GDPR i detaljer

GDPR i aarsnorm

.. information mest til medarbejdere ..

aarsnorm har institutioner og kommuner som kunder og kunderne har som dataansvarlige valgt at benytte aarsnorm til at beregne medarbejderne arbejdstid i normen. Beregningen sker ved indlæsning af overenskomster og arbejdstid.

dataansvarlige
Den dataansvarlige er den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør til hvilket formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger.

aarsnorm arbejder som databehandler og er underlagt de ønsker og krav som institutioner og kommuner (databehandler) har udstukket.

databehandlere
En databehandler er den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der behandler personoplysninger på den dataansvarliges vegne.

aarsnorm behandlingen af personoplysninger er lovlig, når den sker for at opfylde forpligtelserne i en kontrakt, som den registrerede er part i. Behandlingen er også lovlig, når den sker på den registreredes anmodning forud for indgåelse af en kontrakt.
Behandling af personoplysninger kan ske på baggrund af både den registreredes og den dataansvarliges forpligtelser og rettigheder. Der sigtes til enhver form for forpligtelse eller rettighed, der følger af en lov eller aftale på det relevante område. Omfattet er bl.a. behandlinger, som følger af en overenskomst mellem arbejdsmarkedets parter.

personoplysninger er enhver form for information om en identificeret eller identificerbar fysisk person. aarsnorm behandler udelukkende almindelige personoplysninger som er den brede betegnelse for personoplysninger, som ikke er følsomme personoplysninger. Almindelige personoplysninger er bl.a. oplysninger om e-mails, telefonnumre, CPR-numre, økonomiske- eller uddannelsesmæssige forhold, IP-adresser m.v.

Den registrerede er den fysiske person – medarbejderen – der behandles personoplysninger om.

Krav om berigtigelse af oplysninger
Den registrerede har, ved fremsendelse af en anmodning til den dataansvarlige herom, ret til at få rettet eller ajourført urigtige, vildledende eller forældede oplysninger.

Det er den dataansvarlige (institutionen, kommunen) som skal underrette den registrerede (medarbejderen) i forbindelse med indsamling og behandling af den registreredes personoplysninger herunder bl.a. om formålene med behandling af personoplysningerne, retsgrundlaget for behandlingen, opbevaringsperioden og eventuelle modtagere af personoplysningerne.

Den dataansvarlige skal sikre, at indsamlede personoplysninger er korrekte og ajourførte. Personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, skal straks slettes eller berigtiges. Et eksempel kan være en medarbejder der er registreret med forkert løntimer eller forkert afholdt ferie, hvor løntimer rettes og forkert ferie slettes. .

aarsnorm indsamler kun personoplysninger som er tilstrækkelige, relevante og begrænsede til, hvad der er nødvendigt i forhold til formålet med behandlingen som er at udregne en korrekt arbejdstid iht overenskomsten og normen. Dette betyder, at der ikke må indsamles flere oplysning end der er behov for til opfyldelse af formålet. Det indebærer endvidere, at der ikke må indsamles følsomme oplysninger, da formålet kan opnås ved at indsamle almindelige personoplysninger.

aarsnorm er sikret med rettighedsstyring som kan tilgås af ledere og medarbejdere.

Det bør sikres, at systemer og data kun kan tilgås af de personer, der har et arbejdsbetinget behov herfor. Dette forudsætter en formel autorisationsordning og arbejdsgang, der kun autoriserer personer, der er beskæftiget med de formål, hvortil oplysningerne behandles. Det er her nødvendigt at etablere en teknisk adgangskontrol i systemerne som f.eks. en brugeridentifikation med tilhørende password.

aarsnorm foretager en maskinel logning som en del af sikkerheden i programmet.

Der skal foretages maskinel registrering og logning af alle anvendelser af fortrolige personoplysninger. Registreringen skal mindst indeholde oplysninger om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrører, eller det anvendte søgekriterium.

aarsnorm anvender kryptering i alle forbindelser mellem systemerne

Kryptering er betegnelsen for en proces, der matematisk omdanner oplysninger til uforståelig information/kode, og dermed understøtter oplysningernes fortrolighed, og mindsker risikoen for manglende integritet, tilgængelighed og robusthed. Kryptering gør således oplysningerne ubrugelige, medmindre de kan omdannes til et forståeligt format med den rigtige krypteringsnøgle. Kan oplysninger omdannes, anses de for at være personoplysninger.

.. information mest til den dataansvarlige (institutioner og kommuner) ..

Den dataansvarlige (institutioner og kommuner) skal:

pkt 1.
indføre procedurer eller tekniske løsninger, der sikrer, at personoplysninger bliver slettet løbende, når de ikke længere er nødvendige til at opfylde indsamlingsformålet.

pkt 2.
lave en sikkerhedsmæssig risikovurdering
Ved enhver form for behandling af personoplysninger skal den dataansvarlige foretage en såkaldt risikovurdering med henblik på at klarlægge, hvilket sikkerhedsniveau, der er passende, samt sikre, at behandlingen lever op til dette sikkerhedsniveau.

pkt. 3
vurdere risiko og igangsætte konsekvensanalyse
Ved enhver form for behandling af personoplysninger skal den dataansvarlige foretage en såkaldt risikovurdering med henblik på at sikre et passende sikkerhedsniveau. Hvis risikovurderingen viser, at behandlingen i medfør af sin karakter, omfang, sammenhæng og formål sandsynligvis vil indebære en høj risiko for de registreredes rettigheder, skal den dataansvarlige herefter gennemføre en konsekvensanalyse.

pkt 4.
underrette tilsyn efter brud på sikkerheden
Bliver den dataansvarlige bekendt med, at der er sket et brud på persondatasikkerheden, skal bruddet anmeldes til Datatilsynet uden unødig forsinkelse og om muligt senest 72 timer efter bruddet. Kan den dataansvarlige påvise, at bruddet på persondatasikkerheden sandsynligvis ikke indebærer risiko for fysiske personers rettigheder, er en anmeldelse ikke nødvendig.

pkt 5.
underrette de registrerede
Indebærer et brud på persondatasikkerheden med sandsynlighed en høj risiko for fysiske personers rettigheder, skal den dataansvarlige uden unødig forsinkelse underrette den registrerede herom i et klart og forståeligt sprog. Den dataansvarlige skal beskrive karakteren af bruddet samt bl.a. oplyse de sandsynlige konsekvenser heraf og de foranstaltninger, som den dataansvarlige har truffet for at håndtere bruddet.

pkt 6.
opbevarer og behandle
Opbevaring af personoplysninger udgør en behandling af personoplysninger. Af sikkerhedsmæssige grunde skal den dataansvarlige derfor have et præcist overblik over, hvor oplysningerne er opbevaret. Der skal i den sammenhæng udvises forsigtighed ved anvendelse af cloud-leverandører, der bruger datacentre både i og uden for EU.
En behandling er enhver aktivitet, som personoplysninger gøres til genstand for. Behandlingsbegrebet skal forstås bredt og kan f.eks. være indsamling, registrering, organisering, systematisering, opbevaring, tilpasning, ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse.

pkt 7.
opsætte standardindstillinger
Den dataansvarlige skal gennem standardindstillinger fastsætte passende tekniske og organisatoriske foranstaltninger. Formålet er at sikre, at kun personoplysninger, der er nødvendige under hensyn til formålet, behandles.

pkt 8.
sikre instrukser bliver overholdt
Den dataansvarlige skal sikre sig, at oplysninger, som er overladt til en databehandler, bliver behandlet i overensstemmelse med kravene til datasikkerhed og den dataansvarliges instrukser. Den dataansvarlige skal således aktivt sikre, at de påkrævede sikkerhedsforanstaltninger bliver overholdt hos databehandleren. Det kan i den sammenhæng bl.a. være relevant at indhente en årlig revisionserklæring fra en uafhængig tredjepart.

pkt 9.
føre en fortegnelse som dataansvarlig
Den dataansvarlige skal føre en skriftlig og elektronisk fortegnelse over behandlingsaktiviteter under dennes ansvar. Fortegnelsen skal bl.a. omfatte navn og kontaktoplysninger på den dataansvarlige, formålene med behandlingen, en beskrivelse af kategorierne af registrerede samt kategorierne af personoplysninger.

Den dataansvarlige (institutioner og kommuner) og databehandleren (aarsnorm) skal:

pkt 10.
sikre fysisk sikkerhed
Den dataansvarlige og databehandleren sikrer fysisk såvel som teknisk og organisatorisk sikkerhed omkring behandlingen af personoplysninger. Fysisk sikkerhed kan f.eks. tilgodeses gennem installation af tyverialarmer og overvågning, sikring af aflåste og brandsikrede lokaler og adgangskontrol.

pkt 11.
identificere brud på persondatasikkerheden
Den dataansvarlige og databehandleren skal udvikle tekniske og organisatoriske systemer, der gør dem i stand til at identificere et brud på persondatasikkerheden – dvs. et brud, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.

pkt 12.
kunne genoprette adgang og data
Den dataansvarlige og databehandleren skal sikre evnen til rettidigt at kunne genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse. En sådan genoprettelse kan eksempelvis ske gennem datarekonstruktion.

pkt 13.
fastsætte retningslinjer
For at danne et passende sikkerhedsniveau skal den dataansvarlige og databehandleren fastsætte retningslinjer for behandling af personoplysninger. Eksempelvis retningslinjer for indsamling af oplysninger, underretning af de registrerede om behandling af deres oplysninger, adgang og autorisering til oplysningerne samt instrukser om brugen af kryptering og hyppigheden af backups.

pkt 14.
lave tekniske løsninger
Den dataansvarlige og databehandleren skal gennemføre tekniske foranstaltninger med henblik på at sikre, at databeskyttelse i tilstrækkeligt omfang er tænkt ind i it-systemer og lignende.

pkt 15.
fastlægge forretningsprocesser
Den dataansvarlige og databehandleren skal tænke databeskyttelse ind i relevante forretningsprocesser med henblik på at sikre, at organisationen lever op til forordningens krav til behandling af personoplysninger. Det kan eksempelvis være en forretningsproces, som sikrer, at medarbejdere ikke indsamler flere oplysninger end de skal bruge til udførelsen af deres opgaver. Det kan også være en forretningsproces, som vejleder om, hvornår medarbejdere skal sende information til registrerede personer om behandling af deres oplysninger. Processerne bør løbende afprøves og vurderes med henblik på at sikre deres effektivitet.

pkt 16.
fortegnelse over jeres behandlinger
Både den dataansvarlige og databehandleren skal føre en skriftlig og elektronisk fortegnelse over behandlingsaktiviteter. De indholdsmæssige krav til en fortegnelse varierer afhængig af, om man er dataansvarlig eller databehandler. Fortegnelsen er et dokument, som giver et overblik over den dataansvarliges eller databehandlerens behandlingsaktiviteter. Fortegnelsen danner bl.a. grundlaget for overholdelse af kravene til dokumentation.

pkt 17.
beslutte placering af ansvar
Virksomheder og myndigheder bør altid beslutte, hvor i organisationen ansvaret for databeskyttelsesspørgsmål skal ligge. Offentlige myndigheder og visse private virksomheder skal udpege en såkaldt databeskyttelsesrådgiver. Der kan udnævnes en fælles databeskyttelsesrådgiver for en koncern. På samme måde kan flere offentlige myndigheder gå sammen om en fælles databeskyttelsesrådgiver.

pkt 18.
udpege en databeskyttelsesrådgiver
Databeskyttelsesrådgiveren skal udpeges på grundlag af vedkommendes faglige kvalifikationer og navnlig ud fra personens ekspertise inden for databeskyttelsesret og databeskyttelsespraksis. Der skal endvidere tages højde for rådgiverens evne til at udføre opgaverne som databeskyttelsesrådgiver.

pkt 19.
inddragelse den ansvarlige
Den dataansvarlige og databehandleren har pligt til at inddrage databeskyttelsesrådgiveren tilstrækkeligt og rettidigt i alle spørgsmål vedr. beskyttelse af personoplysninger. De skal desuden støtte rådgiveren ved at tilvejebringe de ressourcer der er nødvendige for, at rådgiveren kan udføre opgaver vedr. databeskyttelse. Ligeledes skal den dataansvarlige bidrage til, at rådgiverens ekspertise opretholdes, samt at rådgiveren sikres adgang til personoplysninger og behandlingsaktiviteter.

Databehandleren (aarsnorm) skal:

pkt 20.
drifte it-systemet aarsnorm
It-systemer kan både være applikationer, infrastruktur, lagringsdrev (fællesdrev og sharepoint) mv.

pkt 21.
føre en fortegnelse som databehandler
Databehandleren skal føre en skriftlig og elektronisk fortegnelse over alle kategorier af behandlingsaktiviteter, der foretages på vegne af en dataansvarlig. Fortegnelsen skal indeholde navn og kontaktoplysninger på databehandler og dataansvarlig. Fortegnelsen skal derudover beskrive de kategorier af behandling, der foretages, samt hvis muligt give en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, som er gennemført for at sikre et tilstrækkeligt sikkerhedsniveau. Det skal desuden angives, hvis der overføres personoplysninger til et tredjeland.

pkt 22.
privacy by design og by default
Databeskyttelsesforordningen indeholder en ny bestemmelse om privacy by design og by default. Bestemmelsen indebærer, at it-systemer skal indrettes således, at de fremmer en effektiv implementering af databeskyttelsesprincipperne, beskyttelse af de registreredes rettigheder samt efterlevelse af forordningens regler. Derudover skal it-systemerne som standard være indstillet til at sikre, at kun personoplysninger, som er nødvendige, behandles.

pkt 23.
underskrive og overholde databehandleraftale
En databehandleraftale er en kontrakt eller andet retligt dokument, som er bindende for databehandleren med hensyn til den dataansvarlige. Databehandleraftalen skal foreligge skriftligt, herunder elektronisk, og leve op til en række indholdsmæssige krav fastsat i databeskyttelsesforordningen.

pkt 24.
arkivering af oplysninger
Personoplysninger kan overføres til opbevaring i arkiv efter reglerne i arkivlovgivningen. Arkivlovens bestemmelser om offentlige arkivalier gælder for al virksomhed, der udøves af den offentlige forvaltning og domstolene, og har til formål at sikre bevaringen af arkivalier, der har historisk værdi eller tjener til dokumentation af forhold af væsentlig administrativ eller retlig betydning for borgere og myndigheder. Det er Rigsarkivaren, der fastsætter nærmere regler om bevaring og kassation af offentlige arkivalier.

pkt 25.
yderligere informationer
Ud over informationerne oplistet under det foregående svar, skal I, i det omfang det er nødvendigt for at sikre en rimelig og gennemsigtig behandling, give den registrerede en række yderligere informationer.

pkt 26.
være opmærksom på relevante interessenter
Relevante interessenter kan f.eks. være nøglepersoner i forretningen, en databeskyttelsesrådgiver (DPO) eller en anden person, som er ansvarlig for jeres behandling af personoplysninger, it-kyndige eller informationssikkerhedsmedarbejdere.

Følgende iht GDPR finder ikke anvendelse for aarsnorm:

aarsnorm benytter ikke pseudonymisering
Pseudonymisering er behandling af personoplysninger på en sådan måde, at oplysningerne ikke kan henføres til en bestemt registreret uden brug af supplerende oplysninger. De supplerende oplysninger skal opbevares separat og være underlagt tekniske og organisatoriske foranstaltninger, der sikrer, at de ikke henfører til en identificeret eller identificerbar fysisk person.

aarsnorm benytter ikke underdatabehandlere
Efter forudgående godkendelse fra den dataansvarlige kan databehandleren vælge at gøre brug af en anden databehandler – en såkaldt underdatabehandler. Underdatabehandleren er pålagt de samme databeskyttelsesforpligtelser som den oprindelige databehandler. Opfylder underdatabehandleren ikke disse forpligtelser, er den oprindelige databehandler fuldt ansvarlig for opfyldelsen af underdatabehandlerens forpligtelser.

aarsnorm behandler ikke oplysninger i tredjelande
Et tredjeland er en stat, som ikke indgår i Det Europæiske Fællesskab eller EØS.

aarsnorm benytter ikke kommercielle cloud- og drivudbydere til overførsel
En overførsel skal ikke udelukkende forstås som fysisk overførsel af personoplysninger til et andet land, hvor oplysningerne efterfølgende bliver lagret. En overførsel kan ligeså vel foreligge, når en dataansvarlig/kunde overlader håndteringen af sine data til en leverandør af såkaldt cloud computing. Her opbevares oplysningerne typisk i et datacenter hos cloud-leverandøren, og kan tilgås af den dataansvarlige/kunden via internettet. Som eksempler på løsninger kan nævnes cloud-lagertjenester som OneDrive, Dropbox og Google Drive samt email-tjenester som Gmail og Outlook.

aarsnorm benytter ikke profilering
Profilering dækker over enhver form for automatisk behandling af personoplysninger, der evaluerer personlige forhold om en fysisk person. Profilering sker navnlig for at analysere eller forudsige forhold om den fysiske person, f.eks. om personens arbejdsindsats, økonomiske situation, helbred, indkøbsmønstre, interesser eller geografisk position.

aarsnorm benytter ikke samkøring i kontroløjemed
Samkøring i kontroløjemed er en betegnelse for sammenkobling af oplysninger, der kommer fra forskellige registre. Ved at sammenkoble oplysningerne tilvejebringes yderligere oplysninger om den registrerede, som ikke kan læses ud af det enkelte register. Formålet med samkøring kan være at afdække, om en person har modtaget en offentlig ydelse, som vedkommende ikke er berettiget til.

aarsnorm behander ikke følsomme personoplysninger
Følsomme personoplysninger er helbredsoplysninger, oplysninger om genetisk og biometrisk data, medlemskab af fagforening, politisk, religiøs eller filosofisk overbevisning, race og etnisk oprindelse, seksualitet og seksuel orientering samt oplysninger om andre rent private forhold. Følsomme personoplysninger er pga. deres karakter underlagt en særlig og skærpet regulering.

—-