Håndtering af personoplysninger ved salg og markedsføring

Relaterede dokumenter
EU s Persondataforordning - Håndtering af kundedata. DI s konference, torsdag den 15. juni 2017 Pia Kirstine Voldmester, advokat (H) og partner

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

PERSONDATAPOLITIK FOR ORDET OG ISRAEL

N. Zahles Skole Persondatapolitik

PERSONDATAPOLITIK FOR AXIS

DANVA, Dansk Vand- og Spildevandsforening. Godthåbsvej Skanderborg. og

Overblik over persondataforordningen

Standardvilkår. Databehandleraftale

Databehandlervilkår. 1: Baggrund, formål og definitioner

Persondataforordningen

DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde

Birgitte Toxværd Bruun & Hjejle

Konferencer og seminarer - markedsføring og personoplysninger. Nana Louw & Linda Tørngren Henriksen

PERSONDATAPOLITIK FOR DANSK TOURETTE FORENING

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

Computershare Aktionær s

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du

Dine rettigheder, når regionen behandler oplysninger om dig

Ecofleet. Persondataforordningen Kort fortalt. Del 1. Peter Dam Nordic Project Manager

Persondatapolitik Vordingborg Gymnasium & HF

Tjekliste til databehandleraftaler

Persondatapolitik for Aabenraa Statsskole

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

Persondatapolitik for Tørring Gymnasium 2018

PERSONDATAPOLITIK FOR HETAG TAG MATERIALER A/S

Velkommen til seminar om Persondataforordningen. Den 16. maj 2018.

PERSONDATAPOLITIK FOR Slagelse Børneklub

Introduktion til persondataforordning

PERSONDATA - HVAD ER DET FOR NOGET OG HVORDAN BRUGES DET?

Thea Præstmark WW W W W.SKA W UR.SKA EIP UR UR EIP TH UR. TH C. OM C

DATABEHANDLERAFTALE Version 1.1a

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

Persondata politik for GHP Gildhøj Privathospital

Privatlivspolitik. Odense LMU

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

Persondatapolitik på Gentofte Studenterkursus

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

Behandling af personoplysninger

Persondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.

Ny Persondataforordning mv.

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Persondatapolitikken er godkendt på VUC Roskildes bestyrelsesmøde den 7 juni 2018.

PERSONDATAPOLITIK FOR Café Exit

opfylde vores kontraktuelle forpligtelser over for dig, samt at

Borgerens rettigheder, når regionen behandler personoplysninger

DATABEHANDLERAFTALE Databehandleren skal overholde Persondataloven og Persondataforordningen, samt heraf afledt national lovgivning.

PERSONDATAPOLITIK FOR FANCONI ANÆMI DANMARK

DATABEHANDLERAFTALE. Conscia A/S. Conscia A/S Kirkebjerg Parkvej 9 DK-2605 Brøndby Tlf

Fysiske personer. Vi ved jo alle, hvad en person er. Det er sådan en som os selv (Peter Blume: Databeskyttelsesret, 4. udg., 2013, s. 30f.

1.1 Denne privatlivspolitik ( Politik ) er gældende for samtlige de oplysninger, som du giver

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

BILAG 14: DATABEHANDLERAFTALE

Persondatapolitik for Odense Katedralskole

BAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4

PERSONDATAPOLITIK FOR HOLMSBORG SOMMERLEJRE

Databeskyttelsespolitik for advokatanpartsselskabet Vibeke Westergaard

Persondatapolitik for Ehlers-Danlos Foreningen i Danmark

1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du giver til os, og

Databehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.

Persondatapolitikken er godkendt på Vesthimmerlands Gymnasium og HF s bestyrelsesmøde den 25. juni 2018

Retningslinje om dataansvarlig/databehandler

Aftale vedrørende fælles dataansvar

Privatlivspolitik. for Odense LM

PERSONDATAPOLITIK FOR HETAG TAG MATERIALER A/S

Databehandleraftale (v.1.1)

Databehandleraftale. (De Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under ét Parterne )

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I. INDHOLDSFORTEGNELSE: 1. Generelt... 2

Nexø Frikirke. PRIVATLIVSPOLITIK i NEXØ FRIKIRKE

Almindelig viden om persondataforordningen

Databehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren.

PERSONDATAPOLITIK for. Mercy Outreach Danmark

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

Persondatapolitik for. KFUMs Soldatermission

DATABEHANDLERAFTALE. indgået mellem. Navn: CVR-nr.: Adresse: Postnr. og by: (den Dataansvarlige ) og

PERSONDATAPOLITIK FOR ADHD-FORENINGEN

Databehandleraftale. Mellem. Brugere af software fra Datalogisk. Den dataansvarlige: Databehandleren: Datalogisk A/S CVR Stubbekøbingvej 41

Bilag 1 Databehandler aftale (v.1.2)

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106.

