Persondataforordning

Læs mere

GDPR – General Data Protection Regulation

EU’s persondata forordning pr. 25. maj 2018

Politik for håndtering af persondata forordning

i Fonden DGI Huset Nordkraft

Indhold

  1. Generelle forhold for datahåndtering i DGI Huset Nordkraft
  2. Fortegnelse over behandlingen af personoplysninger
  3. Behandlingens formål og lovlighed, samt opbevaring og sletning af persondata
  4. Datasikkerhed og brud på persondatasikkerheden
  5. Videregivelse
  6. Databehandlere
  7. Rettigheder
  8. Orientering til kunder om persondatahåndtering i DGI Huset
  9. Håndtering af data vedrørende kunderelationer
  10. Håndtering af data vedrørende medarbejdere og bestyrelse
  11. Kontrakter for underleverandørers håndtering af data for DGI Huset

 

Ad 1. Generelle forhold for persondatahåndtering i DGI Huset

DGI Huset overholder de regler, der er definerede i ”General Data Protection Regulation” populært kaldet EU’s persondataforordning.

DGI Huset har til det formål udfærdiget en databeskyttelsespolitik, som skal sikre og dokumentere at virksomheden beskytter sine personoplysninger i overensstemmelse med reglerne for behandling af personoplysninger.
Politikken bidrager desuden til at virksomheden oplyser om behandlingen og brugen af de registrerede personoplysninger.

Politikken gennemgås hvert år og ændringer godkendes af bestyrelsen.

Der udfærdiges en mappe kaldet ”Persondatahåndtering i DGI Husets Norkraft” med det samlede materiale. Mappen forefindes som original på direktionskontor og forefindes i 2 kopier:

  • en mappe opbevares i receptionsområdet til brug for alle medarbejdere, og til brug for fremvisning for kunder/brugere/medlemmer, der ønsker at kende nærmere til håndteringen af deres persondata
  • en mappe forefindes i et lukket, elektronisk arkiv med adgang for direktør og bestyrelsens forretningsudvalg
  • en Master-mappe med originale dokumenter, der opbevares på direktionskontor til brug for direktionen


Ad 2. Fortegnelse over behandlingen af personoplysninger

Virksomheden behandler oplysninger om:

  • Medarbejdere
  • Kunder
  • Leverandører

Virksomheden har udarbejdet en fortegnelse over behandlingen af personoplysninger. Fortegnelsen giver overblik over de handlinger, som virksomheden er ansvarlig for.

Personoplysningerne er en forudsætning for, at Virksomheden kan indgå ansættelses-, kunde- og leverandørkontrakter.

Ad 3. Behandlingens formål og lovlighed, samt opbevaring og sletning af persondata

Personoplysningerne behandles og arkiveres i forbindelse med:

  • Personaleadministration, herunder rekruttering, ansættelse, fratrædelse og udbetaling af løn
  • Stamdata for medlemmer / brugere af de fleksible motionstilbud kaldet Clip’n’Fit
  • Stamdata for kunder samt ordrer og salg
  • Stamdata for leverandører samt rekvisitioner og køb
  • Kontrakter

Virksomheden benytter ikke personoplysningerne til andre formål end de listede. Virksomheden indsamler ikke flere personoplysninger end nødvendigt i forhold til opfyldelse af formålet.

Opbevaring og sletning

Virksomheden har indført følgende overordnede retningslinjer for opbevaring og sletning af personoplysninger:

  • Personoplysninger opbevares i fysiske mapper.
  • Personoplysninger opbevares i it-systemer og på serverdrev.
  • Personoplysninger opbevares ikke længere, end hvad der er nødvendigt for formålet med behandlingen.
  • Personoplysninger for medarbejdere/bestyrelsesmedlemmer slettes fem år efter endt ansættelse/ophør, og personoplysninger om ansøgere slettes efter tolv måneder.

Ad 4. Datasikkerhed og brud på persondatasikkerheden

Virksomheden har ud fra en risikovurdering gennemført følgende sikkerhedsforanstaltninger for beskyttelse af personoplysninger:

  • Kun medarbejdere, der har et arbejdsbetinget behov for adgang til de registrerede personoplysninger, har adgang hertil enten fysisk eller gennem it-systemer med rettighedsstyring.
  • Alle computere har adgangskode, og medarbejderne må ikke overlade deres adgangskoder til andre.
  • Computere skal have installeret firewall og antivirusprogram, der løbende opdateres.
  • Personoplysninger slettes på forsvarlig vis ved udfasning og reparation af it-udstyr.
  • USB-nøgler, eksterne harddiske mv. med personoplysninger skal opbevares i aflåst skuffe eller skab.
  • Fysiske mapper er placeret i aflåst kontor eller i aflåste skabe.
  • Personoplysninger i fysiske mapper slettes ved makulering.
  • Alle medarbejdere i administration og ledelse, der håndterer persondata i DGI Huset, skal i fm ansættelsens opstart modtage instruktion i, hvad de må gøre med personoplysninger, samt hvordan personoplysninger skal beskyttes. Der foretages endvidere en årlig gennemgang af proceduren for den samlede gruppe af medarbejdere, der håndterer persondata.
  • Øvrige medarbejdere, der ikke har adgang til de forespurgtes persondata, orienteres om proceduren ved forespørgsel uden for almindelig kontortid: Her henvises forespørgeren til at kontakte DGI Huset i kontorets åbningstid, hvor man kan få udleveret den ønskede dokumentation.

Brud på persondatasikkerheden

I tilfælde af brud på persondatasikkerheden, anmelder virksomheden hurtigst muligt og inden 72 timer bruddet til Datatilsynet. DGI Husets direktør, eller hvis vedkommende ikke er tilstede, DGI Husets bestyrelsesformand er ansvarlig for at dette sker. I anmeldelsen beskrives bruddet, hvilke grupper af personer det vedrører og hvilke konsekvenser bruddet kan få for disse personer, samt hvordan virksomheden har eller vil afhjælpe bruddet. I tilfælde, hvor bruddet indebærer en høj risiko for de personer, om hvem virksomheden behandler personoplysninger, vil virksomheden endvidere underrette disse.
Virksomheden dokumenterer alle brud på persondatasikkerheden i en lukket mappe i DGI Husets lukkede elektroniske arkiv, hvortil direktør og bestyrelsens forretningsudvalg har adgang.

Ad 5 Videregivelse

Personoplysninger om medarbejdere kan blive videregivet til offentlige myndigheder f.eks. SKAT og pensionsselskaber.

Ad 6 Databehandlere

Virksomheden benytter udelukkende databehandlere, såfremt databehandlerne stiller de fornødne garantier for, at de vil gennemføre de passende tekniske og organisatoriske sikkerhedsforanstaltninger til opfyldelse af persondatarettens krav. Alle databehandlere underskriver en databehandleraftale forinden behandlingen iværksættes.

Ad 7 Rettigheder

Virksomheden varetager den registreredes rettigheder, herunder retten til indsigt, tilbagetrækning af samtykke, berigtigelse og sletning, og orienterer de registrerede om virksomhedens behandlinger af personoplysninger. Registrerede har ligeledes ret til at klage til datatilsynet.

Ad 8. Orientering til kunder om persondatahåndtering i DGI Huset

Nærværende politik om persondatahåndtering i DGI Huset forefindes på DGI Husets hjemmeside www.dgihusetnordkraft.dk  samt I de to bookingsystemer, som kunder af huset benytter.

Ad 9. Håndtering af data vedrørende kunderelationer

Fitnessmedlemmer:
DGI Husets medlemmer og brugere af det fleksible træningstilbud kaldet Clip’n’Fit oprettes i et elektronisk bookingsystem. Der vil være medarbejdere i DGI Husets forskellige afdelinger, der skal bruge oplysningerne for at håndtere samarbejdet. I forbindelse med oprettelse af sit køb oplyser kunden en række forhold, der er nødvendig for DGI Husets håndtering af medlemskabet. Kunden kan selv logge sig ind i systemet med sit individuelt tildelte password, og se alle de oplysninger, som DGI Huset har om kunden.
Alle elektroniske data (og eventuelle hard copy papirer) slettes, hvis kunden har været inaktiv mere end 3 år med mindre det af hensyn til overholdelse af gældende regler i regnskabslovgivningen er forlangt at DGI Huset opbevarer materialet i 5 år.. Oplysninger om eventuelt automatisk trækning af PBS abonnement i bank, skal medlemmet selv oprette i sin bank.

Kunder der foretager lokaleleje, leje til events mv.:
DGI Husets kunder indsender ansøgning om at booke lokaler til idræt eller møder, eller andre events, via et internetbaseret bookingsystem. Alternativt sker bookingforespørgsler via personlig eller telefonisk kontakt. I den forbindelse oplyser kunden en række forhold, der er nødvendig for DGI Husets håndtering af forespørgslen. Der vil være medarbejdere i DGI Husets forskellige afdelinger, der skal bruge oplysningerne for at håndtere samarbejdet. Kunden kan selv logge sig ind i bookingsystemet med sit individuelt tildelte password, og se alle de oplysninger, som DGI Huset har om kunden.
Alle elektroniske data (og eventuelle hard copy papirer) slettes, hvis kunden har været inaktiv mere end 3 år med mindre det aht overholdelse af gældende regler i regnskabslovgivningen er forlangt at DGI Huset opbevarer materialet i 5 år.

Ad 10. Håndtering af data vedrørende medarbejdere og bestyrelse

Alle persondataoplysninger for medarbejdere og bestyrelsesmedlemmer opbevares i 5 år efter ophør af professionel relation til DGI Huset.

Ad 11. Kontrakter for underleverandørers håndtering af data for DGI Huset

DGI Huset har indgået kontrakt med alle underleverandører, der behandler fortrolig persondata på vegne af DGI Huset.
Kontrakterne sikrer at underleverandøren overholder fortrolighed og sikker håndtering omkring DGI Husets data. Alle kontrakter opbevares i originaler i hard copy i direktionskontor.

DGI Huset opbevarer alt regnskabsmateriale og aftaler som leverandørservice mv i 5 år, således at der kan fremvises dokumentation i ht krav fra SKAT jvnf. gældende regnskabslovgivning.

Senest opdateret d. 25.05. 2018
Carina Lind Husum, Direktør

Bliv en del af fælleskabet

DGI Huset Nordkraft – Et dynamisk hus i konstant udvikling