Contract
2018
EU PERSONDATAFORORDNINGEN
APRIL 2018
Fælleserklæring: EU Persondataforordningen (GDPR)
April 2018 – v.01
Indledning:
En arbejdsgruppe repræsenterende danske erhvervsrejsebureauer (medlemmer af Danmarks Rejsebureau Forening - DRF, CTO fraktionen – ”Danske erhvervsrejsebureauer”) og Danish Business Travel Association (DBTA - en netværksforening for indkøbere og leverandører af forretnings- rejseydelser i Danmark), har arbejdet tæt sammen med det mål at sikre en forståelse af, hvordan erhvervsrejsebureauer og erhvervskunder i fællesskab kan sikre at begge parter overholder EU’s Persondataforordning (GDPR), der træder i kraft den 25. maj 2018.
EU Persondataforordningen (GDPR) er gældende for alle. Både private aktører samt virksomheder og erhvervskunder. Målet med samarbejdet mellem DRF/CTO og DBTA er at sikre lige muligheder for alle, således at både store som små erhvervsrejsebureauer, samt store som små kunder, har lige muligheder for at overholde reglerne. Retningslinjerne er derfor udformet på en sådan måde, at de kan tages i brug af alle erhvervsrejsebureauer under DRF/CTO og virksomheder med et dansk registreret CVR-nummer.
Målet med dette dokument er ikke at forsøge at fraskrive sig ansvar, undgå arbejdsopgaver eller andre undvigelser, men da man fra EU's side, og i den tilknyttede ”Artikel 29 gruppe”, ikke endnu har afklaret alle forhold og vilkår, der kommer til at gælde for rejsebranchen, så har en arbejdsgruppe under Dansk Rejsebureau Forening arbejdet på fælles retningslinjer, der kan benyttes af foreningens medlemmer.
Dette dokument er IKKE et juridisk bindende dokument, men en fælles hensigtserklæring mellem DRF/CTO og DBTA om ”god skik” for behandling af personfølsomme data mellem rejsebureau og kunde. Arbejdsgruppen har i fællesskab vurderet og taget stilling indenfor de områder af Persondataforordningen, der specifikt påvirker relationerne mellem rejsebureauer og erhvervskunder. Dermed har Arbejdsgruppen fundet en fælles vej for både rejsebureauer og erhvervskunder, således at begge parter bedst muligt kan sikre at alle regler i Persondataforordningen bliver overholdt og den rejsendes personfølsomme data bliver beskyttet på bedste vis ud fra, hvad der er praktisk muligt i den globale rejsebranche.
Denne vejledning er lavet på grundlag af offentligt tilgængelige dokumenter og vejledninger fra det danske ”Datatilsyn”, der er den håndhævende myndighed i Danmark. Kommer der nye vejledninger eller ændringer til de nuværende regler, der har direkte indflydelse på denne vejledning, så vil disse ændringer blive tilføjet.
Side 1
Når der bestilles erhvervsrejser, så udveksles der meget persondata mellem kunde, rejsebureau, reservationssystemer, leverandører, betalingssystemer m.m. Da dette er et meget komplekst
område, som kan være vanskeligt at overskue for de rejsebureauer og kunder, der ikke har et internt juridisk bagland til at udforme retningslinjer, så er hensigten, at sådanne rejsebureauer kan benytte disse vejledninger, som retningslinjer overfor deres kunder. Dette betyder, at når der indgås en samarbejdsaftale mellem et af ”DRF/CTO” tilknyttet erhvervsrejsebureau og en virksomhedskunde, så kan dette GDPR vejledende dokument benyttes, som et bilag der beskriver den anbefalede håndtering af personfølsomme data i henhold til EU Persondataforordningen (GDPR).
Ved at vælge at samarbejde med et af de DRF/CTO tilknyttede erhvervsrejsebureauer, der er medunderskriver af dette dokument, kan erhvervskunder i Danmark opnå sikkerhed for at der arbejdes efter ensartede procedurer for oprettelse, behandling, sletning og overdragelse af persondata.
I det efterfølgende gennemgås de forskellige områder, hvor bureauet og kunderne arbejder sammen omkring udveksling af personfølsomme data.
På arbejdsgruppens vegne
Xxxxx Xxxxxxxx Anne-Xxxxx Xxxx
Side 2
DRF/CTO DBTA
Indholdsfortegnelse
Afsnit 1 Generel gennemgang af GDPR i forbindelse med Erhvervsrejser 5
Afsnit 2 Fælles stillingtagen til Persondataforordningen 6
”Forordningen - KAPITEL I - Generelle bestemmelser 6
Artikel 1 - Genstand og formål 6
Artikel 2 - Materielt anvendelsesområde 6
Artikel 3 - Territorialt anvendelsesområde 7
Forordningen - Kapitel II - Principper 8
”Artikel 5 - Principper for behandling af personoplysninger” 8
Ad 1.a (Artikel 5, stk. 1.a) 8
Ad 1.b (Artikel 5, stk. 1.b) 8
Ad 1.c (Artikel 5, stk. 1.c) 9
Ad 1.d (Artikel 5, stk. 1.d) 13
Ad 1.e (Artikel 5, stk. 1.e) 14
Ad 1.f (Artikel 5, stk. 1.f) 15
”Artikel 6 – Lovlig Behandling (Udsnit)” 16
”Artikel 7 – Betingelser for samtykke (Udsnit)” 17
”Artikel 9 – Behandling af særlige kategorier af personoplysninger (Udsnit)” 18
”Artikel 10 – Behandling af personoplysninger vedrørende straffedomme og lovovertrædelser” 19
Artikel 87 – Behandling af nationalt identifikationsnummer 20
Forordningen – KAPITEL III – ”Den registreredes rettigheder” 20
”Artikel 13 – Oplysningspligt ved indsamling af personoplysninger hos den registrerede” 20
”Artikel 15 – Den registreredes indsigtsret” 22
”Artikel 16 – Ret til berigtigelse” 23
”Artikel 17 – Ret til sletning (Retten til at blive glemt) (Udsnit)” 23
”Artikel 18 – Ret til begrænsning af behandling” 23
”Artikel 19 – Underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling 24
”Artikel 20 – Ret til dataportabilitet 24
Forordningen – KAPITEL IV – Dataansvarlig og databehandler 26
Side 3
Artikel 24 - Den dataansvarliges ansvar 26
Artikel 25 - Databeskyttelse gennem design og databeskyttelse gennem standardindstillinger 26
Artikel 40 – Adfærdskodekser (Udsnit) 28
Forordningen - KAPITEL V - Overførsler af personoplysninger til tredjelande eller internationale organisationer 29
Artikel 44 - Generelt princip for overførsler 29
Artikel 45 – Overførsler baseret på en afgørelse om tilstrækkelighed af beskyttelsesniveauet (Udsnit)29 Artikel 46 – Overførsler omfattet af fornødne garantier (Udsnit) 30
Artikel 47 – Bindende virksomhedsregler (Udsnit) 30
Artikel 48 – Overførsel eller videregivelse uden hjemmel i EU-retten 31
Artikel 49 – Undtagelser i særlige situationer (Udsnit) 32
Kapitel 3 Fællesprocedurer i forbindelse med de registreredes rettigheder 34
Ret til: (Kapitel III den registreredes rettigheder) 34
Sletning og rettelse af data 35
Oplysning omkring overførsel af hvilke data, der benyttes ved rejseydelse-bestilling 35
Oplysning omkring overførsel af hvilke data der overføres til 3die lande i forbindelse med rejseydelse- bestilling 36
Side 4
Virksomheden vil indhente samtykke fra den registrerede 37
Afsnit 1 Generel gennemgang af GDPR i forbindelse med Erhvervsrejser
Dette dokument er delt op i tre kapitler:
1. Afsnit 1
a. Gennemgang af dokumentet
DRF/CTO og DBTA (Herefter samlet ”Arbejdsgruppen”) har i 2017 og 2018 arbejdet tæt sammen for at sikre en fælles opfattelse af de udfordringer, som begge parter står overfor i forbindelse med den nye EU Persondataforordning, der træder i kraft den 25. maj 2018.
Dette dokument tager udgangspunkt i den danske lovgivning og Datatilsynets fortolkninger af Persondata- forordningen.
Da der ikke findes et fælles kodeks i erhvervsrejsebranchen i EU (Se afsnit am Artikel 40 på side 28), så er Arbejdsgruppen klar over, at for virksomheder og rejsebureauer, der opererer udenfor Danmark, vil have udfordring med at sikre, at de øvrige EU landes lokale fortolkninger at Persondataforordningen overholdes.
Det vil i udgangspunktet ikke blive behandlet i dette dokument, med mindre, det har direkte indflydelse på, hvordan man i Danmark skal forholde os.
2. Afsnit 2
a. Fælles stillingtagen til Persondataforordningen
For at undgå at alle virksomheder og rejsebureauer, der indgår aftaler om samarbejde, skal bruge tid på at tolke og blive enige om fortolkninger af de afsnit i persondataforordningen, der vedrører erhvervsrejser, så gennemgår Kapitel 2 alle de afsnit, som DRF/CTO og DBTA fællesskab anser er relevante af tage stilling til, således at man har samme opfattelse og dermed har samme tilgang til, hvordan de skal håndteres, for at overholde persondataforordningen.
