Datastrømsanalyse - Kundedata

Relaterede dokumenter
Behandling af personoplysninger i MG Udvikling

Procedure for håndtering af personoplysninger - GDPR Denne udgave: /TW

N. Zahles Skole Persondatapolitik

Thea Præstmark WW W W W.SKA W UR.SKA EIP UR UR EIP TH UR. TH C. OM C

PERSONDATAPOLITIK FOR ORDET OG ISRAEL

Privatlivspolitik. Odense LMU

Ecofleet. Persondataforordningen Kort fortalt. Del 1. Peter Dam Nordic Project Manager

Persondata - hvem, hvad, hvor og hvordan?

opfylde vores kontraktuelle forpligtelser over for dig, samt at

1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du

PERSONDATAPOLITIK FOR BAPTISTERNES BØRNE- OG UNGDOMSFORBUND

EN DAG OM PERSONDATAFORORDNINGEN. STU Foreningen. 7. december 2017

Introduktion til persondataforordning

PERSONDATAPOLITIK FOR DANSK TOURETTE FORENING

Nexø Frikirke. PRIVATLIVSPOLITIK i NEXØ FRIKIRKE

PERSONDATAPOLITIK FOR FANCONI ANÆMI DANMARK

PERSONDATAPOLITIK FOR AXIS

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Derudover må personoplysninger i fysiske mapper kun tilgås af personer, der har et formål med at kunne tilgå de pågældende personoplysninger.

PRIVATLIVSPOLITIK FOR VÆRFTET NEXØ KRISTNE SKATECENTER, LEGELAND OG CAFE

Indholdsfortegnelse Fortroligheds- og beskyttelsespolitik... 3

Privatlivspolitik. for Odense LM

PERSONDATAPOLITIK FOR Slagelse Børneklub

EU Persondataforordning GDPR

Persondatapolitik for Landsforeningen for Marfan Syndrom i Danmark

Politik for behandling af oplysninger

I KORT FORM FORORDNINGEN GDPR PERSONDATA PERSONDATA FORORDNINGEN

PERSONDATAPOLITIK FOR Dansk forening for Williams Syndrom

PERSONDATAPOLITIK FOR HOLMSBORG SOMMERLEJRE

Persondatapolitik for Ehlers-Danlos Foreningen i Danmark

Behandling af personoplysninger

Persondataforordningen

PERSONDATAPOLITIK 1. INTRODUKTION

Bilag 8. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

Politik for beskyttelse og behandling af personoplysninger

Vejledning til udfyldelse af blanket A-D

1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?

DATABEHANDLERAFTALE. Conscia A/S. Conscia A/S Kirkebjerg Parkvej 9 DK-2605 Brøndby Tlf

1.1 Denne privatlivspolitik ( Politik ) er gældende for samtlige de oplysninger, som du giver

Retningslinje om de registreredes rettigheder

1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du giver til os, og

Persondatapolitik Vordingborg Gymnasium & HF

Politik vedrørende behandlingen af personoplysninger

PERSONDATAPOLITIK 1. INTRODUKTION

Vi har udarbejdet en særlig fortegnelse over vores databehandlingsaktiviteter. Denne fortegnelse indeholder:

GDPR. Kom i gang med udarbejdelse af dokumentation. GDPR tjekliste til webshopejere

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

Slettepolitik for Euro Accident Livförsäkring Aktiebolag som dataansvarlig

Privatlivspolitik for tilmeldte til SocialBar

TEMP-TEAMs Privatlivspolitik

Persondataforordning din dig din

Retningslinjer om brud på persondatasikkerheden

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106.

Persondatapolitik for Aabenraa Statsskole

Brud på datasikkerheden

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

Persondatabeskyttelsespolitik for REFA

PERSONDATAPOLITIK for. Mercy Outreach Danmark

Standardvilkår. Databehandleraftale

Persondatapolitik for Tørring Gymnasium 2018

Formål. Definitioner. ø Retningslinjer om brud på datasikkerheden Anvendelsesområde

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I. INDHOLDSFORTEGNELSE: 1. Generelt... 2

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

PERSONDATAPOLITIK FOR Aniridi Danmark

Retningslinje om brud på persondatasikkerhed Skanderborg Gymnasium ANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2

PERSONDATAPOLITIK. Behandling af personoplysninger om kunder hos Holstebro Turistbusser

1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du

Retningslinjer om brud på persondatasikkerheden

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

Persondatapolitik på Gentofte Studenterkursus

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Persondata politik for GHP Gildhøj Privathospital

CVR-nr. og kontaktoplysninger (adresse, hjemmeside, telefonnummer og )

PRIVATLIVSPOLITIK BRYD TAVSHEDEN. Denne privatlivspolitik forklarer, hvordan Bryd Tavsheden (''vi'' eller ''os'') behandler dine personoplysninger.

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

Persondatapolitik i Dansk Oplysnings Forbund

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

Oplysning om behandling af personoplysninger om dig i medfør af databeskyttelsesforordningen artikel 13.

PERSONDATAFORORDNINGEN APRIL 2018

PERSONDATAPOLITIK FOR FRIMENIGHEDEN BROEN

Persondataforordningen

Persondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.

PRIVATLIVSPOLITIK for Advokatfirmaet Gaarn Pedersen. (Opdateret maj 2018)

VEJLEDNING. om specialklubbernes håndtering af medlemmernes personoplysninger

PERSONDATAPOLITIK FOR HETAG TAG MATERIALER A/S

Studio DNA er en it-virksomhed, der udvikler brugervenlige it-løsninger til optimering af drift og vedligeholdelse af alle bygningstyper.

Formålet med denne retningslinje er at sikre, at Ringkjøbing Gymnasium udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.

Surftown A/S. Regionsgolf-Danmark DATABEHANDLERAFTALE. Databehandleraftalen foreligger mellem. Regionsgolf-Danmark.

PRIVATLIVSPOLITIK FOR KUNDER, LEVERANDØRER OG SAMARBEJDSPARTNERE

Databeskyttelsespolitik for:

Midtfyns. Gymnasium. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

INTERN HR PERSONDATAPOLITIK FOR LIONS MD106. Nærværende gælder for MD 106, dvs. alle ansatte og medlemmer i Lions MD 106.

3. Hvorfor behandler vi dine personlige oplysninger

Hohenwarte IVS privatlivspolitik og Fortegnelse over behandling af Persondata - 7. maj Privatlivspolitik for Hohenwarte IVS

Behandling af personoplysninger

DanDomain A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

I denne privatlivspolitik beskriver vi vores behandling af oplysninger om kunder.

PERSONDATAPOLITIK FOR Café Exit

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

Transkript:

Datastrømsanalyse - Kundedata

Introduktion Der er ikke et krav i lovgivningen om, at der skal udarbejdes en datastrømsanalyse, men det er et godt værktøj til at få et overblik over jeres virksomheds behandling af personoplysninger, for at finde ud af, hvor der er behov for at sætte ind for at overholde persondatalovgivningen. Med den nye persondatalovgivning kan det nemlig blive dyrt ikke at overholde de persondataretlige regler: Bødeniveauet for overtrædelser i Danmark p.t. ligger på 3.000-10.000 kr. en enkelt på 25.000 kr. Fra den 25. maj 2018 vil der gælde et bødeniveau på helt op til 20 mio. euro eller 4 % af den samlede globale koncernomsætning, hvis det beløb er højere. De spørgsmål I skal tage stilling til er: Hvilke personoplysninger behandler virksomheden? Hvad er formålene med behandlingen? Hvilken adgangsbillet har virksomheden til at behandle personoplysningerne? Har I gyldige samtykker og dokumentation af samtykket? Har I sletteprocedurer? Hvor opbevares oplysningerne? Har I styr på de registreredes rettigheder samt procedurer for sikring af rettighederne? Har I skriftlige databehandleraftaler med jeres databehandlere, der behandler data på vegne af jer? Har I en beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger? Denne øvelse går ud på at forsøge at følge dataene i deres "levetid". Oversigten kan derefter bruges som basis for at finde ud af, om virksomhedens behandling af data er lovlig i forhold til nugældende regler. OBS: Selvom persondatalovgivningen også vedrører medarbejderoplysninger, så har denne datastrømsanalyse kun fokus på kundedata. Side 2 af 18

Definition af begreberne Personoplysninger: er enhver form for information om en identificerbar fysisk person. Der findes forskellige kategorier af personoplysninger, som beskrives nedenfor: Almindelige personoplysninger: er fx de oplysninger I som forhandler har om jeres kunder, såsom navn, adresse, fødselsdato, GPS-oplysning, e-mail, telefonnr., kontonummer mv. Følsomme personoplysninger: er fx oplysninger om genetisk- eller biometriske data 1 såsom fingeraftryksoplysninger 2, eller helbredsoplysninger 3. OBS: Dette spørgeskema tager kun stilling til medlemsvirksomhedernes mulige behandling af genetisk- eller biometriske data, eller behandling af helbredsoplysninger i forbindelse med salg/køb af handicapbil. Behandling er et bredt begreb, som omfatter stort set alt, hvad der gøres med personoplysningen: Indsamling, registrering, systematisering, opbevaring, brug, tilpasning/ændring, videregivelse, blokering, sletning, mv.. Den registrerede: Den registrerede er den fysiske person, der bliver behandlet oplysninger omkring. I forholdet mellem jer som virksomhed og kunden, er det således kunden, der er den registrerede. I det følgende vil den registrerede blive omtalt som kunden. Dataansvarlig: Den dataansvarlige er den virksomhed der overordnet bestemmer, hvilke personoplysninger der skal behandles, hvorfor de skal behandles og hvordan de skal behandles. Når jeres virksomhed får en kunde ind i jeres butik og kunden afgiver sine personoplysninger, så bliver I ansvarlige for, at lovgivningens krav er overholdt i relation til kundeoplysningerne, da I hermed bliver dataansvarlig. I det følgende vil den dataansvarlige blive omtalt som medlemsvirksomheden. Databehandler: En dataansvarlig kan antage en databehandler til at behandle og indsamle personoplysninger på den dataansvarliges vegne. Databehandleren handler således på instruks fra den dataansvarlige. En IT-leverandør er således at betegne som en databehandler. Hvis virksomheden har databehandlere, så skal der indgås databehandleraftaler med disse se AutoBranchen Danmark tjekliste. 1 Oplysninger som behandles med det formål entydigt at identificere en fysisk person. 2 Et fingeraftryk bliver efter 25. maj 2018 en følsom data. 3 Følsomme data omfatter også race, etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, fagforeningsmedlemsskab, oplysninger om seksuelle forhold eller seksuel orientering, straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger. Side 3 af 18

Afdeling: Salg/administration/eftermarked Kontaktoplysninger på personen der udfylder spørgeskemaet: Navn: E-mail: Stilling: Direkte telefonnr.: Firmastempel: Dato for udfyldelse: Procesbeskrivelse 4 : I disse afdelinger beskæftiger virksomheden sig primært med salg af biler, prøvekørsler, indgåelse af aftaler. Der tages udgangspunkt i de dokumenter med kundeoplysninger, som der typisk er i medlemsvirksomheden (dokumenttyper): A) Slutsedler B) Prøvekørselssedler C) Lejekontrakter D) Leasingaftaler F) Serviceaftaler G) Forsikringsaftaler H) Finansieringsaftaler I) Arbejdskort J) E-mails Mulighed for uddybning/tilføjelser: 4 Her skrives der en overordnet beskrivelse af processen det overordnede formål, hvilke kategorier af personer Side 4 af 18

Spørgsmål: Svar: 1) Hvilke personoplysninger behandles? - Almindelige personoplysninger: Kontaktoplysninger: Navn Adresse E-mail Fødselsdato Andet: Betalingsinfo Forsikringsoplysninger Finansieringsoplysninger Ordrehistorik Kundenummer Kørekortnummer GPS-oplysninger Biloplysninger Andre oplysninger: - CPR-nummer: - Følsomme personoplysninger: Biometriske data med det formål entydigt at identificere en fysisk person (fx fingeraftryk) Helbredsoplysninger i forbindelse med salg af handicapbil Andre følsomme oplysninger: Side 5 af 18

2) Hvad er formålet med behandlingen af de almindelige personoplysninger, herunder CPR-nummeret? 5 Dokumenttype (s. 4) Formålet med behandlingen A) B) C) D) E) F) G) H) I) J) Andet: 5 Der skal angives et formål med behandlingen af personoplysningerne, som skal være tilstrækkeligt præcist. Der må ikke ske behandling til andre formål end det, der er beskrevet. Side 6 af 18

3) Er personoplysningerne nødvendige for opfyldelse af formålet? 6 Evt. begrundelse: 4) Hvad er formålet med behandlingen af de følsomme personoplysninger? 7 Dokumenttype Formålet med behandlingen Biometriske data Helbredsoplysninger Andet 5) Er personoplysningerne nødvendige for opfyldelse af formålet? 8 Evt. begrundelse: 6 Her angives argumentation for, at personoplysningerne er nødvendige for, at medlemsvirksomheden kan opfylde formålet med behandlingen 7 De følsomme personoplysninger er medtaget som fremtidig påmindelse. 8 Her angives argumentation for, at personoplysningerne er nødvendige for, at medlemsvirksomheden kan opfylde formålet med behandlingen Side 7 af 18

6) Hvor har I personoplysningerne fra? Kunden selv Andre steder - skriv hvorfra: 7) Sørger I for at personoplysningerne er ajourførte og korrekte? 9 Uddybning: 8) Har I procedurer for, hvornår I sletter personoplysningerne? 10 Uddybning: 9 Medlemsvirksomheden skal sikre sig, at personoplysningerne er ajourførte og korrekte når de behandles. Der kan indføres en dato for registrering af oplysningerne, således at virksomheden til enhver tid kan sandsynliggøre, at de er korrekte og ajourførte. 10 Oplysningerne må kun behandles, når der er et formål til stede. Det er vigtigt at have sletteregler, da personoplysningerne skal slettes, når der ikke længere er et formål med at have oplysningerne, men ikke alt skal slettes, fx grundet bogføringslovens krav om at gemme oplysningerne i 5 år. Side 8 af 18

9) Hvad er grundlaget for behandlingen af personoplysningerne? 11 Sæt X Behandlingsgrundlag Indsæt dokumenttyperne (se s. 4) Samtykke Behandlingen er nødvendig af hensyn til opfyldelse af en kontrakt, som kunden er part i / af hensyn til gennemførelse af foranstaltninger, der træffes på kundens anmodning forud for indgåelse af en kontrakt Hvilken kontrakt? (fx finansiering?) Behandlingen er nødvendig til opfyldelse af en retlig forpligtelse Hvilken forpligtelse (fx købeloven) Interesseafvejning af jeres virksomheds legitime interesser afvejet mod kundens interesser Hvilken interesse? Særlovgivning Hvilken (fx registreringsafgiftsloven eller bogføringsloven) 11 Dokumenterne er nævnt på s. 4. En virksomhed må ikke behandle personoplysninger medmindre virksomheden har et retligt grundlag og det retlige grundlag skal være en af de nævnte. Udover de 5 nævnte kan behandlingen også se hvis 1) behandlingen er nødvendig for at beskytte kundens eller en fysisk persons vitale interesser, eller 2) behandlingen er nødvendig af hensyn til udførelse af en opgave i samfundets interesse / af hensyn til offentlig myndighedsudøvelse, som I er pålagt. De netop omtalte nr. 1 og 2 er ikke medtaget i skemaet, da de ikke findes relevant for jer. Side 9 af 18

10) Hvordan indhentes samtykke til markedsføring? 12 10a) Kan I dokumentere, at kunden har givet sit samtykke? 13 Uddybning: 10b) Sender I markedsføringsmateriale ud til kunderne min. 1 gang om året? 14 Hvor ofte?: 11) Er kunden oplyst om behandlingen? 15 Privatlivspolitik udleveret Privatlivspolitik ej udleveret 12 Et gyldigt samtykke skal være frivilligt, specifikt, informeret og utvetydigt. Se AutoBranchen Danmarks samtykketekst. Ved behandling af følsomme oplysninger skal samtykket endvidere være udtrykkeligt. 13 Efter den 25. maj 2018 er der krav om, at samtykker skal kunne dokumenteres. 14 Forbrugerombudsmanden har udtalt, at et samtykke til markedsføringsmateriale skal bruges minimum en gang om året, ellers skal der indhentes samtykker på ny. 15 Det skal sikres, at kunden ved, at der foretages behandlinger af vedkommendes personoplysninger. Medlemsvirksomheden bør dokumentere, hvornår og hvordan kunden er blevet oplyst. Det vil være en god ide at have teksten på sin hjemmeside. Oplysningsforpligtelsen kan opfyldes ved at udlevere en privatlivspolitik. Se AutoBranchen Danmarks privatlivspolitik. Side 10 af 18

12) Hvor befinder personoplysningerne sig? 16 Arkiv i virksomheden IT-system Mail Kundedatabaser/ kundelister CRM-systemer Computerens skrivebord Private mapper Uddybning: 16 Medlemsvirksomhed skal kunne redegøre for, hvor personoplysningerne befinder sig, herunder om personoplysningerne befinder sig fysisk i virksomheden i et arkiv, digitalt, hos en databehandler, i HR-systemer, kundesystemer, regnskabssystemer, e-mails, netværksdrev eller tjenester på internettet. Side 11 af 18

13) Hvem har adgang til personoplysningerne? 17 Hvem? Hvilke oplysninger? Værkstedet Administration Importør Salgsafdeling 14) Videregivelse af personoplysninger til andre parter 18 14a) Videregives personoplysningerne til andre parter? Hvis ja: Hvilken kategori af modtagere er der tale om?: Modtagerens land?: 17 Det skal angives hvem der har adgang til oplysningerne. Der er ikke flere personer, der skal have adgang til personoplysningerne, end det er nødvendigt i.f.h.t. formålet med behandlingen. 18 Her er der ikke tale om databehandlere, se definitionen på s. 3. Det kunne fx være videregivelse til en importør, hvis der ikke var indgået en databehandleraftale mellem medlemsvirksomheden og importøren. Side 12 af 18

Hvilke personoplysninger videregives?: Beskriv formålet med videregivelsen: Hvordan sker videregivelsen?: Hvis ja: Hvilken kategori af modtagere er der tale om?: Modtagerens land?: Hvilke personoplysninger videregives?: Beskriv formålet med videregivelsen: Hvordan sker videregivelsen?: Hvis ja: Hvilken kategori af modtagere er der tale om?: Modtagerens land?: Hvilke personoplysninger videregives?: Beskriv formålet med videregivelsen: Hvordan sker videregivelsen?: Hvis ja: Hvilken kategori af modtagere er der tale om?: Modtagerens land?: Hvilke personoplysninger videregives?: Beskriv formålet med videregivelsen: Hvordan sker videregivelsen?: Side 13 af 18

14b) På hvilket retligt grundlag videregives personoplysningerne? Sæt X Behandlingsgrundlag Dokumenttype (se s. 4) Samtykke Behandlingen er nødvendig af hensyn til opfyldelse af en kontrakt, som kunden er part i / af hensyn til gennemførelse af foranstaltninger, der træffes på kundens anmodning forud for indgåelse af en kontrakt Hvilken kontrakt? (fx finansiering?) Behandlingen er nødvendig til opfyldelse af en retlig forpligtelse Hvilken forpligtelse (fx købeloven) Interesseafvejning af jeres virksomheds legitime interesser afvejet mod kundens interesser Hvilken interesse? Andet overførelsesgrundlag: Side 14 af 18

15) Kundens rettigheder 19 Har I interne retningslinjer eller procedurer for håndtering af henvendelser fra kunden? Kundens ret til indsigt i hvilke oplysninger virksomheden har om vedkommende Kundens ret til at få berigtiget sine personoplysninger Kundens ret til at blive slettet Kundens ret til at opnå begrænsning af behandling 20 19 Medlemsvirksomheden skal sikre, at kunden skal kunne udleve sine rettigheder og derfor skal der være procedurer, som sikrer, at medlemsvirksomheden kan håndtere en henvendelse fra en kunde. AutoBranchen Danmark kommer med vejledninger dertil. 20 Begrænsning af en behandling kan ske, hvis 1) kunden ikke mener, at oplysningerne er rigtige, 2) behandlingen er ulovlig, 3) medlemsvirksomheden ikke længere har behov for oplysningerne til behandlingen, 4) kunden har gjort indsigelser mod behandlingen. Side 15 af 18

Kundens ret til indsigelse mod en behandling Kundens ret til at få flyttet sine data såkaldt dataportabilitet Laver I profilering? 21 16) Har I procedurer for underretning af modtagere, som personoplysningerne er videregivet eller overladt til, hvis kunden ved udnyttelse af sine rettigheder har fået ændret, fx berigtiget sine oplysninger? 21 Træffer I afgørelser, som udelukkende er baseret på en automatisk behandling af personoplysningerne, herunder profilering. Side 16 af 18

17) Har I procedurer for håndtering af brud på persondatasikkerheden? 22 18) Overføres personoplysninger til lande udenfor EU/ EØS? Hvis ja: Hvilken behandlingshjemmel?: 19) Er de passende tekniske og organisatoriske sikkerhedsforanstaltninger foretaget for at sikre et sikkerhedsniveau, der passer til den risiko behandlingen udgør? - Tekniske foranstaltninger 23 : - Organisatoriske foranstaltninger 24 : 22 Brud på persondatasikkerheden er et bredt begreb, som omfatter alt fra tab af USB-nøgle/ computer/ ekstern harddisk/ back-up eller hackerangreb. Ved brud på persondatasikkerheden skal Datatilsynet informeres om dette uden unødig forsinkelse og inden for 72 timer efter bruddet på persondatasikkerheden. 23 Tekniske foranstaltninger er fx brugernavne, adgangskoder, firewalls, kryptering. 24 Organisatoriske foranstaltninger er fx instruktion af medarbejdere, foranstaltninger imod menneskelige fejl, retningslinjer i.f.h.t. hvem der i virksomheden behandler personoplysninger og om de ikke har adgang til mere end de bør. Side 17 af 18

De fejl der typisk viser sig, når en virksomhed har lavet en datastrømsanalyse er manglende procedurer for ajourføring af data (pkt. 7) slettepolitik og ingen faktisk sletning af data (pkt. 8) klarhed over behandlingsgrundlaget (opfyldelse af kontrakt, samtykke, interesseafvejning osv.) (pkt. 9) eller mangelfulde samtykketekster og manglende dokumentation for afgivne samtykker (pkt. 10) iagttagelse af oplysningspligten (pkt. 11) eller mangelfulde adgangsbegrænsninger og -kontroller (pkt. 13) (teknisk) mulighed for at håndtere kundernes rettigheder, f.eks. indsigts- eller blokeringsbegæringer (pkt. 15) o teknisk mulighed for at håndtere dataportabilitet (udtage oplysninger i et maskinlæsbart format) parathed og processer for håndtering af sikkerhedsbrud, underretningsforpligtelser mv. (pkt. 17). risikovurdering og tilpasning af sikkerhedsforanstaltninger i forhold til de enkelte behandlingsaktiviteter (pkt. 19) Vedrørende databehandler/dataansvarlig er der også typisk manglende klarhed over rollefordelingen (dataansvarlig vs. databehandler) forudgående, løbende og efterfølgende kontrol af databehandlere databehandleraftaler Generelt: Manglende undervisning og træning af medarbejderne i privatlivsbeskyttelse og reglerne om behandling af personoplysninger. Side 18 af 18

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback