EU-PERSONDATAFORORDNINGEN. Selvejende og Private Daginstitutioner

Relaterede dokumenter
Databeskyttelsesdagen

DATABEHANDLERAFTALE. Omsorgsbemanding

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

AFTALE BAGGRUND OG OPGAVEFORSTÅELSE. BDO Statsautoriseret revisionsaktieselskab Havneholmen København V. (i det efterfølgende benævnt som BDO)

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

Cirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer

Den Dataansvarlige og Databehandleren benævnes herefter samlet "Parter" og hver for sig "Part".

Persondata politik for GHP Gildhøj Privathospital

Persondatapolitik for Aabenraa Statsskole

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

Persondatapolitik for Tørring Gymnasium 2018

Persondatapolitik Vordingborg Gymnasium & HF

GML-HR A/S CVR-nr.:

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

Kontraktbilag 3. Databehandleraftale

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

Persondatapolitik på Gentofte Studenterkursus

Aftale vedrørende fælles dataansvar

Persondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.

Databehandleraftale Om Valeurs behandling af oplysninger på vegne af kunden

Persondatapolitikken er godkendt på VUC Roskildes bestyrelsesmøde den 7 juni 2018.

BILAG 14: DATABEHANDLERAFTALE

CIR1H nr 9352 af 23/05/2018 (Gældende) Udskriftsdato: 24. maj Senere ændringer til forskriften Ingen. Journalnummer: Kirkemin., j.nr.

Bilag A Databehandleraftale pr

BAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4

Bilag 3 Personoplysninger Den registrerede Behandling af personoplysninger Dataansvarlig Databehandler Brud på persondatasikkerheden

Persondatapolitik for Odense Katedralskole

Persondataforordningen. Hvad kan vi bruge KITOS til?

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

Bilag B Databehandleraftale pr

DATABEHANDLERAFTALE. Conscia A/S. Conscia A/S Kirkebjerg Parkvej 9 DK-2605 Brøndby Tlf

Persondataforordningen Data Protection Officer. Advokat, Marie Albæk Jacobsen

Persondataforordningen...den nye erklæringsstandard

DATABEHANDLERAFTALE [LEVERANDØR]

Aftale omkring behandling af persondata.

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

N. Zahles Skole Persondatapolitik

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Rigsarkivets konference 2. november 2016

! Databehandleraftale

Retningslinje om overførsel til tredjelande

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

3 Omfattede typer af personoplysninger og kategorier af registrerede

Lector ApS CVR-nr.:

DATABEHANDLERAFTALE. General aftale omkring behandling af persondata. Udarbejdet af: ZISPA ApS

DATABEHANDLERAFTALE. er dags dato indgået databehandleraftale på følgende vilkår og betingelser:

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Retningslinje om ansvarsfordeling - dataansvarlig vs. databehandler

PERSONDATAPOLITIK FOR ÅRHUS LÆRERFORENING Revideret 17. januar 2019

Persondataloven (lov nr. 429 med senere ændringer)

DATABEHANDLERAFTALE Databehandleren skal overholde Persondataloven og Persondataforordningen, samt heraf afledt national lovgivning.

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata

Retningslinjer om brud på persondatasikkerheden

Retningslinje om fortegnelser over behandlingsaktiviteter

Persondatapolitikken er godkendt på Vesthimmerlands Gymnasium og HF s bestyrelsesmøde den 25. juni 2018

Komiteen for Sundhedsoplysning CVR-nr.:

BILAG 5 DATABEHANDLERAFTALE

Persondataforordningen - set med danske øjne

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

PERSONDATAPOLITIK FOR LÆRERSTUDERENDES LANDSKREDS

Retningslinje om databeskyttelsesrådgivere

PERSONDATAPOLITIK FOR DANMARKS LÆRERFORENING. Vedtaget af styregruppen 21. februar 2018

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

Retningslinje om fortegnelser over behandlingsaktiviteter

EU Persondataforordning GDPR

Databehandlingsvilkår - vilkår for behandling af personoplysninger på vegne af en dataansvarlig kunde

1.1 Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden.