Hvor Arbejdsgruppen har vurderet, at der skal udformes en stillingtagen eller kommentar, der vil Arbejdsgruppen indsætte den relevante lovtekst med henvisning til Forordningens Kapitel og Artikel nummer. Alle lovtekster ”Vil stå med fed skrift og i kursiv”. Alle tekster fra Persondataforordningen vil stå ”UREDIGERET”. Typisk vil hele teksten for et gældende punkt være taget med her i dette dokument. Udfor visse tekster vil der stå; (Udsnit). Her er kun udsnit af teksten medtaget og kun den del af teksten, som Arbejdsgruppen har vurderet, at det kræver specifik fortolkning i forhold til erhvervsrejser.
Hvor Arbejdsgruppen har indsat en fælles fortolkning, der vil der stå et afsnit under den gældende lovtekst som følger:
Fortolkning: ”Kommentar til gældende lovtekst”
3. Afsnit 3
Side 5
Arbejdsgruppens anbefalede procedurer mellem DRF/CTO og DBTA omkring behandlingen af personfølsomme data i forbindelse med samarbejdet mellem virksomhed og rejsebureau.
Afsnit 2 Fælles stillingtagen til Persondataforordningen
”Forordningen - KAPITEL I - Generelle bestemmelser
Artikel 1 - Genstand og formål
”1. I denne forordning fastsættes regler om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og regler om fri udveksling af personoplysninger.
2. Denne forordning beskytter fysiske personers grundlæggende rettigheder og frihedsrettigheder, navnlig deres ret til beskyttelse af personoplysninger.
3. Den frie udveksling af personoplysninger i Unionen må hverken indskrænkes eller forbydes af grunde, der vedrører beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger.”
Artikel 2 - Materielt anvendelsesområde
”1.Denne forordning finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.
2. Denne forordning gælder ikke for behandling af personoplysninger:
a) under udøvelse af aktiviteter, der falder uden for EU-retten
b) som foretages af medlemsstaterne, når de udfører aktiviteter, der falder inden for rammerne af afsnit V, kapitel 2, i TEU
c) som foretages af en fysisk person som led i rent personlige eller familiemæssige aktiviteter
d) som foretages af kompetente myndigheder med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed.
3. Forordning (EF) nr. 45/2001 finder anvendelse på behandling af personoplysninger, som Unionens institutioner, organer, kontorer og agenturer foretager. Forordning (EF) nr. 45/2001 og andre EU- retsakter, der finder anvendelse på sådan behandling af personoplysninger, tilpasses til principperne og bestemmelserne i nærværende forordning i overensstemmelse med artikel 98.
Side 6
4. Denne forordning berører ikke anvendelsen af direktiv 2000/31/EF, navnlig reglerne om formidleransvar for tjenesteydere, der er fastsat i artikel 12-15 i nævnte direktiv.”
Artikel 3 - Territorialt anvendelsesområde
”1. Denne forordning finder anvendelse på behandling af personoplysninger, som foretages som led i aktiviteter, der udføres for en dataansvarlig eller en databehandler, som er etableret i Unionen, uanset om behandlingen finder sted i Unionen eller ej.
2. Denne forordning finder anvendelse på behandling af personoplysninger om registrerede, der er i Unionen, og som foretages af en dataansvarlig eller databehandler, der ikke er etableret i Unionen, hvis behandlingsaktiviteterne vedrører:
a) udbud af varer eller tjenester til sådanne registrerede i Unionen, uanset om betaling fra den registrerede er påkrævet, eller
b) overvågning af sådanne registreredes adfærd, for så vidt deres adfærd finder sted i Unionen.
3. Denne forordning anvendes på behandling af personoplysninger, som foretages af en dataansvarlig, der ikke er etableret i Unionen, men et sted, hvor medlemsstaternes nationale ret gælder i medfør af folkeretten.”
Fortolkning:
Ovennævnte Artikel 1, 2 og 3 omhandler formalia om, hvor forordningen er gældende.
Både DRF/CTO og DBTA anerkender EU Persondataforordning, tilhørende danske love og Datatilsynets fortolkninger.
Side 7
Nærmere information omkring danske fortolkninger og lovtekster omkring Persondataforordningen kan hentes på Datatilsynets hjemmeside. (xxx.xxxxxxxxxxxx.xx)
Forordningen - Kapitel II - Principper
”Artikel 5 - Principper for behandling af personoplysninger” Ad 1.a (Artikel 5, stk. 1.a)
”Personoplysninger skal behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den
registrerede (»lovlighed, rimelighed og gennemsigtighed«)”
Fortolkning:
Alle medlemmer er certificerede IATA agenter og har retten til at drive rejsebureauvirksomhed. Alle medlemmer er medlem af Danmarks Rejsebureau Forening samt Danmarks Rejse Garantifond.
Dette giver bl.a. medlemmerne ret til at reservere og udstede flybilletter ifølge IATA konventionen. Medlemmerne har via denne certificering forpligtet sig til at overholde alle gældende regler for udveksling af data mellem kunder, mellemhandlere, reservationssystemer og produkt- leverandørerne. Medlemmer er også forpligtede til at overholde gældende regler for flybilletafregning (BSP), kreditkort håndtering med videre.
Medlemmerne registrerer, opbevarer og udveksler personfølsomme data ud fra gældende branche- normer, der skal sikre, at reservationer via alle gængse bestillingskanaler kan gennemføres korrekt og hensigtsmæssigt.
”Personoplysninger skal indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål; viderebehandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, skal ikke anses for at være uforenelig med de oprindelige formål (»formålsbegrænsning«)”
Fortolkning:
Et erhvervsrejsebureau handler med følgende typer af virksomheder:
o Enkeltmandsvirksomheder med CVR nummer
o Private selskaber registreret i CVR registeret
o Foreninger der er registreret i CVR registeret
o Offentlige eller halvoffentlige virksomheder
o Offentlige virksomheder indenfor kommune, region eller staten
o Anden type af virksomheder, der ikke kan kategoriseres som ”privatrejsende” ud fra et
Side 8
rejseforsikringsmæssigt/skattemæssigt synspunkt
Og leverer rejsearrangementer som f.eks. men ikke begrænset til:
o Individuelle rejser for virksomhedens ansatte
o Grupperejser for virksomhedens ansatte
o Møde og event
▪ Kan være for både virksomhedens ansatte og inviterede gæster
Rejsearrangementer kan kun klassificeres som erhvervsrejser, hvis de bestilles og indkøbes af virksomhedstyper, som beskrevet nedenfor. Ellers er der tale om privatrejser. (Jævnfør Skattelovens vejledning: ”C.A.5.16.5 Rejser”.
Til følgende persongrupper indenfor ovennævnte virksomhedstyper, men ikke begrænset til:
o Bestyrelse
o Ledelse/Direktion
o Ansatte af virksomheden
o Gæster inviteret af virksomheden i erhvervsøjemed
o Familiemedlemmer i forbindelse med f.eks. udstationering
”Personoplysninger skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (»dataminimering«)”
Fortolkning:
Et erhvervsrejsebureau indsamler forskellige type data i forbindelse med leveringen af bureauets forretningsmodel. Dette er typisk delt op i følgende 2 hovedområder:
1. Primærydelser (Almindelige Rejsebureau ydelser)
a. Reservation af rejseydelser som f.eks. flybilletter, hotelovernatninger, billeje m.m.
2. Sekundærydelser (Travel Management Services)
a. Indsamling af data til ydelser, som f.eks. rejsestatistikker, Risk management rapporter, erstatning/forsikringssager m.m.
Side 9
Hvert rejsebureau har udarbejdet et bilag til samarbejdskontrakten over hvilke primære og sekundære ydelser, som der indgår i samarbejdet. De forskellige services og ydelser kræver forskellige typer af data, hvorfor, der også opstillet en liste over hvilke typer data, der benyttes i forbindelse med de forskellige ydelser. Det er op til kunden og rejsebureauet at udfylde skemaet og lade det indgå i den overordnede kontrakt og SLA.
Et erhvervsrejsebureau indsamler følgende typer af data, begrænset til det minimum af data, der er nødvendig for at kunne levere de forskellige typer af primære og sekundære ydelser. Normalt udveksles der to typer af data mellem kunden og bureauet;
virksomhedsdata og personfølsomme data.
Definition af virksomhedsdata
Virksomhedsdata er information der ikke omfattes af persondataforordningen, da der ikke er tale om informationer på en medarbejder. Ofte er denne information offentlig tilgængelig fra virksomhedens hjemmeside, CVR register eller lign. Noget information kan være fortrolig, men dette er udelukkende en sag mellem kunden og bureauet, der bør noteres i en kontrakt.
Firmadata kan typisk opdeles i 2 kategorier:
1. Virksomhedens stamdata
a. Navn på virksomheden
b. Adresse, postnummer, by
c. Telefonnummer, E-mail, website og andre kontaktinformationer
d. CVR nummer/Moms nummer
e. Kontaktinformation på involverede medarbejdere i forbindelse med kontrakt, samarbejde, afregning, travel management m.m.
f. Betalingsoplysninger, bank, kreditkortselskab m.m.
2. Virksomhedens rejsepolitik
a. Opstillede rejsepolitik og travel management aftaler
b. Leverandøraftaler
Side 10
c. Øvrige
Definition af personfølsomme data
Personfølsomme data er data, der kan direkte henføres til en enkeltstående person. Dette kan deles op i 4 niveauer, hvor nederste niveau er de mindst følsomme data og top niveauet er de mest følsomme data ifølge Persondataforordningen. Se Figur 1 herunder.
Figur 1: Typer af persondata – Kilde DLA Piper - 2017
Personhenførbare data kan opdeles i to grupper
1. Personlige data
a. Definitioner fra GDPR
i. Følsomme data (Artikel 9)
ii. Andre følsomme data (Artikel 10
iii. CPR nummer (Artikel 87)
iv. Almindelige oplysninger (Artikel 6)
2. Virksomhedsdata (Personhenførbare)
a. Personinformation udstedt af virksomheden (Kunden)
i. Unikt personalenummer, der kan identificere den enkelte ansatte
ii. Firmamobilnummer, der kan identificere den enkelte ansatte
iii. Firma e-mail, der kan identificere den enkelte ansatte
Side 11
Herudover, er det ofte, at der knyttes andre informationer til købet, da dette er med til at placere omkostningerne i virksomhedens kontoplan/regnskab.
3. Virksomhedsdata (Transaktions/Købsrelaterede)
a. Divisions navn/nummer
b. Afdelings navn/nummer
c. Kontoplansnummer (”Cost Center”)
d. Rekvisitionsnummer
e. Godkender af omkostninger (Person navn)
f. Rejseformål
g. Andre relevante nøgleoplysninger
Når en kunde køber et rejsearrangement, så kan følgende information være noteret på fakturaen til kunden:
1. Virksomhedens stamdata
a. Navn på virksomheden
b. Adresse, postnummer, by
c. Telefonnummer, E-mail, website og andre kontaktinformationer
d. CVR nummer/Moms nummer
e. Kontaktinformation på involverede medarbejdere i forbindelse med kontrakt, samarbejde, afregning, travel management m.m.
f. Betalingsoplysninger, bank, kreditkortselskab m.m.
2. Virksomhedsdata (Transaktions/Købsrelaterede)
a. Divisions navn/nummer
b. Afdelings navn/nummer
c. Cost center
d. Rekvisitionsnummer
e. Godkender af omkostninger (Person navn)
f. Rejseformål
g. Andre relevante nøgleoplysninger
3. Personrelaterede data
a. Medarbejderinformation
i. Almindelige oplysninger (Artikel 6)
1. Fornavn, Xxxxxxxxxx, Efternavn
b. Personinformation udstedt af virksomheden (Kunden)
i. Unikt personalenummer, der kan identificere den enkelte ansatte
Side 12
Hvert medlem har udarbejdet et skema over hvilke data, der kan benyttes i samarbejdet mellem kunde og bureau. Det gælder både virksomhedens stamdata, købsrelaterede data samt personfølsomme data på den rejsende. Det er op til kunden og rejsebureauet at udfylde skemaet og lade det indgå i den overordnede kontrakt og SLA.
”Personoplysninger skal være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges (»rigtighed«) 4.5.2016 DA Den Europæiske Unions Tidende L 119/35 ( 1 ) Europa-Parlamentets og Rådets direktiv (EU) 2015/1535 af 9. september 2015 om en informationsprocedure med hensyn til tekniske forskrifter samt forskrifter for informationssamfundets tjenester (EUT L 241 af 17.9.2015, s. 1). ”
Fortolkning:
Det er af afgørende betydning for at kunne levere korrekte rejseydelser, at de registrerede data er korrekte og ajourførte. I værste tilfælde kan en rejsende blive nægtet ombordstigning på et fly eller nægtet indrejse i et land, hvis de relaterede persondata er korrekte. Derfor er det i alles interesse, at alle data er korrekte.
Der er derfor hos hvert enkelt medlem opstillet procedurer for, hvordan data holdes korrekte og ajourførte. Disse procedurer oprettes ofte i samarbejde med virksomhederne, således, der er enighed om, hvordan data holdes ajourførte.
Følgende generelle procedurer aftales mellem rejsebureau og virksomhederne:
o Oprettelse, ændring, opdatering og sletning af virksomhedsdata
▪ Stamdata
▪ Købsdata
o Oprettelse, ændring, opdatering og sletning af personfølsomme data
▪ Persondata i rejseprofiler
▪ Købsdata/rejsedata for den enkelte medarbejder/rejsende Opdatering af data kan ske på forskellige måder som f.eks.:
o Xxxxxx gennemgang af data
o Elektronisk opdatering af data fra kunders HR system
I Afsnit 3 på side 34 er der en nærmere gennemgang af Arbejdsgruppens anbefalede procedurer.
Hvert medlem har udarbejdet et skema over hvilke procedurer, der benyttes i samarbejdet mellem kunde og bureau vedrørende oprettelse, ændring, opdatering og sletning af data. Det gælder både virksomhedens stamdata, købsrelaterede data samt personfølsomme data på den rejsende.
Side 13
Det er op til kunden og rejsebureauet at aftale de endelige procedurer og lade det indgå i den overordnede kontrakt og SLA.
”Personoplysninger skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles; personoplysninger kan opbevares i længere tidsrum, hvis personoplysningerne alene behandles til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, under forudsætning af, at der implementeres passende tekniske og organisatoriske foranstaltninger, som denne forordning kræver for at sikre den registreredes rettigheder og frihedsrettigheder (»opbevaringsbegrænsning«)”
Fortolkning:
Rejsebureauerne opbevarer data i kortere og længere tid afhængig af de forskellige formål og krav, der stilles for at kunne levere de primære og sekundære ydelser. Dette er bl.a. til følgende:
o Virksomhedsdata
▪ Indeholder typisk stamdata og offentlige oplysninger omkring virksomheden til brug ved opsøgende salg, kundekartotek m.m.
▪ Disse data indeholder meget sjældent personfølsomme data, der er omfattet af GDPR
o Rejseprofiler
▪ Disse data benyttes ved bestilling af rejseydelser
▪ Disse data indeholder normalt almindelige oplysninger (Artikel 6).
▪ Disse data kan indeholde følsomme personoplysninger, der er nødvendige i forbindelse med reservation af særlige ydelser (Artikel 9) eller ved oprettelse af rejseforsikringer, visumansøgninger (Artikel 9, 10, 87) m.m.
▪ Disse data opbevares normalt kun så længe, som den rejsende er ansat i virksomheden. Profildata slettes i henhold til kontrakt/SLA aftaler mellem rejsebureau og virksomheden
o Fakturadata/Købsdata
▪ Disse data opbevares ifølge regler og krav i regnskabsloven
o Rejseydelsesoplysninger
▪ Disse data benyttes til statistikker, som levers til kunder samt de benyttes internt i rejsebureauet
1. Disse data kan indeholde almindelige person data (Artikel 6) som f.eks. navn
Side 14
▪ Disse data opbevares i henhold til aftale med kunder om historiske data
Hvert rejsebureau har udarbejdet et skema over hvilke data, der opbevares og i hvor lang tid. Grundlæggende princip, som alle medlemmer arbejder ud fra er, at der ikke gemmes data, der ikke har en direkte relevans for levering af primære og sekundære rejseydelser.
Data der benyttes til rejsebureauets interne funktioner indeholder meget sjældent personfølsomme data i henhold til GDPR.
Hvert rejsebureau har udarbejdet en oversigt over hvilke data, der gemmes og i hvor lang tid. Her beskrives også, hvordan data anonymiseres, efter der ikke er brug for at kunne henføre data til den enkelte rejsende.
”Personoplysninger skal behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger (»integritet og fortrolighed«).”
Fortolkning:
Rejsebureauerne opbevarer data flere forskellige steder. Det er også kun udvalgte personer i rejsebureauet, der har helt eller delvis adgang til kunderne oplysninger
Dataopbevaring
Nogle data bliver opbevaret internt i rejsebureauets egne systemet eller hos tredjeparts leverandører (databehandlere).
Hvert medlem har udarbejdet en oversigt over hvor de forskellige data bliver opbevaret og hos hvilke udbydere. Denne oversigt kan rekvireres hos rejsebureauet.
Persongrupper i rejsebureauerne, der har adgang til data
Det er kun udvalgte persongrupper hos rejsebureauerne der har adgang til virksomhedens data. Der er således kun følgende persongrupper, der har adgang til virksomhedens data:
o Profil data
▪ Fuld adgang til alle personfølsomme data
Side 15
1. Rejseagenter, hvis opgaver er at udføre reservation af rejseydelser for den pågældende virksomhed
▪ Delvis eller begrænset adgang
1. IT support personer, der har ansvar for at vedligeholde IT systemer, reservationssystemer, profilsystemer m.m.
2. Budservice eller anden personale, der håndterer f.eks. visumansøgninger m.m.
o Købsdata
▪ Fuld adgang til virksomhedsdata
1. Regnskabsmedarbejdere og supervisors, der er tilknyttet den pågældende virksomhed
Hvert rejsebureau har udarbejdet en oversigt over hvilke medarbejdere, der har adgang til virksomhedens data. Denne oversigt kan rekvireres hos rejsebureauet.
”Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes (»ansvarlighed«)”
Fortolkning:
Hos hvert rejsebureau er der udpeget en eller flere personer, der har ansvaret for, at Artikel 5 stk. 1 overholdes. Disse personer har mandat fra ledelsen til at overvåge og foretage de nødvendige tiltag til, at GDPR bliver overhold efter forskrifterne.
I det tilhørende dokument ”Privatlivspolitik” har rejsebureauet beskrevet hvordan rejsebureauet overholder Persondataforordningen.
Hvert rejsebureau kan udarbejde en oversigt over hvilke(n) medarbejder(e), der har det formelle daglige operationelle ansvar for, at GDPR bliver overholdt i rejsebureauet. Denne oversigt kan rekvireres hos rejsebureauet.
