Persondatapolitik
Sikkerhedsforeskrift vedrørende behandling af persondata
- Indledning
Denne sikkerhedsforeskrift er udarbejdet i forhold til EU Persondataforordning af 03. februar 2017, med baggrund i Dansk Industri samt IT-Branchens vejledninger.
Sikkerhedsforeskriften er delt op i følgende hovedområder:
- Indledning
- Procesbeskrivelser
- Dataansvarlig
- Databehandler
- Placering af data
- Data Protection Officer (DPO)
- Samtykkekrav
- Oplysningsforpligtigelse
- Flytning af data
- Hvornår skal data slettes
- Udvikling af produkter- og ydelser
- Risikoanalyse
- Underretning ved databrud
- Dokumentation af dataaktiviteter
- Ansvarlig for sikkerhedsforeskriften
- Procesbebeskrivelser
HOD har udfærdiget procesbeskrivelserne som beskriver den enkelte proces, herunder tilladte procedurer, regler for databehandling, sletning samt forhold ved sikkerhedsbrud.
- Dataansvarlig
Den overordnede dataansvarlige ved Hovedorganisationen af Officerer i Danmark (HOD) er Sekretariatschefen.
- Databehandler
Ved HOD er alle ansatte i henholdsvis receptionen, politiske afdeling samt forhandlingsafdelingen, bemyndiget til at behandle personfølsomme oplysninger.
Øvrige ansatte har ikke adgang til IT eller andre registre over personfølsomme oplysninger.
- Placering af data
Personfølsomme data er, ved HOD, placeret på HOD egen server (in-house) i programmet Navision, samt i sagsbehandlingsdokumenter ved den enkelte sagsbehandler.
Der er ikke placeret personfølsomme data på medier eller dokumenter uden for HOD eget domicil.
ESDH:
Data indtastet i DocuNote (sagsbehandling- og arkivsystem fra INTRANOTE) ligger på HOD interne server. Der bliver løbende foretaget en backup, som opbevares af HOD-IT ressourceperson.
Microsoft Exchange:
Alle ansatte med ansvar for sagsbehandling har mailprogrammet Microsoft Exchange installeret på deres computere. Det er den ansattes ansvar at slette personfølsomme oplysninger i indbakke og udbakke. Ved lagring af email eller andre dokumenter fra mailprogrammet til DocuNote, slettes filen i mailprogrammet ved brug af ”gem og slet” funktionen i Docunote.
FIIN:
E-mail og dokumenter som hentes via FIIN-system(forsvaret) skal slettes enten når de ikke anvendes i sagsbehandlingen mere eller når de er lagt i DocuNote.
Hjemmeside:
HOD hjemmeside er udviklet og hostet af HTML24, men det er udelukkende styrefiler som er gemt på deres server. Persondata (navne, telefonnumre m.v.) som er tilgængelige via login på hjemmesiden, er lagret på HOD egen server. Ved opdatering, sker dette ved en krypteret fil som hentes via hjemmesiden på HOD-server. Kontakt HTML24 for yderligere information om compliance angående hosting og udvikling af vores hjemmeside
- Data Protection Officer (DPO)
HOD har udpeget en Data Protection Officer (DPO) som fremgår af bilag b.
DPO er ansvarlig for følgende:
- Der er udarbejdet en sikkerhedsforeskrift for behandling af persondata.
- At sikkerhedsforeskriften er kendt af det personale som behandler persondata.
- At sikkerhedsbrud bliver anmeldt.
- At der bliver udarbejdet modforanstaltninger mod sikkerhedsbrud.
- Samtykkekrav
Personer hvis personlige data skal behandles ved HOD, skal have givet samtykke til dette. Samtykket skal være frivilligt, specifikt og HOD skal have oplyst dette til pågældende.
Dette betyder at personer hvis persondata skal behandles i HOD, skal være spurgt inden dette sker.
Indhentning af samtykke skal ske i forbindelse med indmeldelse i HOD, ved anvendelse af blanket for at dette skal kunne dokumenteres. For de personer som er medlem i HOD inden iværksættelsen af persondataforordningen, indhentes samtykke via fagbladet Officeren og på HOD hjemmeside via login.
- Oplysningsforpligtigelse
Ved indsamling af persondata er der en forpligtelse til at oplyse den registrerede person
om indsamlingen, herunder om:
- Formålet med indsamlingen
- Kontaktoplysninger på den dataansvarlige
- Modtagere eller kategorier af modtagere af oplysningerne
- Den registreredes rettigheder til at rette og slette data
- Hjemmelsgrundlaget for behandlingen
- Rettigheder til at trække samtykke tilbage og
- Muligheder for at klage til den nationale datebeskyttelsesmyndighed (Datatilsynet)
- Flytning af data
Såfremt den person hvis data bliver behandlet i HOD, ønsker at få dette flyttet til en anden udbyder eller behandler, kan dette ske ved at overføre data i et struktureret og almindeligt anvendt maskinlæsbart format. Den registrerede skal anmode om dette i skriftlig form.
- Hvornår skal data slettes
Den registrerede har ret til at få sine oplysninger slettet såfremt:
- Det ikke er nødvendigt at behandle persondata for at kunne forfølge formålet
- Den registrerede trækker sit samtykke tilbage, og der ikke er et andet hjemmelsgrundlag at basere behandlingen på
- Databehandlingen er ulovlig
- Sletningen er nødvendig for at opfylde et lovkrav
- Registreret person er under 16 år gammel
For at kunne sagsbehandle medlemmernes sager, herunder at kunne hjælpe medlemmerne i f.eks. lønspørgsmål hvor det er nødvendigt at kendskab til historikken i sagen (herunder f.eks. skattespørgsmål), så gemmer HOD sager i arkiv indtil medlemmet udmeldes af HOD. Dette arkiv forefindes på HOD domicil, og må ikke lægges ud under andre udbydere. Persondatasager som er ældre end 10 år vurderes af den ansvarlige sagsbehandler og der gennemføres eventuelt en anonymisering af dokumentet/sagen.
- Udvikling af produkter- og ydelser
Ved udvikling af nye processer, nye styresystemer eller lignende, skal persondata indtænkes. Det kan f.eks. være ved ændringer af arkiv, hjemmeside eller HOD sagsbehandlingssystem (DocuNote).
Såfremt sikkerheden omkring de registreredes persondata ændres, skal der ske en fornyet samtykkeindhentning.
- Risikoanalyse
HOD herunder PDO, skal udarbejde/justere en risikoanalyse for de enkelte processer minimum hvert andet år, startende fra 2018.
Risikoanalysen skal indeholde følgende:
- En generel beskrivelse af de planlagte behandlings metoder.
- En evaluering af hvilke risici der er for de registrerede.
- Hvilke metoder der er planlagt for at imødekomme risici, herunder sikkerhedsforanstaltninger og mekanismer til beskyttelse af persondata og dokumentation af overensstemmelse med forordningen.
- Underretning af databrud
Ved brud på datasikkerheden omkring persondata, skal PDO underrette Datatilsynet om hændelsen. Ved rapportering skal skemaet i bilag e anvendes, og skal minimum indeholde følgende:
- En beskrivelse af databruddet, samt hvor mange personer er berørte, og hvor meget data er omfattet.
- Kontaktinformationer på DPO.
- En beskrivelse af mulige konsekvenser ved databruddet.
- En beskrivelse af de handlinger virksomheden planlægger at foretage for at imødegå bruddet.
- Dokumentation af dataaktiviteter
HOD er forpligtiget til at kunne dokumentere nødvendigheden af de indsamlede data, samt de processer der anvendes. Der skal som minimum kunne dokumenteres følgende:
- De registrerede har givet samtykke.
- Behandlingen er nødvendig for gennemførelse af en kontrakt med den registrerede person.
- Behandlingen er nødvendig for at forfølge den dataansvarliges legitime interesser, og at disse interesser ikke overstiger den registrerede persons interesse i ikke at blive behandlet.
- Ansvarlig for sikkerhedsforeskriften
PDO er ansvarlig for udarbejdelse og rettelse af denne foreskrift.
Foreskriften er senest justeret den 10. oktober 2018 og skal justeres minimum én gang årligt.