Persondataforordning din dig din

Relaterede dokumenter
Ecofleet. Persondataforordningen Kort fortalt. Del 1. Peter Dam Nordic Project Manager

N. Zahles Skole Persondatapolitik

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Standardvilkår. Databehandleraftale

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Surftown A/S. Regionsgolf-Danmark DATABEHANDLERAFTALE. Databehandleraftalen foreligger mellem. Regionsgolf-Danmark.

Bilag 8. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

Politik for beskyttelse og behandling af personoplysninger

Retningslinjer om brud på persondata

Retningslinjer om brud på persondatasikkerheden

PERSONDATAPOLITIK 1. INTRODUKTION

Brud på datasikkerheden

Retningslinjer om brud på persondatasikkerheden

DanDomain A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Formål. Definitioner. ø Retningslinjer om brud på datasikkerheden Anvendelsesområde

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

Midtfyns. Gymnasium. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

Retningslinje om brud på persondatasikkerhed Skanderborg Gymnasium ANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2

opfylde vores kontraktuelle forpligtelser over for dig, samt at

Databehandleraftale

PERSONDATAPOLITIK 1. INTRODUKTION

DATABEHANDLERAFTALE

Thea Præstmark WW W W W.SKA W UR.SKA EIP UR UR EIP TH UR. TH C. OM C

PERSONDATAPOLITIK FOR AXIS

Introduktion til persondataforordning

HÅNDBOG FOR BEBOERDEMOKRATER BESKYTTELSE AF PERSONDATA

Aftale omkring behandling af persondata.

Politik for behandling af oplysninger

Bilag A Databehandleraftale pr

Overblik over persondataforordningen

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Retningslinje om fortegnelser over behandlingsaktiviteter

DATABEHANDLERAFTALE Databehandleren skal overholde Persondataloven og Persondataforordningen, samt heraf afledt national lovgivning.

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

BILAG 14: DATABEHANDLERAFTALE

Privatlivspolitik. Odense LMU

Derudover må personoplysninger i fysiske mapper kun tilgås af personer, der har et formål med at kunne tilgå de pågældende personoplysninger.

Nexø Frikirke. PRIVATLIVSPOLITIK i NEXØ FRIKIRKE

PERSONDATAPOLITIK FOR BAPTISTERNES BØRNE- OG UNGDOMSFORBUND

BILAG 5 DATABEHANDLERAFTALE

Bilag B Databehandleraftale pr

DATABEHANDLERAFTALE. General aftale omkring behandling af persondata. Udarbejdet af: ZISPA ApS

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1

1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du

Persondatapolitik Vordingborg Gymnasium & HF

Almindelig viden om persondataforordningen

Kontraktbilag 3. Databehandleraftale

Slettepolitik for Euro Accident Livförsäkring Aktiebolag som dataansvarlig

Retningslinje om fortegnelser over behandlingsaktiviteter

Behandling af personoplysninger

Privatlivspolitik for tilmeldte til SocialBar

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

EU Persondataforordning GDPR

PERSONDATAPOLITIK FOR ORDET OG ISRAEL

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

PERSONDATAPOLITIK FOR DANSK TOURETTE FORENING

Persondata politik for GHP Gildhøj Privathospital

DATABEHANDLERAFTALE. Conscia A/S. Conscia A/S Kirkebjerg Parkvej 9 DK-2605 Brøndby Tlf

PERSONDATAPOLITIK FOR FANCONI ANÆMI DANMARK

Procedure for håndtering af personoplysninger - GDPR Denne udgave: /TW

PERSONDATAPOLITIK FOR Dansk forening for Williams Syndrom

Rammer og vilkår for brug af data. 25. oktober 2016 Afdelingschef Birgitte Drewes,

Persondataforordningen

Retningslinje om dataansvarlig/databehandler

FRIVILLIG KONFERENCE 2018

Persondatapolitik for Landsforeningen for Marfan Syndrom i Danmark

Vi har udarbejdet en særlig fortegnelse over vores databehandlingsaktiviteter. Denne fortegnelse indeholder:

PRIVATLIVSPOLITIK FOR VÆRFTET NEXØ KRISTNE SKATECENTER, LEGELAND OG CAFE

September Indledning

Databehandlervilkår. 1: Baggrund, formål og definitioner

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

Retningslinje om ansvarsfordeling - dataansvarlig vs. databehandler

Datastrømsanalyse - Kundedata

Retningslinjer for behandling af personoplysninger for kunder og leverandører i med Anker Hansen og Co. A/S ( AHC ) CVR-nr

Databehandleraftale mellem. Heyloyalty ApS Jens Baggesens Vej Aarhus N Cvr: (i det følgende HL eller databehandleren)

Persondatapolitik for Aabenraa Statsskole

Persondataforordningen

Retningslinje om fortegnelser over behandlingsaktiviteter

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

PERSONDATAPOLITIK FOR HOLMSBORG SOMMERLEJRE

3 Omfattede typer af personoplysninger og kategorier af registrerede

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

Persondatapolitik på Gentofte Studenterkursus

DATABEHANDLERAFTALE. indgået mellem. Navn: CVR-nr.: Adresse: Postnr. og by: (den Dataansvarlige ) og

Persondatabeskyttelsespolitik for REFA

Persondatapolitik for Tørring Gymnasium 2018

I, Privatlivspolitik for Kunder, kan du læse om vores politikker, principper og procedure for håndtering af personoplysninger.

Persondatapolitik i Dansk Oplysnings Forbund

UDVALGET FOR HUSMODERFERIE Politik for opbevaring og sletning af personlige oplysninger

Persondatapolitik for Ehlers-Danlos Foreningen i Danmark

2.1 Vi behandler persondata og har derfor vedtaget denne persondatapolitik, der beskriver, hvordan vi behandler persondata.

PERSONDATA - HVAD ER DET FOR NOGET OG HVORDAN BRUGES DET?

Generel oplysning til registrerede om behandling af persondata

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

Per Løkken, Partner. CAMPUS November 2018

Privatlivspolitik. for Odense LM

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Indholdsfortegnelse Fortroligheds- og beskyttelsespolitik... 3

Transkript:

Persondataforordning Hvad betyder den nye persondataforordning for din virksomhed? Er du omfattet af ordningen? Alle virksomheder, organisationer og offentlige myndigheder, der behandler personoplysninger, er underlagt den nye persondataforordning. Er du virksomhedsejer (dataansvarlig), håndterer du data for andre virksomheder (databehandler), eller er du ansvarlig for personaleadministration, er det derfor vigtigt, at du er bevidst om, hvilke tiltag, I skal foretage for at efterleve kravene. Det vigtigste for dig og din virksomhed i forhold til persondataforordningens nye ikrafttræden er, at du til hver en tid skal kunne dokumentere brugen af persondata. 1

Det går stærkt.. 2

3

Hvad er formålet med den nye persondataforordning? Grundelementerne i de nye regler i Persondataforordningen er at opnå en mere ensartet anvendelse af reglerne på tværs af Europa, og en effektiv håndhævelse. Den nye forordning skal ligeledes ses som en modernisering af beskyttelsen af behandling af personoplysninger. Der er ved udformningen af forordningen taget hensyn til en række forskellige forhold: Styrkelse af individernes ret til databeskyttelse Understøttelse af det frie data flow Reduktion af administrative byrder for den dataansvarlige Forordningen balancerer altså flere forskellige hensyn. Dataansvarlig: Typisk en virksomhed eller offentlig myndighed, der afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger. Databehandler: Typisk en virksomhed eller offentlig myndighed, der behandler personoplysninger på den dataansvarliges vegne og efter instruks fra den dataansvarlige. I Danmark gælder databeskyttelsesforordningen som hovedregel, hvis Den dataansvarlige myndighed eller virksomhed m.v. er etableret i DK, og Behandlingen af personoplysningerne foregår inden for EU s område 4

Hvad er en personoplysning? Forordningen indeholder en opdeling af personoplysninger i forskellige kategorier. Nogle personoplysninger er almindelige mens andre er følsomme. Personoplysning: Enhver form for information om en identificeret eller identificerbar fysisk person f.eks. kunde eller HR Race, etnisk oprindelse, politisk, religiøs el. filosofisk overbevisning, fagforeningsmæssige tilhørsforhold, genetiske data, biometriske data mhp. Entydig identifikation, helbredsoplysninger, seksuelle forhold eller orientering Straffedomme og lovovertrædelser Væsentlige sociale problemer, andre rent private forhold, økonomi, SKAT, gæld, sygedage, tjenstlige forhold, familieforhold, bolig eksamen, ansøgning, CV, ansættelsesdato, navn, adresse og fødselsdato, Cpr.nr. Følsomme personoplysninger Almindelige personoplysninger Jo højere oppe i trekanten oplysningerne er, desto strengere betingelser for at behandle dem! 5

Hvad er behandlinger af personoplysninger? Der findes i forordningen en række principper som skal følges, hvis virksomheden ønsker at behandle personoplysninger. Det betyder, at personoplysningerne skal behandles Hvis din virksomhed har en hjemmeside, er det også vigtig at du har en persondatapolitik, hvis du bruger programmer som Google Analytics til at tracke dine besøgende efter de har besøgt din hjemmeside. Husk at sørge for, at dine besøgende giver samtykke ved udfyldning af kontaktformularer og nyhedsbreve. Behandling af personoplysninger: Lovligt (f.eks. med samtykke) Oplysningerne må kun behandles til et specifikt og legitimt formål Der må ikke behandles flere oplysninger end nødvendigt Oplysningerne skal være korrekte og opdaterede Oplysningerne må ikke lagres længere end nødvendigt Oplysningerne skal beskyttes via sikkerhedsforanstaltninger iværksat efter en risikovurdering 6

Hvad er behandlinger af personoplysninger fortsat? Registreredes rettigheder De registrerede har en række rettigheder ift. til de personlysninger som behandles - de vigtigste er: Retten til at modtage oplysning om behandling af sine personoplysninger (oplysningspligt) Retten til at få indsigt i sine personoplysninger Retten til at få urigtige personoplysninger berigtiget Retten til at få sine personoplysninger slettet Retten til at gøre indsigelse mod at personoplysninger anvendes til direkte markedsføring Retten til at tilbagekalde et samtykke Retten til at gøre indsigelse mod automatiske individuelle afgørelser Retten til at flytte sine personoplysninger (Dataportabilitet) Behandling af personlysninger: Indsamling, Registrering, Organisering, Systematisering, Opbevaring, Tilpasning eller ændring, Genfinding, Søgning, Brug, Videregivelse ved transmission, Formidling, eller enhver anden form for overladelse, sammenstilling eller samkøring, Begrænsning, Sletning eller Tilintetgørelse 7

Behandling af personoplysninger fortsat. Det er vigtigt at være opmærksom på, at begrebet behandling dækker over en række forskellige måder at håndtere personoplysninger på. Har man ret til at foretage én bestemt form for databehandling, f.eks. indsamling af oplysninger, medfører det ikke automatisk, at man også har ret til at foretage andre former for behandling, f.eks. videregivelse af de samme oplysninger. For at behandlingen af personoplysningerne kan være lovlig, skal der i en række sammenhænge indhentes: Samtykke til behandlingen af de registrerede Samtykket skal være utvetydigt, når de registrerede foretager en bekræftende handling, som tilkendegiver at de registrerede accepterer den pågældende behandling af personoplysningerne til det konkrete formål. Samtykke: Frivillig, specifik, informeret og utvetydig viljetilkendegivelse der bekræfter, at personoplysninger må behandles. Et samtykke kan til enhver tid trækkes tilbage. Der behøver ikke at være tale om et skriftligt samtykke, men den dataansvarlige skal kunne bevise, at der er givet samtykke. Den dataansvarlige er forpligtet til at kunne dokumentere, at samtykket er givet. Hvis der behandles følsomme personoplysninger, skal samtykket være eksplicit (formuleret direkte og åbenlyst så det ikke misforstås). 8

Behandling af personoplysninger fortsat. I praksis vil almindelige persondata, såsom personnavne, adresser og e-mail, give langt det største arbejde i forhold til at efterleve persondatareglerne. Persondata optræder mange steder i en virksomhed, som f.eks.: JOBANSØGERE NYHEDSMAIL KUNDER ANSATTE NETVÆRKSDREV, USB, BÆRBAR, HARDDISKE, MAIL VIRKSOMHED SMARTPHONE, COMPUTERE, TABLETS, MENORYCARDS... LØNBUREAU TREDJEMAND VIDEREGIVELSE AF IT DRIFT KONSULENTER OUTSOURCING EGEN ADVOKAT EGEN REVISOR Det bør fremgå, hvilke formål der er med behandlingen. Samtidig bør man have overblik over, hvad hjemlen er til behandlingen. Hjelmen kan være: Samtykke fra personen Behandlingen sker for at opfylde aftale (f.eks. kundens navn og e-mail At forfølge en berettiget interesse, som virksomheden har og som ikke overstiger hensynet til personen (fx når en virksomhed lægger kontaktoplysninger til medarbejderne ud på hjemmesiden). Det er vigtigt at have overblik over de personoplysninger, som virksomheden behandler. Det kan gøres ved at udarbejde en oversigt 9 over de processer i virksomheden, der involverer personoplysninger.

Data flow/datastrømme Persondataforordningen fastsætter ingen forpligtelse til at udarbejde dataflowanalyser eller datastrømsanalyser. Persondataforordningen fastsætter heller ikke regler for at beskrive data flows/datastrømme. Men det vil være umuligt at efterkomme dokumentationskravene i Persondataforordningen uden et overblik over IT-struktur, herunder identifikation af data behandlere, formål med behandlingen, typer af personoplysninger, datakilder, videregivelse mv. Det er uladsiggørligt at vurdere, hvornår der skal gennemføres en konsekvensanalyse uden et godt overblik over den måde, data bevæger sig i virksomheden, herunder i hvilke sammenhænge og i hvilke processer, den pågældende personlige oplysning indgår. Forudsætningen for at leve op til reglerne og dermed for alt arbejde med persondata er at man har: En tilstrækkelig beskrivelse af personlige oplysningers livscyklus i virksomheden Data flows/dataanalyser skal også forstås som en form for statusopgørelse for persondatabehandlingen Afdækning af data flow/datastrømme er noget af det største arbejde særligt for danske virksomheder uanset om man er dataansvarlig eller databehandler. 10

Data flows/datastrømme fortsat.. Eksempel på data flow ift. jobansøgninger: En virksomhed annoncerer efter medarbejdere til en ledig stilling. Saga Lauritsen vil sende en ansøgning. Hun udarbejder en ansøgning, hvori hun beskriver sig selv, sin uddannelse, kompetence og erfaring, bopæl, og hun er medlem af fagforeningen HK. Hun skriver også, at hun er gift med Lise og at hendes fritidsinteresse er karate. Ansøgningen indeholder altså en lang række personlige oplysninger og person følsomme oplysninger om Saga Lauritsen. Den kæde af behandlinger, som personoplysningerne udsættes for enten samlet eller hver for sig er hver især en selvstændig behandling, som kræver selvstændig lovhjemmel. Og databeskyttelsen skal være effektiv i alle led i kæden. En forenklet oversigt over de behandlinger, som ansøgningen udsættes for, kan være følgende: Du indsamler personoplysningerne når Saga sender ansøgningen Du lægger ansøgningen i en fysisk mappe på kontoret Du scanner ansøgningen og gemmer den i din mailboks Du sender ansøgningen med en mail til evt. ansatte/leder i virksomheden Ansatte/Leder gemmer mail med ansøgning i sin mailboks Du sender en mødeindkaldelse til Saga via din mailboks Du indhenter evt. referencer fra tidligere arbejdsgiver Du printer ansøgningen til brug for en evt. jobsamtale Efter jobsamtalen smider du ansøgningen i papirkurven 11 Du sender afslag til Saga via mail Du arkiverer afslag i din mailboks Herefter sletter du og øvrige ansatte som ligger inde med ansøgningen

Databehandler aftale Når den dataansvarlige overlader hele eller dele af behandlingen af personoplysninger til eksterne leverandører og samarbejdspartnere, skal der indgås en databehandleraftale, dvs. har man hovedrollen, så er man dataansvarlig, eller har man en birolle, så er man databehandler. Databehandleren må ikke bruge de overladte oplysninger til andet end udførelsen af opgaven for den dataansvarlige. Krav om skriftlig kontrakt med databehandler Behandlingen ved en databehandler kræver, at der indgås en skriftlig aftale herom imellem den dataansvarlige og databehandleren (en såkaldt databehandleraftale). Af databehandleraftalerne skal det fremgå, hvilke personoplysninger aftalen dækker. Databehandleraftale Dataansvarlig kan vælge at overlade det til en anden at udføre den praktiske behandling af personoplysninger på den dataansvarliges vegne Databehandler kan være en (fysisk) person En virksomhed En offentlig myndighed Databehandleren må ikke bruge oplysningerne til andet end udførelsen af opgaven for den dataansvarlige 12

Databehandler aftale fortsat. Indholdet af den skriftlige aftale (databehandleraftale) Det skal fremgå af aftalen, at databehandleren alene handler efter instruks fra den dataansvarlige, og at databehandleren skal træffe forskellige tekniske og organisatoriske sikkerhedsforanstaltninger. Disse sikkerhedsforanstaltninger skal sikre mod, at oplysningerne: Hændeligt eller ulovligt tilintetgøres Fortabes eller forringes, kommer til uvedkommendes kendskab eller misbruges, eller I øvrigt behandles i strid med lov om behandling af personoplysninger Databehandleraftalen skal fastsætte: Genstanden for behandlingen Behandlingens karakter og formål Typen af personoplysninger Kategorierne af registrerede Dataansvarliges forpligtelser og rettigheder 13

Behandling af fratrådt medarbejders e-mailkonto: Hvis der ikke er aftalt andet, gælder følgende ifølge Datatilsynet: Når en medarbejder har forladt arbejdspladsen og ikke længere kan få adgang til sin personlige e-mailkonto på arbejdspladsen, må e- mailkontoen kun holdes aktiv i en periode, der er så kort som muligt. Periodens længde fastsættes under hensyntagen til den fratrådte medarbejders stilling og funktion og kan maksimalt være på 12 måneder. Snarest muligt efter medarbejderen har forladt arbejdspladsen og ikke længere kan få adgang til sin personlige e-mailkonto, sættes et autosvar på e-mailkontoen med besked om medarbejderens fratræden og eventuel anden relevant information. Arbejdsgivere anbefales som led i den almindelige personalepolitik at forholde sig til spørgsmålet om håndtering af fratrådte medarbejders e- mailkonto og informere medarbejderne herom. Persondataloven giver ikke en arbejdsgiver lov til at tilsidesætte straffelovens regler om brevhemmelighed mv. Den aktive e-mailkonto benyttes kun: Til modtagelse af e-mails Modtages der private e-mails, kan e-mailkontoen dog benyttes til videre sendelse af disse til den fratrådte medarbejders private e-mailkonto Oplysninger om den personlige e-mailadresse skal hurtigst muligt fjernes fra arbejdspladsens hjemmeside og andre offentlige tilgængelige informationssteder Kun en enkelt eller ganske få betroede medarbejdere bør have adgang til den fratrådte medarbejders personlige e- mailkonto. 14

Ved sikkerhedsbrud (anmeldelse til Datatilsynet kan ske trinvis) Den dataansvarlige skal underrette den registrerede, når et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder. Underretningen skal gives i et klart og forståeligt sprog, beskrive karakteren af bruddet og anmeldelsen mindst indeholder oplysninger om: Navn på og kontaktoplysninger for databeskyttelsesrådgiveren De sandsynlige konsekvenser af bruddet på persondatasikkerheden De foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder begrænse dets mulige skadevirkninger Det er ikke nødvendigt at underrette den registrerede, hvis én af følgende betingelser er opfyldt: Dataansvarlige har gennemført passende tekniske og organisatoriske beskyttelsesforanstaltninger Dataansvarlige har truffet efterfølgende foranstaltninger, der sikrer, at den høje risiko for de registrerede ikke længere er reel Det vil kræve en uforholdsmæssigt indsats i så fald skal der i stedet foretages en offentlig meddelelse eller tilsvarende foranstaltning, 15 hvorved de registrerede underrettes på en tilsvarende effektiv måde. Sikkerhedsbrud: Anmelde bruddet uden unødig forsinkelse og om muligt indenfor 72 timer via virk.dk Databehandler skal underrette den dataansvarlige om et brud uden unødig forsinkelse Dataansvarlige skal dokumentere alle brud, faktiske omstændigheder, konsekvenser og trufne afhjælpende foranstaltninger Datatilsynet kan kræve, at der sker underretning af de registrerede

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback