Forberedelse til persondataforordningen. Plesners projektmodel

Transkript

1 Forberedelse til persondataforordningen Plesners projektmodel

2 Plesners projektmodel Den nye persondataforordning stiller fra den 25. maj 2018 en række skærpede krav til håndtering af persondata. Vi har i Plesner Persondata Team udarbejdet en projektmodel, der sikrer en fuld efterlevelse af persondataforordningen. Projektmodellen tager udgangspunkt i den enkelte organisations behov og består af syv faser, som hver især har en række klart definerede aktiviteter og leverancer. På de næste sider er en gennemgang af indholdet i de syv faser. Ved at følge Plesners projektmodel får jeres organisation en fuldt implementeret løsning helt fra start til slut. Plesner Persondata Team kan bistå med arbejdet med efterlevelse af persondataforordningen. Vi har en fuldt fleksibel tilgang til, hvem der gør hvad vi løser de opgaver, som I ønsker vores bistand til, og I står selv for resten. Vi lægger stor vægt på indledningsvist at få en god forståelse af jeres organisation for bedst muligt at kunne skabe de rigtige, forretningsorienterede løsninger - og vi følger implementeringen helt til dørs, frem til at jeres organisation har gennemført alle nødvendige tiltag til efterlevelse af persondataforordningen og er overgået til daglig drift. Vores persondataretlige team er landets største hold af jurister, der arbejder dedikeret med den nye persondataforordning. Vores team har en høj grad af kommerciel forståelse, et indgående kendskab til myndighedernes praksis og en omfattende erfaring med hands-onimplementering af projekter. 2 Plesners Projektmodel

3 Plesners projektmodel BESKRIVELSE ANALYSE AFHJÆLPNING PROCESSER IMPLEMEN- TERING DRIFT GOVERNANCE Forstå forretningen Projektplan: omfang og afgrænsning Dokumentation af data, datastrømme og behandling Analysere regelefterlevelse (juridisk "gap-analyse") Opdatere dokumentation Risikoanalyse og prioritering Løse problemer identificeret under gapanalysen Opdatere dokumentation Fastlægge kontrolmål Designe processer og kontroller til sikring af fremtidig efterlevelse Intern uddannelse og opmærksomhedsskabende aktiviteter Implementere nye/ændrede processer Daglig efterlevelse af processer og kontroller Opfølgning og sikring af at processer og kontroller fungerer Overordnet styring og løbende forbedring af processer og kontroller 3 Plesners Projektmodel

4 1 Beskrivelse En god forståelse af virksomheden er afgørende for at kunne definere projektet og levere en forretningsorienteret løsning, som sikrer virksomheden det juridiske grundlag for i videst muligt omfang at foretage den behandling af persondata, der er nødvendig for at understøtte opnåelsen af virksomhedens strategiske og operationelle målsætninger. Derudover vil en god forståelse af forretningen ofte give en god indikation af de persondataretlige udfordringer, virksomheden står overfor, og hvilke dele af organisationen der bør fokuseres på. Med udgangspunkt i en dokumenteret forretningsforståelse fastlægges omfanget af og grænserne for projektet. Endvidere vil forretningsforståelsen bidrage til at fastlægge den mest hensigtsmæssige strategi for indsamlingen af den information, der kræves for at dokumentere de forskellige datastrømme og databehandlinger. På denne baggrund udarbejdes en projektplan. Erfaringsmæssigt er det hensigtsmæssigt at angribe kortlægningen af processer og datastrømme fra to sider dels fra it-siden ved at få overblik over systemer og de data, der findes i systemerne, og dels ved interviews med de medarbejdere, der er involveret i den daglige behandling af persondata. I det omfang der allerede findes beskrivelser af processer og systemer, bør kortlægningen sædvanligvis tage udgangspunkt i denne eksisterende dokumentation; dog kan det særligt i meget komplekse organisationer med en omfattende dokumentation være hensigtsmæssigt at indlede kortlægningen med at interviewe nøglemedarbejdere for derved at skabe overblik og dermed fokusere på den væsentlige dokumentation. Aktiviteter Møde med relevante personer for at få en god forståelse af virksomheden Definition af projektets omfang og afgrænsning Organisatorisk (hvilke dele af virksomheden skal omfattes, og hvordan) Indholdsmæssigt (typer af data/behandlinger/formål) Fastlæggelse af strategi for dataindsamling Dokumentation af data, datastrømme, behandlinger og sikkerhedsforanstaltninger Leverancer Der udarbejdes en projektplan for projektet. Efter denne fase vil virksomheden have den første version af den dokumentation, der kræves i medfør af forordningens artikel 30, samt de oplysninger, som er nødvendige for senere faser På dette stadie vil dokumentationen bl.a. indeholde oplysninger om Hvilke personoplysninger virksomheden behandler Hvilke behandlinger disse oplysninger indgår i, og til hvilket formål Kategorier af modtagere Eventuelle databehandlere Generel beskrivelse af de eksisterende tekniske og organisatoriske sikkerhedsforanstaltninger 4 Plesners Projektmodel

