Persondatapolitik
Denne politik gælder for Den Private Institution Røde Hus Naturinstitution (herefter kaldt Røde Hus), og beskriver hvordan der indsamles og behandles personhenførbare oplysninger.
Formål
Formålet med Røde Hus´ persondatapolitik er at forklare, hvordan vi indsamler, beskytter og anvender personoplysninger. Røde Hus respekterer fuldt ud alle ønsker om hemmeligholdelse af personlige oplysninger, som afgives digitalt eller på anden vis, og vi er opmærksomme på behovet for hensigtsmæssig beskyttelse og forsvarlig behandling af alle personlige oplysninger, som vi modtager. Det er Røde Hus´ målsætning at beskytte dine personlige oplysninger, uanset hvorfra disse oplysninger indsamles, videregives eller opbevares (andre lande, samarbejdspartnere, o.l.).
Hvornår og hvilke personoplysninger indsamler Røde Hus?
Vi indsamler typisk personhenførbare oplysninger i primært 2 situationer, dels i forhold til Familier og børn med relation til Røde Hus, og i forhold til personer der er ansat i virksomheden.
Røde Hus har brug for visse personoplysninger for at kunne levere aftalte ydelser og relaterede tjenester. Eksempelvis i forhold til opskrivning på venteliste, tilmeldt barn der går i institutionen, samt eksempelvis lønudbetaling til ansatte mv.
Det er ikke i forbindelse med alle ydelser, at alle oplysningerne indsamles. Så listen over indsamlede oplysninger skal ses som et maksimum.
For alle både børn og familier og ansatte gælder, at det kan være CPR, navn, adresse, tlf. e-mail, billeder fra dagligdagen, lovpligtige attester, samt evalueringer af børn og personale i henhold til myndighedskrav, overenskomst og andre forpligtigelser i henhold til lov indgåede aftaler.
Røde Hus forpligter sig til kun at indsamle de nødvendige personoplysninger om børn og forældre for at levere en aftalt ydelse. Personoplysninger slettes helt senest 6 måneder efter ophør af samarbejde, eller senest løbende år plus 5 år i forhold til dokumentation overfor skat, regnskaber og andre myndigheder og lovmæssige forpligtelser på dagtilbudsområdet.
Det samme gør sig gældende for ansatte, at deres oplysninger slettes helt, dog senest løbende år plus 5 år efter endt samarbejde.
Hvem videregiver Røde Hus personoplysninger til?
Røde Hus opbevarer oplysningerne der modtages i egne systemer, samt via underleverandører som hjælper med fakturering, bogholderi, lønsystem mv. Der kan også være ydelser der leveres der kræver indberetning til myndigheder, i så fald afgives oplysninger også til myndighederne.
Det kan eksempelvis være ved arbejdsskade, eller hvor der kan være udredninger på børn, hvor Røde Hus er forpligtiget til at indberette til det offentlige eller tilsvarende relaterede indberetninger til myndigheder for at kunne modtage driftstilskud fra kommunerne.
Hvordan indsamler Røde Hus personoplysninger?
Ud over de oplysninger, du som kunde / familie afgiver til Røde Hus eller ved ansættelse som personale, så indsamler Røde Hus ikke andre oplysninger.
Hvem har adgang til dine oplysninger?
Det er kun ledelsen, og rådgivere til ledelsen der har adgang til oplysninger om ansatte. Dokumenter og it-systemer er aflåst for at sikre beskyttelse mod uvedkommendes adgang og fejlagtig sletning af oplysningerne.
I forhold til børn og familier gives oplysninger til ansatte, samarbejdspartnere og myndigheder ud fra et arbejdsbetinget behov.
I det omfang der skal tilknyttes underleverandører eller rådgivere til opgaver, så sikres den nødvendige fortrolighed og databehandleraftale.
Hvordan kan du få adgang til, opdatere og slette dine oplysninger?
Børn og familier samt ansatte kan til en hver tid uden omkostning, kontakte os for at få indblik i hvilke oplysninger vi har om registranten. Når vi har svaret, har du mulighed for at berigtige dine oplysninger, herunder bede om sletning.
Oplysninger kan dog kun slettes i det omfang det ikke påvirker en konkret aftale / kontrakt eller lovpligtige indberetning til offentlige myndigheder. Herunder at sletning ikke strider imod andre registranters rettigheder eller på anden vis forringer deres retsstilling.
Hvordan opbevarer og sikrer vi fortrolighed omkring dine oplysninger?
Alle oplysninger som vedrører børn og familier samt ansatte, sikres med adgangsstyring til både fysiske lokaler og IT-systemer.
Hvis der er underleverandører involveret i behandling af dine oplysninger, så sker dette kun efter indgåelse af en databehandleraftale. Databehandleraftalen sikrer oplysninger med rette niveau af fortrolighed, integritet og tilgængelighed.
Herudover har ansatte og evt. leverandører kun adgang i det omfang der er et arbejdsbetinget behov.
Det er et valg, at virksomhedens oplysninger primært skal opbevares i Danmark og sekundært i EU. Oplysninger i virksomheden behandles ikke uden for EU.
I tilfælde af databrud
Virksomheder har pligt til at underrette den nationale persondatamyndighed (i Danmark Datatilsynet), hvis der forekommer et brud på datasikkerheden. Det kan f.eks. være, hvis persondata bliver tilgængelig for andre end de medarbejdere, virksomheden har givet lov til at bearbejde de pågældende persondata.
Sker der et brud, har Røde Hus pligt til at underrette Datatilsynet inden 72 timer efter bruddet på sikkerheden er blevet erkendt.
En underretning til datatilsynet vil som minimum indeholde:
- En beskrivelse af databruddet, samt hvor mange personer der er berørt, og hvor meget data der er omfattet.
- Kontaktinformationer på en DPO (data protection officer) eller anden kontaktperson i virksomheden
- En beskrivelse af mulige konsekvenser ved databruddet
- En beskrivelse af de handlinger, virksomheden planlægger at foretage for at imødegå bruddet
I tilfælde hvor et brud resulterer i en risiko for indgreb i den registreredes rettigheder og frihed, vil Røde Hus underrette den registrerede person herom uden unødigt ophold. Privatpersonen vil som minimum modtage nedenstående oplysninger.
- Kontaktinformationer på en DPO eller anden kontaktperson i virksomheden
- En beskrivelse af mulige konsekvenser ved databruddet for registranten/personen
- En beskrivelse af de handlinger, virksomheden planlægger at foretage for at imødegå bruddet