulæreskrivelse er udarbejdet af Styrelsen
Læs mereRetningslinje om ansvarsfordeling - dataansvarlig vs. databehandler
Retningslinje om ansvarsfordeling - dataansvarlig vs. databehandler Anvendelsesområde Retningslinje om ansvarsfordeling er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning
Læs mereDerudover må personoplysninger i fysiske mapper kun tilgås af personer, der har et formål med at kunne tilgå de pågældende personoplysninger.
GDPR - PROCEDURE/POLITIK FOR PERSONDATABESKYTTELSE Dataansvarlig Vincit Advokater ApS CVR-nr. 29 63 56 33 Trondhjems Plads 3, 4 2100 København Ø (herefter Vincit Advokater ) Tlf.nr.: +45 70 260 264 E-mail:
Læs mereDatabehandleraftale. Mellem. Dataansvarlig: Kunden
Databehandleraftale Mellem Dataansvarlig: Kunden (Omfatter virksomheder, der har oprettet en brugerkonto på www.pakkelabels.dk og benytter sig af Pakkelabels.dk s fragtløsning) og Databehandleren: Navn:
Læs mereRetningslinje om fortegnelser over behandlingsaktiviteter
Notat Emne: Retningslinje om fortegnelser over behandlingsaktiviteter Anvendelsesområde Retningslinje om fortegnelser over behandlingsaktiviteter er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets
Læs mereFormålet med denne retningslinje er at sikre, at Ringkjøbing Gymnasium udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.
Bilag 2 Retningslinje om behandlingsgrundlag Anvendelsesområde Retningslinje om behandlingsgrundlag er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU) 2016/679
Læs mereDANVA, Dansk Vand- og Spildevandsforening. Godthåbsvej Skanderborg. og
DANVA, Dansk Vand- og Spildevandsforening Godthåbsvej 83 8660 Skanderborg Sendt til: Cc: danva@danva.dk lgc@danva.dk og sv@danva.dk 21. december 2018 DANVAs henvendelse til Datatilsynet om behandling af
Læs mereBEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen
BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni 2019 Ministerium: Undervisningsministeriet Journalnummer: Undervisningsmin., Styrelsen for It og Læring, j.nr. 18/13045 Senere ændringer til
Læs mereRetningslinje om dataansvarlig/databehandler
N. Zahles Skole Nørre Voldgade 5 1358 København K Danmark Retningslinje om dataansvarlig/databehandler t: + 45 33 69 79 00 e: kontakt@zahles.dk Anvendelsesområde Retningslinje om ansvarsfordeling er udarbejdet
Læs mere1 Indhold. Side 2 af 15
1 Indhold 2 Baggrund for databehandleraftalen... 3 3 Den dataansvarliges forpligtelser og rettigheder... 4 4 Databehandleren handler efter instruks... 4 5 Fortrolighed... 5 6 Behandlingssikkerhed... 5
Læs mereDen registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.
Behandlingsgrundlag Anvendelsesområde Retningslinje om behandlingsgrundlag er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse
Læs mereFormålet med denne retningslinje er at sikre, at Nykøbing Katedralskole udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.
Behandlingsgrundlag Anvendelsesområde Retningslinje om behandlingsgrundlag er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse
Læs mereDatabehandleraftale (Skabelon fra Datatilsynet)
Databehandleraftale (Skabelon fra Datatilsynet) Mellem Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] og Databehandleren [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og
Læs mereDatabehandleraftale. Mellem. Den dataansvarlige: Navn, adresse og cvr: Databehandleren. Pronavic Business Systems ApS CVR
Databehandleraftale Mellem Den dataansvarlige: Navn, adresse og cvr: og Databehandleren Pronavic Business Systems ApS CVR 34 88 97 75 Godthåbsvej 25 8660 Skanderborg Danmark 1 Indhold 2 Baggrund for databehandleraftalen...
Læs mereBilag 7. Retningslinje om behandlingssikkerhed. Anvendelsesområde. Formål. Definitioner
Bilag 7 Retningslinje om behandlingssikkerhed Anvendelsesområde Retningslinje om behandlingssikkerhed er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU) 2016/679
Læs mereFormålet med denne retningslinje er at sikre, at Nakskov Gymnasium og HF udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.
Anvendelsesområde Retningslinje om behandlingsgrundlag er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske
Læs mere"forordningen" i det følgende) og gælder for alle ansatte på Midtfyns Gymnasium, der behandler personoplysninger.
