Politikerklæring

I sin egenskab af en rettighedsbaseret organisation er Oxfam IBIS forpligtet til at beskytte privatliv og personoplysninger og til at bruge personoplysninger forsvarligt for at værne om rettighederne for de enkeltpersoner, grupper og organisationer, som vi samarbejder med.

Oxfam IBIS anerkender registreredes rettigheder i forhold til oplysningerne om dem, og vores ansvar for at værne om sådanne rettigheder. Denne databeskyttelses-politik bør læses i sammenhæng med Oxfam’s Responsible Program Data Policy, som primært vedrører behandlingen af programdata. Oxfam IBIS bekræfter sin globale forpligtelse til politikken for ansvarlig brug af programdata.

Omfang og definitioner

Personoplysninger: betyder samtlige oplysninger om en identificeret eller identificerbar fysisk person (en ”registreret”).

Denne databeskyttelses-politik gælder for:

  • Al behandling af personoplysninger inden for EU, uanset om oplysningerne hidrører fra en kilde i eller uden for EU
  • Al behandling uden for EU af oplysninger, der hidrører fra en kilde i eller, som opbevares i EU
  • Al behandling uden for EU, hvis den registrerede er i EU.

Oxfam’s Responsible Program Data Policy gælder for personoplysninger, der ikke er omfattet af denne politik, men som behandles af Oxfam IBIS globalt, med undtagelse af hvor det tydeligt fremgår af konteksten, at dele af politikken kun er gældende i visse områder.

Denne politik fastlægger, hvordan Oxfam IBIS, vores ledelse og medarbejdere opfylder deres forpligtelser i henhold til privatlivs- og databeskyttelseslovgivningen ved at:

  • etablere et ledelsesgrundlag for overholdelse af denne lovgivning
  • fastlægge de principper, som Oxfam IBIS efterlever, når vi indsamler og bruger personoplysninger

Denne politik fastlægger endvidere:

  • hvordan egenskaber ved Oxfam-konføderationen er relevante for overholdelsen af privatlivs- og databeskyttelseslovgivningen og de nødvendige handlinger, der finder sted på tværs af konføderationen, til sikring af fortsat indbyrdes kompatibilitet.
  • hvordan Oxfam IBIS bidrager til konføderationens strategi og overholdelse.

 

Tilhørende politikker og procedurer

1.    Ledelsesgrundlag

1.1    Udpegelse af en databeskyttelsesrådgiver

Oxfam IBIS har udpeget en databeskyttelsesrådgiver. Databeskyttelsesrådgiveren har et særligt juridisk ansvar i henhold til persondataforordningen. For eksempel rådgiver databeskyttelsesrådgiveren Oxfam IBIS om overholdelse af privatlivs- og databeskyttelseslovgivningen og virker som kontaktperson mellem Oxfam IBIS og relevante tilsynsmyndigheder og registrerede.

Oxfam IBIS forpligter sig til at tildele den uafhængighed og de ressourcer til databeskyttelsesrådgiveren, som er nødvendige for opfyldelsen af Oxfam IBIS’ forpligtelser i henhold til persondataforordningen. Databeskyttelsesrådgiveren udarbejder en årlig rapport til bestyrelsen for Oxfam IBIS og har adgang til bestyrelsen på andre tidspunkter for at rådgive den om forhold vedrørende opfyldelse, herunder brud på persondatasikkerheden.

2.    Principper

Oxfam IBIS forpligter sig til at overholde nedenstående principper i forbindelse med behandling og beskyttelse af personoplysninger. Disse principper afspejler de principper, der fremgår af persondataforordningen. Evnen til at påvise overholdelse af principperne er et hovedkrav i persondataforordningen. Det betyder, at behørig dokumentation af handlinger er afgørende. Oxfam IBIS’ forretningsgang for databeskyttelse anfører yderligere oplysninger om, hvordan principperne skal implementeres, og den nødvendige dokumentation.
Oxfam IBIS indsamler og bruger personoplysninger på lovlig vis

Oxfam IBIS kan på lovlig vis indsamle og bruge personoplysninger på seks forskellige grundlag. Oxfam IBIS fører en løbende fortegnelse over sine databehandlingsaktiviteter og anfører behandlingsgrundlaget for den enkelte aktivitet.

Der gælder skærpede regler for ”særlige” kategorier af personoplysninger. Særlige personoplysninger er oplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, eller fagforeningsmæssigt tilhørsforhold eller biometriske data, helbredsoplysninger eller oplysninger om en persons seksuelle forhold eller orientering. Indsamling, brug og opbevaring af sådanne typer oplysninger er ikke tilladt, medmindre en specifik undtagelse er gældende. Oxfam IBIS fører en løbende fortegnelse over databehandlingsaktiviteter, der er forbundet med særlige kategorier af personoplysninger, med angivelse af hvilken undtagelse, der danner grundlag for denne behandling.

I de tilfælde hvor Oxfam IBIS indsamler og bruger personoplysninger, herunder særlige kategorier af personoplysninger, på grundlag af samtykke, har Oxfam IBIS implementeret samtykkeprocesser og -erklæringer, der overholder persondataforordningen, og fører en fortegnelse over det indhentede samtykke.Oxfam IBIS har ligeledes implementeret processer, så et samtykke kan trækkes tilbage.

Yderligere oplysninger fremgår af Oxfam IBIS’ forretningsgang for databeskyttelse.

Oxfam IBIS indsamler og bruger personoplysninger på rimelig og gennemsigtig vis

Oxfam IBIS udviser gennemsigtighed med hensyn til de oplysninger, vi indsamler og opbevarer om enkeltpersoner, de formål oplysningerne vil blive brugt til, og hvem oplysningerne deles med. Oxfam IBIS’ forretningsgang for databeskyttelse indeholder yderligere oplysninger om meddelelser om beskyttelse af personoplysninger/rimelig behandling.

Oxfam IBIS indsamler udelukkende nødvendige personoplysninger

Oxfam IBIS indsamler udelukkende personoplysninger om en enkeltperson, hvis dette er nødvendigt af hensyn til Oxfam IBIS’ legitime formål, og indsamlingen vil være begrænset til det nødvendige i forhold til opfyldelse af formålet. Oxfam IBIS kan forklare og retfærdiggøre disse formål. En analyse af legitime interesser og føring af fortegnelser kan være nødvendig for disse formål. Yderligere oplysninger fremgår af Oxfam IBIS’ forretningsgang for databeskyttelse.

Oxfam IBIS sørger for, at personoplysninger er korrekte og ajourførte 

Oxfam IBIS opfordrer enkeltpersoner til at underrette Oxfam IBIS om eventuelle urigtige personoplysninger ved at følge en enkel procedure, der fremgår af Oxfam IBIS’ meddelelser om beskyttelse af personoplysninger. Oxfam IBIS besvarer anmodninger om berigtigelse af personoplysninger inden for en rimelig periode. Oxfam IBIS implementerer processer for informationsstyring og medarbejderuddannelse med henblik på implementering af dette princip. Yderligere oplysninger fremgår af Oxfam IBIS’ forretningsgang for databeskyttelse.

Oxfam IBIS opbevarer ikke personoplysninger i længere tid end nødvendigt

Hvis Oxfam IBIS ikke længere har behov for personoplysninger til det forretningsformål, som de oprindeligt blev indsamlet til, sletter/tilintetgør vi oplysningerne i overensstemmelse med vores procedurer for tilintetgørelse af personoplysninger, medmindre vi er juridisk forpligtet til at opbevare personoplysningerne i et længere tidsrum. Oxfam IBIS udarbejder retningslinjer for opbevaring og tilintetgørelse af personoplysninger af hensyn til overholdelse af dette princip.

Oxfam IBIS respekterer enkeltpersoners rettigheder vedrørende behandling og beskyttelse af personoplysninger 

Oxfam IBIS respekterer enkeltpersoners rettigheder i henhold til databeskyttelseslovgivningen, herunder deres ret til at:

  • få indsigt i deres personoplysninger
  • begrænse brugen af deres personoplysninger
  • berigtige urigtige personoplysninger
  • slette deres personoplysninger
  • begrænse uopfordret kontakt
  • blive underrettet om kriterierne for eventuelle automatiske afgørelser vedrørende dem selv
  • blive underrettet om brud på persondatasikkerheden
  • overføre deres personoplysninger på effektiv vis (dataportabilitet)

Retningslinjer vil være tilgængelige for den registreredes anmodning om indsigt, meddelelser om brud på persondatasikkerheden, automatiske afgørelser og samtykke til fremsendelse af markedsføringsmateriale.

Oxfam IBIS opbevarer personoplysninger på sikker vis

Oxfam IBIS har implementeret relevante sikkerhedsprocedurer via sin politik om informationssikkerhed og politik om acceptabel brug for at hindre uautoriseret adgang, hændeligt tab, tilintetgørelse eller beskadigelse af de personoplysninger, som Oxfam IBIS opbevarer.

Såfremt Oxfam IBIS gør brug af tredjemand til at indsamle eller behandle personoplysninger, vil dette kun finde sted i henhold til skriftlige aftaler indgået med leverandøren af de pågældende oplysninger/tjenester, som indeholder de påkrævede databeskyttelsesbestemmelser i henhold til persondataforordningen. Disse foreskrevne bestemmelser er tilgængelige som Oxfam IBIS’ standardbestemmelser for databehandling. Yderligere oplysninger fremgår af Oxfam IBIS’ forretningsgang for databeskyttelse.

Oxfam IBIS gør ikke brug af tredjepart til indsamling eller behandling af personoplysninger uden at gennemføre en due diligence-undersøgelse af leverandøren i forhold til dennes overholdelse af databeskyttelseslovgivningen.

De involverede parter i indkøbet af sådanne tjenester modtager uddannelse og support vedrørende principperne for databeskyttelse og overholdelse med henblik på at gennemføre en sådan due diligence-undersøgelse og implementere de nødvendige aftaleforhold.

Medarbejdere og frivillige er ansvarlige for at sikre, at personoplysninger, som de opbevarer, opbevares på sikker vis og ikke videregives til uberettigede tredjepart. Oxfam IBIS sikrer, at personoplysninger kun er tilgængelige for parter, der har en gyldig grund til at bruge dem.

Retningslinjer for videregivelse af personoplysninger til tredjepart; indberetning af brud på persondatasikkerheden fra medarbejdernes side, databeskyttelsesrådgiverens indberetning af brud på persondatasikkerheden til tilsynsmyndigheder og ledelse og behandling af personoplysninger eksternt (f.eks. ved arbejde hjemmefra) fremgår af forretningsgangen.

Databeskyttelse gennem design og standardindstillinger

Oxfam IBIS bakker op om initiativer, der understøtter databeskyttelse gennem design og standardindstillinger.

Oxfam IBIS foretager og dokumenterer en konsekvensanalyse vedrørende databeskyttelse, før vi indfører ny databehandling eller aktiviteter, der kan udgøre en stor risiko for behandling og beskyttelse af personoplysninger. Yderligere oplysninger om konsekvensanalyser vedrørende databeskyttelse og velegnede skabeloner fremgår af Oxfam IBIS’ forretningsgang for databeskyttelse.

Oxfam IBIS forpligter sig til at høre de relevante tilsynsmyndigheder, hvis en konsekvensanalyse vedrørende databeskyttelse indikerer en stor risiko ved en foreslået behandlingsaktivitet eller -teknologi.

Oxfam IBIS benytter i fornødent omfang processer som f.eks. pseudonymisering (for at mindske risikoen for brud på persondatasikkerheden for registrerede) eller anonymisering (som ikke kan ”ophæves” for at identificere registrerede) for at minimere vores indsamling, brug og opbevaring af personoplysninger.  

Elektronisk kommunikation

Oxfam IBIS anerkender enkeltpersoners særlige privatlivsrettigheder i forbindelse med elektronisk kommunikation. Vi overholder relevant gældende lovgivning for vores markedsføring og brug af cookies eller lignende teknologi på vores offentlige websteder. Yderligere oplysninger fremgår af Oxfam IBIS’ forretningsgang for databeskyttelse (og cookie-politik).

Uddannelse, kendskab og udvikling af en kultur til sikring af personoplysninger

Oxfam IBIS tilbyder onlineuddannelse i databeskyttelse og privatliv til samtlige sine medarbejdere i EU og ledende medarbejdere på internationalt plan (landedirektører, regionsdirektører og Oxfam International Management Team) senest 25. maj 2018.

Oxfam IBIS støtter medarbejdere med et særligt ansvar for behandling og beskyttelse af personoplysninger, hvis de har behov for yderligere uddannelse.

Denne politik og tilhørende vejledninger er en del af introduktionsforløbet for samtlige Oxfam IBIS’ medarbejdere og frivillige. Manglende overholdelse af politikken behandles i henhold til Oxfam IBIS’ disciplinærpolitik.

3.    Overførsel af personoplysninger fra EU

Overførsel af personoplysninger fra EU er underlagt begrænsninger i persondataforordningen. Oxfam IBIS sikrer, at personoplysninger udelukkende overføres fra EU på et lovligt grundlag, og overførsler skal nyde den grad af beskyttelse, der gælder for registrerede.

Oxfam IBIS foreslår anvendelse af EU-Kommissionens standardkontraktbestemmelser for overførsler af medarbejderoplysninger til tilknyttede organisationer uden for EU. I denne henseende vedtager Oxfam IBIS og den enkelte organisation tilknyttet Oxfam IBIS uden for EU med undtagelse af New Zealand (hvor der gælder et andet retsgrundlag for overførsler af personoplysninger) at benytte disse standardkontraktbestemmelser.

Personoplysninger, der lovligt kan overføres i henhold til standardkontraktbestemmelserne, er udelukkende dem, der fremgår af bilaget til standardkontraktbestemmelserne, som kan have behov for løbende opdatering.

4.    Forholdet mellem medlemmer af Oxfam-konføderationen

Persondataforordningen medfører en række konsekvenser for samspillet mellem medlemmer af konføderationen, herunder især: 

Videregivelse mellem Oxfam IBIS og andre tilknyttede organisationer

Overførsel af personoplysninger fra Oxfam IBIS til Oxfam International eller andre tilknyttede organisationer betragtes som videregivelse til tredjepart. Konføderationen betragtes i denne sammenhæng ikke som en enkelt organisation. Oxfam IBIS må udelukkende videregive personoplysninger til Oxfam International eller andre tilknyttede organisationer, hvor der findes et lovligt grundlag herfor. Oxfam IBIS vil ofte kunne henholde sig til ”legitime interesser” som baggrund for videregivelse.

Oxfam IBIS anfører imidlertid i alle meddelelser om beskyttelse af personoplysninger, at personoplysninger kan deles med andre medlemmer af konføderationen. Yderligere oplysninger fremgår af Oxfam IBIS’ forretningsgang for databeskyttelse.

Ydelser imellem tilknyttede organisationer

Hvis Oxfam IBIS leverer databehandlingsydelser til Oxfam International eller en anden tilknyttet organisation eller modtager databehandlingsydelser fra Oxfam International eller en anden tilknyttet organisation (f.eks. levering af en server eller anden it-infrastruktur eller -ydelse), skal en skriftlig aftale om sådan behandling indgås på de vilkår, der fremgår af persondataforordningen. Oxfam IBIS skal identificere de områder, hvor dette foregår, og sikre, at de relevante databehandleraftaler er på plads. Yderligere oplysninger fremgår af Oxfam IBIS’ forretningsgang for databeskyttelse.

Tilsyn

Oxfam IBIS, Oxfam International og andre tilknyttede organisationer i EU kan vælge en ledende tilsynsmyndighed for behandlingsaktiviteter, der omfatter mere end en Oxfam-organisation i EU. Forretningsgangen beskriver i detaljer processen for aftale om og udpegelse af en ledende tilsynsmyndighed for behandlingsaktiviteter, der omfatter flere tilknyttede organisationer i EU.

Nationale krav

Selv om persondataforordningen er gældende på tværs af tilknyttede organisationer i EU, er visse afvigelser og tillæg tilladt i henhold til national lovgivning. Oxfam IBIS er ansvarlig for at identificere eventuelle nationale tillægskrav til eller afvigelser fra persondataforordningen og udarbejdelse af politikker/procedurer for sådanne krav. Oxfam IBIS vil underrette Oxfam International og andre tilknyttede organisationer om eventuelle nationale krav, som måtte have konsekvenser på tværs af konføderationen.

Bidrag til konføderationens strategi og overholdelse

Referencegruppe for beskyttelse af personoplysninger imellem tilknyttede organisationer

Oxfam IBIS udpeger en repræsentant til referencegruppen for beskyttelse af personoplysninger imellem tilknyttede organisationer. Den udpegede repræsentant skal bidrage til gruppen ved at dele god praksis, gennemgå den eksterne udvikling og overvåge intern overholdelse. Repræsentanten bidrager til gruppens årlige rapport til bestyrelsen for Oxfam International.

Uddannelse

Samtlige Oxfam IBIS’ medarbejdere i EU og ledende medarbejdere på internationalt plan gennemfører onlineuddannelse i behandling og beskyttelse af personoplysninger senest 25. maj 2018. Samtlige Oxfam IBIS’ medarbejdere uden for EU gennemfører passende uddannelse i behandling og beskyttelse af personoplysninger senest [dato]. 

Indberetning imellem tilknyttede organisationer

Den globale administrationsaftale og andre procedurer imellem tilknyttede organisationer stiller krav om en vis grad af indberetning af alvorlige hændelser. [Privatlivsarbejdsgruppen] udarbejder retningslinjer for overførsel af personoplysninger af hensyn til sådan indberetning.

Fællesenhed for databeskyttelse

Oxfam IBIS udpeger en fællesenhed for databeskyttelse som kontaktpunkt for al kommunikation om databeskyttelse i konføderationen med ansvar for at rundsende kommunikation til relevante interessenter og bringe eventuelle spørgsmål op på det rette niveau.

5.    Ledelse og ansvar

Oxfam IBIS’ ledelse er ansvarlig for at sikre, at Oxfam IBIS respekterer rettigheder til beskyttelse af personoplysninger og opfylder sine juridiske forpligtelser. 

Oxfam IBIS’ ledelse er i samarbejde med databeskyttelsesrådgiveren ansvarlig for at udarbejde, implementere, overvåge og vurdere procedurer og systemer til sikring af beskyttelsen af personoplysninger hos Oxfam IBIS samt overholdelse af denne politik.

Oxfam IBIS’ ledelse er ansvarlig for Oxfam IBIS' egne politikker og systemer og sin egen overholdelse af relevante love.

For mere information skriv til persondata@oxfamibis.dk

Fast actions block