Procedure for håndtering af personoplysninger - GDPR Denne udgave: /TW

Relaterede dokumenter
Politik for beskyttelse og behandling af personoplysninger

En introduktion til de kommende, nye regler om beskyttelse af personoplysninger

opfylde vores kontraktuelle forpligtelser over for dig, samt at

N. Zahles Skole Persondatapolitik

September Indledning

Standardvilkår. Databehandleraftale

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

PRIVATLIVSPOLITIK for Advokatfirmaet Gaarn Pedersen. (Opdateret maj 2018)

Velkommen til seminar om Persondataforordningen. Den 16. maj 2018.

Introduktion til persondataforordning

Organisatorisk og teknisk implementering af GDPR i Rigsarkivet. Fagligt forum 3. september 2019 Jan Dalsten Sørensen Rigsarkivet

Per Løkken, Partner. CAMPUS November 2018

Persondatapolitik i Dansk Oplysnings Forbund

Datastrømsanalyse - Kundedata

PERSONDATAPOLITIK 1. INTRODUKTION

Hvad betyder den nye persondataforordning for udvikling og brug af digitale sundhedsløsninger, og hvem har ansvaret for overholdelse?

Persondatapolitik Vordingborg Gymnasium & HF

Derudover må personoplysninger i fysiske mapper kun tilgås af personer, der har et formål med at kunne tilgå de pågældende personoplysninger.

PERSONDATABESKYTTELSESPOLITIK FOR ADVOKATFIRMAET KRARUP

Behandling af personoplysninger

PERSONDATAPOLITIK 1. INTRODUKTION

District or. Vejledning til Zonta klubber Sådan behandler vi persondata

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

CVR-nr. og kontaktoplysninger (adresse, hjemmeside, telefonnummer og )

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Persondatapolitik for Aabenraa Statsskole

2.1 Vi behandler persondata og har derfor vedtaget denne persondatapolitik, der beskriver, hvordan vi behandler persondata.

Persondataforordningen AbMano

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

BILAG 3.2 FÆLLES DATAANSVARSAFTALE

Persondatapolitik for Tørring Gymnasium 2018

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

Persondatapolitik i musikskolen SPIL OP

Persondatapolitik i Yoga Being

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106.

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

PERSONDATAPOLITIK. Indholdsfortegnelse. Kontaktoplysninger ) Generelt om databeskyttelse Gennemsigtighed og samtykke...

Persondata politik for GHP Gildhøj Privathospital

1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?

Aftale vedrørende fælles dataansvar

Selskabet har efter lovgivningen pligt til at informere dig om, hvordan Selskabet behandler og videregiver personoplysninger.

Ecofleet. Persondataforordningen Kort fortalt. Del 1. Peter Dam Nordic Project Manager

Privatlivspolitik for tilmeldte til SocialBar

PERSONDATA - HVAD ER DET FOR NOGET OG HVORDAN BRUGES DET?

Bekendtgørelse om opgaver og ansvar for behandlingen af personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse

BAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4

Persondatapolitik på Gentofte Studenterkursus

Persondatapolitik vedrørende

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I. INDHOLDSFORTEGNELSE: 1. Generelt... 2

Behandling af personoplysninger

Persondatabeskyttelsespolitik for REFA

Behandling af personoplysninger

Bilag 1 Databehandler aftale (v.1.2)

Vejledning om foreninger/klubbers behandling af Medlemsdata

Præsentation Tid +/- 25 minutter i praktik

Behandling af personoplysninger

Oplysning om behandling af personoplysninger om dig i medfør af databeskyttelsesforordningen artikel 13.

PRIVATLIVSPOLITIK. for. Startup Central ApS ( Selskabet )

Persondatapolitikken er godkendt på VUC Roskildes bestyrelsesmøde den 7 juni 2018.

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

Persondataforordningen. Henrik Aslund Pedersen Partner

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

Persondatapolitik for Odense Katedralskole

Privatlivspolitik Erhvervshus Midtjylland

Databehandleraftale

Generel oplysning til registrerede om behandling af persondata

Indholdsfortegnelse. Godkendt d. 25. maj Senest ændret: 25. maj Dokument nr.: DATABESKYTTELSESPOLITIK FOR KA, KA Pleje og KAH

Persondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.

PERSONDATAPOLITIK FOR AXIS

PERSONDATA. Politik om Privatlivsbeskyttelse og Datasikkerhed for Ejendomsadministration hos EcoVillage.

Persondataforordningen

Privatlivspolitik for forbrugere hos Hedensted Fjernvarme a.m.b.a.

Indholdsfortegnelse Fortroligheds- og beskyttelsespolitik... 3

Datapolitik/databehandlingsrapport

Cirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer

WinWinWeb Databehandleraftale. Databehandleraftale. Mellem. Den Dataansvarlige: Kunden. Databehandleren: WinWinWeb CVR:

Databehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.

Persondatapolitik for Byens Højskole

POLITIK FOR DATABESKYTTELSE

HÅNDBOG FOR BEBOERDEMOKRATER BESKYTTELSE AF PERSONDATA

Persondatapolitik for Musikhøjskolen, Frederiksberg Musik og Kulturskole, og Musikhøjskolens Aftenskole

Information om PenSam s behandling af ansøgeres personoplysninger mv.

Databehandleraftale. Mellem. Den dataansvarlige: Landbrugsstyrelsen CVR Nyropsgade København V. Danmark. Databehandleren.

Politik for behandling af oplysninger

PERSONDATAFORORDNINGEN APRIL 2018

Databehandleraftale (v.1.1)

Kong Frederik den Syvendes Stiftelse paa Jægerspris

PRIVATLIVSPOLITIK MONTAGEBUREAUET APS S AF PRIVATLIVSPOLITIK

Persondatapolitik i Kunst & KulturHøjskolen

DATABESKYTTELSESPOLITIK FOR

EU Persondataforordning GDPR

Databehandleraftale (Skabelon fra Datatilsynet)

Databeskyttelsespolitik for Forsikringsagenturet Optima Gruppen ApS DATO [ ]

Introduktion til persondataforordningen PSF temadag d , lektor Dorthe Høilund, Metropol

Persondatapolitikken er godkendt på Vesthimmerlands Gymnasium og HF s bestyrelsesmøde den 25. juni 2018

Den dataansvarlige organisation for behandling af dine personoplysninger er:

Transkript:

Procedure for håndtering af personoplysninger - GDPR Denne udgave: 23.08.2018/TW DolphinEyes ApS (i det følgende virksomheden) beskriver med denne procedure, hvordan vi opfylder persondataloven. Proceduren er udfærdiget baseret på vejledningen: Databeskyttelsesforordningen. En introduktion til de kommende, nye regler om beskyttelse af personoplysninger (Erhvervsstyrelsen, Digitaliseringsstyrelsen, Justitsministeriet og Datatilsynet, 2017). Definitioner Dataansvarlig I denne procedure er beskrevet retningslinjer, der gælder for DolphinEyes Databehandlere Konsulenter, underleverandører og andre organer, der behandler personoplysninger på virksomhedens vegne og efter instruks fra virksomheden. Forma lsbegrænsning Na r der indsamles oplysninger i virksomheden, skal den dataansvarlige gøre sig klart, hvilke forma l oplysningerne indsamles til, og det skal være saglige forma l. Om formålene er saglige bedømmes ud fra, om indsamlingen sker i forbindelse med løsningen af en opgave, som det er naturligt for virksomheden at løse. Virksomheden ma ikke indsamle oplysninger med den begrundelse, at det ma ske senere kan vise sig nyttigt at være i besiddelse af oplysningerne. Det er i første omgang den virksomhed eller myndighed mv., der indsamler oplysninger, som skal vurdere, om en bestemt indsamling af oplysninger er saglig. Rigtighed Den dataansvarlige skal sikre sig, at oplysningerne er rigtige og ajourførte. Hvis oplysningerne viser sig at være urigtige, skal de som udgangspunkt slettes eller berigtiges. Opbevaringsbegrænsning Personoplysninger slettes eller gøres anonyme, na r det ikke længere er nødvendigt for den dataansvarlige at have oplysningerne. Det er op til virksomheden at vurdere, hvor længe det er nødvendigt at opbevare oplysningerne ud fra det forma l, som oplysningerne oprindelig blev indsamlet til. 1

Integritet og fortrolighed Personoplysninger der registreres skal beskyttes mod uautoriseret eller ulovlig behandling, ligesom det skal sikres, at oplysninger ikke ga r tabt eller bliver beskadiget. Computere og databaser der anvendes af virksomheden og de tilknyttede databehandlere skal være beskyttet med robuste passwords. De skal desuden sikkerhedsopdateres jævnligt. Følsomme personoplysninger Virksomheden registrerer IKKE følsomme oplysninger om fysiske personer eller enkeltmandsvirksomheder, med mindre det foregår efter en klinisk protokol godkendt af Datatilsynet i det pågældende land. Følsomme oplysninger hidrører race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering. Oplysninger om strafbare forhold Virksomheden registrerer IKKE strafbare oplysninger om fysiske personer eller enkeltmandsvirksomheder. Oplysninger om strafbare forhold kan være en oplysning om, at en person har bega et en bestemt lovovertrædelse, men det kan ogsa f.eks. være en oplysning om, at en person har adresse i et fængsel. Oplysninger om CPR-nummer Virksomheden registrerer udelukkende CPR numre på fysiske personer, der er ansat i virksomheden, i de tilfælde hvor der er en arbejdsgiverpligt til at gøre dette (lønsystemer eller lignende). Personfølsomme oplysninger registreret i lønsystemer indhentes fra personerne selv direkte, og det vil fremgå af dialogen hvad formålet med oplysningerne skal bruges til. Almindelige personoplysninger Virksomheden vil i visse tilfælde registrere almindelige personoplysninger, f.eks. identifikationsoplysninger som navn og adresse, oplysninger om økonomiske forhold, kundeforhold eller andre lignende ikke-følsomme oplysninger. Registreringerne foregår efter vejledningerne beskrevet i denne procedure: Den person, der behandles oplysninger om, skal som udgangspunkt have oplyst, hvem der er ansvarlig for behandlingen af oplysninger, og hvad der er formålet med behandlingen, om eventuelle modtagere af oplysningerne, mv. Det vil være forskelligt hvordan information om databehandling oplyses til personer, der behandles oplysninger om. o Almindelige personoplysninger, der registreres i et CRM arkiv med henblik på mødeplanlægning, interessetilkendegivelser og lignende (professionelle 2

kontaktoplysninger, datoer for kontakter mv): Ved korrespondance med personer, der registreres i CRM arkiv gøres opmærksom på hvilke forhold vi noterer, og hvorfor vi gør det. Eksempel: En kundesupportmedarbejder på en øjenklinik spørges om standard forsigtighedsregler efter operation for grå stær. Hun bliver spurgt om det er i orden at hendes navn nævnes i en ansøgning om fondsmidler, da vi er afhængige af at eksperter fra feltet giver deres mening til kende. Dette siger hun ja til, hvorefter det skrives ind i ansøgningen. Medarbejderens fornavn, kundesupports telefonnummer og en kort note om samtalen nedskrives efterfølgende i CRM arkivet. o Almindelige personoplysninger, der fremgår af mødereferater og lignende: Som ovenfor gøres personer opmærksomme på at der skrives referat, og til hvilket formål. Almindelige personoplysninger, der fremgår af ansættelseskontrakter, samarbejdsaftaler og lignende: Her vil personerne oftest være medunderskrivere af dokumenterne, hvorfor det giver sig selv hvad formålet er med informationerne. Informationerne må ikke bruges til andre formål end de aftalte uden at personerne orienteres om det. o Almindelige personoplysninger, der fremkommer ved at aflæse cookies på virksomhedens kommende hjemmeside: På virksomhedens hjemmeside vil der, når den tilgås, dukke en enkel og forståelig besked op. I beskeden orienteres læseren om at der skal give sit samtykke til at oplysningerne benyttes på den måde, der fremgår af virksomhedens oplysninger om privatlivspolitik. Læseren skal have oplysning om, at samtykket kan trækkes tilbage, og det skal være lige så let at trække samtykket tilbage som at give det. Oplysningerne om privatlivspolitik er tilgængelige på hjemmesiden. Hvis brugeren af hjemmesiden IKKE giver sit samtykke, vil persongenkendende cookies ikke blive registreret. Hvis brugeren trækker sit samtykke tilbage, skal virksomheden oplysninger på grundlag af samtykket slettes. De registreredes rettigheder På virksomhedens hjemmeside er et afsnit tilgængeligt for brugerne om privatlivspolitik. I afsnittet anføres de vigtigste rettigheder: Retten til at modtage oplysning om en behandling af sine personoplysninger (oplysningspligt) Retten til at få indsigt i sine personoplysninger (indsigtsret) Retten til at få urigtige personoplysninger berigtiget (retten til berigtigelse) Retten til at få sine personoplysninger slettet (retten til at blive glemt) Retten til at gøre indsigelse mod at personoplysninger anvendes til direkte markedsføring Retten til at gøre indsigelse mod automatiske individuelle afgørelser, herunder profilering Retten til at flytte sine personoplysninger (dataportabilitet) Hvis en person henvender sig til den virksomheden og f.eks. beder om indsigt, berigtigelse, sletning, mv. af oplysninger, skal den pa gældende hurtigst muligt og normalt senest efter en ma ned have besked om, hvad der vil blive gjort som følge af henvendelsen. Om nogle af rettighederne kan særligt fremhæves følgende: 3

Ret til at fa besked om, at der behandles personoplysninger (oplysningspligt) Den enkelte registrerede skal som udgangspunkt have besked om, at der behandles oplysninger om den pa gældende. Man skal bl.a. have besked om, hvem der er dataansvarlig, om forma let med behandlingen, om eventuelle modtagere af oplysningerne, mv. Ret til at se oplysninger (indsigtsret) Den registrerede kan bede om at få at vide, hvilke oplysninger om den pågældende selv, som en myndighed eller virksomhed mv. behandler. Hvis den registrerede beder om det, skal der også gives en udskrift eller kopi af oplysningerne. Ret til at fa oplysninger rettet eller slettet (retten til at blive glemt) Hvis der behandles forkerte oplysninger om en person, kan den pa gældende bede om at fa oplysningerne rettet. Desuden har man i visse tilfælde ret til at fa personoplysninger slettet. Det kan f.eks. være, hvis oplysningerne ikke længere er nødvendige til at opfylde de forma l, hvortil de blev indsamlet, hvis et samtykke, som er nødvendigt for behandlingen, trækkes tilbage eller hvis behandlingen er ulovlig. Ret til at transmittere oplysninger (dataportabilitet) Den registrerede har ret til at modtage personoplysninger om sig selv i et struktureret, almindeligt anvendt og maskinlæsbart format og har ret til at transmittere oplysningerne til en anden myndighed eller virksomhed. Den registrerede kan ogsa bede om at fa oplysningerne sendt direkte fra den dataansvarlige til en anden myndighed eller virksomhed. Behandlingssikkerhed Brug og håndtering af personoplysninger skal foregå betryggende og med et passende niveau af sikkerhed og privatlivsbeskyttelse. Sikkerhedsniveauet skal afspejle den konkrete risiko for, at oplysningerne stjæles, mistes, skades, eller behandles ulovligt. Hvis risikoen ma antages at være stor, ma behandlingen af personoplysninger ikke pa begyndes, før der er gennemført en konsekvensanalyse vedrørende databeskyttelse og eventuelt en høring af Datatilsynet. Hvis der eksempelvis skal foretages en brugertest, hvor der forventes at inkluderes følsomme oplysninger, skal protokollen forhåndsgodkendes af Datatilsynet. Se i øvrigt næste afsnit om Konsekvensanalyser. Na r it-løsninger designes og udvikles, skal databeskyttelse tænkes ind fra starten, og standardindstillinger skal sikre, at der kun behandles de personoplysninger, som er nødvendige i forhold til forma let med behandlingen. Hvis det går galt, og man som dataansvarlig bliver bekendt med et brud på persondatasikkerheden, skal man uden unødig forsinkelse give besked til Datatilsynet og i visse tilfælde også til de personer, hvis oplysninger er berørt af sikkerhedsbruddet. Databehandlere, som bliver 4

bekendt med et brud på persondatasikkerheden, skal uden unødig forsinkelse underrette den dataansvarlige. Konsekvensanalyser Virksomheden skal foretage en konsekvensanalyse forud for databehandlinger, som sandsynligvis vil indebære en høj risiko. Forma let med konsekvensanalysen er navnlig at vurdere risikoens oprindelse, karakter, særegenhed og alvor. Det vil bl.a. være relevant at foretage en konsekvensanalyse i tilfælde, hvor nye teknologier anvendes, eller hvor der behandles meget store mængder følsomme personoplysninger. Analysen skal mindst omfatte: Systematisk beskrivelse af de planlagte behandlingsaktiviteter og formålene med behandlingen, En vurdering af, om behandlingsaktiviteterne er nødvendige og står i rimeligt forhold til formålene, En vurdering af de risici behandlingen indebærer for de personer, der behandles oplysninger om, garantier, sikkerhedsforanstaltninger og mekanismer, der skal sikre beskyttelse af personoplysninger og påvise overholdelse af databeskyttelsesforordningen. Datatilsynets vejledning kan benyttes til at strukturere og gennemføre analysen. Denne procedure er oprettet den 23. august 2018 af Trine Wulff Godkendelse: Helle Kayerød, CEO, DolphinEyes ApS Dato 5

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback