PERSONDATA KUNDER OG LEVERANDØRER

Transkript

1 PERSONDATA KUNDER OG LEVERANDØRER Dansk Maskinhandlerforening 4. og 9. april 2018 Kristian Storgaard, partner, Certificeret IT-Advokat, Master i IT (Org.) SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø

2 KORT OM DATABESKYTTELSESFORORDNINGEN SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø CVR. NR: DK

3 EU-FORORDNING OM DATABESKYTTELSE Vedtaget i Europa-Parlamentet den 14. april 2016 Anvendelsesfrist den 25. maj 2018 Overordnede ønsker er bl.a. Ensartede regler i EU Skærpet beskyttelse af fysiske personer Hårdere sanktioner Administrative bøder på op til EUR 10 mio. / 20 mio. eller for en virksomhed med op til 2 % / 4% af den samlede globale årlige omsætning i det foregående regnskabsår, såfremt dette beløb er højere SIDE 3

4 EU-FORORDNING OM DATABESKYTTELSE Udeståender Hvilke specifikke bestemmelser fastsættes i Danmark? databeskyttelsesloven under behandling Lovforslagets sanktioner: bøde eller fængsel indtil 6 måneder, med mindre højere straf efter den øvrige lovgivning Kommissionen kan vedtage delegerede retsakter Fortolkningsbidrag fra Det Europæiske Databeskyttelsesråd Justitsministeriet Datatilsynet SIDE 4

5 DEN JURIDISKE BAGGRUND FOR COMPLIANCEPROGRAMMET Hvad handler det om? SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø CVR. NR: DK

6 PERSONOPLYSNINGER: ENHVER FORM FOR INFORMATION OM EN IDENTIFICERET ELLER IDENTIFICERBAR FYSISK PERSON (DEN REGISTREREDE) - Persondatalovens 3, nr. 1 SIDE 6

7 [ ] VED IDENTIFICERBAR FYSISK PERSON FORSTÅS EN FYSISK PERSON, DER DIREKTE ELLER INDIREKTE KAN IDENTIFICERES, NAVNLIG VED EN IDENTIFIKATOR SOM F.EKS. ET NAVN, ET IDENTIFIKATIONSNUMMER, LOKALISERINGSDATA, EN ONLINEIDENTIFIKATOR ELLER ET ELLER FLERE ELEMENTER, DER ER SÆRLIGE FOR DENNE FYSISKE PERSONS FYSISKE, FYSIOLOGISKE, GENETISKE, PSYKISKE, ØKONOMISKE, KULTURELLE ELLER SOCIALE IDENTITET - databeskyttelsesforordningens art. 4, nr. 1 SIDE 7

8 RELEVANTE AKTØRER OG PERSONGRUPPER IFM. PERSONDATABEHANDLING Andre interessenter Ejere Leverandører Virksomheden Potentielle/tidligere kunder Kunder Slutkunder Eksterne konsulenter Ansatte Potentielle/tidligere ansatte Slutbrugere SIDE 8

9 BEHANDLING: [ ] F.EKS. INDSAMLING, REGISTRERING, ORGANISERING, SYSTEMATISERING, OPBEVARING, TILPASNING ELLER ÆNDRING, GENFINDING, SØGNING, BRUG, VIDEREGIVELSE VED TRANSMISSION, FORMIDLING ELLER ENHVER ANDEN FORM FOR OVERLADELSE, SAMMENSTILLING ELLER SAMKØRING, BEGRÆNSNING, SLETNING ELLER TILINTETGØRELSE - databeskyttelsesforordningens art. 4, nr. 2 SIDE 9

10 OVERBLIK OVER DE GRUNDLÆGGENDE REGLER Sundkrogsgade SUNDKROGSGADE 5, DK , København DK-2100 KØBENHAVN Ø Ø CVR-nr.: CVR. NR: DK 62 DK

11 GRUNDLÆGGENDE PERSONDATARET Principper for behandling af personoplysninger Behandlingshjemmel Registreredes rettigheder Oplysningspligt og indsigtsret Ret til berigtigelse og sletning Ret til begrænsning af behandling Ret til dataportabilitet Ret til indsigelse Anmeldelsespligt <=> påvise compliance, evt. fortegnelse over behandlingsaktiviteter og konsekvensanalyse (DPIA) SIDE 11