”Artikel 6 – Lovlig Behandling (Udsnit)”
”1. Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende:
Side 16
a) Den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål.
b) Behandling er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en kontrakt.”
Fortolkning:
Når en virksomhed køber rejseydelser hos et erhvervsrejsebureau, så er det baseret på en samarbejdsaftale, der er indgået mellem parterne. Det kan være i form af en skriftlig kontrakt eller en mundtlig aftale.
Virksomheden kan indkøbe rejser til en tilknyttet persongruppe, der skal ud at rejse for at repræsentere virksomheden. Det kan være forskellige persongrupper, som beskrevet nærmere i afsnittet om ”Artikel 5 stk 1.b”.
Når virksomheden foretager bestillinger af rejseydelser for virksomhedens rejsende, så forventer rejsebureauet, at virksomheden har det nødvendige samtykke fra den rejsende til, at virksomheden må udlevere personfølsomme informationer til rejsebureauet.
Rejsebureauet vil derfor ikke søge samtykke hos rejsende, for hvem rejsebureauet laver reservationer af rejseydelser til. Dette ansvar placeres derfor hos virksomheden og ikke hos rejsebureauet og dets medarbejdere. (Se tilhørende dokument ”Samtykkeerklæring”)
Se nærmere i afsnittet omkring samtykke ”Artikel 7” herunder.
”Artikel 7 – Betingelser for samtykke (Udsnit)”
”1. Hvis behandling er baseret på samtykke, skal den dataansvarlige kunne påvise, at den registrerede har givet samtykke til behandling af sine personoplysninger.
2. Hvis den registreredes samtykke gives i en skriftlig erklæring, der også vedrører andre forhold, skal en anmodning om samtykke forelægges på en måde, som klart kan skelnes fra de andre forhold, i en letforståelig og lettilgængelig form og i et klart og enkelt sprog. Enhver del af en sådan erklæring, som udgør en overtrædelse af denne forordning, er ikke bindende.
3. Den registrerede har til enhver tid ret til at trække sit samtykke tilbage. Tilbagetrækning af samtykke berører ikke lovligheden af den behandling, der er baseret på samtykke inden tilbagetrækningen. Inden der gives samtykke, skal den registrerede oplyses om, at samtykket kan trækkes tilbage. Det skal være lige så let at trække sit samtykke tilbage som at give det.
Side 17
4. Ved vurdering af, om samtykke er givet frit, tages der størst muligt hensyn til, bl.a. om opfyldelse af en kontrakt, herunder om en tjenesteydelse, er gjort betinget af samtykke til behandling af personoplysninger, som ikke er nødvendig for opfyldelse af denne kontrakt.”
Fortolkning:
Når et rejsebureau indgår en samarbejdsaftale med en virksomhed om levering af rejseydelser, så er det på den betingelse af, at virksomheden har fået et tilstrækkeligt samtykke fra den rejsende, om at personfølsomme data, nødvendig for at kunne foretage reservationer af rejseydelser, må overføres til rejsebureauet og eventuelt gemmes i rejsebureauets såkaldte ”rejseprofiler”.
Denne garanti for, at virksomheden altid vil garantere, at virksomheden har de nødvendige samtykker fra de rejsende, skal efter forordningens ikrafttræden den 25. maj 2018 altid indgå som et særligt afsnit i en samarbejdsaftale.
Det vil ikke være rejsebureauets opgave løbende at kontrollere, om der er indhentet samtykke for hver enkelt rejsende. I udgangspunktet, hvis virksomheden ikke har meddelt rejsebureauet om, at en rejseprofil skal slettet, så har rejsebureauet den nødvendige hjemmel til at foretage reservation af rejseydelser til den rejsende.
Procedurer for hvordan oprettelse, ændringer og sletning af rejseprofiler nævnes yderlige i Afsnit 3 på side 34.
”Artikel 9 – Behandling af særlige kategorier af personoplysninger (Udsnit)”
”1. Behandling af personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering er forbudt.
2. Stk. 1 finder ikke anvendelse, hvis et af følgende forhold gør sig gældende:
a) Den registrerede har givet udtrykkeligt samtykke til behandling af sådanne personoplysninger til et eller flere specifikke formål, medmindre det i EU-retten eller medlemsstaternes nationale ret er fastsat, at det i stk. 1 omhandlede forbud ikke kan hæves ved den registreredes samtykke.”
Fortolkning:
Side 18
I rejsebranchen har oplysninger omkring ”type af måltid” (F.eks. Kosher mad) eller oplysninger omkring personlige hjælpemidler (Som f.eks. kørestol, særlig medicin osv.) været almindelige oplysninger. Ifølge Persondataforordningen, er denne type oplysninger kategoriseret som ”Følsomme data”, da det kan henføres til personens religiøse forhold eller oplyse omkring helbredsmæssige forhold ifølge Artikel 9.
Oplysninger omkring madønsker, der kan skyldes enten religiøse eller helbredsmæssige forhold, bruges typisk ved reservation af rejseydelser:
o På fly, skib, tog eller andre rejsetransportselskaber, der serverer måltider i forbindelse med persontransporten
o På hoteller, arrangementer, møder m.m., hvor måltider serveres som en del af rejsearrangementet
Oplysninger omkring helbredsinformationer, der er vigtige for at sikre, at den rejsende kan gennemføre en erhvervsrejse:
o Informationer til rejseforsikringsselskaber i forbindelse med tegning af forsikring eller assistance i forbindelse med skadessager
o Information til flyselskaber, skibe, tog eller andre persontransportselskaber i forbindelse med særlig assistance, som f.eks. kørestol, Xxxxx for særlig medicin der skal med på rejsen m.m.
o Information til transfer service, hoteller, behandlingsinstitutioner eller andre rejserelaterede services eller ydelser, der er reserveret i forbindelse med erhvervsrejsen.
o Assistance i forbindelse med bestilling af vaccination eller andre profylakse behandlinger og andre typer af helbredsoplysningsdokumenter
”Artikel 10 – Behandling af personoplysninger vedrørende straffedomme og lovovertrædelser”
”Behandling af personoplysninger vedrørende straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger på grundlag af artikel 6, stk. 1, må kun foretages under kontrol af en offentlig myndighed, eller hvis behandling har hjemmel i EU-retten eller medlemsstaternes nationale ret, som giver passende garantier for registreredes rettigheder og frihedsrettigheder. Ethvert omfattende register over straffedomme må kun føres under kontrol af en offentlig myndighed.”
Fortolkning:
Side 19
I forbindelse med forskellig rejseydelser, kan det være nødvendigt at få information omkring den rejsende vedrørende straffedomme og lovovertrædelser. Det kan være i forbindelse med udformning af ansøgninger, hvor den modtagne myndighed kræver, at information omkring den rejsende oplyser om overstående.
Det kan f.eks. være i forbindelse med:
o Assistance med at generhverve pas eller andre identifikationsdokumenter
o Assistance med at ansøge om indrejsevisum, ESTA m.m. samt andre typer af opholds- tilladelser, gennemrejsedokumenter osv.
Artikel 87 – Behandling af nationalt identifikationsnummer
”Medlemsstaterne kan nærmere fastsætte de specifikke betingelser for behandling af et nationalt identifikationsnummer (CPR nummer) eller andre almene midler til identifikation. I så fald anvendes det nationale identifikationsnummer eller ethvert andet alment middel til identifikation udelukkende med de fornødne garantier for den registreredes rettigheder og frihedsrettigheder i henhold til denne forordning.”
Fortolkning:
I forbindelse med forskellige service, så kan det være nødvendigt at få information omkring den rejsende vedrørende CPR nummer. Det kan være i forbindelse af udformning af ansøgninger, hvor den modtagne myndig kræver, at information omkring den rejsende oplyser om overstående.
Det kan f.eks. være i forbindelse med:
o Assistance med at generhverve pas eller andre identifikationsdokumenter
o Assistance med at ansøge om indrejse visum, ESTA m.m. samt andre typer af opholdstilladelser, gennemrejsedokumenter osv.
Forordningen – KAPITEL III – ”Den registreredes rettigheder”
”Artikel 13 – Oplysningspligt ved indsamling af personoplysninger hos den registrerede”
”1. Hvis personoplysninger om en registreret indsamles hos den registrerede, giver den dataansvarlige på det tidspunkt, hvor personoplysningerne indsamles, den registrerede alle følgende oplysninger:
a) identitet på og kontaktoplysninger for den dataansvarlige og dennes eventuelle repræsentant
Side 20
b) kontaktoplysninger for en eventuel databeskyttelsesrådgiver
c) formålene med den behandling, som personoplysningerne skal bruges til, og retsgrundlaget for behandlingen
d) de legitime interesser, som forfølges af den dataansvarlige eller en tredjemand, hvis behandlingen er baseret på artikel 6, stk. 1, litra f)
e) eventuelle modtagere eller kategorier af modtagere af personoplysningerne
f) hvor det er relevant, at den dataansvarlige agter at overføre personoplysninger til et tredjeland eller en international organisation, og om hvorvidt Kommissionen har truffet afgørelse om tilstrækkeligheden af beskyttelsesniveauet, eller i tilfælde af overførsler i henhold til artikel 46 eller 47 eller artikel 49, stk. 1, andet afsnit, litra h), henvisning til de fornødne eller passende garantier, og hvordan der kan fås en kopi heraf, eller hvor de er blevet gjort tilgængelige.
2. Ud over de oplysninger, der er omhandlet i stk. 1, giver den dataansvarlige på det tidspunkt, hvor personoplysningerne indsamles, den registrerede følgende yderligere oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling:
a) det tidsrum, hvor personoplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum
b) retten til at anmode den dataansvarlige om indsigt i og berigtigelse eller sletning af personoplysninger eller begrænsning af behandling vedrørende den registrerede eller til at gøre indsigelse mod behandling samt retten til dataportabilitet.
c) når behandling er baseret på artikel 6, stk. 1, litra a), eller artikel 9, stk. 2, litra a), retten til at trække samtykke tilbage på ethvert tidspunkt, uden at dette berører lovligheden af behandling, der er baseret på samtykke, inden tilbagetrækning heraf
d) retten til at indgive en klage til en tilsynsmyndighed
e) om meddelelse af personoplysninger er lovpligtigt eller et krav i henhold til en kontrakt eller et krav, der skal være opfyldt for at indgå en kontrakt, samt om den registrerede har pligt til at give personoplysningerne og de eventuelle konsekvenser af ikke at give sådanne oplysninger
f) forekomsten af automatiske afgørelser, herunder profilering, som omhandlet i artikel 22, stk. 1 og 4, og i disse tilfælde som minimum meningsfulde oplysninger om logikken heri samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede.
Side 21
3. Hvis den dataansvarlige agter at viderebehandle personoplysningerne til et andet formål end det, hvortil de er indsamlet, giver den dataansvarlige forud for denne viderebehandling den registrerede oplysninger om dette andet formål og andre relevante yderligere oplysninger, jf. stk. 2.
4. Stk. 1, 2 og 3 finder ikke anvendelse, hvis og i det omfang den registrerede allerede er bekendt med oplysningerne.
”Artikel 15 – Den registreredes indsigtsret”
”1. Den registrerede har ret til at få den dataansvarliges bekræftelse på, om personoplysninger vedrørende den pågældende behandles, og i givet fald adgang til personoplysningerne og følgende information:
a) formålene med behandlingen
b) de berørte kategorier af personoplysninger
c) de modtagere eller kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til, navnlig modtagere i tredjelande eller internationale organisationer
d) om muligt det påtænkte tidsrum, hvor personoplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes til fastlæggelse af dette tidsrum
e) retten til at anmode den dataansvarlige om berigtigelse eller sletning af personoplysninger eller begrænsning af behandling af personoplysninger vedrørende den registrerede eller til at gøre indsigelse mod en sådan behandling
f) retten til at indgive en klage til en tilsynsmyndighed
g) enhver tilgængelig information om, hvorfra personoplysningerne stammer, hvis de ikke indsamles hos den registrerede
h) forekomsten af automatiske afgørelser, herunder profilering, som omhandlet i artikel 22, stk. 1 og 4, og som minimum meningsfulde oplysninger om logikken heri samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede.
2. Hvis personoplysningerne overføres til et tredjeland eller en international organisation, har den registrerede ret til at blive underrettet om de fornødne garantier i medfør af artikel 46 i forbindelse med overførslen.
3. Den dataansvarlige udleverer en kopi af de personoplysninger, der behandles. For yderligere kopier, som den registrerede anmoder om, kan den dataansvarlige opkræve et rimeligt gebyr baseret på de administrative omkostninger. Hvis den registrerede indgiver anmodningen elektronisk, og medmindre den registrerede anmoder om andet, udleveres oplysningerne i en almindeligt anvendt elektronisk form.
Side 22
4. Retten til at modtage en kopi som omhandlet i stk. 3 må ikke krænke andres rettigheder og frihedsrettigheder.”
”Artikel 16 – Ret til berigtigelse”
”Den registrerede har ret til at få urigtige personoplysninger om sig selv berigtiget af den dataansvarlige uden unødig forsinkelse. Den registrerede har under hensyntagen til formålene med behandlingen ret til få fuldstændiggjort ufuldstændige personoplysninger, bl.a. ved at fremlægge en supplerende erklæring.”
”Artikel 17 – Ret til sletning (Retten til at blive glemt) (Udsnit)”
”1. Den registrerede har ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, og den dataansvarlige har pligt til at slette personoplysninger uden unødig forsinkelse, hvis et af følgende forhold gør sig gældende:
a) Personoplysningerne er ikke længere nødvendige til at opfylde de formål, hvortil de blev indsamlet eller på anden vis behandlet.
b) Den registrerede trækker det samtykke, der er grundlaget for behandlingen, jf. artikel 6, stk. 1, litra a), eller artikel 9, stk. 2, litra a), tilbage, og der er ikke et andet retsgrundlag for behandlingen.”
”Artikel 18 – Ret til begrænsning af behandling”
”1. Den registrerede har ret til fra den dataansvarlige at opnå begrænsning af behandling, hvis et af følgende forhold gør sig gældende:
a) rigtigheden af personoplysningerne bestrides af den registrerede, i perioden indtil den dataansvarlige har haft mulighed for at fastslå, om personoplysningerne er korrekte
b) behandlingen er ulovlig, og den registrerede modsætter sig sletning af personoplysningerne og i stedet anmoder om, at anvendelse heraf begrænses
c) den dataansvarlige ikke længere har brug for personoplysningerne til behandlingen, men de er nødvendige for, at et retskrav kan fastlægges, gøres gældende eller forsvares
d) den registrerede har gjort indsigelse mod behandlingen i medfør af artikel 21, stk. 1, i perioden mens det kontrolleres, om den dataansvarliges legitime interesser går forud for den registreredes legitime interesser.
Side 23
2. Hvis behandling er blevet begrænset i medfør af stk. 1, må sådanne personoplysninger, bortset fra opbevaring, kun behandles med den registreredes samtykke eller med henblik
på, at et retskrav kan fastlægges, gøres gældende eller forsvares eller for at beskytte en anden fysisk eller juridisk person eller af hensyn til Unionens eller en medlemsstats vigtige samfundsinteresser.
3. En registreret, der har opnået begrænsning af behandling i medfør af stk. 1, underrettes af den dataansvarlige, inden begrænsningen af behandlingen ophæves.”
”Den dataansvarlige underretter hver modtager, som personoplysningerne er videregivet til, om enhver berigtigelse eller sletning af personoplysningerne eller begrænsning af behandling, der er udført i henhold til artikel 16, artikel 17, stk. 1, og artikel 18, medmindre dette viser sig umuligt eller er uforholdsmæssigt vanskeligt. Den dataansvarlige oplyser den registrerede om disse modtagere, hvis den registrerede anmoder herom.”
”Artikel 20 – Ret til dataportabilitet
”1. Den registrerede har ret til i et struktureret, almindeligt anvendt og maskinlæsbart format at modtage personoplysninger om sig selv, som vedkommende har givet til en dataansvarlig, og har ret til at transmittere disse oplysninger til en anden dataansvarlig uden hindring fra den dataansvarlige, som personoplysningerne er blevet givet til, når:
a) behandlingen er baseret på samtykke, jf. artikel 6, stk. 1, litra a), eller artikel 9, stk. 2, litra a), eller på en kontrakt, jf. artikel 6, stk. 1, litra b), og
b) behandlingen foretages automatisk.
2. Når den registrerede udøver sin ret til dataportabilitet i henhold til stk. 1, har den registrerede ret til at få transmitteret personoplysningerne direkte fra en dataansvarlig til en anden, hvis det er teknisk muligt.
3. Udøvelsen af den ret, der er omhandlet i denne artikels stk. 1, berører ikke artikel 17. Den nævnte ret finder ikke anvendelse på behandling, der er nødvendig for udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.
Side 24
4. Den ret, der er omhandlet i stk. 1, må ikke krænke andres rettigheder eller frihedsrettigheder.”
Fortolkning:
I forbindelse med forordningens Kapitel III (Artikel 13 – Artikel 20) så vil alle rejsebureauer overholde den registreredes individuelle rettigheder.
Den registrerede har altid ret til at kontakte enhver dataansvarlig og påberåbe sig sine rettigheder som nævnt i Kapitel III.
Det vil i dette tilfælde være hos f.eks.:
▪ Virksomheden, hvor den rejsende er ansat
▪ Rejsebureauer, der opbevarer den registreredes ”rejseprofil”
▪ Hos de rejseleverandører, der er ”Dataansvarlige” jfr. Afsnittet om ”Dataansvarlige” side xx.
Af praktiske årsager, så har Arbejdsgruppen aftalt procedurer, som virksomheden vil oplyse den rejsende, når der indhentes samtykke til brug for virksomhedens bestilling af rejseydelser hos rejsebureauet.
Årsagen til, at der i fællesskab er oprettet disse procedurer, er for at gøre det praktisk muligt at håndtere og overholde Forordningens Kapitel III. Ved at den registrerede opfordres til at følge de aftalte procedurer, så vil de sikre den bedste håndtering og opfyldelse af kravene i Kapitel III. Også for den registrerede.
Ved på forhånd at oplyse den registrerede om de aftalte procedurer, så kan de måske også give den registrerede den nødvendige information og tryghed, således at der ikke yderligere ønskes nærmere indsigt i behandlingen af den registreredes personfølsomme data i forbindelse med reservation af erhvervsrejseydelser:
1. Procedurer vedr. oplysning af registrerede personfølsomme data
2. Procedurer vedr. opdatering og rigtighed af personfølsomme data
Side 25
3. Procedurer vedr. sletning af personfølsomme data Disse procedurer er nærmere beskrevet i Afsnit 3 side 34.
Forordningen – KAPITEL IV – Dataansvarlig og databehandler
Artikel 24 - Den dataansvarliges ansvar
”1. Under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med denne forordning. Disse foranstaltninger skal om nødvendigt revideres og ajourføres.
2. Hvis det står i rimeligt forhold til behandlingsaktiviteter, skal de foranstaltninger, der er omhandlet i stk. 1, omfatte den dataansvarliges implementering af passende databeskyttelses- politikker.
3. Overholdelse af godkendte adfærdskodekser som omhandlet i artikel 40 eller godkendte certificeringsmekanismer som omhandlet i artikel 42 kan bruges som et element til at påvise overholdelse af den dataansvarliges forpligtelser.”
Fortolkning:
Da et bureau handler selvstændigt for at udføre opgaverne med at reservere rejseydelser til kunderne, så påtager bureauet rollen som dataansvarlig (Artikel 29 gruppens definition).
Når kunden vælger at benytte et bureau, der tager rollen som dataansvarlig, så er den kun nødvendigt at indgå en normal kontrakt/samarbejdsaftale. Kunden overdrager herefter ansvaret for, at personfølsomme data behandles korrekt til bureauet.
Artikel 25 - Databeskyttelse gennem design og databeskyttelse gennem standardindstillinger
”1. Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, som behandlingen indebærer, gennemfører den dataansvarlige både på tidspunktet for fastlæggelse af midlerne til behandling og på tidspunktet for selve behandlingen passende tekniske og organisatoriske foranstaltninger, såsom pseudonymisering, som er designet med henblik på effektiv implementering af databeskyttelsesprincipper, såsom dataminimering, og med henblik på integrering af de fornødne garantier i behandlingen for at opfylde kravene i denne forordning og beskytte de registreredes rettigheder.
Side 26
2. Den dataansvarlige gennemfører passende tekniske og organisatoriske foranstaltninger med henblik på gennem standardindstillinger at sikre, at kun personoplysninger, der er nødvendige til
hvert specifikt formål med behandlingen, behandles. Denne forpligtelse gælder den mængde personoplysninger, der indsamles, og omfanget af deres behandling samt deres opbevaringsperiode og tilgængelighed. Sådanne foranstaltninger skal navnlig gennem standardindstillinger sikre, at personoplysninger ikke uden den pågældende fysiske persons indgriben stilles til rådighed for et ubegrænset antal fysiske personer.
3. En godkendt certificeringsmekanisme i medfør af artikel 42 kan blive brugt som et element til at påvise overholdelse af kravene i nærværende artikels stk. 1 og 2.”
Fortolkning:
Erhvervsrejsebureauerne benytter internationale reservationssystemer og databehandlings- platforme, der lever op til den internationale rejsebranches regler og krav (Se afsnit om Artikel 5 stk. 1a.). Der arbejdes derfor ud fra branchespecifikke standardarder. Der benyttes leverandører i både Danmark, EU og udenfor EU
En gennemgang af erhvervsrejsebranchens typiske leverandører er inkluderet i dokumentet
”Privatlivspolitik” som rejsebureauet udformer til kunderne.
”1. Hvis en behandling skal foretages på vegne af en dataansvarlig, benytter den dataansvarlige udelukkende databehandlere, der kan stille de fornødne garantier for, at de vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandling opfylder kravene i denne forordning og sikrer beskyttelse af den registreredes rettigheder.
2. Databehandleren må ikke gøre brug af en anden databehandler uden forudgående specifik eller generel skriftligt godkendelse fra den dataansvarlige. I tilfælde af generel skriftlig godkendelse skal databehandleren underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller erstatning af andre databehandlere og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer.”
Fortolkning:
Erhvervsrejsebureauerne benytter også databehandlere.
Side 27
En gennemgang af rejsebureauets databehandlere er inkluderet i dokumentet ”Privatlivs- politik” som rejsebureauet udformer til kunderne.
Artikel 40 – Adfærdskodekser (Udsnit)
1. Medlemsstaterne, tilsynsmyndighederne, Databeskyttelsesrådet og Kommissionen tilskynder til udarbejdelse af adfærdskodekser, der under hensyntagen til de særlige forhold i de forskellige behandlingssektorer og mikrovirksomheders og små og mellemstore virksomheders specifikke behov bidrager til korrekt anvendelse af denne forordning.
2. Sammenslutninger eller andre organer, der repræsenterer kategorier af dataansvarlige eller databehandlere, kan udarbejde adfærdskodekser eller ændre eller udvide sådanne kodekser med henblik på at specificere anvendelsen af denne forordning
3. Adfærdskodekser, der er godkendt i henhold til denne artikels stk. 5 og er generelt gyldige i henhold til denne artikels stk. 9, kan — ud over overholdelse af de dataansvarlige eller databehandlere, der er omfattet af denne forordning — også overholdes af dataansvarlige eller databehandlere, der i henhold til artikel 3 ikke er omfattet af denne forordning, med henblik på at sikre fornødne garantier inden for rammerne af overførsel af personoplysninger til tredjelande eller internationale organisationer, jf. artikel 46, stk. 2, litra e). Sådanne dataansvarlige eller databehandlere skal, gennem kontrakter eller andre retligt bindende instrumenter, afgive bindende tilsagn, som kan håndhæves, om at anvende disse fornødne garantier, herunder for så vidt angår registreredes rettigheder.
4. En adfærdskodeks omhandlet i denne artikels stk. 2 skal indeholde mekanismer, der sætter organet omhandlet i artikel 41, stk. 1, i stand til at foretage obligatorisk kontrol for at sikre, at den dataansvarlige eller databehandler, der påtager sig at anvende adfærdskodeksen, overholder dens bestemmelser, uden at dette berører opgaverne og beføjelserne for de tilsynsmyndigheder, der er kompetente i henhold til artikel 55 eller 56.
5. Sammenslutninger og andre organer omhandlet i denne artikels stk. 2, der har til hensigt at udarbejde en adfærdskodeks eller at ændre eller udvide en eksisterende adfærdskodeks, forelægger et udkast til kodeks, ændring eller udvidelse for den tilsynsmyndighed, der er kompetent i henhold til artikel 55. Tilsynsmyndigheden afgiver udtalelse om, hvorvidt udkastet til adfærdskodeks, ændring eller udvidelse overholder denne forordning, og godkender dette udkast til kodeks, ændring eller udvidelse, hvis den finder, at kodeksen sikrer tilstrækkelige fornødne garantier.
6. Hvis udkastet til kodeks eller ændring eller udvidelse godkendes i overensstemmelse med stk. 5, og hvis den pågældende adfærdskodeks ikke vedrører behandlingsaktiviteter i flere medlemsstater, registrerer og offentliggør tilsynsmyndigheden kodeksen.
Side 28
7. Hvis et udkast til adfærdskodeks vedrører behandlingsaktiviteter i flere medlemsstater, forelægger den tilsynsmyndighed, der er kompetent i henhold til artikel 55, inden godkendelsen af udkastet til kodeks, ændring eller udvidelse, efter proceduren i artikel 63 udkastet for Databeskyttelsesrådet, der afgiver en udtalelse om, hvorvidt udkastet til kodeks, ændring eller udvidelse overholder denne forordning eller sikrer fornødne garantier i den situation, der er omhandlet i denne artikels stk. 3.
Fortolkning:
CTO: Der findes ikke et fælles kodeks for rejsebranchen, men CTO fraktionen under DRF i Danmark opfordrer til, at der i samarbejde med tilsvarende CTO fraktioner i rejsebureauforeningerne i medlemslande i fællesskab udarbejdes et fælles kodeks. Indtil der findes et fælles officielt godkendt kodeks i Danmark og i hele EU, vil den danske CTO fraktion arbejde ud fra indholdet i denne fælleserklæring.
Artikel 44 - Generelt princip for overførsler
”Enhver overførsel af personoplysninger, som underkastes behandling eller planlægges behandlet efter overførsel til et tredjeland eller en international organisation, må kun finde sted, hvis betingelserne i dette kapitel med forbehold af de øvrige bestemmelser i denne forordning opfyldes af den dataansvarlige og databehandleren, herunder ved videreoverførsel af personoplysninger fra det pågældende tredjeland eller den pågældende internationale organisation til et andet tredjeland eller en anden international organisation. Alle bestemmelserne i dette kapitel anvendes for at sikre, at det beskyttelsesniveau, som fysiske personer garanteres i medfør af denne forordning, ikke undermineres.”
”1. Overførsel af personoplysninger til et tredjeland eller en international organisation kan finde sted, hvis Kommissionen har fastslået, at tredjelandet, et område eller en eller flere specifikke sektorer i dette tredjeland, eller den pågældende internationale organisation har et tilstrækkeligt beskyttelsesniveau. En sådan overførsel kræver ikke specifik godkendelse.
Side 29
3. Kommissionen kan efter vurdering af beskyttelsesniveauets tilstrækkelighed ved hjælp af en gennemførelsesretsakt fastslå, at et tredjeland, et område eller en eller flere specifikke sektorer i et tredjeland, eller en international organisation sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med denne artikels stk. 2. I den pågældende gennemførelsesretsakt fastsættes en mekanisme for regelmæssig revision, som foretages mindst hvert fjerde år, og som inddrager enhver relevant udvikling i tredjelandet eller den internationale organisation. I gennemførelsesretsakten angives dennes territoriale og sektorbestemte anvendelsesområde og i påkommende tilfælde den eller de tilsynsmyndigheder, der er omhandlet i denne artikels stk. 2, litra b). Gennemførelsesretsakten vedtages efter undersøgelsesproceduren i artikel 93, stk. 2.”
