GDPR

Nils Munck Consult (NM-C)

GENERAL DATA PROTECTION POLICY – POLITIK FOR PERSONDATAHÅNDTERING

INDHOLD
1 Formål ……………………………………………………………………………. 1
2 Omfang ……………………………………………………………………………. 2
3 Persondata ………………………………………………………………………. 2
4 Personfølsomme data ………………………………………….. 2
5 Behandling af persondata …………………………………………….. 2
6 Grundlæggende databeskyttelses principper ………………………. 3

6.1 Nøgle Principper ………………………………………………………… 3
6.2 Samtykke eller anden lovbestemt begrundelse………………. 3
6.3 Orienteringsforpligtelse……………………………………………….. 3
6.4 Indsamling og opbevaring …………………………………………… 4
6.5 Fortrolighed……………………………………………………………….. 4
6.6 Dataudlevering til samarbejdspartnere………………………….. 4
6.7 Data Minimerings Princip……………………………………………… 4
6.8 Rettigheder for personer, hvis data NM-C håndterer… 4
6.9 Sikkerhed/Sikkerhedsforanstaltninger …………………………… 5
6.10 Data Overførsel ……………………………… 5
6.11 Vurdering af konsekvens af ændringer i datahåndtering … 5
6.12 Databeskyttelse: ”By Design and by Default” ………………… 5
6.13 Sikring af ajourført databeskyttelsesdokumentation ……… 5
6.14 Registrering og dokumentation af Databehandling …………. 5
6.15 Omhyggelighed og Træning ………………………………………… 5
6.16 Sikkerhedsbrud ………………………………………………………… 6

7 Spørgsmål ………………………………………………………………………………. 6
8 Opfølgning på politik ……………………………………………………………… 6
9 Ændringer i forhold til forrige version ……………………………………….. 6

1 Formål

Nils Munck Consult (NM-C) implementerer denne persondatahåndteringspolitik (“General Data Protection Policy”) for at sikre en minimum standard for beskyttelse af alle personrelaterede data, når de håndteres (indsamles, behandles, videregives, gøres tilgængelige, opbevares eller på anden vis bruges) i forbindelse med aktiviteter og projekter hos NM-C.

Nærværende politik fokuserer på de juridiske krav, som beskrives i “General Data Protection Regulation” (“GDPR”) og på implementeringen af GDPR i virksomhedens arbejde med persondata.

2 Omfang

Enhver person, som har adgang til persondata hos NM-C, er forpligtet til at overholde nærværende politik, når de håndterer persondata i forbindelse med aktiviteter, som gennemføres for NM-C.

3 Persondata

Ved Persondata forstås data eller information om en konkret person, sandfærdige eller ej, som kan identificeres direkte eller indirekte ud fra data eller information. Sådanne data kan inkludere:

– Personlige data om ansatte (eksempelvis navn, adresse, telefon nummer, e-mail adresse, nationalitet, civilstand), data vedrørende organisationen (eksempelvis organisatorisk enhed, cost center, medarbejderidentifikationsnumre, direkte leder), data om ansættelsesforhold (ansættelseskontrakt, ansættelsestype, arbejdstid), information om aflønning og personalegoder, information om tilstedeværelse og sygefravær, information om præstationsvurdering og deltagelse i talentprogrammer, information som indeholdes i e-mails og anden forretningsrelateret kommunikation;
– Personlige data relateret til sundhedssystemet, eksempelvis kontakt detaljer, CRM-aktiviteter, information indeholdt i e-mails og anden forretningsrelateret kommunikation, information om bankkonti:
– Personlige data om ansøgere, eksempelvis kontaktdata, CV, arbejds- og uddannelsesbaggrund, kompetencer;
– Personlige data indeholdt i/tilknyttet hjemmesider/applikations funktioner, såsom IP-adresser og anden online identifikations data, lokationsdata, log-file data, kontakt data;

4 Personfølsomme data

Personfølsomme data er persondata, som kun må indsamles og behandles i helt særlige tilfælde.
Personfølsomme data omfatter:

– Data som afslører racemæssig eller etnisk oprindelse, politiske holdninger, religiøs eller filosofisk overbevisning, fagforeningsmedlemskab;
– Genetiske data;
– Biometriske data (såsom elektronisk fingeraftryk, iris scan eller stemmeoptagelse);
– Data omhandlende helbredstilstand (såsom antal sygedage, status med hensyn til handicap, sygehistorie, inkontinensproblemer);
– Data omhandlende et individs sexliv eller seksuelle orientering

5 Behandling af persondata

Ved “behandling” forstås enhver type omgang med persondata. Det kan være indsamling, registrering, organisering, strukturering, opbevaring, tilpasning eller ændring, hentning, konsultering, brug, offentliggørelse ved transmission, formidling eller på anden måde tilgængeliggørelse, justering eller kombination, begrænsning, sletning eller destruktion (i det følgende kollektivt benævnt “Behandling”).Eksempler på Behandling af persondata:

– Kommunikation med andre personer, såsom afsendelse og modtagelse af e-mails;
– Indhentning af information om personer for at opbevare denne information i databaser:
– Log-in tilgang til hjemmesider eller registrering af brugeres hjemmesidebesøg

6 Grundlæggende databeskyttelses principper

NM-C og alle, som løser opgaver for NM-C, skal efterleve følgende, grundlæggende databeskyttelses principper:

6.1 Nøgle Principper
Nils Munck Consult vil sikre, at persondata

– Behandles i overensstemmelse med loven, på en fair og gennemskuelig måde i forhold til den person, data omhandler (‘lawfulness, fairness and transparency’);
– Indsamles med baggrund i et specifikt, eksplicit og lovligt formål, og ikke videregives i en sammenhæng, som ikke er omfattet af formålet, med mindre dette er specifikt nødvendigt ud fra et lovbestemt krav (”purpose limitation”);
– Behandles adækvat, relevant og begrænset til det, som er nødvendigt i forhold til formålet med databehandlingen (‘data minimisation’);
– Er præcise, og – hvis nødvendigt – ajourførte; ethvert rimeligt skridt må tages for at sikre, at persondata, som er upræcise/ukorrekte i forhold til det formål, i hvilken sammenhæng de er behandlet, slettes eller korrigeres umiddelbart (‘accuracy’);
– Ikke opbevares i en form, som tillader identifikation af en person, længere, end det er nødvendigt for at tjene formålet, med mindre lovmæssigt påkrævet (‘storage limitation’); og hvis længere end 6 måneder ikke uden specifik tilladelse fra personen selv;
– Behandles på en måde, som sikrer det påkrævede sikkerhedsniveau omkring data, inkluderende beskyttelse mod uautoriseret eller ulovlig databehandling og tilfældigt datatab, destruktion er beskadigelse, gennem anvendelse af nødvendige tekniske og organisatoriske tiltag (‘integrity
and confidentiality’).

6.2 Samtykke eller anden lovbestemt begrundelse
Nils Munck Consult vil kun behandle (inkluderende skabelsen af tilgængelighed til data for andre) persondata, hvor den relevante person har afgivet data frivilligt og gennem en specifik, velorienteret og utvetydig indikation har givet samtykke til behandling af vedkommendes persondata i den konkrete sammenhæng, eller hvor en lovbestemmelse tillader databehandlingen.
Behandling af personfølsomme data vil typisk kræve et eksplicit samtykke fra personen.

6.3 Orienteringsforpligtelse
Hvor det er nødvendigt, skal NM-C orientere personer (før behandlingen af data, inkluderende dataindsamling) om følgende:

– Identiteten på det firma, som er ansvarlig for databehandlingen (herunder kontakt information);
– Kontakt information om NM-C’s Data Protection Officer (hvor det er relevant);
– Hvilken type data, der behandles;
– Formålet med persondatabehandlingen, såvel som det juridiske grundlag herfor (samtykke eller lovbestemt begrundelse);
– Hvis databehandlingen tager udgangspunkt i en tvingende, juridisk interesse for NM-C som lovbestemt grundlag: detaljer om denne begrundelse;
– Modtagere (eller grupper af modtagere) af persondata, og – hvor det giver mening – international dataoverførsel, inkluderende reference til de nødvendige sikkerhedsforanstaltninger for international dataoverførsel og de måder, hvorpå personen kan få en kopi af data og de steder, hvor de har været gjort tilgængelige;
– Opbevaringsperioden for persondata;
– Personens rettigheder under eksisterende databeskyttelseslovgivning, hvilket bør indeholde retten til datatilgang, retten til sletning og retten til at gøre indsigelse;
– Retten til at tilbagekalde samtykke på et hvilket som helst tidspunkt uden derved at påvirke det juridiske grundlag for databehandlingen FØR tilbagekaldelsen;
– Retten til at indgive en klage til det kompetente overvågende myndighedsorgan
– Om udleveringen af persondata sker på baggrund af en lovbestemmelse, en kontraktlig forpligtelse (evt. et forhold, der kræver en kontraktlig forpligtelse), om personen er forpligtet til at udlevere persondata – og konsekvenserne af udleveringen af persondata;
– Hvis forekommende: Tilstedeværelsen af automatisk beslutningstagen på baggrund af persondata, herunder profilering, og relevant/forståelig information om den bagvedliggende logik, signifikans og den påtænkte konsekvens af denne databehandling for personen (dette skal gives på en tydelig og gennemskuelig måde).

6.4 Indsamling og opbevaring
Behandlingen/indsamlingen af persondata skal begrænses til kun at omfatte de aktiviteter, som er nødvendige for at opnå det/de fastlagte formål, som data indsamles til og som er i overensstemmende med formål kommunikeret i Orienteringen (6.3 ovenfor). Persondata skal slettes/anonymiseres, så snart det fastlagte formål er opnået og lovbestemte krav er mødt.

6.5 Fortrolighed
Alle ansatte i, eller personer, som arbejder for, NM-C skal forpligte sig til fortrolighed omkring alle persondata og til ikke at udlevere persondata til autoriseret tredjepart.

6.6 Dataudlevering til samarbejdspartnere
Samarbejdspartnere kan opnå adgang til persondata.
I denne situation skal NM-C sikre, at en sådan adgang er begrænset til de persondata, som er absolut nødvendige, at samarbejdspartneren er valgt med omhu, herunder især med fokus på samarbejdspartnerens tekniske og organisatoriske sikkerhedsniveau og anerkendelse/tilslutning til en anerkendt Code of Conduct inden for datasikkerhed eller en tilsvarende certificering.
Hvor det er relevant, indgås konkrete aftaler med samarbejdspartnere i forhold til den håndtering af persondata, som måtte foregå som en del af samarbejdet.

6.7 Data minimerings princip
Håndtering af persondata skal være adækvat, relevant og begrænset til det, som er nødvendigt i forhold til formålet med håndteringen.

6.8 Rettigheder for den person, som persondata omhandler
De personer, hvis persondata håndteres af NM-C, kan have retten til at bede om (1) tilgang til deres persondata, (2) rettelse i deres persondata, (3) sletning af deres persondata, (4) begrænsning af håndteringen af deres persondata, (5) flytning af deres persondata, (6) at protestere mod håndteringen af deres persondata (herunder retten til at protestere mod profilering), og (7) at protestere mod automatisk beslutningstagen (inkluderende profilering).

6.9 Sikkerhed og Sikkerhedsforanstaltninger
NM-C vil tage rimelige initiativer for at sikre, at persondata i NM-C’s besiddelse beskyttes mod tab, uautoriseret tilgang, brug, destruktion, tilpasning eller offentliggørelse, og for at sikre, at de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger er på plads for at beskytte persondata – tilpasset de konkrete datas risikoniveau og følsomhed.
Under hensyntagen til state-of-the-art metoder, omkostninger, art, omfang, sammenhæng og formål med databehandlingen, samt individers rettigheder og frihed, vil dette især omfatte pseudonymisering og kryptering af personoplysninger, foranstaltninger til sikring af fortrolighed, integritet, tilgængelighed og modstandsdygtighed, foranstaltninger til at genoprette personoplysningerne i rette tid i tilfælde af en utilsigtet hændelse, og processer til regelmæssigt at teste, vurdere og evaluere effektiviteten af sikkerhedsforanstaltningerne.

6.10 Data Overførsel
Persondata må ikke overføres til lande, hvor databeskyttelse ikke kan foregå på et tilfredsstillende niveau; vurderet fra et Europæisk data beskyttelses perspektiv (“Restricted Countries”).

6.11 Databeskyttelse – vurdering af konsekvens af ændringer i databehandlingsmetode
Når Nils Munck Consult udvikler eller overvejer en ny databehandlingsaktivitet, især implementering af en ny teknologi eller it-system (såsom applikationer, software, databaser, funktioner) eller ændring af eksisterende Behandlingsaktiviteter, er ejeren af sådan Behandlingsaktivitet ansvarlig for at overholde med databeskyttelsesforskrifterne.

6.12 Databeskyttelse: “By design and by Default”
Ved udvikling af eller overvejelse om en ny databehandlingsaktivitet, især implementering af en ny teknologi eller it-system, eller ændringer i eksisterende databehandlingsaktiviteter, skal passende tekniske og organisatoriske sikkerhedsforanstaltninger overvejes forud for gennemførelsen. Som udgangspunkt må kun persondata, der er nødvendige til det tilsigtede formål, behandles.

6.13 Sikring af ajourført databeskyttelsesdokumentation
Ved udvikling af eller overvejelse om en ny databehandlingsaktivitet, især implementering af en ny teknologi eller it-system, eller ændringer i eksisterende databehandlingsaktiviteter, skal den ansvarlige for databehandlingsaktiviteten informere Nils Munck Consult og give alle nødvendige oplysninger for at sikre, at den tilhørende databeskyttelsesdokumentation (f.eks. Meddelelser, optegnelser over behandlingsaktiviteter, databehandling og dataoverførselsaftaler) er ajourført.

6.14 Registrering og dokumentation af databehandlingsaktiviteter
Databehandlingsaktiviteter skal registreres og dokumenteres. NM-C’s databeskyttelses ansvarlige har ansvaret for, at dette foregår på en måde, som er præcis og omfatter alle aktiviteter.

6.15 Omhyggelighed og træning
Alle ansatte skal modtage træning i omgang med persondata og i den påkrævede omhyggelighed i forhold til persondatabeskyttelse. Alle ansatte skal kende denne GDPR-politik med tilhørende politikker, vejledninger, standarder og instruktioner.

6.16 Brud på sikkerhed
Alle ansatte skal kende og efterleve den notifikations procedure, som træder i kraft ved brud på datasikkerhed. (NM-C’s procedure ved sikkerhedsbrud i forhold til behandling af persondata).

7 Spørgsmål

Alle spørgsmål relateret til NM-C’s GDPR-politik rettes til nm@nilsmunck-consult.com

8 Opfølgning

I forbindelse med denne politik gennemføres en kvartalsvis risikovurdering.
Proceduren for denne risikovurdering er beskrevet i NM-C’s “Risiko Vurdering og Datahåndteringspolitik”.

9 Ændringer i forhold til forrige version

Dette er Version 1 af politikken.

Nils Munck,

Founder and CEO

May 17th, 2018