5 2 Analyse Plesner har inddelt forordningen i tre typer af regler direkte pligter, meta-regler og andre regler; se illustrationen på side 11. Det skal bemærkes, at enkelte regler udgør både direkte pligter og meta-regler eksempelvis sikkerhed (artikel 32), som er placeret i kasse syv. Meta-reglerne beskriver, hvordan virksomheden skal sikre og kunne vise, at de direkte pligter efterleves. Efterlevelse af de direkte pligter er således en forudsætning for, at arbejdet med metareglerne har værdi. Derfor skal der, baseret på de informationer der blev indsamlet under fase 1, udføres en juridisk gap-undersøgelse med det formål at fastslå, om den nuværende behandling af oplysninger er i overensstemmelse med forordningens direkte regler, herunder Grundprincipperne (artikel 5) Lovligheden/retsgrundlaget (artikel 6-10), herunder en vurdering af lovligheden af de faktiske samtykker, når disse tjener som retsgrundlag for behandlingen Forpligtelsen til at oplyse de registrerede om behandlingen (artikel 13 og 14) Kvalificeret profilering (artikel 22) Aktiviteter Gennemgang af de behandlinger, der er identificeret i fase 1 med henblik på at vurdere, om disse er i overensstemmelse med forordningens direkte regler. Leverancer Ved afslutningen af denne fase vil dokumentationen blive opdateret med oplysninger om: Retsgrundlaget for behandlingen Frister for sletning af de forskellige kategorier af data Efter denne revidering vil dokumentationen opfylde kravene i forordningens artikel 30. Dokumentationen vil også indeholde de oplysninger, som skal bruges til udarbejdelse af dokumenter til opfyldelse af oplysningspligten, jf. artikel 13 og 14. Derudover udarbejdes en rapport/oversigt, der beskriver de områder, hvor behandlingen af persondata på nuværende tidspunkt ikke lever op til forordningens direkte pligter. Anvendelsen af databehandlere, herunder databehandleraftaler (artikel 28) Tredjelandsoverførsler (artikel 44-49) Processer og dokumentation (meta-regler) bliver behandlet i fase 4. 5 Plesners Projektmodel