Fortolkning:
Listen af lande ændrer sig løbende. Faste lande på listen er EU lande samt EØS lande i Europa. Den samlede liste af godkendte lande, hvor der ikke kræves specielle tilladelser kan findes på datatilsynets hjemmeside.
Artikel 46 – Overførsler omfattet af fornødne garantier (Udsnit)
”1. Hvis der ikke er vedtaget en afgørelse i henhold til artikel 45, stk. 3, må en dataansvarlig eller databehandler kun overføre personoplysninger til et tredjeland eller en international organisation, hvis vedkommende har givet de fornødne garantier, og på betingelse af at rettigheder, som kan håndhæves, og effektive retsmidler for registrerede er tilgængelige.
2. De fornødne garantier i stk. 1 kan uden krav om specifik godkendelse fra en tilsynsmyndighed sikres gennem:
a) et retligt bindende instrument, som kan håndhæves, mellem offentlige myndigheder eller organer
b) bindende virksomhedsregler i overensstemmelse med artikel 47”
Fortolkning:
Data kan overføres til tredjelande, der ikke fremgår af listen fra Artikel 45 stk.3, hvis der kan findes andre EU regler eller love, der kan garantere retssikkerheden.
Data kan også overføres til virksomheder eller organisationer i tredjelande, hvis disse virksomheder eller organisationer er omfattet af reglerne for ”Bindende virksomhedsregler” (Artikel 47)
Artikel 47 – Bindende virksomhedsregler (Udsnit)
”1. I overensstemmelse med den sammenhængsmekanisme, der er omhandlet i artikel 63, godkender den kompetente tilsynsmyndighed bindende virksomhedsregler, såfremt de:
a) er retligt bindende og gælder for og håndhæves af alle berørte medlemmer i den koncern eller gruppe af foretagender, der udøver en fælles økonomisk aktivitet, herunder deres medarbejdere
Side 30
b) udtrykkeligt tillægger registrerede rettigheder, som kan håndhæves, for så vidt angår behandling af deres personoplysninger, og
c) opfylder kravene i stk. 2.
2. De bindende virksomhedsregler i stk. 1 skal mindst angive: Punkter ”a – n” ”
Fortolkning:
Reglerne for ”Bindende virksomhedsregler” betyder, at data kan sendes til f.eks. rejsebureauers globale data centre i forbindelse med konsolidering af data til statistikker m.m. eller til en help-desk, der opereres af en afdeling/personale, der er omfattet af bindende virksomhedsregler.
Hvert rejsebureau, der opererer internationalt eller globalt, har udarbejdet en oversigt over de afdelinger i tredjelande, der har adgang til personfølsomme data.
Denne regel om ”bindende virksomhedsregel” omfatter ikke, at der sendes personfølsomme data videre til andre virksomheder eller organisationer i tredjelande, der ikke er en del af rejsebureauets organisation. Her træder Artikel 48 og Artikel 49 ind.
Artikel 48 – Overførsel eller videregivelse uden hjemmel i EU-retten
”Enhver dom afsagt af en domstol eller ret og enhver afgørelse truffet af en administrativ myndighed i et tredjeland, der kræver, at en dataansvarlig eller en databehandler overfører eller videregiver personoplysninger, kan kun anerkendes eller håndhæves på nogen måde, hvis den bygger på en international aftale, såsom en traktat om gensidig retshjælp mellem det anmodende tredjeland og Unionen eller en medlemsstat, uden at det berører andre grunde til overførsel i henhold til dette kapitel.”
Fortolkning:
Side 31
Hvis der ikke findes en EU regel eller reglerne for ”Bindende virksomhedsregler” kan anvendes, må der ikke sendes data til tredjelande med mindre, der kan findes en international regel for dette, med mindre der kan findes undtagelser i særlige situationer (Artikel 49).
Artikel 49 – Undtagelser i særlige situationer (Udsnit)
”1. I mangel af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet i henhold til artikel 45, stk. 3, eller fornødne garantier i henhold til artikel 46, herunder bindende virksomhedsregler, må en overførsel eller flere overførsler af personoplysninger til et tredjeland eller en international organisation kun finde sted på en af følgende betingelser:
a) den registrerede udtrykkelig har givet samtykke til den foreslåede overførsel efter at være blevet informeret om de mulige risici, som sådanne overførsler kan medføre for den registrerede på grund af den manglende afgørelse om tilstrækkeligheden af beskyttelsesniveauet eller fornødne garantier
b) overførslen er nødvendig af hensyn til opfyldelse af en kontrakt mellem den registrerede og den dataansvarlige eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelsen af en sådan kontrakt
c) overførslen er nødvendig af hensyn til indgåelse eller opfyldelse af en kontrakt, der i den registreredes interesse indgås mellem den dataansvarlige og en anden fysisk eller juridisk person
Hvis overførsel ikke kan have hjemmel i en bestemmelse i artikel 45 eller 46, herunder bestemmelserne om bindende virksomhedsregler, og ingen af undtagelserne i særlige situationer omhandlet i dette stykkes første afsnit finder anvendelse, må en videregivelse til et tredjeland eller en international organisation kun finde sted, hvis overførslen ikke gentages, kun vedrører et begrænset antal registrerede, er nødvendig af hensyn til vægtige legitime interesser, som forfølges af den dataansvarlige, den registreredes interesser eller rettigheder og frihedsrettigheder ikke går forud for disse interesser, og den dataansvarlige har vurderet alle omstændigheder i forbindelse med overførslen og på grundlag af denne vurdering giver passende garantier for beskyttelse af personoplysningerne. Den dataansvarlige underretter tilsynsmyndigheden om overførslen. Ud over oplysningerne i artikel 13 og 14 underretter den dataansvarlige den registrerede om overførslen og om de vægtige legitime interesser, der forfølges.”
Fortolkning:
For at udfører de opgaver, der er forbundet med at levere rejseydelser (Se: Arbejdsgruppens fortolkning i Artikel 5), så er det nødvendigt at sende data til forskellige virksomheder, organisationer og myndigheder i tredjelande, hvor der ikke kan findes hjemmel i reglerne i forordningens Kapitel V.
Side 32
For at kunne udføre bestillinger af rejseydelser, services og andre relevante ydelser i forbindelse med en erhvervsrejse, så vil det være nødvendigt at sende specifikke personfølsomme oplysninger til rejseleverandører i tredjelande.
Det kan f.eks. være lokale transportselskaber, hoteller, møde/konference steder m.m., der ikke kan kontaktes via de faste reservationskanaler, som rejsebureauet benytter og har beskrevet nærmere i dokumentet ”Privatlivspolitik”, men kun kan kontaktes via telefon, telefax, e-mail eller lokal hjemmeside, eller kan kun kontaktes via lokale formidlere/agenter.
Som det fremgår af Arbejdsgruppens fortolkning af ”Artikel 24” (Side 26), så er rejseleverandører af ”Artikel 29 gruppen” klassificeret som ”Dataansvarlige”, hvorfor der ikke skal udarbejdes en databehandleraftale med disse rejseleverandører. Hos erhvervsrejsebureauerne er der indgået aftaler med en lang række rejseleverandører, der agerer som ”dataansvarlige”, hvilket giver rejsebureauerne hjemmel til at overføre personfølsomme data til disse rejseleverandører.
Det vil dog ikke være praktisk muligt at udarbejde samarbejdsaftaler med samtlige rejseleverandører, som rejsebureauet benytter i tredjelande, for at kunne foretage reservationer for virksomhedens rejsende.
Der findes ikke nogle retningslinjer for, hvordan de rejsende (registrerede) kan og skal informeres omkring disse overførelser. Det vil være praktisk umuligt at den dataansvarlige skal indhente et samtykke fra den rejsende i hvert enkelt tilfælde, samtidigt med, at det også vil være praktisk umuligt, at den dataansvarlige skal informere de nationale tilsynsmyndigheder om hver enkelt overførsel (Artikel 49).
På baggrund af undtagelserne i Artikel 49 stk. 1 a-c, har CTO i samarbejde med virksomhederne (kunderne) udarbejdet en fælles procedure for at sikre, at de rejsende er informeret omkring overførsel, risiko m.m. Disse procedurer skal være med til at skabe åbenhed og klarhed over, hvilke personfølsomme data, der sendes rundt i verden.
Den rejsende oplyses om de almindelige procedurer for dataoverførsler til 3die lande, og den rejsende opfordres til at underskrive et generelt samtykke for at rejsebureauet må overføre persondata til 3die lande, uden at den rejsende skal give samtykke hver gang. (Se tilhørende dokument ”Samtykkeerklæring” omkring ”Samtykke 5” side 8).
Der foreligger ingen presædens eller udtrykkelig vejledning fra Datatilsynet omkring dette, hvorfor disse procedurer er udarbejdet af rejsebranchen selv i bedste overbevisning ud fra Forordningens tekst. Viser det sig, at Datatilsynet kommer med nye vejledninger eller krav, stadfæstede domme eller andre vilkår, der gør, at procedurerne skal ændres, så vil dette ske således at alle regler overholdes.
Side 33
Disse procedurer er nærmere beskrevet i Kapitel 3.
Kapitel 3 Fællesprocedurer i forbindelse med de registreredes rettigheder
Arbejdsgruppen slår fast, at alle parter altid skal overholde de registreredes rettigheder, som beskrevet i persondataforordningen og uddybet i Datatilsynets udarbejdede vejledninger.
Da nogle virksomheder har mange ansatte, der rejser for virksomheden (Der kan i visse tilfælde være hundrede eller tusinder af medarbejdere i samme virksomhed) har Arbejdsgruppen opstillet nogle forslag til procedurer, som arbejdsgruppen anbefaler, at alle parter benytter, for at sikre en let håndtering af rettighederne.
Følgende procedurer er udarbejdet af Arbejdsgruppen:
Ret til: (Kapitel III den registreredes rettigheder)
Procedure: Ønsker den registrerede indsigt i hvilke data, der er registreret hos rejsebureauet (og rejsebureauets ”Databehandlere”), så anbefales det, at den registrerede kontakter virksomhedens rejseansvarlige/dataansvarlige, der kan udlevere kopier af de dokumenter, der er tilknyttet ”Overordnede GDPR aftale”, der beskriver hvilke data der typisk registreres og til hvilket formål.
Ønsker den registrerede yderligere indsigt af de registrerede data direkte fra rejsebureauet, anbefales det, at den rejsende kontakter rejsebureauet ud fra en aftalt procedure, som er aftalt mellem rejsebureauer og virksomheden i en SLA afsnit i den generelle samarbejdsaftale mellem parterne.
Disse procedurer er opstillet for at undgå, at mange rejsende (registrerede) kontakter rejsebureauet for indsigt ustruktureret.
Det anbefales derfor, at virksomhederne udformer en generel oplysning omkring registrerede data hos rejsebureauet i virksomhedens ”rejsepolitik” som kan være tilgængelig for alle virksomhedens medarbejdere.
Side 34
Ønsker den registrerede indsigt i hvilke data, der er registreret og hvad de bliver brugt til hos øvrige rejseydelse leverandører (Dataansvarlige) så står det frit for, at den registrerede kontakter disse ”Dataansvarlige” direkte. Hverken virksomheden eller rejsebureauet bør involveres i denne henvendelse, men mindre dette er beskrevet i virksomheden interne ”rejsepolitik”.
Procedure: Ønsker den registrerede at få slettet eller rettet data (Rejseprofil), der er registreret hos rejsebureauet (og rejsebureauets ”Databehandlere”), så anbefales det, at den registrerede kontakter virksomhedens rejseansvarlige-
/dataansvarlige, der kan udlevere proceduren for, hvordan dette skal ske.
Denne procedure er aftalt mellem rejsebureauer og virksomheden og beskrevet i et ”SLA” afsnit i den generelle samarbejdsaftale mellem parterne.
Disse procedurer er opstillet for at undgå, at mange rejsende (registrerede) kontakter rejsebureauet ustruktureret.
Det anbefales derfor, at virksomhederne udformer en generel oplysning omkring sletning og rettelse af den registreredes data (Rejseprofil) i virksomhedens ”rejsepolitik” som kan være tilgængelig for alle virksomhedens medarbejdere.
Ønsker den registrerede at få slettet eller rettet data hos øvrige rejseydelse leverandører (Dataansvarlige) så står det frit for, at den registrerede kontakter disse ”Dataansvarlige” direkte. Hverken virksomheden eller rejsebureauet bør involveres i denne henvendelse, men mindre dette er beskrevet i virksomheden interne ”rejsepolitik”.
Oplysning omkring overførsel af hvilke data, der benyttes ved rejseydelse-bestilling
Procedure: Ønsker den registrerede at få oplysninger om hvilke persondata, der bliver benyttet ved rejseydelse-bestilling, så anbefales det, at den registrerede kontakter virksomhedens rejseansvarlige-/dataansvarlige, der kan udlevere kopier af de dokumenter, der er tilknyttet ”Overordnede GDPR aftale”, der beskriver hvilke data der typisk registreres og til hvilket formål.
Ønsker den registrerede yderligere indsigt af de registrerede data direkte fra rejsebureauet, anbefales det, at den rejsende kontakter rejsebureauet ud fra en aftalt procedure, som er aftalt mellem rejsebureauer og virksomheden i en SLA afsnit i den generelle samarbejdsaftale mellem parterne.
Disse procedurer er opstillet for at undgå, at mange rejsende (registrerede) kontakter rejsebureauet for indsigt ustruktureret.
Side 35
Det anbefales derfor, at virksomhederne udformer en generel oplysning omkring registrerede data hos rejsebureauet i virksomhedens ”rejsepolitik” som kan være tilgængelig for alle virksomhedens medarbejdere.
Ønsker den registrerede indsigt i hvilke data, der er registreret og hvad de bliver brugt til hos øvrige rejseydelse leverandører (Dataansvarlige) så står det frit for, at den registrerede kontakter disse ”Dataansvarlige” direkte. Hverken virksomheden eller rejsebureauet bør involveres i denne henvendelse, men mindre dette er beskrevet i virksomheden interne ”rejsepolitik”.
Procedure: Ønsker den registrerede at få oplysninger om hvilke persondata, der bliver benyttet ved rejseydelse-bestilling og overført til 3die lande, så anbefales det, at den registrerede kontakter virksomhedens rejseansvarlige-/dataansvarlige, der kan udlevere kopier af de dokumenter, der er tilknyttet ”Overordnede GDPR aftale”, der beskriver hvilke data der typisk registreres og til hvilket formål.
Ønsker den registrerede yderligere indsigt af de registrerede data direkte fra rejsebureauet, anbefales det, at den rejsende kontakter rejsebureauet ud fra en aftalt procedure, som er aftalt mellem rejsebureauer og virksomheden i en SLA afsnit i den generelle samarbejdsaftale mellem parterne.
Disse procedurer er opstillet for at undgå, at mange rejsende (registrerede) kontakter rejsebureauet for indsigt ustruktureret.
Det anbefales derfor, at virksomhederne udformer en generel oplysning omkring ”Overførsel af persondata til 3die lande i forbindelse med rejseydelse- bestilling” i virksomhedens ”rejsepolitik” som kan være tilgængelig for alle virksomhedens medarbejdere.
Side 36
Ønsker den registrerede indsigt i hvilke data, der er benyttet til rejseydelse- bestilling og overførsel til 3die lande af øvrige rejseydelse leverandører (Dataansvarlige) så står det frit for, at den registrerede kontakter disse ”Dataansvarlige” direkte. Hverken virksomheden eller rejsebureauet bør involveres i denne henvendelse, men mindre dette er beskrevet i virksomheden interne ”rejsepolitik”.
Virksomheden vil indhente samtykke fra den registrerede
a. Generelt samtykke vedr. personfølsomme data der sendes indenfor EU/EØS
Virksomheder benytter det tilknyttede dokument ”Samtykkeerklæring” og afsnittene ”Samtykke 1, Samtykke 2, Samtykke 3, Samtykke 4” til at få de generelle samtykker fra de rejsende (Registrerede)
b. Samtykke vedr. personfølsomme data, der sendes til 3dielande uden hjemmel i EU retten:
Der er mellem CTO og DBTA udarbejdet følgende procedurer for at sikre Artikel 49 styk 1 a-c:
1. Når en medarbejder i en virksomhed ansættes eller bliver registreret som rejsende (En rejseprofil hos rejsebureauet), så bliver den rejsende forelagt en formular, der forklarer følgende procedurer i forbindelse med reservation og afvikling af en erhvervsrejse:
o At der oprettes en rejseprofil der opbevares hos virksomhedens rejsebureau, som kan benyttes ved bestillinger.
2. At i forbindelse med bestilling af rejseydelser og services, kan det være nødvendigt at rejsebureauet overfører personfølsomme data til rejseleverandører i tredjelande, der ikke er omfattet af hjemmel i EU loven eller andre internationale love.
o Der oprettes en oversigt over hvilke personfølsomme data, der kan være tale om
o Ved oprettelse af rejseprofilen er det ikke sikkert, at alle informationer udfyldes på en gang. Disse oplysninger kan løbende bliver registreret i forbindelse med forskellige typer af rejse-leverandører kræver forskellige typer af persondata
▪ Derfor kan løbende registrering og opdatering af data være nødvendig uden af der vil blive indhentet yderligere samtykke
▪ Den rejsende vil blive informeret om, hvordan vedkommende kan få oplyst, hvilke data, der er registreret i rejsebureauets rejseprofil
3. At medarbejderen af praktiske årsager ikke vil blive underrettet i hver enkelt tilfælde, hvor personfølsomme data er blevet overført til en rejseleverandør i 2)
o Den rejsende (registrerede) vil blive oplyst hvilke procedurer, der ligger i aftalen mellem virksomheden og rejsebureauet om at indhente oplysninger om, hvilke data, der er overført.
o Disse procedurer indarbejdes i aftalen mellem virksomheden og rejsebureauet.
Side 37
4. At den rejsende med sin underskrift giver sit samtykke
o Dette samtykke er indgået frivilligt, og er et selvstændigt dokument, der ikke af betinget af andre forhold i den rejsendes ansættelsesforhold
o At den rejsende kan nægtes at deltage i rejsearrangementer for virksomheden, hvis dette samtykke trækkes tilbage, da virksomheden ikke har hjemmel til at foretage rejsereservationer for den rejsende.
▪ Dette kan dog omgås, hvis den rejsende selv foretager alle rejsereservationer for virksomheden, og virksomheden dermed ikke kan stilles til ansvar for overførsel af personfølsomme data.
Side 38
Virksomheder benytter det tilknyttede dokument ”Samtykkeerklæring” og afsnittet ”Samtykke 5” til at få samtykker fra de rejsende (Registrerede) vedrørende ad-hoc overførsel af date til 3die lande.