Forsiden Persondatapolitik

Persondatapolitik

Sikkerhedsforskrift vedrørende behandling af persondata

1. Indledning
Denne sikkerhedsforskrift er udarbejdet i forhold til EU Persondataforordning af 03. februar 2017 med baggrund i Dansk Industri samt IT-Branchens vejledninger.

Sikkerhedsforskriften er delt op i følgende hovedområder:

  1. Indledning
  2. Procesbeskrivelser
  3. Dataansvarlig
  4. Databehandler
  5. Placering af data
  6. Data Protection Officer (DPO)
  7. Samtykkekrav
  8. Oplysningsforpligtigelse
  9. Flytning af data
  10. Hvornår skal data slettes
  11. Udvikling af produkter- og ydelser
  12. Risikoanalyse
  13. Underretning ved databrud
  14. Dokumentation af dataaktiviteter
  15. Ansvarlig for sikkerhedsforskriften

2. Procesbeskrivelser
HOD har udfærdiget procesbeskrivelserne, som beskriver den enkelte proces, herunder tilladte procedurer, regler for databehandling, sletning samt forhold ved sikkerhedsbrud.

3. Dataansvarlig
Den overordnede dataansvarlige ved Hovedorganisationen af Officerer i Danmark (HOD) er sekretariatschefen.

4. Databehandler
Ved HOD er alle ansatte bemyndiget til at behandle personfølsomme oplysninger.

5. Placering af data
Personfølsomme data er placeret på servere ved vores IT-udbyder (netIP) samt i sagsbehandlingsdokumenter ved den enkelte sagsbehandler.

ESDH
Data indtastet i DocuNote (sagsbehandling- og arkivsystem fra INTRANOTE) ligger på ovennævnte servere. Der bliver løbende foretaget backup efter særlig plan.

Microsoft Exchange
Alle ansatte med ansvar for sagsbehandling har mailprogrammet Microsoft Outlook installeret på deres computer. Det er den ansattes ansvar at slette personfølsomme oplysninger i indbakke og udbakke. Ved lagring af e-mail eller andre dokumenter fra mailprogrammet til DocuNote, slettes filen i mailprogrammet ved brug af ”gem og slet”-funktionen i DocuNote.

FIIN
E-mail og dokumenter som hentes via FIIN-system(forsvaret) skal slettes enten når de ikke anvendes i sagsbehandlingen mere eller når de er lagt i DocuNote.

Hjemmeside
HOD hjemmeside er udviklet og hostet af InterMail, men der lagres ikke oplysninger på hjemmesiden. Persondata (navne, telefonnumre m.v.), som er tilgængelige via login på hjemmesiden, er lagret på HOD’s server ved netIP.

6. Data Protection Officer (DPO)
HOD har udpeget en Data Protection Officer (DPO) som fremgår af bilag b.

DPO er ansvarlig for at:

  • Der er udarbejdet en sikkerhedsforskrift for behandling af persondata
  • Sikkerhedsforskriften er kendt af det personale, som behandler persondata
  • Sikkerhedsbrud bliver anmeldt
  • Der bliver udarbejdet modforanstaltninger mod sikkerhedsbrud.

7. Samtykkekrav
Personer, hvis personlige data skal behandles ved HOD, skal have givet samtykke til dette. Samtykket skal være frivilligt, specifikt, og HOD skal have oplyst dette til pågældende.
Det betyder, at personer, hvis persondata skal behandles i HOD, skal være blevet spurgt, inden dette sker.

Indhentning af samtykke skal ske i forbindelse med indmeldelse i HOD. Der anvendes blanket for at kunne dokumentere dette. For de personer, som er medlem af HOD inden iværksættelsen af persondataforordningen, indhentes samtykke via fagbladet Officeren og på HOD hjemmeside via login.

8. Oplysningsforpligtelse
Ved indsamling af persondata er der en forpligtelse til at oplyse den registrerede person om indsamlingen, herunder om:

  • Formålet med indsamlingen
  • Kontaktoplysninger på den dataansvarlige
  • Modtagere eller kategorier af modtagere af oplysningerne
  • Den registreredes rettigheder til at rette og slette data
  • Hjemmelsgrundlaget for behandlingen
  • Rettigheder til at trække samtykke tilbage og
  • Muligheder for at klage til den nationale databeskyttelsesmyndighed (Datatilsynet).

9. Flytning af data
Såfremt den person, hvis data bliver behandlet i HOD, ønsker at få dette flyttet til en anden udbyder eller behandler, kan dette ske ved at overføre data i et struktureret og almindeligt anvendt maskinlæsbart format. Den registrerede skal anmode om dette i skriftlig form.

10. Hvornår skal data slettes
Den registrerede har ret til at få sine oplysninger slettet, såfremt:

  • Det ikke er nødvendigt at behandle persondata for at kunne forfølge formålet
  • Den registrerede trækker sit samtykke tilbage, og der ikke er et andet hjemmelsgrundlag at basere behandlingen på
  • Databehandlingen er ulovlig
  • Sletningen er nødvendig for at opfylde et lovkrav
  • Registreret person er under 16 år gammel.

For at kunne sagsbehandle medlemmernes sager, herunder at kunne hjælpe medlemmerne i f.eks. lønspørgsmål, hvor det er nødvendigt med kendskab til historikken i sagen (herunder f.eks. skattespørgsmål), så gemmer HOD sager i elektronisk arkiv, indtil medlemmet udmeldes af HOD. Persondatasager, som er ældre end 10 år, vurderes af den ansvarlige sagsbehandler, og der gennemføres eventuelt en anonymisering af dokumentet/sagen.

11. Udvikling af produkter og ydelser
Ved udvikling af nye processer, nye styresystemer eller lignende skal persondata indtænkes. Det kan f.eks. være ved ændringer af arkiv, hjemmeside eller HOD sagsbehandlingssystem (DocuNote).

Hvis sikkerheden omkring de registreredes persondata ændres, skal der ske en fornyet indhentning af samtykke.

12. Risikoanalyse
HOD, herunder DPO, skal udarbejde/justere en risikoanalyse for de enkelte processer minimum hvert andet år, startende fra 2018.

Risikoanalysen skal indeholde følgende:

  • En generel beskrivelse af de planlagte behandlingsmetoder
  • En evaluering af, hvilke risici der er for de registrerede
  • Hvilke metoder, der er planlagt for at imødekomme risici, herunder sikkerhedsforanstaltninger og mekanismer til beskyttelse af persondata og dokumentation af overensstemmelse med forordningen.

13. Underretning af databrud
Ved brud på datasikkerheden omkring persondata, skal DPO underrette Datatilsynet om hændelsen. Ved rapportering skal skemaet i bilag e anvendes og skal minimum indeholde følgende:

  • En beskrivelse af databruddet, samt hvor mange personer er berørte, og hvor meget data er omfattet.
  • Kontaktinformationer på DPO.
  • En beskrivelse af mulige konsekvenser ved databruddet.
  • En beskrivelse af de handlinger, virksomheden planlægger at foretage for at imødegå bruddet.

14. Dokumentation af dataaktiviteter
HOD er forpligtet til at kunne dokumentere nødvendigheden af de indsamlede data samt de processer, der anvendes. Der skal som minimum kunne dokumenteres følgende:

  • De registrerede har givet samtykke.
  • Behandlingen er nødvendig for gennemførelse af en kontrakt med den registrerede person.
  • Behandlingen er nødvendig for at forfølge den dataansvarliges legitime interesser, og at disse interesser ikke overstiger den registrerede persons interesse i ikke at blive behandlet.

15. Ansvarlig for sikkerhedsforskriften
DPO er ansvarlig for udarbejdelse og rettelse af denne forskrift.

Forskriften er senest justeret den 27. oktober 2025 og skal justeres minimum én gang årligt.

© 2025 HOD. Alle rettigheder forbeholdes.
Samtykkerklæring Persondatapolitik
Bliv medlem MitHOD

Til dig under uddannelse