Persondatapolitik

Persondatapolitik

Ansøgning til Fondsdonationer (se længere neden på siden)

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Persondatapolitik for behandling af personoplysninger i Det grevelige Dannemandske Stift

Vedtaget af Det grevelige Dannemandske Stifts bestyrelse den 01.07.2018

Indholdsfortegnelse

1     Baggrund. 3

2     Formål 3

3     Omfang. 3

4     Roller og ansvar 3

5     Ansvarlighed. 4

6     Klassifikation og grundprincipperne for behandling af personoplysninger 4

6.1      Klassifikation af personoplysninger 4

6.2      Grundprincipperne for behandling af personoplysninger 5

6.3      Lovlig behandling af personoplysninger 5

7     Overførsel af personoplysninger til lande uden for EU og EØS (tredjelande) 6

8     Fortegnelser over behandlingsaktiviteter 6

9     Den registreredes rettigheder 6

10       Dataansvarlig og databehandler 7

10.1    Dataansvarlig. 7

10.2    Databehandler 7

10.3    Fælles dataansvarlige. 7

11       Registreredes risikovurdering. 8

12       Konsekvensanalyse. 8

13       Behandlingssikkerhed. 8

13.1    Sikkerhedsstyring. 9

13.2    Privacy by design/default 9

14       Brud på persondatasikkerheden. 9

14.1    Anmeldelse til Datatilsynet 9

14.2    Underretning til den registrerede. 9

15       Kontakten til Datatilsynet 10

 

 

 

1          Baggrund

Der er i EU og Danmark indført nye regler med ”Europa-Parlamentets og Rådets forordning (EU) 2016/679” for håndtering af personoplysninger. Reglerne er på mange områder en videreførelse af eksisterende lovgivning, men på nogle områder er reglerne strammet væsentligt.

2         Formål

Formålet med denne persondatapolitik er at fastlægge rammerne for behandling af personoplysninger i Det grevelige Dannemandske Stift. Endvidere har persondatapolitikken til formål at sikre en løbende kontrol med efterlevelsen af krav i gældende lovgivning.

3         Omfang

Denne persondatapolitik finder anvendelse i hele Det grevelige Dannemandske Stift, samt for samarbejdspartnere, der udfører opgaver på vores vegne. Politikken sætter rammerne for, hvordan vi behandler personoplysninger om kunder, medarbejdere, leverandører, samarbejdspartnere og andre.

4         Roller og ansvar

Nedenstående skema giver et overblik over roller og ansvar i Det grevelige Dannemandske Stift. Ledelse og medarbejdere er forpligtede til at handle i henhold til nedenstående i forhold til efterlevelse af gældende regler for beskyttelse af personoplysninger.

Gruppe / funktion

Roller og ansvar

Den øverste ledelsen: Stiftsforvalteren/ Bestyrelsen

Det er den øverste ledelse, der har det endelige ansvar for, at Det grevelige Dannemandske Stift efterlever gældende regler for beskyttelse af personoplysninger, herunder Persondataforordningen. Den øverste ledelses rolle er at foretage dokumenterede ledelsesmæssige beslutninger om beskyttelsen af personoplysninger i Det grevelige Dannemandske Stift.

Stiftsforvalteren

Den daglige leder er Stiftsforvalteren, som er ansvarlig for, at formålene med behandling af personoplysninger, samt at retningslinjerne til understøttelse af politikken, er kommunikeret klart og tydeligt til medarbejdere og samarbejdspartnere.

Databeskyttelsesrådgiver

(DPO)

I de fleste tilfælde skal private virksomheder ikke udpege en databeskyttelsesrådgiver. Kun private virksomheder, der som deres kerneaktivitet behandler følsomme oplysninger eller oplysninger om strafbare forhold i et stort omfang eller foretager regelmæssig og systematisk overvågning af personer i stort omfang, er forpligtede til at udpege en databeskyttelsesrådgiver. Det grevelige Dannemandske Stift har derfor vurderet, at der ikke er behov for at udpege en DPO

5         Ansvarlighed

Vi udviser altid ansvarlighed, når vi behandler personoplysninger. Det gør vi bl.a. ved at dokumentere:

  • de beslutninger, vi træffer
  • de foranstaltninger og aktiviteter, vi udfører
  • de retningslinjer og kontroller, vi implementerer om behandlingen af personoplysninger.

