Behandling af personoplysninger på Nordens Velfærdscenter
Baggrund
Nordens Velfærdscenter er en almennyttig offentlig institution under Nordisk Ministerråd. Nordisk Velfærdscenter er ikke omfattet af trykkefrihedsforordningen og offentligheds- og fortrolighedsloven. De eksterne personoplysninger, vi håndterer, handler primært om tilmeldinger til arrangementer, bestillinger og udsendelse af publikationer, abonnementer og nyhedsbreve. Personoplysning overføres ikke til en anden part.
Den 25. maj 2018 trådte en europæisk databeskyttelsesforordning kaldet GDPR (General data Protection Regulation) i kraft i Sverige, Finland og det øvrige EU. Den erstattede personoplysningslove i de respektive lande.
Nordisk Velfærdscenter er dataansvarlig i to lande, nemlig Finland og Sverige. Disse to lande følger den europæiske databeskyttelsesforordning og har inkorporeret GDPR-bestemmelserne i deres nationale lovgivning. I den finske (5.12.2018/1050) og den svenske databeskyttelseslov (Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning) beskrives det nærmere, hvordan disse lande anvender GDPR.
I Finland er det Dataombudsmannens byrå, som er tilsynsmyndighed, og som har til opgave at overvåge efterlevelsen af databeskyttelseslovgivningen og øvrige love om behandling af personoplysninger. I Sverige er det Integritetsskyddsmyndigheten, som er tilsynsmyndigheden, og som overvåger, at GDPR og den svenske databeskyttelseslovgivning følges.
Nordens Velfærdscenter behandler grænseoverskridende personoplysninger i to europæiske medlemsstater. Mere om denne behandling kan læses på:
https://www.imy.se/lagar–regler/dataskyddsforordningen/gransoverskridande-personuppgiftsbehandling/
Håndtering af personoplysninger
Nordens Velfærdscenter følger GDPR med den gældende lovgivning i hhv. Sverige og Finland for håndtering af personoplysninger.
Med personoplysninger mener vi alle former for oplysninger, der kan knyttes til en levende fysisk person. F.eks. personnummer, navn, adresse, fotos og i visse tilfælde også lydoptagelser, der er gemt elektronisk.
Personoplysninger om børn anses for at være særligt beskyttelsesværdige i databeskyttelseslovgivningen, da børn kan have vanskeligere ved at forudse risici forbundet med at udlevere deres oplysninger og forstå, hvilken ret til beskyttelse af deres oplysninger de har. Præcis som det gælder for voksne, skal man have et retsgrundlag, det vil sige hjemmel i loven, for at kunne behandle personoplysninger om børn.
For at Nordens Velfærdscenter skal kunne opfylde reglerne:
- indsamler vi ikke andre personoplysninger end dem, der kræves for virksomheden, og som der er et retsgrundlag for at indsamle
- opbevarer vi nødvendige eksterne personoplysninger i et fælles kontaktregister
- er der udpeget en ansvarlig for hver persondatabehandling
- opbevarer vi personoplysninger på en sikker måde i overensstemmelse med gældende IT-politik.
Vi fører et register over alle de personoplysninger, vi behandler. Af registeret fremgår det, hvem der er dataansvarlig på Nordens Velfærdscenter, databehandler (når behandlingen af personoplysninger finder sted uden for Nordens Velfærdscenter), beskrivelse af behandling af personoplysninger, hvorfor vi indsamler og opbevarer personoplysninger, tidsbegrænsning for opbevaring af disse oplysninger, sletningsrutine samt hvilket retsgrundlag behandlingen af personoplysningerne hviler på.
Til hvad bruges de personoplysninger, som vi har indsamlet?
Vi indsamler personoplysninger til specifikke udtrykkeligt angivne og legitime formål. Det betyder, at oplysninger, der indsamles til et bestemt formål, ikke må anvendes til helt andre formål.
Vi indsamler personoplysninger med henblik på udsendelse af publikationer, invitationer, nyhedsmails til journalister og følgere, personaleudnævnelser, lønadministration, oplysninger til skattemyndigheder og sociale myndigheder samt til personaleadministration.
Hvordan vi indsamler personoplysninger og håndterer dem
Nordens Velfærdscenter indsamler personoplysninger via Lyyti gennem tilmeldinger til arrangementer på hjemmesiden eller gennem abonnementer på vores nyhedsbrev og andre publikationer og sker via tilmelding på hjemmesiden. For de personoplysninger, der kræver samtykke, gives samtykket i forbindelse med tilmelding/bestilling. Nordens Velfærdscenters registerfortegnelse over behandlede personoplysninger angiver, hvor og på hvilket retsgrundlag oplysninger indsamles, og hvordan samtykke gives (hvor et sådant kræves). Her angives det også, hvem der er ansvarlig for behandlingen af personoplysningerne. Ingen må indsamle personoplysninger uden den ansvarliges godkendelse.
Lime er Nordens Velfærdscenters kontaktdatabase og bruges til opbevaring og vedligeholdelse af information om vores kontakter. Værktøjet bruges til at administrere lister, søge efter kontakter og lave målrettet udsendelse af publikationer gennem forskellige kanaler. Formålet med Lime er at indsamle personoplysninger i en database for at forenkle håndteringen og søgningen af relevant information om vores kontakter for alle på Nordens Velfærdscenter, der skal bruge personoplysninger i deres arbejde.
Opbevaring
Hvor de indsamlede oplysninger opbevares, afhænger af reglerne for de respektive registre. Det samme gælder, hvor længe oplysningerne opbevares. Faktorer, der kan påvirke opbevaringstiden, er f.eks. love og bestemmelser, eksempelvis regnskabsloven. Nordens Velfærdscenter opbevarer aldrig personoplysninger længere end nødvendigt. Opbevaringsperioderne for hver enkelt behandling af personoplysninger fremgår af registeret over behandling af personoplysninger. Her fremgår det også, om der sker automatisk sletning af oplysninger efter et bestemt tidsrum.
For databehandlere, der benyttes af Nordens Velfærdscenter, reguleres opbevaring og sikkerhed, der opfylder GDPR og gældende lovgivning, i aftalen.
Retten til at blive glemt samt klager til databeskyttelsesmyndigheder
Personer har ret til at få adgang til deres oplysninger og få rettet forkerte oplysninger. De har også ret til at trække deres samtykke til indsamling tilbage og, hvis der ikke er nogen juridiske hindringer, få deres data slettet. Hvis en person mener, at Nordens Velfærdscenter behandler vedkommendes data på en måde, der er i strid med persondataforordningen, kan personen indgive en klage til den svenske databeskyttelsesmyndighed, Integritetsskyddsmyndigheten, og Databeskyttelsesombudsmandens kontor i Finland.