Overordnet organisering af personoplysninger

Standard databehandlingsvilkår For ProLøn A/S

Retningslinje om databeskyttelsesrådgivere

Plan og Handling CVR-nr.:

Notat. Databeskyttelsesrådgiver. Anvendelsesområde. Formål. Definitioner. Retningslinje om databeskyttelsesrådgivere. Danske Gymnasiers medlemsskoler

Retningslinje om fortegnelser over behandlingsaktiviteter

Retningslinje om risikovurdering

Bilag 7. Retningslinje om behandlingssikkerhed. Anvendelsesområde. Formål. Definitioner

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106.

Orientering om databeskyttelsesforordningen. Sundhedsstrategisk Forum Onsdag den 21. marts 2018

Behandling af personoplysninger

DATABEHANDLERAFTALE Bilag til handelsaftale mellem Shopstart ApS (Databehandleren) og køber af webhotel tjeneste (Dataansvarlig)

SOPHIAGÅRD ELMEHØJEN

BILAG A: DATABEHANDLERAFTALE ( AFTALEN ) 1 AFTALENS OMFANG 2 BEHANDLING AF PERSONOPLYSNINGER INDHOLDSFORTEGNELSE. Version 1.1 af 25.

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

D A T A B E H A N D L E R A F T A L E

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I. INDHOLDSFORTEGNELSE: 1. Generelt... 2

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

DanDomain A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Databeskyttelsespolitik for DSI Midgård

Retningslinjer om brud på persondata

Bilag til kunder (herefter Dataansvarlige), som har indgået aftale med Dansk Løn Service ApS

Bilag 11 - Databehandleraftale

Databehandleraftale

Transkript:

AFTALE OM RÅDGIVNING OG ASSISTANCE I FORBIN- DELSE MED KRAV TIL PERSONDATABESKYTTELSE VED IMPLEMENTERING AF: EU-PERSONDATAFORORDNINGEN Selvejende og Private Daginstitutioner Administreret af Danske Daginstitutioner

INDHOLD Tilbud, resume 2 Pris 3 Tilmelding 2 Eksklusivitet 2 Tilbud i detaljer Indledning 3 Implementeringsprocessen 3 Tidsplan 4 Forudsætninger 4 EU-persondataforordningen 4 Ansvar og organisering 5 Ansvarsbegrænsning 6

2 LANDSORGANISATIONEN DANSKE DAGINSTITUTIONER 24. NOVEMBER 2017 TILBUD, RESUME Nedenstående tilbud indeholder rådgivning og assistance til nødvendig implementering af EU-persondataforordningen i private og selvejende daginstitutioner. Fremgangsmåden er, at vi forbereder størstedelen af de lovpligtige beskrivelser og aftaler, der skal udarbejdes. Med baggrund heri afholdes en et-dags workshop. For at sikre bedst mulig introduktion og videndeling foregår workshop i kollegialt forum med 10-15 andre daginstitutioner. På disse workshops sikres, at du introduceres til EU-persondataforordningen, så du er klædt på til at kunne arbejde inden for forordningens rammer i dagligdagen. Efter endt workshop er det målet, at du har færdiggjort de nødvendige beskrivelser samt en kortere todo liste. To-do listen vil typisk indeholde områder som at få udsendt fortroligheds- og databehandleraftaler, dagsorden for instruktion af medarbejdere og bestyrelse samt liste til it-ansvarlig/rådgiver med henblik på særlig it-opsætning. PRIS BDO tilbyder ovennævnte forløb til: kr. 11.875,00 inklusive moms (kr. 9.500 eksklusive moms), pr. deltagende daginstitution. (Op til 2 deltagende personer pr. institution). Honorar inkluderer vort forberedende arbejde og beskrivelser, værktøjer, skabeloner samt forplejning på dagen. Af formelle årsager forbeholder vi os ret til at annullere aftalen, eller fremsende nyt tilbud, såfremt der ikke er et tilstrækkeligt antal tilmeldte. Besvarelse af efterfølgende telefoniske spørgsmål i rimeligt omfang faktureres ikke. Ønskes assistance ud over, hvad er omfattet af denne aftale, indgås særlig aftale herom. Tilbud for yderligere assistance beregnes, eksklusivt for institutioner der administreres af Landsforeningen Danske Daginstitutioner, med udgangspunkt i en timepris på kr. 750 eksklusive moms med tillæg af rejseomkostninger. DATO Endelig dato fastlægges efter tilmeldinger er modtaget. Workshop varer én dag og afholdes i perioden februar til april med starttidspunkt kl. 9.30 og forventet sluttidspunkt kl. 15.30. TILMELDING Bindende tilmelding senest den 10. januar 2018. Tilmelding sker ved at klikke på nedenstående link. https://bdo.nemtilmeld.dk/185/ EKSKLUSIVITET Nedenstående aftale kan alene benyttes af selvejende og private daginstitutioner, der administreres af Landsorganisationen Danske Daginstitutioner.