6 3 Afhjælpning På baggrund af rapporten, der blev udarbejdet i fase 2, skal afhjælpningen af den manglende overholdelse planlægges og gennemføres. Arten og omfanget af problemer vil variere; men det er Plesners erfaring, at der i de fleste organisationer er behov for en indsats på flere områder, og at denne indsats kan være både tids- og ressourcekrævende. For at sikre en hensigtsmæssig tilgang til afhjælpningen af de identificerede problemer, herunder at sikre, at der fokuseres på at afhjælpe de mest væsentlige problemer først, bør afhjælpningsarbejdet tage udgangspunkt i en risikoanalyse. Derefter bør der ske en prioritering af afhjælpningsaktiviteter. Dels kan der være indbyrdes afhængighed mellem forskellige afhjælpningsaktiviteter, således at disse bør gennemføres i en bestemt rækkefølge, og dels kan der være afhjælpningsaktiviteter, som har effekt på en række af problemerne og derfor vil give en samlet betydelig positiv effekt, hvilket taler for at prioritere disse aktiviteter. Endelig kan der være problemer, som er så alvorlige, at disse skal afhjælpes, næsten uanset omkostningen forbundet hermed. Aktiviteter Risikoanalyse Behandlinger Identificerede svagheder Prioritering og planlægning af afhjælpningsaktiviteter Gennemførelse af afhjælpningsaktiviteter Udarbejdelse af dokumenter til opfyldelse af oplysningspligten, jf. artikel 13/14. Ajourføring af artikel 30-dokumentation Leverancer Ved afslutningen af denne fase har virksomheden udbedret de områder, hvor behandlingen af persondata hidtil ikke er sket i overensstemmelse med forordningens krav (direkte pligter). Såfremt der findes områder, hvor afhjælpningen endnu ikke er fuldt gennemført eksempelvis fordi det er mere hensigtsmæssigt at rette op på disse områder i forbindelse med den fremtidige, daglige drift ligger der en oversigt over disse områder samt en plan for den videre afhjælpning og opfølgning herpå, så det sikres, at afhjælpningen gennemføres som planlagt. Artikel 30-dokumentation er endelig. 6 Plesners Projektmodel

7 4 Processer I faserne 2 og 3 har fokus været på et øjebliksbillede af virksomhedens behandling af persondata og en sikring af, at virksomheden på dette tidspunkt efterlever forordningens direkte pligter. En af de væsentlige ændringer med forordningen er imidlertid det eksplicitte krav om ansvarlighed (accountability). Der skal derfor foretages en gennemgang af virksomhedens eksisterende processer og kontrolforanstaltninger med henblik på at vurdere, om de kan give en tilstrækkelig grad af sikkerhed for, at virksomheden fremadrettet efterlever forordningens krav om accountability og derigennem sikrer, at forordningens direkte pligter til stadighed efterleves. Det vil sædvanligvis være en fordel at opdele dette arbejde, således at virksomheden først med udgangspunkt i forordningen, anden relevant lovgivning, kundekrav og interne politikker definerer de relevante kontrolmål, og herefter vurderer eksisterende processer og kontrolforanstaltninger i forhold til opnåelse af kontrolmålene. I det omfang eksisterende processer og kontroller ikke sikrer opnåelse af de kontrolmålene, skal virksomheden planlægge og gennemføre den nødvendige justering og udvikling. Hvis virksomheden ressourcemæssigt har mulighed for det, kan en del af dette arbejde gennemføres sideløbende med fase 3, da gennemførelsen af aktiviteter til afhjælpning af konstaterede svagheder ofte vil være en god indgangsvinkel til at identificere krav til de fremtidige processer og kontroller. Aktiviteter Fastlæggelse af kontrolmål (hvad skal virksomheden gøre for at sikre, at forordningens krav efterleves fremadrettet) Fastlæggelse af processer og kontroller (hvordan skal kontrolmålene opnås) Etablering af dokumentationsstandarder (hvordan skal virksomheden påvise efterlevelse af processer og kontroller) Leverancer Ved afslutningen af denne fase vil virksomheden have den dokumentation, som er påkrævet i henhold til forordningens artikel 5(2) og 24. Derudover leverer vi en oversigt over de juridisk betingede behov for it-sikkerhed, jf. artikel 32, samt guidelines for udarbejdelse af dokumentation i henhold til artikel 25. Dokumentationen vil henvise til de relevante artikler i forordningen, beskrive de afledte kontrolmål, og beskrive de faktiske processer og kontrolforanstaltninger, der er designet til at understøtte opnåelsen af de enkelte kontrolmål. Hvis virksomheden allerede har etableret systemer for styring og efterlevelse af reglerne, anbefaler vi, at dokumentation og kontrolforanstaltninger tilrettelægges i henhold til de eksisterende rammer, da det i de fleste situationer vil danne det bedste grundlag for en effektiv løbende vedligeholdelse og styring. 7 Plesners Projektmodel

8 5 Implementering Intern uddannelse og opmærksomhedsskabende aktiviteter Forordningen vil kræve, at personale, der arbejder med persondata, ændrer vaner og daglig praksis. Det vil komme til at påvirke andre personer i organisationen også personer, der ikke arbejder med persondata. Vi anbefaler derfor, at uddannelse og andre forberedende aktiviteter udføres på to niveauer: 1. Generel information til alle medarbejdere om de nye regler, og hvordan disse vil påvirke virksomheden. 2. Særlig uddannelse for personale, der er direkte involveret i behandlingen af persondataoplysninger for at opbygge en solid forståelse af, hvad de skal gøre fremover og ikke mindst hvorfor. Implementering af processer og kontrolforanstaltninger De nye eller ændrede processer og kontrolforanstaltninger, der blev defineret i forbindelse med fase 4, skal introduceres i det daglige arbejde. I visse tilfælde kan særlige "overgangsløsninger" være nødvendige for at understøtte en smidig og effektiv overgang fra tidligere processer og kontrolforanstaltninger. Aktiviteter Udarbejdelse og gennemførelse af informationskampagner Udarbejdelse af uddannelsesmateriale Gennemførelse af kurser Forandringsledelse Leverancer Oplysningsaktiviteter og uddannelsesprogrammer for forskellige grupper af medarbejdere E-learning Gennemførelse af uddannelse Opfølgning på implementeringen af processer og kontrolforanstaltninger. Virksomheden bør sikre en tæt opfølgning i de første uger for at identificere og afhjælpe uhensigtsmæssigheder i processer og kontrolforanstaltninger på en effektiv og kontrolleret måde. I modsat fald er betydelig risiko for, at processerne ikke kommer til at fungere som tilsigtet. 8 Plesners Projektmodel

9 6 Drift Indledningen af denne fase markerer den formelle overgang fra projekt til den daglige drift. Virksomheden skal gennemføre den planlagte løbende overvågning af processer og kontroller for at sikre, at disse efterleves i praksis og har den ønskede effekt. På mange områder kan dette indbygges i de primære processer og kontrolforanstaltninger, f.eks. gennem funktionsadskillelse. På andre områder kan det være nødvendigt at have yderligere periodiske aktiviteter såsom gennemgang af nøgletal, statistik mv. Det er vigtigt at være opmærksom på, at det forhold at processer ikke efterleves eller fungerer som tilsigtet særligt i starten ofte vil være udtryk for, at processen ikke er hensigtsmæssigt designet; eksempelvis fordi der i praksis forekommer en række situationer, som processen ikke tager højde for, eller fordi processen i praksis viser sig uforholdsmæssig besværlig og kontraproduktiv. Aktiviteter Daglig drift Løbende overvågning af processer og kontroller Leverancer Dokumentation for daglige aktiviteter Derfor bør konstatering af afvigelser fra det tilsigtede altid give anledning til overvejelser om et eventuelt behov for tilpasning af processer. 9 Plesners Projektmodel

10 7 Governance Governance består af overvågning og løbende forbedring af processer og kontroller. Et vigtigt element i governance-arbejdet er at sikre, at der periodisk typisk mindst en gang årligt gennemføres en revurdering og opdatering af risikoanalyser, processer og kontroller, således at disse til stadighed afspejler virksomhedens situation og ikke mindst dens ofte dynamiske omgivelser. Derudover kan det være hensigtsmæssigt at overveje muligheden eller behovet for at opdatere processer og kontroller i lyset af nye eller forbedrede teknologiske muligheder. Aktiviteter Overvågning og opfølgning på complianceprogram Leverancer Dokumentation for opfølgningsaktiviteter Et væsentligt mål med governance aktiviteten er at give virksomhedens ledelse et realistisk billede af, hvorvidt processer og kontroller overordnet set fungerer som tilsigtet. Hvis virksomheden allerede har en struktur for governance, anbefaler vi, at denne også anvendes i forhold til persondataforordningen, da denne tilgang sandsynligvis vil være den mest omkostningseffektive. 10 Plesners Projektmodel

11 Overblik over persondataforordningen 1. Formål, materielt og geografisk anvendelsesområde, definitioner Art Grundprincipper, behandlingsregler Art. 5-11, Gennemsigtighed, den registreredes rettigheder, datasikkerhedsbrud Art , 'Accountability', privacy by design/privacy by default Art Dataansvarlig/ databehandler Art Dokumentation, samarbejde, DPIA, DPO Art , Sikkerhed Art Adfærdskodeks og certificering Art Tredjelandsoverførsler Art Tilsynsmyndighed og samarbejde ('One-stopshop'), sammenhæng og EDPB 11. Ansvar og sanktioner Art Delegerede retsakter, forholdet til 95/46/EF og 2002/58/EF, evaluering, ikrafttrædelse Art Art Grøn = Direkte pligter Kobber = Meta regler Blå = Andre regler 11 Plesners Projektmodel

12 Persondataretligt Forum Hold dig opdateret For at følge, analysere og understøtte udviklingen af persondataretten har Plesner lanceret Persondataretligt Forum. Formålet er at skabe et uformelt rum, hvor praktikere og teoretikere mødes for at opnå ny viden og inspiration og drøfte de seneste udviklinger, udfordringer og problemstillinger, som persondataretten giver anledning til. Forummet består af en række nyhedsbreve, kurser og arrangementer, hvor der sættes fokus på grundlæggende og aktuelle spørgsmål inden for persondataretten. Der bliver løbende tilføjet arrangementer i lyset af, hvilke emner der efterspørges. Læs mere på 12 Plesners Projektmodel

13 Kontaktpersoner Michael Hopp Advokat, partner T: M: Sara Reeh Lynge Advokat T: M: Martin Hjørlund Nielsen Advokat T: M: Plesners Projektmodel

14 Plesners Persondata Team Michael Hopp Advokat, partner Sara Reeh Lynge Advokat Kamilla Enevoldsen Advokat Martin Hjørlund Nielsen Advokat Har opbygget og er ansvarlig for Plesners persondatateam Langvarig og dyb erfaring med teoretisk og praktisk persondataret oparbejdet ved fokusering på området i mere end 15 år Specialist i persondata- og markedsføringsret Praktisk erfaring inden for persondatacompliance fra Tryg Forsikring. Har ud over persondataret særlig erfaring med IT-ret Tidligere udstationeret hos Nordea i forb. persondatacomplianceprojekt Specialist i persondataret og med 25 års erfaring med rådgivning om compliance fra stort konsulenthus Erfaring som ansvarlig for "information security compliance" i finansiel virksomhed Christian Nielsen Advokat Peter Østerby Mønsted Advokat Martin Nybye-Petersen Advokatfuldmægtig Mads Toftgaard Nielsen Advokatfuldmægtig Specialist i persondata- og markedsføringsret Tidligere udstationeret hos hos Københavns Lufthavne og senest Nordea i forb. med persondatacomplianceprojekt Specialist i persondataret har tidligere beskæftiget sig med kontraktsret Frem til marts 2017 udstationeret til A.P. Møller Mærsk i forbindelse med global udrulning af BCR Specialist i persondataret 3 års erfaring som fuldmægtig ved Datatilsynet særlig erfaring den finansielle sektor og inden for markedsføringsret Specialist i persondataret 3 års erfaring som fuldmægtig ved Datatilsynet særlig erfaring med reglerne om overførsel til tredjelande Phillip Giede Bøving Advokatfuldmægtig Mille Selbach Rasmussen Legal Intern Mads Ehlers Falch Legal Intern Michella Buss Sørensen Advokatsekretær Hos Plesner siden september 2016 Hos Plesner siden februar 2016 Hos Plesner siden marts 2016 Hos Plesner siden oktober Plesners Projektmodel

15 Plesner Plesner Advokatfirma Amerika Plads 37 DK-2100 København Danmark Telefon: CVR nr..: Indholdet af denne præsentation stilles til rådighed for offentligheden i orienteringsøjemed, og er ikke ment som og kan ikke erstatte juridisk rådgivning. Plesner kan ikke holdes ansvarlig for brug af oplysningerne I præsentationen. Hvis du har brug for juridisk rådgivning, er du meget velkommen til at kontakte Plesner.