Behandling af personoplysninger

i virksomheden

METTEOLSEN.DK
CVR: 29672083
SEIDELINSVEJ 13, 4300 Holbæk
20450773

Gældende fra 1. august 2023

1. Lovgivningens rammer – teorien
Fortalen til Jyske Lov fra år 1241, som kong Valdemar gav, og Danerne vedtog, lyder således: ”Med lov skal land bygges”.
Og denne sætning gælder fortsat, således at vi som borgere i Danmark, har pligt til at følge landets lovgivning. Derfor skal personlige oplysninger behandles og anvendes på en lovlig, rimelig og gennemsigtig måde.

1.1 Baggrund
Baggrunden for dette resume af lovgivningens rammer for behandling af personoplysninger tager udgangspunkt i

• EU’s Persondataforordning (GDPR)
• Tilsluttende dansk lovgivning.

Formålet med lovgivningen er at sikre samtlige borgere i såvel EU som i Danmark en privatlivsbeskyttelse, således at der sikres arbejdsgange, der beskytter oplysningerne om den enkelte person.

1.2 Krav til behandling af personoplysninger
Forudsætningen for indhentning og opbevaring af personoplysninger er, at

• de er nødvendige
• de er rigtige og ajourførte
• de er tilgængelige for den person, de vedrører
• de kan slettes
• der foreligger en samtykkeerklæring, kontrakt eller juridisk forpligtigelse.

Enhver håndtering af personlige oplysninger er behandling.

For at sikre, at en person ved, at behandleren opbevarer personlige data om den pågældende, skal der foreligge en samtykkeerklæring vedrørende den konkrete behandling. Denne kan ifølge dansk lovgivning være enten mundtlig eller skriftlig.

Afgivelse af en samtykkeerklæring skal være frivillig (uden pres eller tvang), specifik (knyttet til en konkret anvendelse) og informeret (hvad samtykket gives til) og i særlige tilfælde utvetydigt.

Formålet er at sikre, at de oplysninger, den dataansvarlige ønsker at få oplyst, kun er de nødvendige, at den dataansvarlige ved, at der er forskel på anvendelsen af oplysningerne og at den dataansvarlige ved, at ”ejeren” til konkrete personoplysninger alene er den person, som oplysningerne vedrører.

1.3 Ansvar
Der skelnes i Persondataforordningen imellem i hvert fald disse følgende hovedtyper af interessenter

• den dataansvarlige
• databehandleren, og
• tredjemand

Alle ud over den dataansvarlige og databehandleren er tredjemand.

Databehandleren er en fysisk eller juridisk person, der behandler personoplysninger på den dataansvarliges vegne. Der må udelukkende anvendes databehandlere, som kan stille garantier i form af ekspertise, pålidelighed og ressourcer.

Man kan outsource opgaven, men ikke ansvaret. Derfor skal der være en skriftlig databehandleraftale imellem den dataansvarlige og databehandleren.

Formålet er at fastlægge ansvaret for håndteringen af personlige oplysninger, således at den dataansvarlige er den, der indsamler og bruger de personlige data og databehandleren, der både kan være den dataansvarlige selv, eller f.eks. en ekstern udbyder af bookingsystemer, systemer til journalføring eller udbydere af hjemmesider o.l.

1.4 Videregivelse af data
1.4.1 aftale om databehandling
Videregivelsen skal principielt

• være i en legitim (”berettiget”) interesse
• være baseret på en skriftlig aftale om ansvarsfordeling mm.
• udvise varsomhed i forbindelse med sociale medier
• være godkendt i en samtykkeerklæring

1.4.2 lovreguleret videregivelse

For lovgivningsmæssige krav om videregivelse af personlige oplysninger, kan der foreligge andre krav.

1.4.3 Back-up og ”cloud”

Her skal udbyderen dokumentere en sikker adgang og opbevaring.

Formålet er at sikre, at personlige data ikke ”slippes fri” eller ”lækkes” over for tredjemand.

1.5 Opbevaring af personlige oplysninger
Der stilles krav til opbevaring af personlige oplysninger, såvel vedrørende 

• en fysisk opbevaring, som
• en elektronisk opbevaring

Formålet er, som nævnt under 1.1 at sikre en privatlivsbeskyttelse. Opbevaringen skal beskrives, jf. punkt 1.6.

1.6 Dokumentationskrav
Den dataansvarlige er ansvarlig for og skal kunne påvise, at principperne for behandlingen af personoplysninger overholdes. Der er bl.a. følgende krav til dokumentationen, der skal foreligge skriftligt

• Navn og kontaktinformation på den dataansvarlige
• Formål med anvendelsen af personlige oplysninger
• Beskrivelse af kategorier af personoplysninger
• en generel angivelse af tidsfrister for sletning
• En beskrivelse af tekniske og organisatoriske sikkerhedsforanstaltninger (risikovurdering)

Formålet er at kunne bevise at virksomheden har forstået og lever op til de retslige forpligtigelser, der er gældende i forbindelse med behandlingen af personoplysninger og at dette kan dokumenteres over for myndighederne.

—ooOoo—

2. Sådan gør vi i praksis hos METTEOLSEN.DK 

2.1 Behandlingen af personoplysninger
Den registrerede har altid ret til indsigt i egne data.

2.1.1 Typer af personoplysninger
I virksomheden METTEOLSEN.DK indhentes de nødvendige personlige oplysninger til at kunne identificere kursister, klienter samt publikum til foredrag og koncerter samt til at foretage almindelig.
Der er tale om almindelige personoplysninger
Navn, adresse, telefonnummer samt e-mail.

• Hvilke kurser, behandlinger foredrag eller koncerter, personen er eller ønsker sig tilmeldt.
• Dertil, hvorvidt der ønskes modtagelse af nyhedsbrev eller ej.
• Foto/billedmateriale, som den enkelte samtykker til markedsføring.
• For personer, der indgår afdragsaftaler med metteolsen.dk tillige bankkontonummer i forbindelse med betalingsservice.

2.1.2 Samtykkeerklæring
Behandlingen af ”Almindelige personoplysninger” kræver informeret samtykke (”mundtligt eller skriftligt indforstået”.
Således betragtes tilmelding til modtagelse af nyhedsbrev som skriftligt indforstået, når man selv signer sig op til dette.
Tilsvarende er det indforstået samtykke, når man skriftligt tilmelder sig fx foredrag, informationsaftener, kurser eller behandlinger ved at bruge bookingsystemet. Her registreres de oplysninger, man selv har indtastet.
Det er indforstået samtykke, når den enkelte indgår en afdragsordning med metteolsen.dk som betaling og her oplyser bankkontooplysninger.

Personen har ret til at trække sit samtykke tilbage, så længe det ikke kolliderer med anden lovgivning. I så fald slettes eller anonymiseres personens data.

Der indhentes kun skriftlig samtykkeerklæring ved:

• Ved accept fra kursister eller studerende i forbindelse med brug af billeder til markedsføringssammenhæng.

Formålet med behandlingen af personlige oplysninger

Formålet er at håndtere administration, samt at opfylde krav til dokumentation.

I begrænset omfang indsamles personlige oplysninger (billeder) til markedsføring af metteolsen.dk`s  aktiviteter, dog alene, hvis der forud er indhentet skriftlig samtykke.

2.2 Ansvar
Virksomheden er metteolsen.dk
CVR: 29672083

Den dataansvarlige er:
Formel og legal ejer metteolsen.dk
Mette Gjerløff Olsen
Seidelinsvej 13
4300 Holbæk
mettegolsen@gmail.com
20450773

Databehandlere er:
Samme som den dataansvarlige.

Hertil:
Virksomheden ”Terapeutbooking”, hvor booking, kalender, fakturering, tilmelding/afmelding af nyhedsbrev samt administrative informationer er opbevaret.

Der foreligger databehandleraftale herom.

Virksomheden ”Mailchimp”, hvor tilmeldte til nyhedsbrev står angivet med selvvalgt brugernavn samt e-mail.

Der foreligger databehandleraftale herom

2.3 Videregivelse af personlige oplysninger
Personlige oplysninger videregives ikke til 3. part

2.4 Opbevaring af personlige oplysninger
Alle persondata opbevares i systemet ”Terapeutbooking”.

Hertil foregår generel mailkorrespondance gennem hjemmesidens server samt via mailchimp og terapeutbooking.

Oplysninger på tilmeldte til nyhedsbrev ligger lagret i ”Mailchimp”.

2.5 Tidsfrister for sletning
Data opbevares i 1 år.

Personer, der alene har haft tilmeldt sig nyhedsbrev og ønsker sig afmeldt dette, slettes helt fra systemet.

2.6 Risikovurdering
Opbevaring af persondata:

Elektronisk ved Terapeutbooking samt E-conomic: Lav risiko.

Mailkorrespondancer (ikke personfølsomme informationer): Middel.

Elektronisk i Mailchimp: Lav risiko.

Alle systemer kan alene tilgås ved unikt password.

Ved brud på sikkerheden:
Ved brud på sikkerheden anmeldes dette til Datatilsynet senest 72 timer efter bruddet.

Her oplyses det, hvad konsekvenserne af sikkerhedsbruddet er samt oplyses, hvad der er gjort for at stoppe sikkerhedsbruddet, og – hvor det er muligt – underrettes de berørte personer.