Endvidere sørger vi aktivt for at holde os opdaterede i henhold til denne politik, samt kravene i underliggende bilag og retningslinjer som der henvises til i teksten.

6         Klassifikation og grundprincipperne for behandling af personoplysninger

Formålet er at sætte de overordnede rammer for, hvordan vi behandler personoplysninger forsvarligt.

Persondataforordningens artikel 5 og 9



6.1        Klassifikation af personoplysninger

I Det grevelige Dannemandske Stift har vi truffet beslutning om at klassificere personoplysninger, når vi behandler personoplysninger.

Klassifikationen har bl.a. betydning, når vi vurderer, hvilket behandlingsgrundlag der gør en behandling lovlig, idet vi sondrer mellem behandling af almindelige, almindelige fortrolige og følsomme personoplysninger. Endvidere benytter vi klassifikationen, når vi vurderer, designer og implementerer tekniske og organisatoriske sikkerhedsforanstaltninger og kontroller for at beskytte personoplysningerne.

6.2       Grundprincipperne for behandling af personoplysninger

Vi behandler personoplysninger i henhold til de gældende regler i forordningen på området. Det betyder bl.a., at vi kun behandler personoplysninger til lovlige, rimelige og legitime formål, som vi kan dokumentere.

Vi indsamler, opbevarer og behandler kun personoplysninger, der er nødvendige for opfyldelsen af det angivne formål for behandlingen. Vi sørger derfor aktivt for at minimere indsamlingen og behandlingen af personoplysninger til det, der er absolut nødvendigt.

Vi begrænser behandlingen af personoplysninger, så vi ikke behandler dem på en måde, der er uforeneligt med det oprindelige formål. Endvidere sikrer vi, at personoplysningerne ikke opbevares i et længere tidsrum end det, der er nødvendigt for at opfylde formålet med behandlingen. Når personoplysningerne ikke længere er nødvendige, sikrer vi, at de enten slettes i henhold til vores regler om sletning, eller at der træffes andre tekniske og organisatoriske foranstaltninger som fx anonymisering, således at den registrerede ikke længere kan identificeres ud fra oplysningerne.

Såfremt personoplysningerne er urigtige eller ufuldstændige/mangelfulde i forhold til de formål, hvortil de behandles, sørger vi for at rette, opdatere eller slette disse.

6.3       Lovlig behandling af personoplysninger

Formålet er at sikre, at vi kun behandler personoplysninger lovligt. Persondataforordningens artikel 6-10

Vi sikrer os, at der er et lovligt grundlag, når vi behandler personoplysninger. Mindst ét af følgende grundlag for behandling af personoplysninger skal dermed gøres gældende.

Grundlagene for almindelige personoplysninger som benyttes hos Det grevelige Dannemandske Stift er:

  • Samtykke – den registrerede, forældre eller værge har givet samtykke til behandling af personoplysninger.
  • Kontrakt – behandlingen er nødvendig for at kunne opfylde eller indgå en kontrakt, som den registrerede er en del af.
  • Retlig forpligtelse – behandlingen er nødvendig for at overholde en retlig forpligtelse.
  • Interesseafvejning – behandlingen er nødvendig for at forfølge en legitim interesse.

Grundlagene for følsomme personoplysninger (afviger fra grundlagene for almindelige personoplysninger) som benyttes hos Det grevelige Dannemandske Stift er:

  • Samtykke – den registrerede har givet udtrykkeligt samtykke til behandling af personoplysninger.
  • Arbejds-, sundheds- og socialretlige forpligtelser og rettigheder – behandlingen er nødvendig for at overholde en organisations eller den registreredes arbejds-, sundheds-, og socialretlige forpligtelser og specifikke rettigheder.
  • Stiftelser og sammenslutninger uden gevinst for øje – behandlingen foretages af en organisation, der arbejder uden gevinst for øje.
  • Offentliggjort af registrerede – den registrerede har selv offentliggjort personoplysningerne.
  • Samfundsmæssig interesse – behandlingen er nødvendig for at kunne udføre en opgave, som er i samfundets interesse.

Samtykke

Såfremt behandlingen foretages på baggrund af et indhentet samtykke fra den registrerede, sikrer vi, at samtykket er afgivet frivilligt og er formuleret i et let forståeligt sprog, så den registrerede ikke er tvivl om, hvad der gives samtykke til. Endvidere sikrer vi, at samtykket er afgivet ved en aktiv handling, således at den registrerede fx skal klikke ok, skrive under eller lign. for at acceptere samtykket.

Herudover sikrer vi, at den registrerede bliver oplyst om, at samtykket altid kan trækkes tilbage.

7         Overførsel af personoplysninger til lande uden for EU og EØS (tredjelande)

Formålet er at sikre, at der ikke overføres personoplysninger til lande uden for EU/EØS, uden at vi har et lovligt grundlag herfor.

Persondataforordningens artikel 44-50

Vi overfører kun personoplysninger til lande uden for EU og EØS (Det Europæiske Økonomiske Samarbejde), såfremt vi har et lovligt, rimeligt og legitimt grundlag herfor, og vi kan sikre et tilstrækkeligt beskyttelsesniveau. På nuværende tidspunkt overfører Det grevelige Dannemandske Stift ikke data til lande uden for EU.

8        Fortegnelser over behandlingsaktiviteter

Formålet er at sikre, at vi fører de nødvendige fortegnelser over behandlingsaktiviteter, som kan stilles til rådighed for Datatilsynet ved eventuelle tilsyn. Endvidere er formålet at sikre, at der foreligger et grundlag for vurdering af risikoen ved behandling af de registreredes personoplysninger.

Persondataforordningens artikel 30

Vi fører en fortegnelse over de behandlinger af personoplysninger, vi foretager, og sørger for at holde fortegnelsen opdateret. Fortegnelsen anvendes bl.a. som en del af dokumentationspligten, såfremt Datatilsynet kommer på tilsyn, samt som grundlag for vurdering af risici for den registrerede ved behandling af dennes personoplysninger. Fortegnelsen fremgår af vores datakortlægning.

9         Den registreredes rettigheder

Formålet er at sikre, at behandlingen af personoplysninger tilgodeser den registreredes ret til at kontrollere hvornår, hvordan og i hvilket omfang dennes personoplysninger bliver behandlet, samt hvem den registrerede ønsker, har adgang til sine personoplysninger.

Persondataforordningens artikel 12-23

Vi sikrer den registreredes rettigheder ved bl.a. at behandle dennes personoplysninger på en åben og oplyst måde. Det betyder, at vi oplyser den registrerede om, at vi behandler dennes personoplysninger, samt om hvordan, så den registrerede har mulighed for at gøre sine rettigheder gældende.

Herudover hjælper vi den registrerede med at udøve sine rettigheder, og vi håndterer den registreredes anmodning om at gøre sine rettigheder gældende, hvad enten vi skal efterkomme den registreredes anmodning eller ej. Når vi kommunikerer med den registrerede, gør vi det i en kortfattet form og i et klart og letforståeligt sprog.

Nedenfor er listet, hvilke rettigheder vi hjælper den registrerede med, såfremt de anmoder om det:

  • Indsigt i de behandlinger af personoplysninger, vi foretager om denne
  • Berigtigelse, såfremt personoplysningerne er forkerte eller mangelfulde
  • Sletning af de personoplysninger vi behandler
  • Begrænsning af behandlingen af personoplysninger
  • Udlevering af personoplysninger eller overførsel internt eller til eksternt selskab
    • Behandling af indsigelse mod behandling af personoplysninger.

Vi videregiver ikke personoplysninger til samarbejdspartnere eller andre eksterne organisationer, medmindre den registrerede har givet samtykke til dette, eller vi er retligt forpligtet til at videregive personoplysningerne.

Ansøgere om støtte oplyses endvidere om deres rettigheder på Det grevelige Dannemandske Stifts hjemmeside https://aastrupkloster.dk/

10    Dataansvarlig og databehandler

Formålet er at sikre, at det er afklaret, hvorvidt vi er dataansvarlige eller databehandlere i forhold til alle behandlinger af personoplysninger. Endvidere er formålet at sikre, at der er overblik over, hvilke databehandlere der benyttes, og at der er indgået databehandleraftaler med dem.

Persondataforordningens artikel 24-29

Når vi behandler personoplysninger, vurderer vi, hvornår vi er dataansvarlig, databehandler eller har delt ansvar (fælles dataansvarlige).

10.1    Dataansvarlig

Såfremt vi er dataansvarlige, sikrer vi, at alle databehandlere, vi benytter, kan stille de fornødne sikkerhedsgarantier for behandling af personoplysninger. Endvidere sikrer vi, at de er instrueret i, hvordan de må behandle personoplysninger på vores vegne, samt at der er indgået en databehandleraftale, der lever op til kravene i de gældende regler.

10.2   Databehandler

Såfremt vi er databehandlere, sikrer vi, at vi kun behandler personoplysninger under instruks fra den dataansvarlige.

Endvidere sikrer vi, at vi ikke gør brug af andre databehandlere (underdatabehandlere), uden at vi har fået dette godkendt af den dataansvarlige.

Såfremt vi har fået en skriftlig godkendelse fra den dataansvarlige, sikrer vi, at vi underretter den dataansvarlige, såfremt vi planlægger at udskifte anvendte databehandlere, eller indgå aftaler med nye, således at den dataansvarlige får mulighed for at gøre indsigelse mod sådanne ændringer.

Såfremt den dataansvarlige har godkendt, at vi bruger andre databehandlere (underdatabehandlere), sikrer vi, at de minimum lever op til de krav, som den dataansvarlige har stillet os.

10.3   Fælles dataansvarlige

Hvis vi er fælles dataansvarlige med en anden organisation, sikrer vi, at vi har fastlagt det delte ansvar i forhold til overholdelse af gældende regler på området. Vi sikrer endvidere, at de forpligtelser, vi har over for den registrerede, overholdes, herunder hvem der gør oplysningerne tilgængelige for den registrerede, samt at dette sker på en åben og oplyst måde. Den registrerede kan dog frit vælge, hvilken dataansvarlig denne vil udøve sine rettigheder overfor.

11      Registreredes risikovurdering

Formålet er at identificere potentielle risici for den registrerede ved behandling af dennes personoplysninger.

Når vi behandler personoplysninger, vurderer vi risiciene for den registrerede ved behandlingen af dennes personoplysninger. Vi foretager vurderingen på baggrund af de behandlingsaktiviteter, vi foretager, herunder anvendte systemer, således at vi får et samlet overblik over risiciene. Risiciene er beregnet og identificeret på baggrund af en mulig konsekvens for den registrerede ved behandlingen af dennes personoplysninger, samt sandsynligheden for at konsekvensen indtræffer.

Risikovurderingen dokumenteres periodisk og ad hoc ved behov og godkendes af det øverste ledelsesniveau hos Stiftet.

12    Konsekvensanalyse

Formålet er at sikre, at der foretages en konsekvensanalyse forud for behandling af personoplysninger, der sandsynligvis indebærer høj risiko for den registrerede, for dermed at identificere tiltag, der kan reducere denne risiko.

Persondataforordningens artikel 35+36

Hvis det er vurderet i registreredes risikovurdering, at en type behandling af personoplysninger sandsynligvis vil indebære høj risiko for de registreredes rettigheder eller frihedsrettigheder, udfører vi en konsekvensanalyse. Konsekvensanalysen skal hjælpe med at fastlægge de foranstaltninger, vi påtænker, kan imødegå disse risici. Såfremt de påtænkte tekniske og organisatoriske sikkerhedsforanstaltninger ikke kan imødegå risiciene i tilstrækkelig omfang, rådfører vi os hos Datatilsynet, inden vi foretager behandling af personoplysningerne.

13    Behandlingssikkerhed

Formålet er at sikre, at der er tilstrækkelig sikkerhed ved behandling af personoplysninger, som afdækker de identificerede risici i risiko- og konsekvensanalysen.

Persondataforordningens artikel 32 og 25

Vi sikrer, at der opretholdes et tilstrækkeligt sikkerhedsniveau både teknisk og organisatorisk ved behandling af personoplysninger.

13.1     Sikkerhedsstyring

På baggrund af den udarbejdede risikoanalyse og konsekvensanalyse definerer vi, hvilket sikkerhedsniveau og hvilke sikkerhedstiltag, der skal være implementeret for at sikre et tilstrækkeligt beskyttelsesniveau, når vi behandler personoplysninger.

I den forbindelse overvejer vi følgende forhold:

  • Brugen af pseudonymisering, kryptering og anonymisering.
  • Sikring af fortrolighed og integritet.
  • Systemernes tilgængelighed og modstandsdygtighed (robusthed).
  • Muligheden for at kunne genskabe tilgængelighed og adgang til behandlede personoplysninger inden rimelig tid (backup).
  • De identificerede risici, som behandling af personoplysninger indebærer, såsom hændelig eller ulovlig tilintetgørelse, tab, ændring eller uautoriseret videregivelse af eller adgang til de behandlede personoplysninger, som kan føre til fysisk, materiel eller immateriel skade.

Vi revurderer løbende proceduren for sikkerhedstiltag, og ved ændringer testes og evalueres sikkerheden, for at sikre at sikkerhedsniveauet fortsat er tilstrækkeligt.

13.2    Privacy by design/default

Vi sikrer os, at løsninger, der anvendes til behandling af personoplysninger, er designet, således at de reducerer graden af indgriben i den registreredes privatliv.

Endvidere sikrer vi, at løsninger, der anvendes til behandling af personoplysninger, har sikkerhedsindstillingerne slået til som standard, således at der ikke indhentes eller behandles flere personoplysninger, end hvad der er nødvendig til behandlingens formål, samt at personoplysninger ikke opbevares i længere tid end nødvendigt.

Herudover sikrer vi, at personoplysninger ikke stilles til rådighed for andre, uden der har været en fysisk person involveret, hvilket betyder, at udlevering af personoplysninger til andre ikke må ske automatisk, fx som følge af en proces.

14    Brud på persondatasikkerheden

Formålet er at sikre, at brud på persondatasikkerheden håndteres korrekt, herunder at der sker anmeldelse til Datatilsynet, og at den registrerede underrettes, såfremt bruddet har høj konsekvens for den registrerede.

Persondataforordningens artikel 33 og 34

14.1     Anmeldelse til Datatilsynet

Såfremt der skulle ske et brud på persondatasikkerheden, anmelder vi det uden unødig forsinkelse og senest 72 timer, efter vi har opdaget det, til Datatilsynet. Hvis det er usandsynligt, at bruddet indebærer en risiko for de registreredes rettigheder eller frihedsrettigheder, er vi ikke forpligtet til at anmelde det.

14.2   Underretning til den registrerede

Hvis bruddet sandsynligvis vil indebære høj risiko for de registreredes rettigheder eller frihedsrettigheder, underretter vi endvidere de registrerede om bruddet uden unødig forsinkelse og oplyser om, hvad konsekvensen for dem er.

15     Kontakten til Datatilsynet

Formålet er at sikre, at eventuelle tilsyn og henvendelser fra Datatilsynet håndteres korrekt, herunder at Datatilsynet får den rette dokumentation.

Persondataforordningens kapitel VI

Såfremt Datatilsynet skulle foretage tilsyn eller rette henvendelse til Det grevelige Dannemandske Stift, sikrer det øverste ledelsesniveau, at de får den efterspurgte og rette information, herunder fortegnelserne over behandlingsaktiviteter.

Endvidere sikrer vi, at vi til enhver tid overholder de tidsfrister, som Datatilsynet måtte stille i forbindelse med et tilsyn eller en henvendelse.

Ansøgere til fondsdonation - persondatapolitik

Beskyttelse af personlige oplysninger har høj prioritet hos Det grevelige Dannemandske Stift. Vi har derfor udarbejdet en politik for, hvordan Det grevelige Dannemandske Stift (”vi” eller ”os”) behandler dine personlige oplysninger.

Det grevelige Dannemandske Stift er den dataansvarlige
Dataansvarlig er Det grevelige Dannemandske Stift, CVR-nr 17384317, beliggende Aastrupvej 63, 4340 Tølløse, Danmark. Hvis du ønsker at udnytte dine rettigheder - som beskrevet længere nedenfor - eller hvis du har spørgsmål, er du velkommen til at kontakte Stiftsforvalter Søren Bo Bojesen på telefon 5918 5162 eller via e-mail aastrupkloster@mail.dk.

Vores behandlingsaktiviteter
Du kan læse mere om, hvilke kategorier af oplysninger vi behandler til hvilke formål og med hvilke behandlingsgrundlag i afsnittene nedenfor.

1. Formål: Ansøgere til fondsdonation
Det grevelige Dannemandske Stift indsamler og behandler dine personoplysninger til brug for vurdering af, hvorvidt Det grevelige Dannemandske Stift vil yde støtte til dit projekt, herunder behandler vi også dine oplysninger i forbindelse med, men ikke begrænset til:

  • Offentliggørelse og omtale af dit projekt – (personoplysninger såsom navn og evt. stillingsbetegnelse - på vores hjemmeside, såfremt du får tildelt støtte fra os.)
  • Budget og regnskab
  • Statistik

 

Der kan ydes støtte til såvel kvindelige som mandlige personer, der af bestyrelsen skønnes at have behov herfor, og som er af Frederik Wilhelm greve af Dannemands slægt eller af samme slægt som en af hans hustruer.

Findes ingen medlemmer af disse slægter at have behov for støtte, kan støtte ydes til børn af danske officerer, idet officerer af Hæren foretrækkes for officerer af Søværnet eller Flyvevåbnet. Blandt førstnævnte skal tages særligt hensyn til børn af officerer, der har været tjenstgørende ved Gardehusarregimentet. 

Der kan til denne personkreds ligeledes ydes økonomisk støtte til enlige eller studerende, der opfylder de i fundatsen anførte betingelser.

Du kan læse mere om Fondens støtte på www.aastrupkloster.dk



Kategorier af personoplysninger, som Det grevelige Dannemandske Stift behandler og behandlingsgrundlag
Det grevelige Dannemandske Stift behandler følgende personoplysninger, indsamlet hos dig eller hos tredjemand, herunder offentlige myndigheder:

Databeskyttelsesforordningen, herefter omtalt som ”forordningen”
Databeskyttelsesloven, herefter omtalt som ”loven”.

Kategorier

Oplysninger

Behandlingsgrundlag

Almindelige personoplysninger:

 

Stamoplysninger såsom navn, adresse, e-mail, telefonnummer.

Oplysninger om og beskrivelse af projektet, budget for projektet, bankoplysninger, stillingsbetegnelse.

Det grevelige Dannemandske Stift behandler dine almindelige personoplysningerne for at varetage en legitim interesse til at vurdere, om hvorvidt vi skal donere støtte til dit projekt, jf. forordningens art. 6, stk. 1, litra. f.

Såfremt du får tildelt en donation, behandler Det grevelige Dannemandske Stift endvidere almindelige personoplysninger, da det er nødvendigt for at opfylde en kontrakt/aftale, eller forud for indgåelse af kontrakten/aftalen, jf. forordningens art. 6, stk. 1, litra. b.

Det grevelige Dannemandske Stift opbevarer og offentliggøre dine personoplysninger efter dit (udtrykkelige) samtykke, jf. lovens § 6, stk. 1 og § 7, stk. 1.

Det grevelige Dannemandske Stift behandler endvidere personoplysningerne, hvis det er nødvendigt for at overholde en retlig forpligtelse, som Det grevelige Dannemandske Stift er underlagt, jf. forordningens art. 6, stk. 1, litra. c.

Dine oplysninger vil kun blive offentliggjort i tilfælde af, at du modtager støtte fra os. Hvis du ikke giver dit samtykke til offentliggørelse, er der risiko for, at vi ikke behandler din ansøgning.

Følsomme personoplysninger:

 

Oplysninger om civilstatus (seksuel orientering), helbredsmæssige forhold og billeder

Det grevelige Dannemandske Stift har ikke brug for at behandle følsomme personoplysninger. Vi beder dig derfor om, at sådanne oplysninger ikke tilgår fonden.   

Hvis vi modtager følsomme oplysninger i din ansøgning, som kan adskilles fra den øvrige ansøgning, vil de følsomme oplysninger blive slettet umiddelbart efter modtagelsen, hvorefter din ansøgning vil blive behandlet.

Endvidere behandler Det grevelige Dannemandske Stift personoplysningerne, som du har givet os, hvis vi har fået et udtrykkeligt samtykke hertil, jf. forordningens art. 9, stk.2, litra. a.

Særligt om dit samtykke – tilbagekaldelse af samtykke
I forbindelse med indgivelse af din ansøgning indhenter vi dit samtykke til behandling af dine personoplysninger til de formål, der er beskrevet ovenfor i punkt 1. I samtykkeerklæringen oplyser vi dig om grundlaget og om vores legitime interesse i at behandle dine personoplysninger. Med samtykket giver du også din tilladelse til, at vi 1) kan offentliggøre dine personoplysninger ved donation, og 2) at vi kan dele den indgivne ansøgning, i sin helhed, med fagpersoner, der indgår i Det grevelige Dannemandske Stift, eller som konsulteres som led i behandling af ansøgningen.

Dit samtykke er frivilligt, og du kan til enhver tid trække det tilbage ved at henvende dig til os på de kontaktoplysninger, der fremgår ovenfor. Såfremt samtykke ikke foreligger eller trækkes tilbage, afvises ansøgningen. Tilbagetrækkes et samtykke, knyttet til en allerede given donation, kan det medføre, at betalingen stoppes og, hvis den er givet, skal tilbagebetales.

Hvis du vælger at trække dit samtykke tilbage, påvirker det ikke lovligheden af vores behandling af dine personoplysninger på baggrund af dit tidligere meddelte samtykke og op til tidspunktet for tilbagetrækningen. Hvis du trækker dit samtykke tilbage, har det derfor først virkning fra dette tidspunkt. Det påvirker heller ikke behandling af personoplysninger, der behandles på et andet grundlag end samtykke.

Hvem har adgang til dine oplysninger?
Dine oplysninger kan deles, herunder videregives og overlades, inden for Det grevelige Dannemandske Stift. Herudover kan vi videregive eller overlade dine personoplysninger til følgende modtagere:

  • Det grevelige Dannemandske Stift videregiver personoplysninger til offentlige myndigheder for at overholde Det grevelige Dannemandske Stifts retlige forpligtelser, eller rettigheder i medfør af anden lovgivning, eller hvis det er påkrævet af en myndighed.
  • Det grevelige Dannemandske Stift kan dele dine oplysninger med eksterne faglige rådgivere og fagpersoner og lignende, til vurdering af din ansøgning og projekt.
  • Revisor, og evt. advokat og øvrige rådgivere.
  • Til IT-leverandører i forbindelse med drift og vedligeholdelse og af it-systemer, samt brugeradministration og –support.

Dine oplysninger lagres inden for EU (Den Europæiske Union) og Det Europæiske Økonomiske Samarbejdsområde (”EØS”). Vi overfører ikke dine oplysninger til tredjelande.

Opbevaring og sletning
Når du indgiver din ansøgning, vil Det grevelige Dannemandske Stift som udgangspunkt behandle dine personoplysninger under hele ansøgningsforløbet, som typisk vil strække sig over 10-12 måneder.

Hvis du modtager et afslag på donation fra Det grevelige Dannemandske Stift, vil vi slette din ansøgning umiddelbart efter, at vi har oplyst dig om, at vi ikke vil imødekomme din ansøgning.   

Hvis vi derimod beslutter at give dig støtte, vil dine personoplysninger opbevares i op til 5 år samt løbende regnskabsår efter støtten er givet, medmindre du har givet dit samtykke til længere tids opbevaring.

Du kan læse mere om dine rettigheder, når du har afgivet personoplysninger i henhold til dit samtykke, i afsnittene herunder.

Sikkerhed
Vi værner om dine oplysninger, og har høje standarder for sikkerhed. Derfor har vi en række interne procedurer og politikker, der sikrer, at vi lever op til vores høje sikkerhedsstandarder. 

Dine rettigheder

Retten til indsigt:
Du har ret til at få indsigt i, hvilke personoplysninger vi har registreret om dig.

Retten til at få berigtiget data: 
Du har ret til at anmode om at få dine personoplysninger rettet, hvis de er ukorrekte, herunder ret til at gøre ufuldstændige oplysninger fyldestgørende. 

Retten til at få slette data:
Du har ret til at få slettet de personoplysninger, som vi behandler, undtagen i, men ikke begrænset til følgende situationer:

  • Du har fået bevilliget støtte fra Det grevelige Dannemandske Stift, og projektet er endnu ikke afsluttet.
  • Hvis du har fået bevilliget støtte fra Det grevelige Dannemandske Stift, beholder vi dine oplysninger af hensyn til bogføringsreglerne.
  • Du har et økonomisk mellemværende med Det grevelige Dannemandske Stift

Hvis du beder om at få slettet personoplysninger, som relaterer sig til en igangværende ansøgning, skal du vide, at vi ikke vil have mulighed for at behandle ansøgningen. Det samme gør sig gældende, hvis du trækker dit samtykke tilbage.  

Retten til at få begrænset behandling af data
Du har ret til at anmode om vi begrænser behandlingen af dine personoplysninger. Det grevelige Dannemandske Stift foretager ikke automatisk behandling af personoplysninger (profilering). 

Retten til at gøre indsigelse mod vores behandling af data
Du har ret til at modsætte dig anvendelse af dine personoplysninger, der er baseret på Det grevelige Dannemandske Stifts retmæssige interesser. Vi fortsætter ikke med at anvende dine personoplysninger, medmindre vi kan påvise en saglig grund til deres anvendelse, som tilsidesætter dine interesser og rettigheder og/eller på baggrund af lovmæssige krav.

Du har også ret til at gøre indsigelse mod vores behandling af dine personoplysninger, som foretages på baggrund af interesseafvejningsreglen.

Retten til at overføre data: 
Du kan kontakte os, hvis du vil høre om dine muligheder for dataportabilitet.

Retten til at tilbagekalde dit samtykke
Hvis du har givet samtykke til en behandling, kan du til enhver tid tilbagekalde dit samtykke ved at kontakte Det grevelige Dannemandske Stift.

Klage
Hvis du ønsker at klage over vores behandling af personoplysninger, kan du kontakte os på aastrupkloster@mail.dk. Du har også mulighed for at klage til Datatilsynet, Borgergade 28, 5. sal, 1300 København K., telefon 3319 3200, e-mail: dt@datatilsynet.dk.

Opdatering af vores databeskyttelsespolitik
Vi passer godt på dine personoplysninger, og derfor kan der være behov for, at vi opdatere denne databeskyttelsespolitik.

7. juni 2018, version 1.0.