Tønder Kommune BILAG 10

Retningslinje om de registreredes rettigheder

DATABEHANDLERAFTALE. Omsorgsbemanding

DATABEHANDLERAFTALE. Mellem KUNDEN ADRESSE POSTNR. BY CVR. nr.: (herefter Kunden DATAANSVARLIG)

INTERN HR PERSONDATAPOLITIK FOR LIONS MD106. Nærværende gælder for MD 106, dvs. alle ansatte og medlemmer i Lions MD 106.

Foreningen Grønlandske Børns Persondatapolitik

Behandling af personoplysninger

EU Persondataforordning GDPR

WinWinWeb Databehandleraftale. Databehandleraftale. Mellem. Den Dataansvarlige: Kunden. Databehandleren: WinWinWeb CVR:

PERSONDATAPOLITIK FOR Aniridi Danmark

Uanmodede henvendelser. Uanmodede henvendelser. Uanmodede henvendelser

Surftown A/S. Regionsgolf-Danmark DATABEHANDLERAFTALE. Databehandleraftalen foreligger mellem. Regionsgolf-Danmark.

! Databehandleraftale

DanDomain A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

PERSONDATAPOLITIK FOR MISSION AFRIKA

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

Kontraktbilag 3. Databehandleraftale

Persondatapolitik for Landsforeningen for Marfan Syndrom i Danmark

Transkript:

Håndtering af personoplysninger ved salg og markedsføring DI s seminar om personoplysninger den 20. december 2017 Pia Kirstine Voldmester, advokat (H) og partner

Introduktion til forordningen og grundlæggende behandlingsregler Registreredes rettigheder og direkte markedsføring Bureau-samarbejder - databehandleraftaler 2

Status på Databeskyttelsesforordningen pr. 20. december 2017 24. maj 2016 24. maj 2017 Sommeren 2017 September 2017 januar 2018 25. oktober 2017 25. maj 2018 Ikrafttræden Justitsministeriets betænkning Udkast til databeskyttelseslov i offentlig høring Justitsministeriets vejledninger udkommer løbende L68 lovforslag til databeskyttelsesloven fremsættes Forordningen finder anvendelse Indtil nu Beskedent fokus på persondatalovgivning Næsten ingen håndhævelse og et ligegyldigt bødeniveau Fokus på informationssikkerhed Kun 5 måneder tilbage Game changer Samme regler i hele EU/EØS (men mange nationale særregler) Mange nye proces- og dokumentationskrav Streng sanktionering 3

Basale definitioner Personoplysning og behandling Hvad er personoplysninger? Enhver form for information om en identificeret eller identificerbar fysisk person ( den registrerede ) Fysiske personer (og enkeltmandsvirksomheder) Identificerbar: En fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator (IPadresse) osv. Hvad er en behandling? Enhver aktivitet eller række af aktiviteter med eller uden brug af automatisk behandling som personoplysninger eller en samling af personoplysninger gøres til genstand for F.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse Elektronisk behandling af personoplysninger Manuel behandling af personoplysninger i et register 4

Basale definitioner Personoplysninger Almindelige personoplysninger Navn, adresse, indkomst og formueforhold, civilstand, mv. Alle andre oplysninger end de særlige kategorier (f.eks. er almindelige oplysninger også personlighedstest, skilsmisser, bortvisninger, gæld og restancer mv.) Særlige kategorier af personoplysninger Racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold (ikke A-kasse), helbredsmæssige og seksuelle forhold Genetiske og biometriske data, ved behandling mhp. identifikation Straffeattester mv. Behandling for private virksomheder kræver lovhjemmel Forslag til databeskyttelsesloven CPR-nr. Persondatalovens 11 videreføres formentlig Behandling hvis fastsat i lov eller udtrykkeligt samtykke Ingen offentliggørelse uden udtrykkeligt samtykke 5

Introduktion til forordningen og grundlæggende behandlingsregler Registreredes rettigheder og direkte markedsføring Bureau-samarbejder databehandleraftaler 6