3 LANDSORGANISATIONEN DANSKE DAGINSTITUTIONER 24. NOVEMBER 2017 INDLEDNING Aftalen indeholder aftale om rådgivning og assistance i forbindelse med daginstitutionens implementering af kravene til persondatabeskyttelse i henhold til forordning om beskyttelse af fysiske personer ved behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EU-persondataforordningen), herunder kravene i den danske lov om supplerende bestemmelser til EU-persondataforordningen. Overordnet vil rådgivning ske ved, at BDO udarbejder store dele af de nødvendige beskrivelser ud fra de almindeligst anvendte persondatarelevante forretningsgange i en daginstitution. Med udgangspunkt heri afholdes workshop hvor daginstitutionens leder og yderligere én person fra daginstitutionen deltager. På denne workshop gennemgår, og om nødvendigt korrigerer, I beskrivelserne og tilføjer nødvendige beskrivelser, der er specifikke for jeres institution. Vi hjælper jer med at identificere særlige sikkerheds, herunder it-sikkerhedsforanstaltninger. Endeligt klæder vi jer på, så I har mulighed for at gennemføre de nødvendige tiltag, herunder tilstrækkelig instruktion af medarbejdere, der sikrer, at de i dagligdagen kan agere korrekt i forhold til EU-persondataforordningen. Workshop afholdes med deltagelse af 10-15 sammenlignelige daginstitutioner, således at der sikres en videndeling, der ikke vil kunne skabes i et lukket forum. IMPLEMENTERINGSPROCESSEN Processen for implementering af kravene til persondatabeskyttelse i henhold til EU-persondataforordningen opdeler vi normalt i 5 faser, omfattende definition og beskrivelse af projektet, fortegnelse over behandlingsaktiviteter, risikovurderinger, databeskyttelsespolitikker og den organisatoriske forankring. I dette projekt vil BDO have forberedt de områder, der er markeret med blå tekst i kasserne nedenfor, som er de mest tids- og videnkrævende. Med sort tekst er angivet de områder, der afklares på workshoppen og med rød skrift de områder, daginstitutionen selv skal gennemføre: Fase 1 Fase 2 Fase 3 Fase 4 Fase 5 Projektformål Organisering og ressourcer Projektforløb Tidsplan og milepæle Projektbeskrivel se og projektplan Identifikation af processer med persondatabehandling Fortegnelse over behandlingsaktiviteter Afdækning af umiddelbare mangler og problemstillinger Risikovurderinger baseret på fortegnelse over behandlingsaktiviteter Handlingsplaner for risikoreducerende tiltag Handlingsplaner for uafklarede forhold Prioritering og gennemførelse af punkterne i handlingsplanerne Databeskyttelsespolitikker Procedurer og kontroller Proces for løbende opfølgninger Tilpasning til aktuelle individuelle forhold Udfyldese af databehandleraf taler mm. Ansvar for overholdelse af EUpersondataforordningen Uddannelse af medarbejdere Awarenesskampagner Aftaler med leverandører omkring it sikkerhed mm. (Danske daginstitutioner) Workshoppen er tilrettelagt således, at mest muligt er forberedt af BDO. Daginstitutionen skal på workshoppen forholde sig til det af BDO udarbejdede oplæg og foretage individuelle tilpasninger. Sammensætning af workshop på mellem 10 og 15 deltagende daginstitutioner er med baggrund i at sikre størst mulig videndeling og tid til individuelle forhold. Endvidere har workshoppen til formål at opbygge færdigheder hos jer til det videre arbejde og til sikring af implementering af lokal awareness. Workshoppen vil være en kombination af inspiration og sparring, fastlæggelse af metoder samt drøftelse af konkrete vurderinger og problemstillinger. BDO stiller skabeloner og værktøjer til rådighed i den for-

4 LANDSORGANISATIONEN DANSKE DAGINSTITUTIONER 24. NOVEMBER 2017 bindelse. BDO fremhæver vigtigheden af, at daginstitutionen afsætter de fornødne ressourcer, hvad angår kompetencer og kapacitet hos deltagere og til sikring af efterbehandling i egen institution efterfølgende. TIDSPLAN Tidspunkt for afholdelse af workshoppen forventes at ske i perioden februar april 2018. FORUDSÆTNINGER FOR TILBUD Det er en forudsætning, at mindst ca. 80 daginstitutioner tilmelder sig denne eksklusiv aftale. Tilmelding sker via BDO s hjemmeside jf. tilbuddets side 2. Der vil kun i begrænset omfang gives generel undervisning om persondataforordningen. Det er en forudsætning, at de specifikke workshops kan afholdes med mindst 10 deltagende daginstitutioner. (Optimalt mellem 10 og 15 deltagende daginstitutioner). Workshops afholdes tættest muligt på de deltagende institutioners adresse, som udgangspunkt på nærmeste BDO kontor. Anden adresse for afholdelse af workshop kan aftales, såfremt flertallet af deltagerne i en specifik workshop måtte ønske det. Honoraret vil blive faktureret umiddelbart efter tilmelding, og skal være betalt inden deltagelse på workshop. Det er forudsat, at workshops afholdes i perioden februar - april 2018. I øvrigt gælder BDO s sædvanlige forretningsbetingelser, således som de fremgår af BDO s hjemmeside. EU-PERSONDATAFORORDNINGEN Forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (generel forordning om databeskyttelse) blev vedtaget af EU-parlamentet den 27. april 2016. EU-persondataforordningen har virkning fra den 25. maj 2018 og erstatter alle EU-medlemslandes nationale persondatalovgivning, herunder den danske lov fra 2000 om behandling af personoplysninger og de i medfør af denne lov udstedte bekendtgørelser. EU-persondataforordningen skaber på denne måde en sammenhængende, stærk og moderne databeskyttelseslovgivning, der er gældende for alle lande i EU. Danmark indfører en ny persondatalov med supplerende bestemmelser til EU-persondataforordningen. En række af artiklerne i EU-persondataforordningen og den supplerende, danske persondatalov vil blive uddybet i retningslinjer og vejledninger fra Det Europæiske Databeskyttelsesråd, Justitsministeriet og Datatilsynet. Såvel de europæiske som danske retningslinjer og vejledninger vil løbende blive offentliggjort frem til den 25. maj 2018. Som i den nuværende persondatalov er enhver behandling af oplysninger om en identificeret fysisk person eller en fysisk person, der direkte eller indirekte er identificerbar, omfattet af EU-persondataforordningen. For mange virksomheder drejer det sig typisk om oplysninger på medarbejdere, kunder, leverandører og samarbejdspartnere. EU-persondataforordningen stiller krav til virksomheden om, at registrering og behandling af personoplysninger sker i overensstemmelse med udtrykkeligt angivne og legitime formål, at behandlingen skal være rimelig og gennemsigtig i forhold til personen, og at såvel virksomheden som dens databehandlere er underlagt dokumentationskrav i forhold til opfyldelse af forordningen. Forordningen giver også større kontrol til personen i form af flere rettigheder, ligesom håndhævelse af reglerne er forbedret ved at stille krav om udpegelse af en databeskyttelsesrådgiver (DPO) i særlige tilfælde og underretning om brud på

5 LANDSORGANISATIONEN DANSKE DAGINSTITUTIONER 24. NOVEMBER 2017 persondatasikkerheden til tilsynsmyndigheden og personen, og ved at give mulighed for udstedelse af administrative bøder til både virksomheden og dens databehandlere. Virksomheden er ansvarlig for at implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger, baseret på en fortegnelse over behandlingsaktiviteter, en dokumenteret risikovurdering og databeskyttelsespolitikker, for at sikre og påvise over for tilsynsmyndigheden, at virksomhedens behandling af personoplysninger er i overensstemmelse med forordningen. Virksomheden er desuden forpligtet til at designe systemer og opsætte systemers standardindstillinger, herunder indfører interne procedurer, således at de understøtter principperne for databeskyttelse. Overlader virksomheden behandlingen af personoplysninger til en databehandler, stiller EU-persondataforordningen krav om, at databehandleren stiller fornødne garantier for at have indført passende tekniske og organisatoriske foranstaltninger, der opfylder kravene i forordningen, og at vilkårene for databehandlingen fremgår af en skriftlig kontrakt mellem virksomheden og databehandleren. Overførsler af personoplysninger til lande uden for EU kan alene ske, når tredjelandet har et tilstrækkeligt databeskyttelsesniveau, eller når fornødne garantier om databeskyttelse er sikret eksempelvis gennem godkendte standardkontrakter fra EU eller godkendte certificeringsordninger. Ved overførsel af personoplysninger i koncerner med aktiviteter uden for EU, kan koncernen anvende bindende virksomhedsregler, såfremt de er retligt bindende for alle koncernselskaber, de udtrykkeligt tillægger personerne rettigheder, som kan håndhæves, og de opfylder en række øvrige krav.

6 LANDSORGANISATIONEN DANSKE DAGINSTITUTIONER 24. NOVEMBER 2017 ANSVAR OG ORGANISERING Senior Partner, statsautoriseret revisor Gregers Paulsen har det overordnede ansvar for rådgivningsopgaven. BDO tilknytter følgende rådgivere til opgaven: Per Sloth, Partner, statsautoriseret revisor og chef for BDO Risk Assurance, har mere end 20 års erfaring med informationssikkerhed, risikostyring og dataanalytics mm. Per er ekspert i EU-persondataforordningen og flittig foredragsholder og rådgiver på området. Pers rolle vil primært være som sparringspartner til BDO s udførende rådgivere. Steen Pedersen, Senior Manager i Risk Assurance, har mere end 10 års erfaring med informationssikkerhed, risikostyring og beredskabsplanlægning samt stor erfaring med implementering af processer og kontroller for at sikre efterlevelse af myndighedskrav og standarder, herunder krav i medfør af persondatalovgivningen. Steen er ekspert i EU-persondataforordningen og gennemfører adskillige workshops og omfattende rådgivning på området. Steens rolle vil dels være i forbindelse med grundlæggende forberedelse og vil også deltage i flere eller alle workshops. Julie Fredskov Jensen, cand. merc. aud., har mere end 15 års erfaring som revisor og konsulent og er specialist i EU-persondataforordningen. Julie vil lige som Steen deltage i forberedelse og gennemførelse af workshops. Frederik Winckler Lensbøl, stud. merc. aud., er specialist i revision af daginstitutioner og vil deltage i forberedelsen med input om forretningsgange og baggrundsviden til konsulenter om de særlige forhold, der gør sig gældende for daginstitutioner. BDO vil desuden bemande opgaven med andre relevante medarbejdere under tilsyn af rådgiverne. ANSVARSBEGRÆNSNING BDO påtager sig alene ansvaret for tab lidt af kunden, som er en direkte følge af BDO s dokumenterede manglende overholdelse af denne aftale eller af udvist forsømmelighed i forbindelse med udførelsen af opgaven som beskrevet i denne aftale. Krav skal være fremsat inden 1 år efter, at daginstitutionen bliver eller burde være bekendt med de forhold, der giver anledning til at rejse kravet. København, den 6. december 2017 BDO Statsautoriseret revisionsaktieselskab Gregers Paulsen Senior Partner, statsautoriseret revisor

KONTAKT STEEN PEDERSEN Senior Manager m: +45 41 89 00 89 e: ped@bdo.dk BDO Statsautoriseret revisionsaktieselskab, en danskejet rådgivnings- og revisionsvirksomhed, er medlem af BDO International Limited - et UKbaseret selskab med begrænset hæftelse - og del af det internationale BDO netværk bestående af uafhængige medlemsfirmaer. BDO er varemærke for både BDO netværket og for alle BDO medlemsfirmaerne. BDO i Danmark beskæftiger godt 1.100 medarbejdere, mens det verdensomspændende BDO netværk har godt 64.000 medarbejdere i 154 lande. Copyright - BDO Statsautoriseret revisionsaktieselskab, cvr.nr. 20 22 26 70. www.bdo.dk

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback