Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

Transkript

1 Blankettype: Privat virksomhed Datatilsynet Borgergade København K Anmeldelse af behandlinger af oplysninger om rent private forhold der foreta- ges for en privat dataansvarlig. Felter markeret med * skal udfyldes 1. Dataansvarlig Navn* Vejledning vedhæftet Adresse* Tlf.nr.* Evt. J.nr./ID.nr. Kontaktperson* (Vil ikke blive offentliggjort i fortegnelsen) E-post (Vil ikke blive offentliggjort i fortegnelsen) Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler Databehandlerens navn Databehandlerens adresse Den dataansvarlige er etableret i et tredjeland, og der er udpeget en repræsentant i Danmark Repræsentantens navn Repræsentantens adresse 2. Betegnelse og formål Behandlingens betegnelse:* Formål og evt. delformål:* Bemærk! Hvor andet ikke udtrykkeligt er angivet, vil de oplysninger, der fremgår af anmeldelsesblanketten, blive offentliggjort i fortegnelsen over anmeldte behandlinger på Datatilsynets hjemmeside. En anmeldelse kan undtages helt eller delvist fra offentliggørelse, hvis det er nødvendigt til forebyggelse, opklaring og forfølgning af lovovertrædelser, eller hvis afgørende hensyn til private interesser gør det påkrævet. Hvis en sådan undtagelse ønskes foretaget, bedes dette meddelt Datatilsynet i et følgebrev til anmeldelsen. 10/01

2 3. Generel beskrivelse Følgende typer af behandling indgår: Oplysningerne behandles: elektronisk og/eller manuelt Der behandles følgende følsomme oplysninger: Racemæssig eller etnisk baggrund Politisk overbevisning Religiøs overbevisning Filosofisk overbevisning Fagforeningsmæssige tilhørsforhold Helbredsforhold, herunder misbrug af medicin, narkotika, alkohol m.v. Seksuelle forhold Der behandles følgende andre oplysninger om enkeltpersoners rent private forhold: Strafbare forhold Væsentlige sociale problemer Andet

3 4. Kategorier af registrerede og oplysningstyper Der behandles oplysninger om følgende kategorier af personer:* A) B) C) D) E) Der behandles følgende typer af oplysninger om de ovenfor angivne kategorier af personer:* ad A) ad B) ad C) ad D) ad E)

4 5. Modtagere Oplysningerne kan overføres til følgende modtagere eller kategorier af modtagere: 6. Tredjelande Der påtænkes overført oplysninger til tredjelande: ja nej 7. Sikkerhed Generel beskrivelse af de foranstaltninger, der iværksættes af hensyn til behandlingssikkerheden: 8. Påbegyndelse Tidspunkt for påbegyndelse af behandling:* 9. Sletning Tidspunkt for sletning af oplysningerne:* Dato: 10. Underskrift (Vil ikke blive offentliggjort i fortegnelsen) Dato* Navn* Bemærk: Datatilsynets tilladelse skal foreligge, inden behandlingen iværksættes. Ændringer skal meddeles Datatilsynet. Den dataansvarlige skal selv opbevare en kopi af anmeldelsen. Tilladelse koster kr. - opkrævning vil blive fremsendt særskilt.

5 Vejledning til blanketten: Privat virksomhed Denne blanket anvendes til anmeldelse af behandlinger, der foretages for en privat dataansvarlig, og som omfatter oplysninger om rent private forhold (følsomme oplysninger). Det vil sige de oplysninger, der er nævnt i 7, stk. 1, og 8, stk. 4, i lov om behandling af personoplysninger - se afkrydsningslisten i blankettens punkt 3. Inden behandlinger, der omfatter sådanne oplysninger, iværksættes, skal der indhentes tilladelse fra Datatilsynet efter lov om behandling af personoplysninger 50, stk. 1, nr. 1. Blanketten gælder samtidigt som ansøgning om tilladelse. Under Værd at vide på Datatilsynets hjemmeside kan man læse mere om de regler, der gælder for behandlinger, som udføres af private. Det er muligt at udfylde blanketten på Datatilsynets hjemmeside og at indsende den elektronisk. Læse mere om dette på hjemmesiden. Hvis man bruger den elektroniske anmeldelsesblanket, er felterne fleksible og tilpasser sig tekstens omfang. Til pkt. 1 Dataansvarlig. Her angives navn, adresse og telefonnummer på den dataansvarlige. Endvidere angives det journalnummer eller anden betegnelse, som den dataansvarlige anvender til identifikation af den pågældende behandling, således at man ved eventuel efterfølgende henvendelse til den dataansvarlige nemt kan identificere behandlingen. Herudover angives navn og e-postadresse på en kontaktperson hos virksomheden, der kan besvare eventuelle supplerende spørgsmål vedrørende behandlingen. Disse oplysninger (e-postadresse og kontaktperson) medtages ikke i Datatilsynets fortegnelse. Endvidere angives, om oplysningerne skal opbevares hos den dataansvarlige selv, eller om oplysningerne skal opbevares hos en databehandler samt i bekræftende fald dennes navn og adresse. En databehandler er den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der behandler oplysninger på den dataansvarliges vegne. Der kan være mere end en databehandler. I så fald skal alle databehandlerne angives. Hvis den dataansvarlige er etableret i et tredjeland (dvs. et land uden for EU, som ikke har gennemført aftaler med EU om implementering af det direktiv, der ligger til grund for lov om behandling af personoplysninger) og der i henhold til lovens 4, stk. 4 og 5, skal udpeges en repræsentant i Danmark, angives repræsentantens navn og adresse. Det bemærkes, at Grønland og Færøerne også er tredjelande i lovens forstand. Til pkt. 2 Betegnelse og formål. Ved "betegnelse" forstås et navn, der kan benyttes til identifikation af behandlingen, f.eks. "XX s kontaktbureau", "medarbejderdatabase for XX", "kunde- eller leverandørdatabase", "klientdatabase", "patientregister". Den angivne betegnelse vil være det navn, behandlingen bliver kendt under i Datatilsynets fortegnelse. Det anbefales, at virksomheden vælger et kort kaldenavn. Endvidere angives formålet med behandlingen, herunder eventuelle delformål. Til pkt. 3 Generel beskrivelse. Til pkt. 3 Generel beskrivelse. Under dette punkt skal der gives en generel beskrivelse af behandlingen.

6 En generel beskrivelse af behandlingen har til formål at give offentligheden kendskab til, hvad den pågældende behandling går ud på. Dette bidrager til den åbenhed omkring behandlingerne, som er et af anmeldelsesordningens hovedformål. Herudover skal beskrivelsen af behandlingen gøre det muligt for Datatilsynet at vurdere, om der er grund til at foretage en nærmere vurdering af behandlingerne. Beskrivelsen skal holdes på et helt overordnet plan. Behandling er en betegnelse for enhver håndtering af oplysninger om personer, virksomheder m.v. såvel elektronisk som manuelt. Begrebet dækker således bl.a. over indsamling, registrering, systematisering, opbevaring, tilpasning eller ændring, selektion, søgning, brug, videregivelse ved transmission, formidling eller enhver anden overladelse, sammenstilling eller samkøring samt blokering, sletning eller tilintetgørelse. Finder blot en af de nævnte former for håndtering af oplysninger sted, vil der være tale om behandling i lovens forstand. Det vil ikke være nødvendigt at angive typer af behandlinger, som i forvejen skal fremgå af anmeldelsen/ansøgningen under dennes øvrige punkter, f.eks. kategorier af modtagere samt overførsler til tredjelande. Endelig afkrydses de kategorier af følsomme oplysninger, der behandles. Man skal kun afkrydse de felter, der er typiske for behandlingen. Til pkt. 4 Kategorier af registrerede personer og oplysningstyper. Her angives, inddelt i kategorier, hvem der vil blive behandlet oplysninger om. For hver af de angivne kategorier angives, hvilke oplysninger eller typer af oplysninger, herunder bedømmelser, der gøres til genstand for behandling. Dataindholdet angives udførligt, idet opregningen af oplysningstyper dog ikke skal ske på edbfeltniveau. Til pkt. 5 Modtagere. Her angives, hvilke modtagere eller kategorier af modtagere, der regelmæssigt påtænkes overført oplysninger til, og som derfor er karakteristiske for den pågældende behandling. Et edb-servicebureau betragtes også som modtager. Det skal ikke angives, efter hvilken hjemmel i loven overførslen sker, men den dataansvarlige skal gøre sig det klart. Det faktum, at Datatilsynet ikke kommer med bemærkninger til en beskrevet overførsel, kan ikke tages som udtryk for, at tilsynet har vurderet, at overførslen i alle tilfælde vil være i overensstemmelse med lov om behandling af personoplysninger. Det er op til den dataansvarlige selv at tage stilling til, om der kan ske overførsel. Eventuelle klager eller fortolkningsspørgsmål vil kunne indbringes for Datatilsynet. Der vil altid kunne ske overførsel af oplysninger i overensstemmelse med de almindelige behandlingsregler i lovens kapitel 4. Det er således ikke en betingelse for, at enkeltstående overførsler kan ske, at dette er skrevet i anmeldelsen. Til pkt. 6 Tredjelande. Til pkt. 6 Tredjelande. Her angives, om der planlægges overført oplysninger til tredjelande, dvs. lande uden for EU, som ikke har gennemført aftaler med EU om implementering af det direktiv, der ligger til grund for lov om behandling af personoplysninger. Grønland og Færøerne er også tredjelande i lovens forstand.

7 Sådanne overførsler kræver i visse tilfælde en tilladelse fra Datatilsynet, jf. lovens 50, stk. 2. Anmeldelsen kan ikke tjene som ansøgning efter lovens 50, stk. 2. En sådan tilladelse skal således søges særskilt. Eventuelle overførsler kan beskrives i et følgebrev til anmeldelsen. Som ved modtagere skal kun de regelmæssige overførsler angives og ikke en enkeltstående overførsel. Udtrykket "overførsel" omfatter videregivelse af oplysninger, hvorved forstås overførsel af oplysninger til enhver anden end den registrerede, den dataansvarlige, databehandleren og personer under den dataansvarliges og databehandlerens direkte myndighed. Udtrykket omfatter også overladelse af oplysninger, hvorved forstås overførsel af oplysninger til en databehandler eller personer under databehandlerens direkte myndighed. Endelig omfatter udtrykket den dataansvarliges interne anvendelse af oplysninger. Udtrykket "overførsel" er således en samlet betegnelse for videregivelse og overladelse/intern anvendelse af oplysninger. Til pkt. 7 Sikkerhed. Her angives, hvilke sikkerhedsforanstaltninger virksomheden træffer i forbindelse med behandlingen. Hvis oplysningerne behandles elektronisk angives en beskrivelse af karakteren af sikkerhedsforanstaltningerne knyttet hertil, eksempelvis adgangskontrol, logning, kryptering m.v. En nærmere teknisk redegørelse ønskes derimod ikke. Det bemærkes i den forbindelse, at virksomheden kun skal afgive oplysninger, der må komme til offentlighedens kundskab, idet anmeldelsen bliver offentliggjort. Eventuelle interne hemmelige bestemmelser, f.eks. om sikkerhedskoder og lignende skal således ikke fremgå af anmeldelsen. Til pkt. 8 Påbegyndelse. Der angives den dato, hvor virksomheden påtænker at begynde behandlingen f.eks. kontaktbureauvirksomhed eller oprette en kunde- eller leverandørdatabase. Behandlingen må ikke påbegyndes, før Datatilsynet har givet tilladelse hertil. Det er tidspunktet for den påtænkte påbegyndelse af behandlingen, der skal angives, og ikke tidspunktet for beslutningen om at iværksætte behandlingen. For behandlinger, der er påbegyndt inden ikrafttrædelsen af lov om behandling af personoplysninger, dvs. 1. juli 2000, kan man i stedet for at angive en dato, nøjes med at angive, at behandlingen blev påbegyndt inden lovens ikrafttræden. Det angivne tidspunkt vil fremgå af den fortegnelse, som Datatilsynet offentliggør. Eventuelle ændringer heri vil derfor skulle meddeles Datatilsynet. Fortegnelsen findes på tilsynets hjemmeside: Til pkt. 9 Sletning. Her anføres, hvornår oplysningerne senest vil blive slettet, f.eks. 1 år efter at der sidst blev behandlet oplysninger om den pågældende. Det forudsættes, at der i øvrigt konkret sker sletning på et tidligere tidspunkt, hvis dette følger af lovgivningen. Den dataansvarlige skal - uanset den angivne slettefrist - iagttage lovens 5, stk. 4, hvoraf fremgår, at behandling af oplysninger skal tilrettelægges således, at der foretages fornøden ajourføring af oplysningerne. Der skal endvidere foretages den fornødne kontrol for at sikre, at der ikke behandles urigtige eller vildledende oplysninger. Oplysninger, der viser sig urigtige eller vildledende, skal snarest muligt slettes eller berigtiges.

8 Datatilsynet vurderer i forbindelse med gennemgangen af anmeldelsen, om den af virksomheden fastsatte slettefrist er i overensstemmelse med lovens 5, stk. 5, hvoraf fremgår, at indsamlede oplysninger ikke må opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles. Til pkt. 10 Underskrift. Blanketten underskrives af den person hos den dataansvarlige, der er ansvarlig for anmeldelsen/ansøgningen på vegne af den dataansvarlige. I den elektroniske anmeldelse skrives navnet blot. Hvis anmeldelsen sker i henhold til fuldmagt, angives dette. Forholdet kan uddybes i følgebrevet. Anmeldelsens/ansøgningens ægthed kontrolleres ved, at Datatilsynet udsender kvittering. Det er derfor vigtigt, at den dataansvarlige reagerer, hvis man modtager en bekræftelse på en anmeldelse/ansøgning, som man ikke mener at have indsendt. I øvrigt henledes opmærksomheden på Straffelovens 163, hvoraf fremgår, at den, som i øvrigt til brug i retsforhold, der vedkommer det offentlige, afgiver urigtig skriftlig erklæring eller skriftlig bevidner noget, hvorom han ingen kundskab har, straffes med samme straf som i 162.