Retningslinje om de registreredes rettigheder Holmehøjvej 4 5750 Ringe Tlf. 6262 2577 e-mail: post@mfg. dk www. mfg. dk Maj, 2018 Anvendelsesområde Retningslinje om de registreredes rettigheder er udarbejdet
Læs merePERSONDATAPOLITIK. Indholdsfortegnelse. Kontaktoplysninger ) Generelt om databeskyttelse Gennemsigtighed og samtykke...
PERSONDATAPOLITIK Indholdsfortegnelse Kontaktoplysninger... 2 1) Generelt om databeskyttelse... 2 Gennemsigtighed og samtykke... 2 Videregivelse af personoplysninger... 2 2) Registreredes rettigheder...
Læs mereMaj 2018 Retningslinje om de registreredes rettigheder på Frederiksberg Gymnasium
Maj 2018 Retningslinje om de registreredes rettigheder på Frederiksberg Gymnasium Anvendelsesområde Retningslinje om de registreredes rettigheder er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets
Læs mereCIR1H nr 9352 af 23/05/2018 (Gældende) Udskriftsdato: 24. maj Senere ændringer til forskriften Ingen. Journalnummer: Kirkemin., j.nr.
CIR1H nr 9352 af 23/05/2018 (Gældende) Udskriftsdato: 24. maj 2018 Ministerium: Kirkeministeriet Journalnummer: Kirkemin., j.nr. 7520 Senere ændringer til forskriften Ingen Cirkulære om fælles dataansvar
Læs mereBekendtgørelse om opgaver og ansvar for behandlingen af personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse
Bekendtgørelse om opgaver og ansvar for behandlingen af personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse I medfør af 15 e, stk. 4, i bekendtgørelse af lov om kommunal indsats
Læs mereDATABEHANDLERAFTALE. er dags dato indgået databehandleraftale på følgende vilkår og betingelser:
DATABEHANDLERAFTALE Mellem undertegnede og medundertegnede Johnsen Graphic Solutions A/S Bakkehegnet 1-3 DK-8500 Grenaa CVR-nr.: 18624141 (herefter Databehandleren ) [Indsæt navn] [Indsæt adresse] [Indsæt
Læs mereRetningslinje om databeskyttelsesrådgivere
Retningslinje om databeskyttelsesrådgivere Indhold Retningslinje om databeskyttelsesrådgivere... 1 Anvendelsesområde... 2 Formål... 2 Definitioner... 2 Hvem skal have en databeskyttelsesrådgiver?... 3
Læs mereGML-HR A/S CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af persondataforordningen (GDPR) pr. 25-05-2018 ISAE 3000-I CVR-nr.: 33 07 66 49 Maj 2018 REVI-IT A/S statsautoriseret
Læs mereRetningslinje om behandlingsgrundlag (hjemmel)
Retningslinje om behandlingsgrundlag (hjemmel) Indhold Retningslinje om behandlingsgrundlag (hjemmel)... 1 Anvendelsesområde... 2 Formål... 2 Definitioner... 2 Behandlingsgrundlag... 3 Behandlingsgrundlag
Læs mereANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2 BEHANDLINGSGRUNDLAG... 3 KONTROL OG DOKUMENTATION... 8
Retningslinje om behandlingsgrundlag Indholdsfortegnelse ANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2 BEHANDLINGSGRUNDLAG... 3 BEHANDLINGSGRUNDLAG FOR ALMINDELIGE/FORTROLIGE PERSONOPLYSNINGER...
Læs mereFormålet med denne retningslinje er at sikre, at Midtfyns Gymnasium udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.
Retningslinje om behandlingsgrundlag Midtfyns ^^ Holmehøjvej 4 5750 Ringe Tlf. 6262 2577 e-mail: post@mfg. dk www.mfg. dk Juni, 2018 Anvendelsesområde Retningslinje om behandlingsgrundlag er udarbejdet
Læs mere1. Oplysningspligt overfor den registrerede hvor oplysningerne indsamles hos den registrerede
RETNIGSLINJER OM SIKRING AF REGISTREREDES RETTIGHEDER IHT. DATABESKYTTELSESFORORDNINGEN Vinde Helsinge Friskole, Vestsjællands Idrætsefterskole Vinde Helsingevej 41, 4281 Gørlev CVR-nummer: 57 24 02 10
Læs mereJeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )
DATABEHANDLERAFTALEN Databehandleraftale ( Aftalen ) mellem: Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK-36726350 ( Leverandøren ) A: OMFANG A.1 Databehandleraftale
Læs mereRetningslinje om behandlingsgrundlag
Retningslinje om behandlingsgrundlag Anvendelsesområde Retningslinje om behandlingsgrundlag er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU) 2016/679 af 27.
Læs mereBILAG 5 DATABEHANDLERAFTALE
BILAG 5 DATABEHANDLERAFTALE INDHOLDSFORTEGNELSE 1. Formål og omfang... 5 2. Databehandlers opgave... 5 3. Instruks... 5 4. Brug af ekstern Databehandler eller underleverandør... 5 5. Behandling i udlandet...
Læs mereRetningslinje om databeskyttelsesrådgivere
Retningslinje om databeskyttelsesrådgivere Anvendelsesområde Retningslinje om databeskyttelsesrådgivere er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU) 2016/679
Læs mereDATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde
DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER Vejledning til brug af skabelonen Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde sig til indholdet evt.
Læs mereDATABEHANDLERAFTALE. Databahandleraftale # _ Mellem. Navn Adresse Postnr og by CVR: (I det følgende benævnt Kunden )
DATABEHANDLERAFTALE Databahandleraftale #00014207_2018-05-23 Mellem Navn Adresse Postnr og by CVR: 12345678 (I det følgende benævnt Kunden ) og Corpital P/S Tobaksvejen 23B 2860 Søborg CVR: 28133391 (I
Læs mereRigsarkivets konference 2. november 2016
Pligten til at huske retten til at blive glemt Rigsarkivets konference 2. november 2016 Birgit Kleis, kommitteret i Datatilsynet Persondatabeskyttelse: afvejning af hensyn Privatlivets fred Informations-
Læs mereNotat. Databeskyttelsesrådgiver. Anvendelsesområde. Formål. Definitioner. Retningslinje om databeskyttelsesrådgivere. Danske Gymnasiers medlemsskoler
Databeskyttelsesrådgiver Notat Emne: Retningslinje om databeskyttelsesrådgivere Til: Fra: Danske Gymnasiers medlemsskoler Arbejdsgruppen for databeskyttelse Dato: 15. maj 2018 Anvendelsesområde Retningslinje
Læs mereDatabehandleraftale. Mellem. Den dataansvarlige: Kunde hos Alsbogføring. Databehandleren. Alsbogføring.dk ApS. Møllegade Sønderborg.
Databehandleraftale Mellem Den dataansvarlige: Kunde hos Alsbogføring og Databehandleren Alsbogføring.dk ApS 33754493 Møllegade 71 6400 Sønderborg Danmark Parterne kaldes i det følgende henholdsvis den
Læs mereBilag B Databehandleraftale pr
1. BAGGRUND, FORMÅL OG OMFANG 1.1 Som led i den Dataansvarliges (s kunde) indgåelse af aftale om levering af ydelser, som beskrevet i Aftalen, foretager Databehandleren () behandling af personoplysninger,
Læs mereBilag A Databehandleraftale pr
1. BAGGRUND, FORMÅL OG OMFANG 1.1 Som led i den Dataansvarliges (Beierholms kunde) indgåelse af aftale om levering af finansielle ydelser, som beskrevet i samarbejdsaftale, foretager Databehandleren (Beierholm)
Læs mereDatabehandleraftale. Mellem. Den dataansvarlige: Landbrugsstyrelsen CVR Nyropsgade København V. Danmark. Databehandleren.
Databehandleraftale Mellem Den dataansvarlige: Landbrugsstyrelsen CVR 20814616 Nyropsgade 30 1780 København V Danmark og Databehandleren [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] 1 Indhold
Læs mereDatabehandleraftale. Mellem. Den dataansvarlige: SimplyJob Aps CVR Måløv Byvej Måløv. Danmark. Databehandleren.
Databehandleraftale Mellem Den dataansvarlige: SimplyJob Aps CVR 38485679 Måløv Byvej 229 2760 Måløv Danmark og Databehandleren [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] 1 Indhold 2 Baggrund
Læs merePersondatapolitik. Dataansvarlig Paarup Hansen ApS Enghaven Roskilde Danmark CVR-nr.:
Persondatapolitik Dataansvarlig Paarup Hansen ApS Enghaven 59 4000 Roskilde Danmark CVR-nr.: 66234118 1 1. Indledning 1.1 Denne politik om indsamling og behandling af personoplysninger og anvendelse af
Læs mere