Konsekvensanalyse DPIA

Relaterede dokumenter
Konsekvensanalyse DPIA

Konsekvensanalyse DPIA

Målrettet arbejde med persondataforordningen for Verup Vandværk

Vi passer på dine persondata

District or. Vejledning til Zonta klubber Sådan behandler vi persondata

Data protection impact assessment

Privatlivspolitik for Vejle Rejser ApS.

Procedure for håndtering af personoplysninger - GDPR Denne udgave: /TW

Persondatapolitik i Dansk Oplysnings Forbund

Ecofleet. Persondataforordningen Kort fortalt. Del 1. Peter Dam Nordic Project Manager

Vejledning om videregivelse. af personoplysninger til brug for forskning og statistik

Privatlivspolitik for NEWWWEB ApS

Sådan arbejder. SprogGruppen med. Persondataforordningen. Indholdsfortegnelse

GDPR Persondata- forordningen

Thea Præstmark WW W W W.SKA W UR.SKA EIP UR UR EIP TH UR. TH C. OM C

Privatlivspolitik for tilmeldte til SocialBar

UDVALGET FOR HUSMODERFERIE Politik for opbevaring og sletning af personlige oplysninger

Persondatapolitik for TAGARNO A/S

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

NY FORORDNING 25. MAJ

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

POLITIK FOR OPBEVARING OG SLETNING AF PERSONLIGE

2.1 Vi behandler persondata og har derfor vedtaget denne persondatapolitik, der beskriver, hvordan vi behandler persondata.

Privatlivspolitik for Psykologisk Praksis Camilla Schrøder

DATAFLOWANALYSE. Indmeldelsen på Aka.dk. Formular på hjemmesiden, hvor kommende medlemmer melder sig ind Akademikernes A-kasse

Persondataforordningen

Privatlivspolitik for Psykolog Stig Jensen

PERSONDATA - HVAD ER DET FOR NOGET OG HVORDAN BRUGES DET?

Den dataansvarlige organisation for behandling af dine personoplysninger er:

Cookie- og Privatlivspolitik for Karen Rasmussens Rengøring ApS

POLITIK FOR OPBEVARING OG SLETNING AF PERSONLIGE OPLYSNINGER I DANSK FORENING FOR WILLIAMS SYNDROM

Surftown A/S. Regionsgolf-Danmark DATABEHANDLERAFTALE. Databehandleraftalen foreligger mellem. Regionsgolf-Danmark.

Databehandleraftale

PERSONDATAPOLITIK FOR AXIS

Specifik information om persondataloven

Behandling af personoplysninger

VEJLEDNING TIL BEBOERREPRÆSENTANTER - BESKYTTELSE AF PERSONDATA

Almindelig viden om persondataforordningen

Persondatapolitik for Ehlers-Danlos Foreningen i Danmark

Politik for beskyttelse og behandling af personoplysninger

Persondatapolitik for VIAVANA.COM. GO WITH PASSION

Retningslinje om fortegnelser over behandlingsaktiviteter

Privatlivspolitik for medlemmer af RådgivningsDanmark

Privatlivspolitik for Fyns Psykologpraksis

1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du giver til os, og

1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

KV Fonden foretager en elektronisk registrering af disse oplysninger og bruger dem i behandlingen af din ansøgning.

Overblik over persondataforordningen

opfylde vores kontraktuelle forpligtelser over for dig, samt at

Persondatapolitik i musikskolen SPIL OP

POLITIK FOR OPBEVARING OG SLETNING AF PERSONLIGE OPLYSNINGER I BRØDREMENIGHEDENS DANSKE MISSION, BDM. Foråret 2018

Persondatapolitik for Dahmlos Security [OFF] Gyldig fra d INDLEDNING DATAANSVAR BEHANDLING AF PERSONDATA...

INTERN POLITIK FOR OPBEVARING OG SLETNING AF PERSONLIGE OPLYSNINGER INTERNT I DUI-LEG og VIRKE

Behandling af personoplysninger

Behandling af personoplysninger i <virksomhed> (i forhold til persondataloven)

Behandling af personoplysninger

HÅNDTERING AF PERSONOPLYSNINGER I AGR CONSULT

Persondatapolitik i SvendborgEvent

Retningslinje om fortegnelser over behandlingsaktiviteter

Regler om persondata Koordinatormøde den 28. nov. 2017

IT-instruks og instruks om brugen af persondata for Vejle Golf Club Gældende fra den 24. maj 2018

Slettepolitik for Euro Accident Livförsäkring Aktiebolag som dataansvarlig

Retningslinje om de registreredes rettigheder

Privatlivspolitik for

Persondatapolitik for Ølgod Vandværk a.m.b.a.

DanDomain A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Persondataforordningen

Vilkår og privatlivspolitik

Privatlivspolitik for

Persondataforordningen. Henrik Aslund Pedersen Partner

Behandling af personoplysninger

Indholdsfortegnelse Fortroligheds- og beskyttelsespolitik... 3

Introduktion til persondataforordning

PERSONDATA & PERSONDATAORDBOG

Behandling af personoplysninger i MG Udvikling

PERSONDATAPOLITIK FOR ORDET OG ISRAEL

Målrettet arbejde med persondataforordningen for

N. Zahles Skole Persondatapolitik

FORSYNINGSTRÆF 2016 PERSONDATARET HVORFOR NU EGENTLIG DET?

PERSONDATAPOLITIK FOR Dansk forening for Williams Syndrom

PERSONDATAPOLITIK FOR BAPTISTERNES BØRNE- OG UNGDOMSFORBUND

Fortrolighedspolitik. 22. oktober 2018

Privatlivspolitik. for SUN DESIGN A/S.

Som dataansvarlig behandler og opbevarer Ø/strøm A/S forskellige personoplysninger, alt afhængigt af hvilken kontakt vi har med dig.

Privatlivspolitik for LTECH A/S

NY PERSONDATALOV. - til dig i afdelingsbestyrelsen

PERSONDATAPOLITIK FOR DANSK TOURETTE FORENING

Privatlivspolitik. Odense LMU

Per Løkken, Partner. CAMPUS November 2018

Retningslinje om fortegnelser over behandlingsaktiviteter

Generelt om persondata og EU s persondataforordning

Standard Document. Persondataforordningen og Privatpolitikker (eller på engelsk, The general data protection regulation)

Privatlivspolitik for Frivilligcenter Hernings brugere og medlemsforeninger

HÅNDTERING AF PERSONOPLYSNINGER I IT-TESTAMENTE IVS

Databehandleraftale mellem. Heyloyalty ApS Jens Baggesens Vej Aarhus N Cvr: (i det følgende HL eller databehandleren)

EU Persondataforordning GDPR

Persondatapolitik for Skandinavisk Yoga og Meditationsskole

Behandling af personoplysninger

Transkript:

Konsekvensanalyse DPIA (Data Protection Impact Assessment) Strib Vandværk a.m.b.a. Strib Vandværk a.m.b.a. Rudbæksmøllevej info@stribvand.dk Tlf 64406167 5500 Middelfart www.stribvand.dk CVR: 18680610

Introduktion til gennemførsel af DPIA Nedenfor er der 27 spørgsmål, som du skal besvare kort og præcist. Når du besvarer et spørgsmål, skal du vurdere, om dit svar giver anledning til, at du bør ændre den måde, du udfører databehandling på. Det overordnede spørgsmål for alle de 27 spørgsmål er: Kan du gøre databehandlingen mere sikker for de personer, der indgår i din databehandling? (forbrugere, ansatte og bestyrelsen) Projekt Persondataforordningen Dato 23.Maj 2018 Godkendt af Bestyrelsen for Strib Vandværk a.m.b.a. Udfyldt af Palle Christensen Oplysninger om oplysninger 1. Hvilke oplysninger er det, som du indsamler eller behandler? Helt konkret hvilke oplysninger er der tale om? Eksempelvis navne, varenumre, adresser, kunder nummer, koordinater, e-mail adresser, cvr-numre, priser, osv. Ikke nærmere defineret 2. Er disse oplysninger om fysiske personer? Relaterer oplysningerne sig på nogen måde til fysiske enkeltpersoner? Eksempelvis navne, e-mail adresser, telefonnumre, kundenumre og cpr-numre. Hvis oplysningerne ikke omhandler fysiske personer, så skal der ikke laves en konsekvensanalyse. Dvs. oplysninger om ting, steder, hændelser, osv. (spørgsmålet gælder også for enkeltmandsfirmaer) Begrund: 3. Kan enkeltpersoner blive identificeret ud fra oplysningerne? Hvis ja, hvordan? Kan personer blive genkendt ud fra oplysningerne, du behandler? Dette gælder også, selvom oplysningerne ikke direkte afslører, hvilke personer oplysningerne omhandler? Eksempelvis et navn, foto, et identifikationsnummer, GPS-information eller oplysninger, der er særlige for denne fysiske person, og som derved kan afsløre personens identitet? 2

Begrund: Via stamoplysninger i FAS 4. Er disse oplysninger af følsom karakter? Handler de personoplysninger, som du behandler om personernes race, etnicitet, politisk/religiøs/filosofisk overbevisning, fagforeningsmæssige forhold, helbredsforhold, seksuelle forhold, strafbare forhold eller om genetiske data? Formålet 5. Hvordan vil du behandle personoplysningerne? Hvad skal der ske med personoplysningerne? Vil der eksempelvis ske en indsamling, registrering, redigering, beregning, sammenstilling, videregivelse, læsning, opbevaring, sletning, osv.? Begrund: 6. Hvad er formålet med at behandle personoplysningerne? Hvorfor skal personoplysningerne behandles? Et eksempel kan være, at man opbevarer kundeoplysninger, så man kan fakturere sine kunder. Begrund: Årlige reguleringer og opkrævninger 7. Er personoplysningerne nødvendige for at opnå formålet, eller kan man undlade at behandle personoplysningerne og stadig opnå formålet? Er der nogen anden mulighed, hvorpå du kan løse opgaven uden at behandle personoplysningerne? 3

8. Vil personoplysningerne kun blive brugt til det formål, de er indsamlet til? Er det kun det formål, som personoplysningerne er indsamlet til, som de vil blive brugt til? Eller vil personoplysningerne også blive brugt til noget andet som eksempelvis reklame via e-mail? Begrund: JA 9. Er der en risiko for, at personoplysningerne kan eller vil blive brugt til noget andet end det formål, de er indsamlet til? Er der en risiko for, at oplysningerne på et eller andet tidspunkt vil blive brugt til noget andet end det, de var tiltænkt? Eksempelvis at sende reklamer ud til kunder. Adgangen til oplysningerne 10. Hvem er den dataansvarlige? Hvem er den fysiske person eller organisation, som har ansvaret for behandlingen af personoplysningerne, og som afgør til hvilket formål og på hvilke måde, der må foretages behandling af oplysningerne? Begrund: Den til en hver tid fungerende leder af administartionen 11. Hvem har mulighed for at se, redigere, fjerne, osv. personoplysningerne? Hvem har adgang til personoplysningerne? Begrund: Den til en hver tid fungerende leder af administrationen 4

12. Er der en risiko for, at personoplysningerne kan falde i uvedkommendes hænder? Er der en risiko for, at uvedkommende kan få fat i oplysningerne? Bliver persondata eksempelvis sendt med e-mail, uden at de er krypteret? Selve behandlingen 13. Hvad skal der ske med personoplysningerne, efter de er blevet indsamlet, og indtil behandlingen af oplysningerne er afsluttet? Hvad skal der helt konkret ske med personoplysningerne fra start til slut? Med start menes fra det tidspunkt, de er blevet registreret, og med slut menes, til behandlingen er færdig, og til at der ikke længere er brug for personoplysningerne. Begrund: Arkiveringsproceduren ændret Opbevaringen 14. Hvordan bliver personoplysningerne opbevaret? Bliver personoplysningerne opbevaret fysisk i et arkiv, på et kontor, i en computer, i skyen (cloud computing) eller andet? Begrund: Cloud Computing 15. Er teknologien, der anvendes til at opbevare personoplysninger, designet til at håndtere personoplysninger? Er teknologien specielt fremstillet til at kunne opbevare personoplysninger? Eksempelvis er e-boks fremstillet til at kunne håndtere personoplysninger, hvorimod Microsoft Office ikke er designet til at håndtere personoplysninger. Begrund: Brug af backup medie 16. Er den teknologi, der anvendes til at behandle personoplysningerne, sikkerhedstestet? 5

Er teknologien (eksempelvis programmet eller computeren), som behandler personoplysningerne, testet mod eksempelvis hacking og fejl? Begrund: JA 17. Bliver den teknologi, som anvendes, jævnligt sikkerhedsopdateret? Igangsættes der ofte enten manuelle eller automatiske opdateringer af systemerne, så systemerne altid er sikret bedst muligt? Eksempelvis udsender Microsoft automatiske sikkerhedsopdateringer hver måned. Begrund: Ja Sikkerheden 18. Hvis personoplysningerne kommer til uvedkommendes kendskab, vil det så kunne skade de berørte personer? Hvis personoplysningerne skulle blive spredt til uvedkommende, ville der så kunne ske en økonomisk, fysisk, renommemæssig eller lignende skade for de berørte personer? 19. Kan der ske utiltænkte ændringer eller tilintetgørelse af personoplysningerne? Kan der eksempelvis ved et uheld/fejl blive slettet oplysninger, eller kan der utilsigtet blive ændret i oplysningerne? Begrund: Kan ikke udelukkes 20. Er der et sikkerhedsteam/organisation eller lignende, som skal sørge for, at personoplysningerne er sikret korrekt? Er der en bestemt gruppe personer som tjekker, at personoplysningerne bliver opbevaret og behandlet sikkert? 6

21. Er der en procedure, som sikrer, at der periodisk bliver foretaget sikkerhedsrisikoanalyser i hele virksomheden/organisationen? Har virksomheden, organisationen eller lignende en bestemt procedure, som sikrer, at sikkerheden for personoplysningerne bliver vurderet i hele virksomheden? Begrund: Årlig tjek af procedurer er indført Den registreredes muligheder 22. Kan personen, hvis personoplysninger bliver behandlet, få indsigt i behandlingen af sine oplysninger? Har den person, hvis personoplysninger bliver behandlet, mulighed for selv at se en oversigt over hvilke informationer, der er registreret, og hvad de bliver brugt til? 23. Blev personen, hvis oplysninger bliver behandlet, orienteret om behandlingen af personoplysningerne, før oplysningerne blev indsamlet? Fik personen fortalt, inden oplysningerne blev indsamlet, at de ville blive registreret og behandlet? 24. Har personen mulighed for at give sit samtykke til, at dennes personoplysninger bliver behandlet? Har personen, hvis personoplysninger bliver behandlet, mulighed for at godkende, at deres oplysninger bliver behandlet? Enten skriftligt eller mundtligt. 7

25. Har personen mulighed for at afvise, at dennes personoplysninger bliver behandlet? Har personen, hvis oplysninger bliver behandlet, mulighed for at frabede sig at dennes personoplysninger bliver behandlet? 26. Er der en fast procedure for, at personen, hvis oplysninger bliver behandlet, kan trække sit samtykke for behandling af personoplysninger tilbage? Har virksomheden, organisationen eller lignende en bestemt procedure for at imødekomme en persons ønske om at trække sit samtykke til behandling af oplysninger tilbage? Efter behandlingen 27. Hvad sker der med personoplysningerne efter behandlingen af disse? Hvad skal der ske med oplysningerne, efter formålet med indsamlingen af dem er opnået og efter den færdige behandling? Skal de eksempelvis slettes eller anonymiseres, eller bliver de stående i et register eller lignende? Begrund: Bliver slettet efter 5 år Resultat Nu har du udfyldt din konsekvensanalyse DPIA. Hvis du har svaret ja til ét eller flere spørgsmål, bør du lave en handlingsplan, som er med til at sikre, at I får behandlet punktet på en god måde. Analysen har ikke givet anledning til at udføre en handlingsplan. Kilde: http://www.risikoanalyser.dk/konsekvensanalyse-dpia.html 8

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback