Databeskyttelsespolitikken gælder for Scleroseforeningen. Politikken skal hjælpe til at sikre og dokumentere, at foreningen beskytter sine personoplysninger i overensstemmelse med reglerne for behandling af personoplysninger. Politikken bidrager desuden til, at foreningen oplyser om behandlingen og brugen af de registrerede personoplysninger. Politikken gennemgås hvert år.
Virksomheden behandler personoplysninger om:
- Medarbejdere
- Medlemmer
- Bidragsydere
- Leverandører
Personoplysningerne er en forudsætning for, at foreningen kan indgå aftale med frivillige om deres assistancer og med medlemmer/bidragsydere omkring medlemskab og dertil knyttede services, samt personoplysninger om ansættelses- og leverandørkontrakter.
Personoplysningerne behandles og arkiveres i forbindelse med:
- Indsamling af stamdata/sygdomsoplysninger på medlemmer med henblik på at give den bedste service i jf. foreningens formålspolitik
- Indsamlingsaktiviteter
- Personaleadministration, herunder rekruttering, ansættelse, fratrædelse og udbetaling af løn
- Stamdata for leverandører
- Historiefortællinger, der har til formål at udbrede information om Sclerose og foreningens arbejde
Behandlingen er lovlig i medfør af hjemmeler i Databeskyttelsesforordningen.
Foreningen benytter ikke personoplysningerne til andre formål end de listede. Foreningen indsamler ikke flere personoplysninger end nødvendigt i forhold til opfyldelse af formålet.
Foreningen har indført følgende overordnede retningslinjer for opbevaring og sletning af personoplysninger:
- Personoplysninger opbevares i fysiske mapper i aflåste skabe.
- Personoplysninger opbevares i it-systemer og på serverdrev, med begrænset adgang
- Personoplysninger opbevares ikke længere, end hvad der er nødvendigt for formålet med behandlingen.
- Personoplysninger for medarbejdere slettes fem år efter endt ansættelse, og personoplysninger om ansøgere slettes efter seks måneder.
Foreningen har gennemført følgende sikkerhedsforanstaltninger til beskyttelse af personoplysninger:
- Kun medarbejdere, der har et arbejdsbetinget behov for adgang til de registrerede personoplysninger, har adgang hertil enten fysisk eller gennem it-systemer med rettighedsstyring.
- Alle computere har adgangskode, og medarbejderne må ikke overlade deres adgangskoder til andre.
- Computere har installeret firewall og antivirusprogram, der løbende opdateres.
- Personoplysninger slettes på forsvarlig vis ved udfasning og reparation af it-udstyr.
- USB-nøgler, eksterne harddiske mv. med personoplysninger skal opbevares i aflåst skuffe eller skab.
- Fysiske mapper med persondata er placeret i aflåste skabe.
- Personoplysninger i fysiske mapper slettes ved makulering.
- Alle medarbejdere skal modtage instruktion i, hvad de må gøre med personoplysninger samt, hvordan personoplysninger skal beskyttes.
Personoplysninger om medarbejdere/donorer kan blive videregivet til offentlige myndigheder fx SKAT og pensionsselskaber, leverandører samt kommuner.
Foreningen benytter udelukkende databehandlere, såfremt databehandlerne stiller de fornødne garantier for, at de vil gennemføre de passende tekniske og organisatoriske sikkerhedsforanstaltninger til opfyldelse af persondatarettens krav. Alle databehandlere underskriver en databehandleraftale forinden behandlingen iværksættes.
Foreningen varetager den registreredes rettigheder, herunder retten til indsigt, tilbagetrækning af samtykke, berigtigelse og sletning og orienterer de registrerede om virksomhedens behandlinger af personoplysninger. Registrerede har ligeledes ret til at klage til Datatilsynet.
I tilfælde af brud på persondatasikkerheden, anmelder foreningen hurtigst muligt og inden 72 timer bruddet til Datatilsynet. Den udpegede kontaktperson er ansvarlig for, at dette sker. I anmeldelsen beskrives bruddet, hvilke grupper af personer, det vedrører, og hvilke konsekvenser bruddet kan få for disse personer, samt hvordan virksomheden har eller vil afhjælpe bruddet. I tilfælde, hvor bruddet indebærer en høj risiko for de personer, om hvem foreningen behandler personoplysninger, vil foreningen endvidere underrette disse. Foreningen dokumenterer alle brud på persondatasikkerheden på foreningens IT-system.