GDPR Persondata- forordningen DET NYE SORT Fødselsdato Telefonnummer Pasnummer Stilling Fotos Navn Adresse IP-adresse Mac-adresse E-mailadresse Nummerplade Medarbejder-ID GPS-oplysninger Videoovervågning Personlighedstest Kreditkortnummer Logning i IT-systemer Størrelse på sko og tøj Uddannelse - karakter CPR-nummer
Indhold GDPR - Persondataforordningen Hvad er det?... 3 Hvad er persondata?... 3 CPR-nr.... 4 Hvad vil det sige at behandle persondata?... 5 Hvad betyder den nye lovgivning for Hillerød Forsyning?... 5 Sikre arbejdsgange... 5 Vi skal understøtte den registreredes rettigheder (kundens rettigheder)... 5 Vi skal leve op til vores pligter som dataansvarlig... 5 Interne retningslinjer... 6 Hvad betyder GDPR for medarbejderne i Hillerød Forsyning?.... 7 GDPR - PERSONDATAFORORDNINGEN HVAD ER DET? Den nye lovgivning og persondataforordning har været gældende siden 25. maj 2018 og vil være gældende i alle situationer, hvor der behandles persondata. Loven gælder både behandling af persondata for vores kunder og samarbejdspartnere - og ved behandling af medarbejdernes persondata. Det er ikke en lovgivning man kan ignorere, idet manglende overholdelse kan medføre bøder på op til 4% af vores årsomsætning eller op til 20.000.000 EUR HVAD ER PERSONDATA? Enhver information, der kan relateres til en identificeret person, eller data der direkte eller indirekte kan identificere en person. Eller med andre ord: Al information, der kan identificere en bestemt person. Man skelner mellem almindelige persondata og følsomme persondata. Eksempler på følsomme persondata: Vigtigt Mails og sms er... 7 Privatlivspolitik.... 7 GDPR-teamet i Hillerød Forsyning... 8 Eksempler på almindelige persondata: Adresse E-mailadresse Fotos Fødselsdato GPS-oplysninger IP-adresse Kreditkortnummer Logning i IT-systemer Mac-adresse Medarbejder-ID Navn Nummerplade Pasnummer Personlighedstest Stilling Størrelse på sko og tøj Telefonnummer Uddannelse - karakter Videoovervågning Biometriske oplysniner Fagforening Genetisk information Helbredsoplysninger Politisk overbevisning Race, etnicitet Religion/filosofisk overbevisning Seksuel orientering/seksuelle forhold Straffeattest Væsentlige sociale problemer 2 3
CPR-NR. Danmark er en af de få lande i EU, hvor så meget data kan tilknyttes til et specifikt nr. CPR-nummeret. Den danske lovgivning fastsætter derfor, at der skal gives et udtrykkeligt samtykke, for at en virksomhed må håndtere cpr. numre. HVAD VIL DET SIGE AT BEHANDLE PERSONDATA? Behandling af persondata er alle de situationer hvor der sker en håndtering af persondata dvs. indsamling, registrering (uanset på hvilket medie dette sker), opdatering, opbevaring, søgning, videregivelse, udveksling, samkøring, sletning, opbevaring af oplysninger i mapper, etc. HVAD BETYDER DEN NYE LOVGIVNING FOR HILLERØD FORSYNING? - at vi skal sikre lovlig behandling af persondata Det er lovligt, at behandle data, når blot de pågældende data er relevante og nødvendige. Lovlig behandling betyder, at der skal foreligge principper for behandlingen. Principperne skal beskrives og kunne dokumenteres overholdt i forbindelse med de systemer, arbejdsgange og processer vi har hos Hillerød Forsyning, hvor der behandles persondata. SIKRE ARBEJDSGANGE Vi skal have principper/procedurer for bl.a. print, aflåsning af skabe/skuffer, arkivering (herunder adgangskontrol), makulering, mails (bl.a. åbning af mails på ferie), sletning (på drev, PC-skrivebord, mailboks mv.) VI SKAL UNDERSTØTTE DEN REGISTREREDES RETTIGHEDER (KUNDENS RETTIGHEDER) For at sikre at vi også lever op til den registreredes rettigheder, skal der foreligge procedurer og retningslinjer der beskriver hvorledes vi sikrer den registreredes data. Vi må kun behandle nødvendige data. VI SKAL LEVE OP TIL VORES PLIGTER SOM DATAANSVARLIG Vi skal passe på de data vi har både på vores kunder og vores medarbejdere. Dette kan vi gøre ved at: - der kun er adgang til data for de personer der skal bruge dem i deres arbejde - data bliver slettet når de ikke længere er nødvendige - sikre, at både nuværende samt fremtidige systemer overholder persondataforordningen Begrænset adgang til system/data Logning af adgange og adgangsforsøg standard sikkerhedsindstillinger altid automatisk aktiveres mv. Ved brud på sikkerheden har den dataansvarlige pligt til at anmelde bruddet til Datatilsynet indenfor 72 timer. Der skal foreligge en beredskabsplan i tilfælde af brud. 4 5
Interne retningslinjer Et par eksempler på vores interne retningslinjer: Brug din almindelige sunde fornuft Lås din skærm inden du forlader den Slet unødvendige data Arkiver/Journaliser IKKE i Outlook. Arkivering/Journalisering skal følge de retningslinjer, der er besluttet i Hillerød Forsyning* Udskriv kun dine dokumenter, hvis det er nødvendigt Såfremt det er nødvendigt at udskrive et dokument: Hent udskriften med det samme så der ikke ligger udskrifter uafhentet i printeren Efterlad ikke dokumenter med personoplysninger på skrivebordet når du forlader din plads Makuler dine udskrifter når du er færdig med dem Er det nødvendigt at gemme udskrifter med personoplysninger (eks. i en mappe) SKAL dokumentet/mappen være låst inde. Hvis der bliver indkøbt nye systemer skal du huske, at der skal indgås en databehandleraftale ved siden af indkøbsaftalen Hvis du deler din PC med andre (eks. via TeamViewer) må du ikke forlade din skærm, mens den anden har adgang til din PC. Databrud (uautoriseret adgang til et af vores systemer eller til en af medarbejdernes PC er, et dokument/papir/mappe, der bliver taget/ kopieret/affotograferet el.lign af en udefrakommende): Ved databrud har Hillerød Forsyning pligt til at anmelde dette inden for 72 timer. Hvis du bliver opmærksom på et databrud skal 1. du hurtigst muligt kontakte din nærmeste leder 2. du og/eller din leder kontakte GDPR-teamet 3. GDPR-teamet anmelde dette til Datatilsynet. * Retningslinjer og procedurer for arbejdsgangene i Hillerød Forsyning vil blive udarbejdet og præsenteret løbende. HVAD BETYDER GDPR FOR MEDARBEJ- DERNE I HILLERØD FORSYNING? En arbejdsgiver har ret til at behandle bl.a. cpr. nr. (ellers vil det være vanskeligt at få udbetalt løn), men virksomheden skal sikre at denne behandling begrænses til få medarbejdere. Når en medarbejder stopper på en arbejdsplads, skal virksomheden sikre, at alt data slettes inden for en specifik periode. Registreringer om arbejdsulykker er den eneste type oplysninger som ikke må slettes i forbindelse med arbejdsophør. Årsagen til dette, er at kunne sikre at der også lang tid efter at man har været ude for en arbejdsulykke, kan dokumentere evt. men og lignende. Alt dette gælder også for Hillerød Forsynings ansatte. På en række områder gælder, at der skal gives samtykke/accept, for at vi som virksomhed må anvende dine data. Ved ansættelse hos Hillerød Forsyning vil man derfor fremadrettet skulle give accept til at vi kan anvende en række specifikke data. Et eksempel, er at virksomheden ikke må anvende fotos af dig uden at du har givet et samtykke. For de ansatte hos Hillerød Forsyning gælder de samme krav som kunderne har, nemlig: Ret til indsigt i hvilke data Hillerød Forsyning har Ret til at få rettet forkert data og/eller slettet unødvendige data VIGTIGT MAILS OG SMS ER Som medarbejder er det vigtigt, at du er bevist om, hvad du skriver i dine mails, sms er og lignende. Er du arbejdsleder modtager du med jævne mellemrum sygemeldinger fra dine medarbejdere. Dette skal naturligvis registreres, da der lovgivningsmæssigt er krav til dette. Men såfremt medarbejdere oplyser hvad han/hun fejler er der tale om personfølsomme oplysninger, som ikke må registreres. Det er derfor vigtigt at man ikke skiver dette i en mail eller sms. PRIVATLIVSPOLITIK Hillerød Forsynings privatlivspolitik for medarbejdere kan findes på intranettet under: Sådan gør du; Persondata/GDPR 6 7
GDPR-TEAMET I HILLERØD FORSYNING GDPR-teamet i Hillerød Forsyning består af: Alf Johansen, Chefkonsulent Dorte Eshøj Weber, jurist Kenneth Rantzau Rasmussen, IT Koordinator Vivian Løcke Østergaard, Kundeservice Lea Malena Barratt, HR-konsulent Per Sode-Larsen, Leder regnskab Lotte Nielsen, Bogholder www.hillerodgrafisk.dk