Menuen eller prisen for at behandle oplysninger Den registreredes rettigheder Persondataforordningen artikel 12-22 Oplysningspligt Ret til uden forespørgsel at blive oplyst om behandling af oplysninger om ham/hende Indsigt (udvidet) Ret til på forespørgsel at få indsigt i hvilke oplysninger den dataansvarlige behandler om ham/hende selv Berigtigelse Ret til at få urigtige oplysninger berigtiget Sletning Ret til at få slettet oplysninger om ham/hende selv ( retten til at blive glemt ) Begrænsning (ny) Ret til at kræve begrænsning af behandling ( blokering ) i en periode Dataportabilitet (ny) Ret til at få oplysninger afgivet af vedkommende selv med til en ny leverandør Indsigelse Ret til at gøre indsigelse mod behandling af hans/hendes personoplysninger, herunder til direkte markedsføring Klart og enkelt sprog, tidsfrister mv. Automatisk individuel beslutningstagning Ret til ikke at blive underlagt automatisk, individuel beslutningstagning 7

Indsamling og behandling af personoplysninger Transparens, oplysningspligt, begrænsning i brug af data osv. Indsamling og behandling af personoplysninger skal ske efter et need to know-princip (ikke nice to know) Transparens Den registrerede skal have lettere kontrol med egne personoplysninger Udtrykkeligt krav om gennemsigtighed: Den registrerede skal i langt højere grad end i dag have oplysninger om behandlingen af personoplysningerne Kravet gælder i vidt omfang allerede i dag i medfør af persondatalovens behandlingsprincipper og god databehandlingsskik Informationen skal være lettilgængelig og letforståelig Begrænsning i brug af data Personoplysningerne skal være tilstrækkelige, relevante og begrænset til det nødvendige Behandlingen af den registreredes personoplysninger skal være mindst muligt integritetskrænkende Personoplysninger bør kun behandles, hvis formålet med behandlingen ikke kan opfyldes på anden måde 8

Indsamling og behandling af personoplysninger Indsigelse mod behandling til direkte markedsføring Databeskyttelsesforordningen artikel 21 Ubetinget ret til at gøre indsigelse mod direkte markedsføring Behandling af almindelige personoplysninger til direkte markedsføring kan ofte ske på baggrund af interesseafvejningsreglen Den registrerede har til enhver tid ret at gøre indsigelse mod behandling af sine personoplysninger, herunder profilering, baseret på interesseafvejningsreglen Personoplysningerne kan fortsat behandles, hvis den dataansvarlige har vægtige legitime grunde til behandlingen, der overstiger den registreredes interesser Den registrerede til enhver tid ret til at gøre indsigelse mod behandling af sine personoplysninger til direkte markedsføring, herunder at gøre indsigelse mod profilering, i det omfang den vedrører direkte markedsføring Personoplysningerne kan ikke længere behandles til direkte markedsføring (inkl. profilering med henblik på direkte markedsføring) ----------------------------------------------------------------------------------------- Den registrerede skal udtrykkeligt gøres opmærksom på disse rettigheder senest på tidspunktet for den første kommunikation Oplysninger skal meddeles klart, utvetydigt og adskilt fra alle andre oplysninger 9

Videregivelse af personoplysninger til markedsføring Forslag til databeskyttelseslovens 13 og databeskyttelsesforordningens artikel 21 Videregivelse Hvad skal I overveje inden videregivelse? Behandlingsgrundlag Generelle kundeoplysninger kan være kontaktoplysninger, alder, at kunden er bilejer eller at det er en kunde til en bestemt varegruppe, f.eks. vin- og spiritus. Det er ikke følsomme oplysninger om kunden eller detaljerede oplysninger om f.eks. forbrugsvaner Hovedreglen er, at videregivelse i markedsføringsøjemed kræver samtykke Samtykke skal indhentes i overensstemmelse med reglerne i databeskyttelsesforordningen og markedsføringsloven Undtagelse: Videregivelse af generelle kundeoplysninger, der danner grundlag for inddeling af i kundekategorier og som opfylder betingelserne i Databeskyttelsesforordningen artikel 6, stk. 1, litra f (interesseafvejning) Indsigelsesretten I skal tjekke cpr-registret inden videregivelse af oplysninger til brug for markedsføring hver gang Oplysningerne må ikke videregives, hvis den registrerede har gjort indsigelse mod behandling af dennes oplysninger til direkte markedsføring De grundlæggende behandlingsprincipper Husk at videregivelsen skal ske i overensstemmelse med de grundlæggende behandlingsprincipper 10

Videregivelse af personoplysninger til markedsføring Forslag til databeskyttelseslovens 13 og databeskyttelsesforordningens artikel 21 Anvendelse af personoplysninger på vegne af en anden virksomhed I skal opfylde samme krav, hvis I anvender jeres egen kundedatabase og personoplysninger til direkte markedsføring af en anden virksomheds produkter. I anvender oplysningerne på vegne af en anden virksomhed Behandlingsgrundlag Indsigelsesretten De grundlæggende behandlingsprincipper Eksempel: medlemsprogrammer og bonusklubber Der gælder særlige regler om adresserings- og kuverteringsbureauer, herunder krav til hvilke oplysninger disse bureauer må videregive til brug for markedsføring. Datatilsynets praksis Hvis bonusklubben eller medlemsprogrammer markedsfører sine samarbejdspartneres varer over for sine medlemmer, anvendes oplysningerne på vegne af samarbejdspartnere. De falder ind under bestemmelsens anvendelsesområde. 11

Indsamling og behandling af personoplysninger Huskesedlen ved markedsføring Hvad skal I huske, når I behandler personoplysninger i markedsføringssammenhænge? Samtykke som behandlingsgrundlag Er der indhentet et gyldigt samtykke og kan det dokumenteres? Kan behandlingen med fordel baseres på et andet grundlag end samtykke? Oplysningspligten Har den registrerede fået oplyst, at personoplysninger anvendes i forbindelse med markedsføring, herunder profilering? Indsigelsesret Er den registrerede, senest på tidspunktet for den første kommunikation, udtrykkeligt blevet gjort opmærksom på indsigelsesretten overfor markedsføring? De grundlæggende behandlingsprincipper Behandles personoplysningerne i overensstemmelse med de grundlæggende behandlingsprincipper? Er de nødvendige og passende sikkerhedsforanstaltninger implementeret? Involvering af tredjeparter Husk risikovurdering og databehandleraftaler Direct marketing reglerne se de følgende slides 12

Direkte markedsføring Markedsføringslovens 10 om uanmodet henvendelse Spamforbuddet elektronisk post Det elektroniske totalforbud Markedsføringslovens 10, stk. 1: Forbud mod at erhvervsdrivende retter henvendelse til nogen via elektronisk post med henblik på afsætning af varer eller tjenesteydelser, med mindre den pågældende forudgående har anmodet om det Elektronisk post: E-mail, telefax, SMS, MMS, automatisk opkaldssystem mv. Hvad må ikke sendes? Enhver meddelelse i form af tekst, stemmegengivelse, lyd eller billede, som sendes via et offentligt kommunikationsnet, og som kan lagres i nettet eller i modtagerens terminaludstyr, indtil meddelelsen hentes af modtageren Hvilket budskab må ikke sendes? Med henblik på afsætning af varer, tjenesteydelser mv. Det betyder, at det er forbudt at sende konkrete tilbud på varer eller tjenesteydelser Slutspurt nu 30% på alle vores abonnementer? Ny eprivacyforordning på vej (forslag fremsat 10. januar 2017), hvori spamreglerne indgår Deltag i vores ikke-købsbetingede konkurrence? Støt Dansk Flygtningehjælp det gør vi? 13

Direkte markedsføring Markedsføringslovens 10 om uanmodet henvendelse Hvornår må man sende servicemeddelelser? Servicemeddelelser er det spam? Hovedregel: Nej Det forudsætter, at der er tale om en reel servicemeddelelse, der ikke også indeholder markedsføring Reel servicemeddelelse? Afhænger af budskabet og relevansen for modtageren Dit abonnement udvides til 12 leveringer om året Vi vil fremover trække betalingen for dit abonnement den 26. hver måned Der må f.eks. ikke sendes servicemeddelelser til forbrugere, der har afbrudt et bestillingsforløb på en hjemmeside uden at foretage et køb, med anvisninger på, hvordan bestillingsprocessen kan genoptages Sanktionering Overtrædelse straffes med bøde Beregningsmodel: 100 kr. pr. henvendelse dog minimum 10.000 kr. Dette vil normalt være med henblik på afsætning 14

Direkte markedsføring Markedsføringslovens 10 om uanmodet henvendelse Direct mail Gammeldags breve B-2-B; juridiske personer Ingen særlige regler dog mulighed for at frabede sig brug af CVR-data B-2-C; fysiske personer Det er tilladt at sende breve, medmindre personen har frabedt sig det: over for den erhvervsdrivende, eller via Robinsonlisten (CPR-registret). Robinsonlisten Den erhvervsdrivende skal via CPR undersøge Robinsonlisten før første henvendelse, og herefter hvidvaske registre mod nyeste kvartalsliste 15

Direkte markedsføring Markedsføringslovens 10 om uanmodet henvendelse Telefonisk henvendelse Det er forbudt for erhvervsdrivende at rette telefonisk henvendelse til forbrugere med henblik på afsætning nu eller senere Gælder (næsten) også undtagelsesfrit, når kunden ringer op F.eks.: Kunden ringer op for at benytte en service (eksempelvis afhentning af leveret produkt) Virksomheden må tilbyde ydelser i relation til afhentningen men ikke til andre ydelser NB! Gælder også opringning om afgivelse af samtykke til markedsføring. Undtagelse: en virksomhed må gerne ringe med en servicemeddelelse NB! Undtagelsen gælder ikke, hvis forbrugeren har frabedt sig direkte markedsføring ved f.eks. at lade sig registrere på Robinsonlisten Vær opmærksom herpå! 16

Introduktion til forordningen og grundlæggende behandlingsregler Registreredes rettigheder og direkte markedsføring Bureau samarbejder - databehandleraftaler 17

Brug af databehandlere relationen mellem virksomheden og bureauet Databeskyttelsesforordningen art. 4 Dataansvarlig Databehandler»Dataansvarlig«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formålene og hjælpemidlerne til en sådan behandling er fastlagt i EU-retten eller medlemsstaternes nationale ret, kan den dataansvarlige eller de specifikke kriterier for udpegelse af denne fastsættes i EU-retten eller medlemsstaternes nationale ret»databehandler«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne 18

Databehandlere - hvorfor er det vigtigt, hvem der er hvad? Overblik Den dataansvarlige træffer beslutning om behandlingsform, -formål, og -omfang Databehandleren følger beslutningerne, men har et - begrænset råderum Kravene til den dataansvarliges art. 30-dokumentation er mere omfattende En dataansvarlig skal f.eks. 1. foretage pre-audit af databehandleren 2. indgå en skriftlig aftale med lovpligtigt indhold med databehandleren 3. løbende auditere databehandleren i aftaleforholdet En databehandler skal f.eks. 1. stille sig til rådighed for inspektioner og audits 2. indgå underdatabehandleraftaler med sine leverandører 3. give information til dataansvarlig f.eks. ved sikkerhedsbrud 4. bidrage til dataansvarliges konsekvensanalyser 19

E-mail marketing ABC virksomhed indgår en aftale med et marketingbureau om at udsende markedsføringsmateriale pr. e-mail ABC beslutter at marketingaktiviteterne skal finde sted hvilket materiale der skal sendes ud og til hvem Bureauet beslutter hvilket software der skal anvendes til udsendelserne Er bureauet dataansvarlig eller databehandler? 20

Indholdet i databehandleraftalen overskrifterne Databeskyttelsesforordningen artikel 28 Forudsætning at der er dokumentation for databehandlerens fornødne garantier 1. Genstanden for behandlingen 2. Varigheden af behandlingen 3. Behandlingens karakter og formål 4. Typen af personoplysninger 5. Kategorier af registrerede 6. Parternes rettigheder og forpligtelser 21

Indholdet i databehandleraftalen rettigheder og forpligtelser 1. Behandling må kun ske efter dokumenteret instruks (som derfor skal fremgå af aftalen) U: EU-ret eller national ret 2. Personer, der er autoriseret til at behandle oplysninger skal være underlagt fortrolighed (i aftale eller lov) 3. Foranstaltninger for behandlingssikkerhed 4. Pligt til at slette eller tilbagelevere personoplysninger til den dataansvarlige, når tjenesten er ophørt U: EU-ret eller national ret 5. Pligt til at stille alle oplysninger til rådighed og give mulighed for inspektioner 6. Pligt til omgående underrette den dataansvarlige om instrukser i strid med GDPR, EU-ret eller national ret 22

Indholdet i databehandleraftalen rettigheder og forpligtelser Pligten til at yde bistand til den dataansvarlige Audits og inspektioner Databehandleren skal give mulighed for og bidrage til audits og inspektioner Databehandleren skal stille alle nødvendige oplysninger til rådighed Anmodninger fra de registrerede Under hensyntagen til behandlingens karakter, så vidt muligt bistå dataansvarlig ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelse af de registreredes rettigheder. Databehandleren skal videresende anmodningerne vedrørende den dataansvarliges personoplysninger Sikkerhed og sikkerhedsbrud Databehandleren skal bistå med at sikre den dataansvarliges overholdelse af sikkerhedsforanstaltninger Konsekvensanalyser Databehandleren skal bistå ved udarbejdelse af og opfølgning på konsekvensanalyser Bistå med anmeldelse af sikkerhedsbrud til myndighederne og registrerede Bistå med forudgående høring af tilsynsmyndigheden ved høj risiko, der ikke kan reduceres ved tiltag Gøre den dataansvarlige opmærksom på sikkerhedsbrud 23

Kontaktdetaljer Pia Kirstine Voldmester, Partner IP, markedsføring & persondataret Direkte tlf. 26 86 64 28 E-mail pkv@bruunhjejle.dk 24

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback