Velkommen til seminar om Persondataforordningen. Den 16. maj 2018.

Relaterede dokumenter
Persondataforordningen (GDPR) Den 14. maj 2018 ved Torsten Højmark Hansen

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

FRIVILLIG KONFERENCE 2018

EU Persondataforordning GDPR

opfylde vores kontraktuelle forpligtelser over for dig, samt at

Procedure for håndtering af personoplysninger - GDPR Denne udgave: /TW

N. Zahles Skole Persondatapolitik

GDPR og arkivloven. Poul Olsen, DPO, Rigsarkivet

Standardvilkår. Databehandleraftale

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I. INDHOLDSFORTEGNELSE: 1. Generelt... 2

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106.

Fysiske personer. Vi ved jo alle, hvad en person er. Det er sådan en som os selv (Peter Blume: Databeskyttelsesret, 4. udg., 2013, s. 30f.

District or. Vejledning til Zonta klubber Sådan behandler vi persondata

Introduktion til persondataforordning

Per Løkken, Partner. CAMPUS November 2018

Politik for beskyttelse og behandling af personoplysninger

1. Oplysningspligt overfor den registrerede hvor oplysningerne indsamles hos den registrerede

Ecofleet. Persondataforordningen Kort fortalt. Del 1. Peter Dam Nordic Project Manager

Databeskyttelsespolitik for advokatanpartsselskabet Vibeke Westergaard

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

GUIDE Udskrevet: 2017

NY FORORDNING 25. MAJ

PERSONDATABESKYTTELSESPOLITIK FOR ADVOKATFIRMAET KRARUP

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

PERSONDATA - HVAD ER DET FOR NOGET OG HVORDAN BRUGES DET?

PERSONDATAFORORDNINGEN APRIL 2018

Formålet med denne retningslinje er at sikre, at Ringkjøbing Gymnasium udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.

Privatlivspolitik for tilmeldte til SocialBar

GUIDE Udskrevet: 2018

Databeskyttelsesforordningen og dansk forskning. v/ chefkonsulent Kim Taasby & jurist Anahita Khatam-Lashgari 24. maj 2018

Privatlivspolitik. Odense LMU

Ny Persondataforordning mv.

POLITIK FOR DATABESKYTTELSE

Behandling af personoplysninger

Retningslinje om fortegnelser over behandlingsaktiviteter

Persondatapolitik Vordingborg Gymnasium & HF

Formålet med denne retningslinje er at sikre, at Nykøbing Katedralskole udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.

PERSONDATAFORORDNING PERSONALEADMINISTRATION. 4. og 9. april 2018 Kolding

Nexø Frikirke. PRIVATLIVSPOLITIK i NEXØ FRIKIRKE

PRIVATLIVSPOLITIK for Advokatfirmaet Gaarn Pedersen. (Opdateret maj 2018)

Persondataforordningen

DANVA, Dansk Vand- og Spildevandsforening. Godthåbsvej Skanderborg. og

Hvad betyder den nye persondataforordning for udvikling og brug af digitale sundhedsløsninger, og hvem har ansvaret for overholdelse?

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

Persondataforordningen

Retningslinje om fortegnelser over behandlingsaktiviteter

ANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2 BEHANDLINGSGRUNDLAG... 3 KONTROL OG DOKUMENTATION... 8

RETNIGSLINJER OM SIKRING AF REGISTREREDES RETTIGHEDER

PRIVATLIVSPOLITIK FOR VÆRFTET NEXØ KRISTNE SKATECENTER, LEGELAND OG CAFE

Almindelig viden om persondataforordningen

Thea Præstmark WW W W W.SKA W UR.SKA EIP UR UR EIP TH UR. TH C. OM C

Vi passer på dine persondata

1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du

Persondatapolitik for Aabenraa Statsskole

Retningslinje om behandlingsgrundlag (hjemmel)

Vilkår for behandling af personoplysninger

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

Generel oplysning til registrerede om behandling af persondata

Retningslinje om behandlingsgrundlag (hjemmel)

Information om PenSam s behandling af ansøgeres personoplysninger mv.

PERSONDATAPOLITIK FOR DANSK TOURETTE FORENING

Gallo Kriserådgivning, privatlivspolitik

Persondatapolitik for Tørring Gymnasium 2018

De oplysninger vi skal give dig er følgende:

Præsentation Tid +/- 25 minutter i praktik

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

Persondata politik for GHP Gildhøj Privathospital

Formålet med denne retningslinje er at sikre, at Midtfyns Gymnasium udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.

Behandlingsgrundlag Horsens Statsskole

EN DAG OM PERSONDATAFORORDNINGEN. STU Foreningen. 7. december 2017

Formålet med denne retningslinje er at sikre, at Nakskov Gymnasium og HF udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

Privatlivspolitik. for Odense LM

Oplysning om behandling af personoplysninger om dig i medfør af databeskyttelsesforordningen artikel 13.

Pharmadanmarks privatlivspolitik

DK ADVOKATERNE JENS PEDER MATHIASEN ADVOKAT (L) AUT. BOBESTYRER

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

September Indledning

De registreredes rettigheder

Persondatapolitik. Dataansvarlig Paarup Hansen ApS Enghaven Roskilde Danmark CVR-nr.:

Selskabet har efter lovgivningen pligt til at informere dig om, hvordan Selskabet behandler og videregiver personoplysninger.

PERSONDATAPOLITIK FOR AXIS

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

PERSONDATAPOLITIK FOR ORDET OG ISRAEL

PERSONDATAPOLITIK FOR Slagelse Børneklub

Cirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer

Konferencer og seminarer - markedsføring og personoplysninger. Nana Louw & Linda Tørngren Henriksen

Persondatapolitik i Dansk Oplysnings Forbund

1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du giver til os, og

Retningslinje om fortegnelser over behandlingsaktiviteter

Aftale vedrørende fælles dataansvar

Vejledning om foreninger/klubbers behandling af Medlemsdata

Persondatapolitik på Gentofte Studenterkursus

Retningslinje om behandlingsgrundlag

Vi har udarbejdet en særlig fortegnelse over vores databehandlingsaktiviteter. Denne fortegnelse indeholder:

DATABESKYTTELSESPOLITIK FOR AJAX KØBENHAVN

CVR-nr. og kontaktoplysninger (adresse, hjemmeside, telefonnummer og )

Persondataforordningen. Hvad kan vi bruge KITOS til?

Transkript:

Velkommen til seminar om Persondataforordningen Den 16. maj 2018.

CFSA udvikler frivilligheden Rådgivning Kurser Se mere på frivillighed.dk Netværk Analyse Evaluering Undersøgelse Nyheder Konferencer Konsulentbistand Foreningsportalen M: www.frivillighed.dk info@frivillighed.dk E info@frivillighed.dk W: frivillighed.dk T: T 66 14 60 61

Kristian K. Hansen Udviklingskonsulent CFSA Ældre Sagen Dansk Flygtningehjælp Lejerbo Indien Frivillig i over 20 år

Program 2 timers tour de force i GDPR - Hvad siger loven - Hvad kan vi gøre

Persondataforordningen I

Hvad gør CFSA på området og hvad gør vi ikke? Vi er en neutral aktør, som prøver at informere om reglerne på forskellige områder, fx persondataområdet. Vi er i løbende dialog med datatilsynet og forskellige aktører fra civilsamfundet om persondataforordningen. Vi tolker ikke på lovgivningen, men henviser til Datatilsynet eller advokater/jurister, hvis I vil have en konkret juridisk vurdering. En guide og diverse vejledninger vil blive lagt på CFSA s hjemmeside i den nærmeste fremtid

Bare rolig! GØR IKKE LIGESOM TOTTE!

Generelt om EU s persondataforordningen Betænkningen nr. 1565 - http://justitsministeriet.dk/sites/default/files/media/pressemeddel elser/pdf/2017/betaenkning_nr._1565_del_i_bind_1.pdf http://justitsministeriet.dk/sites/default/files/media/pressemeddel elser/pdf/2017/betaenkning_nr._1565_del_i_bind_2.pdf Forordningen Datatilsynet er myndighed og udsteder vejledninger til forordningen se fx https://www.datatilsynet.dk/vejledninger/vejledningerdatabeskyttelsesforordningen/ http://eur-lex.europa.eu/legalcontent/da/txt/pdf/?uri=oj:l:2016:119:full&from=da

Hvad er personoplysninger Alt som er personhenførbart er en personoplysning. Forskel på type af oplysninger og behandling af disse. Des mere følsomt, des strengere er kravene til behandling.

Hvad er behandling af personoplysninger? Behandling omfatter enhver form for håndtering af personoplysninger. Det kan fx være indsamling, registrering, systematisering, opbevaring, søgning, brug, videregivelse eller sletning af oplysninger (Persondataforordningen, s. 9, Datatilsynet).

Hvad er personoplysninger Kilde: Side 7, Persondataforordningen, Datatilsynet

Hvornår må I behandle personoplysninger? Reglerne for, under hvilke betingelser foreninger og andre må behandle personoplysninger, er i vidt omfang skønsmæssige. Det vil ofte afhænge af en konkret vurdering i den enkelte situation (Databeskyttelsesforordningen, s. 10, Datatilsynet) Hvis I er i tvivl skal I kontakte Datatilsynet.

Hvornår må I behandle personoplysninger? Seks grundlæggende principper skal være opfyldt, men giver ikke hjemmel i sig selv. 1) Lovlighed, rimelighed og gennemsigtighed. Indebærer bl.a. at I giver let tilgængelig information om behandlingen af oplysninger. Den person der behandles oplysninger om skal have oplyst, hvem der er ansvarlig for behandlingen af oplysninger, og hvad jeres formål med behandlingen er.

Grundlæggende principper 2) Formålsbegrænsning. Der skal være et formål med at behandle personoplysninger. Formålet skal være sagligt. I må derfor ikke indsamle oplysninger med formål i, at oplysningerne måske kan være til gavn senere hen (Princip om dataminimering). 3) Dataminimering. I må ikke behandle mere data end I har brug.

Grundlæggende principper 4) Rigtighed Oplysninger I behandler skal være rigtige og ajourførte, hvis oplysninger ændres, skal I slette eller opdatere dem. 5) Opbevaringsbegrænsning Personoplysninger skal slettes eller gøres anonyme, når det ikke længere er nødvendigt at have oplysningerne. Dette vurderes af dataansvarlig ud fra det formål, som oplysninger er blevet indsamlet til.

Grundlæggende principper 6) Integritet og fortrolighed Oplysningerne skal beskyttes mod uautoriseret eller ulovlig behandling, ligesom det skal sikres, at oplysningerne ikke går tabt eller bliver beskadiget.

Hvornår må I behandle personoplysninger? I skal leve op til de grundlæggende værdier og I skal have hjemmel (lovlig grund) til at behandle personoplysninger (jf. tidligere slides).

Almindelige oplysninger - eksempler på hjemmel Beskytte de registreredes eller andens vitale interesser Opfyldelse af kontrakt = medlemskab Samtykke Lovkrav fx SKAT Legitim interesse (interesseafvejningsreglen)

Interesseafvejningsreglen Art 6, stk. 1, litra (f) interesseafvejningsreglen Legitime interesser, jf. betragtningerne 47-49: Forudsætter nøje vurdering af, om en registreret på tidspunktet for og i forbindelse med indsamling af personoplysningerne med rimelighed kan forvente, at behandling med dette formål kan finde sted.

Samtykke Definition af samtykke: Enhver, frivillig, specifik, informeret og utvetydig viljestilkendegivelse, hvorved den registrerede ved erklæring eller klar bekræftelse indvilger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling (Samtykke, s. 4, Datatilsynet)

Samtykke forsat Det er et krav at den dataansvarlige kan påvise, at den registrerede har givet samtykke til behandlingen af sine personoplysninger. Ingen krav til form på samtykket, men det skal være letforståeligt og i et klart og enkelt sprog, så den registrerede er informeret og frivilligt giver samtykke. Skal altid kunne trækkes tilbage med samme nemhed, som det var afgivet. Dette skal den registrerede informeres om ved afgivelse af samtykke. Kilde: (Samtykke, s. 4-5, Datatilsynet)

Følsomme oplysninger - behandling Må som udgangspunkt ikke behandles. Undtagelser er fx hvis I har fået udtrykkelig skriftlig samtykke eller kan finde undtagelser i artikel 9.

Behandling af følsomme oplysninger Hovedregel: FORBUD, jf. Art 9, stk. 1 Undtagelse: ikke forbudt, hvis et af nedenstående forhold gør sig gældende, jf. Art 9, stk. 2: a) Udtrykkeligt samtykke til et eller flere specifikke formål b) Nødvendig behandling på det arbejds-, sundheds- eller socialretlige område og, der er hjemmel i lov eller kollektiv overenskomst c) Vitale interesser d) Behandling foretages af organ med politisk, filosofisk, religiøst eller fagforeningsmæssigt sigte vedr. organets medlemmer, tidligere medlemmer el. personer, som man er i regelmæssig kontakt med. Videregivelse kræver samtykke. Kun non-profit e) Oplysningerne er tydeligvis offentliggjort af den registrerede selv f) Behandling er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares, eller når en domstol handler i egenskab af domstol j) Nødvendig i samfundets interesse til arkivformål, videnskabelig eller historiske forskningsformål eller statiske formål

Artikel 9 følsomme oplysninger Artikel 9 1. Behandling af personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering er forbudt. 2. Stk. 1. finder ikke anvendelse hvis bl.a. d) Behandling foretages af en stiftelse, en sammenslutning eller et andet organ, som ikke arbejder med gevinst for øje, og hvis sigte er af politisk, filosofisk, religiøs eller fagforeningsmæssig art, som led i organets legitime aktiviteter og med de fornødne garantier, og på betingelse af at behandlingen alene vedrører organets medlemmer, tidligere medlemmer eller personer, der på grund af organets formål er i regelmæssig kontakt hermed, og at personoplysningerne ikke videregives uden for organet uden den registreredes samtykke.

Den registreredes rettigheder De vigtigste rettigheder er: Retten til at modtage oplysning om en behandling af sine personoplysninger (oplysningspligt) Retten til at få indsigt i sine personoplysninger (indsigtsret) Retten til at få urigtige personoplysninger berigtiget (retten til berigtigelse) Retten til at få sine personoplysninger slettet (retten til at blive glemt) Retten til at gøre indsigelse mod at personoplysninger anvendes til direkte markedsføring Retten til at gøre indsigelse mod automatiske individuelle afgørelser, herunder profilering Retten til at flytte sine personoplysninger (dataportabilitet) (Kilde: Side 13, Persondataforordningen, Datatilsynet)

Behandling af billeder

Behandling af billeder Billeder er også personoplysninger og det kræver derfor en hjemmel, at behandle disse. Datatilsynet har ikke udgivet en vejledning om billeder, men praksis fra persondataloven kan der tales om to typer af billeder. - Situationsbilleder - Portrætbilleder

Situationsbilleder - persondataloven Situationsbilleder defineres i denne sammenhæng som billeder, hvor en aktivitet eller en situation er det egentlige formål med billedet. Det kunne f.eks. være gæster til en rockkoncert, legende børn i en skolegård eller besøgende i en zoologisk have. Kræver ikke samtykke (hjemmel = interesseafvejningsreglen) Billederne skal være harmløse.

Eksempler på situationsbilleder jf. datatilsynet Eksempler på situationsbilleder der som udgangspunkt kan offentliggøres uden samtykke: Billeder optaget under en fritidsklubs udfoldelse af aktiviteter Billeder optaget af unges ophold på en efterskole eller anden privat skole Billeder optaget ved en kommunal skoles juleafslutning

Portrætbilleder - persondataloven Portrætbilleder Som altovervejende udgangspunkt kræver det et samtykke at offentliggøre portrætbilleder på internet. Dette er begrundet i, at en sådan offentliggørelse vil kunne medføre ulemper for de registrerede, idet nogle mennesker vil kunne føle ubehag ved, at sådanne billeder, eventuelt sammen med oplysninger om navn m.v., gøres offentligt tilgængeligt for alle, der har adgang til internet, og at denne ulempe vejer tungere end interessen i offentliggørelsen, jf. interesseafvejningsreglen i persondatalovens 6, stk. 1, nr. 7. Hvis en skole f.eks. ønsker at offentliggøre portrætbilleder eller klassebilleder af eleverne på sin hjemmeside, må det kun ske, hvis der inden offentliggørelsen indhentes et udtrykkeligt samtykke fra hver enkelt elev, eller dennes forældre afhængig af elevens alder.

Sikkerhed

Behandlingssikkerhed Art 32, stk. 1 forordningen. Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige og databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder bl.a. alt efter hvad der er relevant

Persondataforordningen II det helt nye

Dataansvarlig og databehandler Dataansvarlig. Typisk en forening eller andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger Fx en eller flere personer i foreningen, som er blevet udnævnt dataansvarlige. Databehandler. Typisk en virksomhed, offentlig myndighed eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne og efter instruks fra den dataansvarlige. Fx diverse IT programmer, kommunen eller andre.

Dataansvarlig og databehandler I skal have en databehandler aftale med dem, som I overlader til at styre jeres persondata. Se evt. eksempel på databehandler aftale på Datatilsynets hjemmeside under nyheder.

Fortegnelser I skal lave en fortegnelse, dvs. et dokument som beskriver, hvordan I overholder lovgivningen. Se evt. Datatilsynets vejledning på området.

Fortegnelser a) navn på og kontaktoplysninger for den dataansvarlige og, hvis det er relevant, den fælles dataansvarlige, den dataansvarliges repræsentant og databeskyttelsesrådgiveren b) formålene med behandlingen c) en beskrivelse af kategorierne af registrerede og kategorierne af personoplysninger d) de kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til, herunder modtagere i tredjelande eller internationale organisationer e) hvor det er relevant, overførsler af personoplysninger til et tredjeland eller en international organisation, herunder angivelse af dette tredjeland eller denne internationale organisation og i tilfælde af overførsler i henhold til artikel 49, stk. 1, andet afsnit, dokumentation for passende garantier f) hvis det er muligt, de forventede tidsfrister for sletning af de forskellige kategorier af oplysninger g) hvis det er muligt, en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger omhandlet i artikel 32, stk. 1.

I har oplysningspligt lav privatlivspolitik I skal være transparente/gennemsigtige over for omverdenen, dvs. at medlemmer, frivillige og brugere skal have viden om fx dataansvarlig og jeres datapolitik. Dette skal være synligt og tilgængeligt. Se eksempel på datatilsynets hjemmeside.

Guide og vejledning til foreninger. Datatilsynet arbejder på en vejledning og FAQ til foreninger. Dette kommer formodentlig i den nærmeste fremtid.

Hvad ved vi ikke? Vi har selvfølgelig ingen retspraksis på området endnu Vi afventer Folketingets lovforslag, som blandt andet har betydning for behandling af CPR-nummer og oplysninger om straffe. Yderligere vejledninger fra Datatilsynet.

To do? 1. Skab overblik over jeres data, dvs. personoplysninger og databehandlere 2. Nedskriv politikker for jeres data (Fortegnelse, databehandleraftaler og privatlivspolitik) 3. Gennemfør passende sikkerhed jf. artikel 32. 4. Opdatere jeres arbejdsgange, dvs. frivillige, medlemmer og brugere

Hvor kan jeg få mere viden? Datatilsynets vejledninger og rådgivning. www.datatilsynet.dk ISOBRO s materiale (se under PERSONDATAFORORDNING 7.9.2017 )- https://www.isobro.dk/medlemsmoeder/ DGI og DIF s materiale (OBS - Idræt) - https://www.dgi.dk/foreningsledelse/administration-iforeningen/bestyrelsens-ansvar-og-pligter/vejledning-tilpersondataforordningen Databehandler aftale skabelon - https://www.datatilsynet.dk/nyheder/nyhed/artikel/nyskabelon-skal-hjlpe-virksomheder-og-myndigheder-med-atblive-klar-til-databeskyttelsesforordning/

Spørgsmål?

Tak for i dag. Skriv en mail til kkh@frivillighed.dk Hvis du har yderligere spørgsmål.

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback