Sådan arbejder. SprogGruppen med. Persondataforordningen. Indholdsfortegnelse

Relaterede dokumenter
PERSONDATA & PERSONDATAORDBOG

Thea Præstmark WW W W W.SKA W UR.SKA EIP UR UR EIP TH UR. TH C. OM C

Indholdsfortegnelse. Godkendt d. 25. maj Senest ændret: 25. maj Dokument nr.: DATABESKYTTELSESPOLITIK FOR KA, KA Pleje og KAH

EU Persondataforordning GDPR

Persondataforordningen. Hvad kan vi bruge KITOS til?

GDPR Persondata- forordningen

Regler om persondata Koordinatormøde den 28. nov. 2017

Per Løkken, Partner. CAMPUS November 2018

DATABESKYTTELSESPOLITIK FOR

Ecofleet. Persondataforordningen Kort fortalt. Del 1. Peter Dam Nordic Project Manager

Landsforeningen Lænkens Databeskyttelsespolitik


Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106.

N. Zahles Skole Persondatapolitik

DATABESKYTTELSESPOLITIK FOR AJAX KØBENHAVN

Persondata politik for GHP Gildhøj Privathospital

Kong Frederik den Syvendes Stiftelse paa Jægerspris

PERSONDATAPOLITIK. Indholdsfortegnelse. Kontaktoplysninger ) Generelt om databeskyttelse Gennemsigtighed og samtykke...

Persondatapolitik. Behandling af oplysninger Leasing Fyn behandler ikke personfølsomme oplysninger.

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I. INDHOLDSFORTEGNELSE: 1. Generelt... 2

Procedure for håndtering af personoplysninger - GDPR Denne udgave: /TW

Persondataforordningen

Generelt om persondata og EU s persondataforordning

Standardvilkår. Databehandleraftale

Selskabet har efter lovgivningen pligt til at informere dig om, hvordan Selskabet behandler og videregiver personoplysninger.

Retningslinjer for frivilliggrupper. Persondata

Thea Præstmark, Sofie Amalie Bangsbo van Hauen og Bo Enevold Uhrenfeldt

Behandling af personoplysninger

Persondatapolitik for Aalborg Handelsskole

HÅNDBOG FOR BEBOERDEMOKRATER BESKYTTELSE AF PERSONDATA

PERSONDATAFORORDNINGEN. DRF s årsmøde, april 2017

Aftale vedrørende fælles dataansvar

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

Persondatapolitik for

Vilkår og privatlivspolitik

2.1 Vi behandler persondata og har derfor vedtaget denne persondatapolitik, der beskriver, hvordan vi behandler persondata.

Persondatapolitik i Dansk Oplysnings Forbund

opfylde vores kontraktuelle forpligtelser over for dig, samt at

GML-HR A/S CVR-nr.:

Her skal angives, hvilke personoplysninger der indsamles i relation til elever, deres værger og evt. andre pårørende.

Persondatapolitik Vordingborg Gymnasium & HF

Agenda. Præsentation af Thomas Riisager Persondataforordningen de vigtigste punkter. Pause

GENERELT DATAANSVARLIG

Konsekvensanalyse DPIA

FORTEGNELSE OVER BEHANDLINGSAKTIVITER. Dataansvarlig: Databehandler: Område: Udarbejdet: Næste revision:

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

Fysiske personer. Vi ved jo alle, hvad en person er. Det er sådan en som os selv (Peter Blume: Databeskyttelsesret, 4. udg., 2013, s. 30f.

UDVALGET FOR HUSMODERFERIE Politik for opbevaring og sletning af personlige oplysninger

PERSONDATAPOLITIK. Kontaktoplysninger ) Generelt om databeskyttelse ) Registreredes rettigheder... 2

Retningslinje om fortegnelser over behandlingsaktiviteter

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

Persondatapolitik for Aabenraa Statsskole

Ny persondataforordning

Persondatapolitik for Tørring Gymnasium 2018

Orientering om databeskyttelsesforordningen. Sundhedsstrategisk Forum Onsdag den 21. marts 2018

BEHANDLING AF PERSONOPLYSNINGER OM KUNDER I REFA DATTERSELSKABER

Skau Reipurth & Partnere Advokatpartnerselskab FORTEGNELSE OVER BEHANDLINGSAKTIVITER. Dataansvarlig: Databehandler: Udarbejdet: Næste revision:

Nexø Frikirke. PRIVATLIVSPOLITIK i NEXØ FRIKIRKE

PRIVATLIVSPOLITIK FOR VÆRFTET NEXØ KRISTNE SKATECENTER, LEGELAND OG CAFE

Persondatapolitik på Gentofte Studenterkursus

Vi passer på dine persondata

I vores privatlivspolitik kan du læse om, hvordan vi behandler dine personoplysninger.

Retningslinje om de registreredes rettigheder

Privatlivspolitik for frivillige

Cirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer

Persondatapolitik for

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

PERSONDATAPOLITIK FOR ORDET OG ISRAEL

GDPR Beskyttelse af persondata

Dragør Kommune Borgmestersekretariat, IT og Personale Marts

Privatlivspolitik. Odense LMU

HJULMANDKAPTAIN PERSONDATA REGLER OG IMPLEMENTERING. OPLÆG TIL DANSKE BUSVOGMÆND DEN 29. NOVEMBER 2017 Advokat Karina Søndergaard

Svanningevej 2 DK-9220 Aalborg Øst Tel

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

PERSONDATAPOLITIK FOR Slagelse Børneklub

Retningslinje om fortegnelser over behandlingsaktiviteter

Persondataforordningen

Retningslinje om de registreredes rettigheder

Persondata-vejledning. Til Djøf Privats tillidsvalgte

BILAG TILSYN OG EGENKONTROL UDFØRT DEN [INDSÆT: DATO]

PERSONDATAFORORDNINGEN APRIL 2018

"forordningen" i det følgende) og gælder for alle ansatte på Midtfyns Gymnasium, der behandler personoplysninger.

PERSONDATAPOLITIK. Indholdsfortegnelse. Kontaktoplysninger... 2

VEJLEDNING. om specialklubbernes håndtering af medlemmernes personoplysninger

Maj 2018 Retningslinje om de registreredes rettigheder på Frederiksberg Gymnasium

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

Behandling af personoplysninger

Overblik i forbindelse med den nye Persondataforordning Skema til dokumentation

Persondatapolitik i musikskolen SPIL OP

PERSONDATA - HVAD ER DET FOR NOGET OG HVORDAN BRUGES DET?

GDPR og arkivloven. Poul Olsen, DPO, Rigsarkivet

Databeskyttelsespolitik for Forsikringsagenturet Optima Gruppen ApS DATO [ ]

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Databeskyttelsespolitik for:

Databeskyttelses - forordningen (GDPR) Baglandsmøde opsamling april 2018

INFORMATION TIL JOBANSØGERE OM BEHANDLING AF PERSONOPLYSNINGER

Transkript:

Sådan arbejder SprogGruppen med Persondataforordningen Indholdsfortegnelse Generelt beslutning og ansvar. 2 Generelt om personoplysninger 3 Generelle betingelser for indsamling: 3 Den registreredes rettigheder: 4 Virksomhedens generelle indstilling til personoplysninger 4 Behandling af sensitive personoplysninger 5 Organisatoriske, IT & fysiske rammer 5 Arbejdspladser 5 IT generelt 5 Password-sikkerhed 5 E-mails 5 Behandlingsaktivitet HR funktion. 6 Databehandleraftaler indenfor Behandlingsaktivitet HR funktion. 6 Behandlingsaktivitet Kunder. 6

Generelt beslutning og ansvar. Ledelsen er ansvarlig for, at virksomheden pr. 25 maj 2018 overholder og efterlever Databeskyttelsesforordningen jf. EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger ("GDPR") samt gældende national lovgivning og retningslinjer. Ledelsen har besluttet, at virksomheden skal udarbejde den påkrævede dokumentation herunder en databeskyttelsespolitik inklusiv alle relevante procesbeskrivelser for virksomhedens behandling af personoplysninger for at sikre, at virksomheden lever op til Databeskyttelsesforordningen herunder forordningens dokumentationskrav. Virksomheden er dataansvarlig og bestræber sig på, at opretholde og fortsætte med at opbygge en databeskyttelses- og privatlivskultur for at beskytte alle de personoplysninger, der indsamles og behandles i virksomheden. Behandlingen af personoplysninger er som udgangspunkt relateret til virksomhedens egne medarbejdere, men omhandler også behandling af personoplysninger relateret til virksomhedens forretningsaktiviteter. Denne politik beskriver således de regler og retningslinjer, som virksomheden har bestemt, skal benyttes ved behandling af personoplysninger for egne medarbejdere samt øvrige relevante registrerede. Dette dokument har to formål: Dels at tjene som et praktisk instrument i virksomhedens arbejde med beskyttelsen af persondata, dels som en skriftlig dokumentation af indsatsen for at overholde Persondataforordningen. Kunder, leverandører, medarbejdere, samarbejdspartnere og andre interessenter kan via dette dokument opnå sikkerhed om, at vi som virksomhed gør alt hvad vi kan for at beskytte deres data og behandle disse data i overensstemmelse med både lovgivning og god databehandlingsskik. Det vurderes ikke at være aktuel at have en databeskyttelsesansvarlig (DPO) som defineret i GDPR tilknyttet. Ansvarlig for persondata i virksomheden samt løbende opdatering af dette dokument er: Marian Kongsted, Ravnsøvej 7 1. Sal, 8240 Risskov Tlf. 86 75 52 11 hvortil forbedringsforslag, samt enhver overtrædelse af denne politik samt databrud skal indberettes til. SprogGruppen Ravnsøvej 7, 1. Sal 8240 Risskov Direktør Marian Kongsted 2

Generelt om personoplysninger Personoplysninger kategoriseres således: Almindelige personoplysninger Navn, adresse, telefonnummer, email, fødselsdato, uddannelse, beskæftigelse, boligforhold, bil, løn, skat, sygefravær. Semifølsomme personoplysninger Cpr. nr., strafbare forhold, personlighedstest, privatøkonomi Følsomme personoplysninger (kun behandles ved dokumenteret samtykke) Helbredsoplysninger, politisk- seksuel- orientering, race, religion, fagforeningsforhold, genetiske data. Generelle betingelser for indsamling: Lovlighed, rimelighed og gennemsigtighed Der må kun behandles persondata, hvis der er en lovlig grund til det (fra persondatareglerne), og alle forhold omkring databehandlingen (hvilke oplysninger, hvordan de indsamles, hvorfor de indsamles osv.) skal altid være gennemskuelige for den registrerede person. Formålsbegrænsning Der må kun indsamle persondata, hvis der er et præcist formål med indsamlingen. Årsagen til indsamlingen skal give mening i forhold til den opgave, som oplysningerne bruges til. Persondata indsamlet til én opgave må ikke bruges til at udføre en anden. Der må ikke samles data bare fordi de er rare at have. Dataminimering Der skal indsamle så få persondata, som overhovedet muligt i forhold til det formål, som oplysningerne ønskes anvendt til. Rigtighed Det skal kontrolleres, at der ikke behandles persondata, som er forkerte eller misvisende. Hvis en kontrol viser, at der behandles forkerte eller misvisende persondata, skal disse slettes eller rettes. Opbevaringsbegrænsning Persondata skal slettes, hvis de ikke længere er nødvendige for den opgave, som var grunden til indsamlingen. 3

Integritet og fortrolighed Behandling af persondata skal være sikker (behandlingssikkerhed). Der skal derfor indføre tilstrækkelig IT-sikkerhed og sikkerhed i forhold til medarbejdere og interne procedurer, som sørger for, at persondata ikke bliver tilgængelig for uvedkommende personer, og som sørger for, at persondata ikke ændres eller slettes utilsigtet. Ansvarlighed Når virksomheden behandler persondata, er virksomheden ansvarlig for at respektere den registrerede persons rettigheder, og virksomheden skal derfor kunne påvise og dokumentere, at behandlingen af persondata overholder persondatareglerne. Den registreredes rettigheder: Oplysningspligten. Krav om at den registrerede person skal have besked om, hvis der behandles oplysninger om den pågældende. Indsigts ret Personen kan bede om at få at vide, hvilke oplysninger om den pågældende selv, som en myndighed eller virksomhed mv. behandler. Hvis den registrerede beder om det, skal der også gives en udskrift eller kopi af oplysningerne. Berigtigelse Dataansvarlig har pligt til at rette forkerte personoplysninger. Retten til at blive glemt Ret til at få personoplysninger slettet -hvis oplysningerne ikke længere er nødvendige til at opfylde de formål, hvortil de blev indsamlet, hvis et samtykke, som er nødvendigt for behandlingen, trækkes tilbage eller hvis behandlingen er ulovlig. Virksomhedens generelle indstilling til personoplysninger Beskyttelsen af personoplysninger er af stor betydning for virksomheden. Det gælder både i relation til egne medarbejdere, for kunder og leverandører samt andre registrerede, hvor virksomheden behandler personoplysninger. Virksomheden ønsker grundlæggende at beskytte fysiske personers privatliv og fortrolighed. Virksomheden anerkender, at ikke kun egne medarbejdere, men også kunder, leverandører og andre registrerede, som virksomheden kommer i kontakt med i løbet af en arbejdsdag, med rette har krav på at vide, at deres respektive personoplysninger ikke vil blive brugt til andet formål end det oprindelige. For at overholde gældende lovgivning og praksis vil personoplysninger blive indsamlet og behandlet i henhold til formålet, samt opbevaret sikkert og ikke videregivet til andre personer / tredjeparter uden samtykke fra den registrerede. 4

Behandling af sensitive personoplysninger Såfremt virksomheden behandler en eller flere sensitive personoplysninger slettes disse oplysninger efter brug / ved udløbet af 1 år fra datoen, hvor virksomheden modtog de pågældende sensitive personoplysninger. Sensitive personoplysninger overføres ikke til lande udenfor EU / EØS-området, medmindre der foreligger et klart lovgrundlag, og et tilstrækkeligt beskyttelsesniveau af den registreredes sensitive personoplysninger i det pågældende land. Områder hvor Virksomhedsnavn Behandler personoplysninger: - Organisatoriske IT & fysiske rammer - Behandlingsaktivitet HR funktion - Behandlingsaktivitet Kunder. Organisatoriske, IT & fysiske rammer Arbejdspladser Alle medarbejdere skal låse deres PC, når arbejdsstationen forlades, også kortvarigt. Medarbejdere er underlagt en clean desk politik, som indebærer, at medarbejderne skal fjerne alle dokumenter fra deres skrivebord, når de forlader arbejdspladsen. Derudover er skal de følge en front down politik, som indebærer at dokumenter med personoplysninger vendes med den blanke side op eller på anden måde afdækkes, når medarbejderen efterlader dokumenter på arbejdsstationen. Affald indsamles og opbevares forsvarligt indtil destruktion. IT generelt Der henvises til bilag IT-sikkerhed for mindre virksomheder samt beskrivelse af IT sikkerhed. Virksomheden vil gerne være sikker på, at der kun behandles personoplysninger, der er nødvendige for de bestemte formål. Virksomhedens IT-systemer forsøges tilpasset således, at der kun indsamles den nødvendige datamængde og opbevaring af personoplysningerne sker ikke i længere tid end nødvendigt. Password-sikkerhed Virksomheden ønsker at opretholde et høj sikkerhedesniveau vedrørende brug af passwords. Virksomhedens politik på for området er derfor, at medarbejdernes bruger ID og/eller password ikke må udleveres til andre. Bruger ID og/eller password må ikke nedskrives på papir, i software-filer, på telefon eller andre steder. Passwords skal ændres password, hvis der er mistanke om, at det er blevet set af andre. Medarbejderne skal undgå at anvende samme password til private og arbejdsmæssige formål. E-mails Det er ikke tilladt for virksomhedens medarbejdere at anvende deres personlige e-mail til virksomhedsrelateret kommunikation. Private e-mails sendt fra firma e-mail skal tydeligt mærkes som private. 5

E-mails (både udgående og indgående) bør løbende slettes, når der ikke længere er behov for, at disse opbevares. Behovet for at opbevare e-mails er en personlig vurdering, men med udgangspunkt bør alle e-mails der er over et år gamle slettes. Er der behov for at sende e-mails med særlige eller følsomme oplysninger internt eller eksternt skal dette gøres krypteret. E-mails indeholdende følsomme eller særlige oplysninger, som CPR nr. eller helbredsoplysninger, skal som udgangspunkt slettes fra Outlook så snart de er behandlet eller, efter behov, gemmes på sikret drev, således at e- mails med særlige eller følsomme oplysninger ikke opbevares i e-mail systemet i mere end 30 dage. Behandlingsaktivitet HR funktion. Virksomheden behandler personoplysninger om sine medarbejdere, især i relation til ansættelsesforholdet. HR funktionen varetages af Mette Aaris Nielsen Områder med adgang til personoplysninger sikres således, at uvedkommende ikke kan få adgang til disse. Det sker ved at opbevare personoplysninger i aflåst skab, når lokalet ikke er under opsyn. Der anvendes løn bureau som er beskyttet med kodeord hvormed der er indgået en databehandleraftale. For at dokumentere virksomhedens forskellige data flows, har virksomheden beskrevet og dokumenteret alle relevante processer, hvor der indsamles og behandles personoplysninger. Der henvises til Samtykkeerklæring og oplysningspligt vedr. medarbejdere Databehandleraftaler indenfor Behandlingsaktivitet HR funktion. Virksomheden har indgået databehandleraftaler med alle sine databehandlere, og har disse aftaler registeret i sine systemer og som bilag til denne aftale specifikt er der: - Danløn, Proløn, Bluegarden - Revisor Udover dette sker der ifølge loven videregivelse af personoplysninger til f.eks. E-Boks, Arbejdsskadestyrelsen, SKAT, Pensions & forsikringsudbydere m.v. Behandlingsaktivitet Kunder. Virksomheden behandler personoplysninger vedrørende virksomhedens kunder, leverandører, partnere og andre tredjeparter (øvrige registrerede) af hensyn til at kunne betjene disse. For at dokumentere virksomhedens forskellige dataflows, har virksomheden beskrevet og dokumenteret alle relevante processer, hvor der indsamles og behandles personoplysninger. 6

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback