Bekendtgørelse
Alle medarbejdere i virksomheden er bekendt med virksomhedens regler for håndtering og opbevaring af persondata. Overtrædelse af reglerne kan få ødelæggende konsekvenser for virksomheden, hvorfor det betragtes som et væsentligt brud på ansættelsesvilkårene såfremt disse ikke følges, der i grove tilfælde kan medføre bortvisning fra virksomheden. Alle medarbejdere i virksomheden erklæret at de har læst, forstået og agter at overholde reglerne.
Generelt
Virksomheden behandler ikke personfølsomme oplysninger i sit normale daglige virke. Der er ikke udpeget en officiel DPO der skal overholde reglerne for denne funktion, men de praktiske opgaver og ansvaret for alle procedure påhviler den udpegede DPO.
Det er for ingen medarbejdere i virksomheden ikke tilladt at opbevare nogen form for kontroversielle eller personfølsomme oplysninger på medarbejdere, tidligere medarbejdere, kunder, leverandører og kontaktpersoner. Under dette tælles men begrænser sig ikke til religiøse tilhørsforhold, seksuelle præferencer, politiske holdninger, medlemskaber af foreninger eller organisationer, på noget medie, privat eller ejet af virksomheden, så længe en medarbejder er inden for virksomhedens ansvarsområde.
Kun medarbejdere i virksomheden og databehandlere har adgang til virksomhedens persondata. Persondata må ikke kopieres og fjernes fra virksomheden eller dennes systemer, gemmes på egne medier, deles med udenforstående uden skriftligaccept fra DPOen.
Det er enhver medarbejders pligt at gøre DPOen opmærksom på tilstedeværelsen af data der ikke længere har nogen praktiskbetydning eller værdi og som derfor ikke længere bør opbevares i virksomheden.
Alle persondata der ikke ligger på de systemer der er beskrevet, skal straks efter de er lagret korrekt, slettes, makuleres, destrueres eller på anden måde gøres utilgængelige. Der skal ikke tages hensyn til at interessenter med kriminelle hensigter eller eksperter med tilstrækkelige ressourcer kan genskabe disse informationer.
Virksomheden må under ingen omstændigheder udveksle persondata med personer, virksomheder eller organisationer der ikke har et helt klart dokumenteret behov for informationerne og i de tilfælde hvor der gives adgang skal alle samarbejdspartnere skal have dokumenteret at de overholder persondataloven igennem en opdateret og gældende databehandleraftale.
Afvigelser i indsamling og opbevaring af persondata
Det kræver særligt tilladelse fra virksomhedens DPO at opbevare persondata der går ud over; Navn, adresse på virksomheden hvor kontaktpersonen er ansat, e-mailadresse, direkte telefonnummer, mobiltelefonnummer, tekniske interesseområder der er relevant for virksomheden, samt kommercielle interesser.
Ved brud på sikkerheden i virksomheden, om det er virksomheden selv eller en af de navngivende databehandlere, påhviler det virksomheden at hjælpe til at sikre alle persondata. Virksomheden skal indenfor 24 timer at påbegynde indsamle information der afdækker hvad og omfang af hvilke data der er påvirket af hændelsen samt omfang. Virksomheden påbegynder at informerer de berørte personer indenfor 72 timer. Virksomheden vil herefter gøre hvad der kan anses for at være rimeligt og rettidigt for at få korrigeret årsagen til sikkerhedsbruddet samt sikre en direkte og saglig kommunikation med de berørte personer. DPO vil være den koordinerende samt ansvarlig for at denne del af processen forløber rettidigt.