12 PRINCIPPER FOR BEHANDLING AF PERSONOPLYSNINGER De grundlæggende principper (art. 5) God databehandlingsskik: Lovlighed, rimelighed og gennemsigtighed Formålsbegrænsning: Indsamles til udtrykkeligt angivne og legitime formål Dataminimering: Tilstrækkelige, relevante og begrænset til det nødvendige Rigtighed: Korrekte og ajourførte urigtige personoplysninger skal straks slettes eller berigtiges Opbevaringsbegrænsning: Opbevares så det ikke er muligt at identificere registrerede i længere tidsrum end nødvendigt iht. formål Behandlingssikkerhed: Sikre tilstrækkelig sikkerhed Den dataansvarlige er ansvarlig for og skal kunne påvise overholdelse af ovennævnte principper SIDE 12

13 PERSONDATA KATEGORIER I DAG OG EFTER FORORDNINGEN 6 art. 6 7 art. 9 8 => alm. 11 Almindelige oplysninger - uændret Navn, journal nr. mv. Kontaktoplysninger Køn, alder mv. Interesser Kundeprofil, købshistorik Kreditoplysninger mv. IP adresser Muligheder for behandling: bl.a. samtykke, kontrakt, interesseafvejningsreglen kan ofte behandles uden samtykke Følsomme oplysninger to tilføjelser Race og etnisk baggrund Religion Politisk overbevisning Fagforeningsforhold Helbredsforhold Seksuelle forhold (ikke registreret partnerskab) Genetiske data (art. 9) Biometriske data (art. 9) Muligheder for behandling: som UP altid samtykke Oplysninger af rent privat karakter Strafbare forhold art. 10 Væsentlige sociale problemer Andre rent private forhold: personlighedstests, skilsmisse, adoptionsforhold, positive alkohol- eller narkotikatest mv. Muligheder for behandling i dag: som UP altid samtykke eller streng interesseafvejning CPR-numre Gælder kun for CPRnumre Muligheder for behandling i dag: samtykke eller bestemt ved lov, afgrænsede muligheder for videregivelse til brug for identifikation Forventer nationale særregler SIDE 13

14 Ikke-følsomme personoplysninger (ikke udtømmende liste) - 6 i persondataloven og artikel 6 i databeskyttelsesforordningen Følsomme personoplysninger (udtømmende liste) - 7 i persondataloven og artikel 9 i databeskyttelsesforordningen Strafbare forhold - 8 i persondataloven og artikel 10 i databeskyttelsesforordningen Særregler - 11 i persondataloven og databeskyttelsesloven Navn, journal nr., kunde nr. m.v. Kontaktoplysninger (adresse, telefon- og mobilnummer, m.v.) Køn, alder, fødselsdato. Kundeprofil, købshistorik, interesser m.v. Boligform, bil, nummerplade m.v. Pasnummer, kørekort nummer, medlemsnummer i forening m.v. IP adresser Lokaliserings-data (f.eks. GPS) Foto og video materiale, herunder stemmeoptagelser Underskrifter Økonomiforhold, kreditoplysninger, kontonummer, lønindkomst, skat, gæld (gæld til det offentlige, lån i pengeinstitut m.v.). Livsforsikring Pensionsordninger Civilstatus og familieforhold Eksamenskarakter Jobansøgning CV-oplysninger Ansættelsesdato, stilling, arbejdsområde, arbejdstelefon, antal sygedage m.v. Oplysninger af rent privat karakter efter 8 i persondataloven ikke-følsomme personoplysninger efter artikel 6 i databeskyttelsesforordningen Væsentlige sociale problemer som f.eks. oplysninger om langvarig arbejdsløshed eller modtagelse af førtidspension. Andre rent private forhold som f.eks. registreret partnerskab, foreningsmæssige tilhørsforhold, familiestridigheder, separationsog skilsmissebegæringer, adoptionsforhold, ulykkestilfælde med væsentlige personlige eller sociale konsekvenser, selvmord og forsøg derpå, positive alkohol- eller narkotikatest m.v. bortvisning fra jobbet, profilbillede, personlighedstest m.v. Race og etnisk baggrund Religiøs eller filosofisk overbevisning Politisk overbevisning Fagforeningsforhold Helbredsforhold Oplysninger om en fysisk persons tidligere, nuværende og fremtidige fysiske eller psykiske tilstand samt oplysninger om medicinmisbrug og misbrug af narkotika, alkohol og lignende nydelsesmidler. Seksuelle forhold og orientering (ikke registreret partnerskab) Genetiske data (ny tilføjelse) Biometriske data (ny tilføjelse) Overtrædelser af lovgivning, bøder m.v. Oplysninger om overtrædelse af lovgivning, hvor det ikke har udløst (eller kan udløse) et egentlig strafansvar, men evt. andre sanktioner som f.eks. en rettighedsfrakendelse anses også for omfattet. Det er ikke enhver oplysning om et muligt strafbart forhold, herunder enhver anmeldelse til politiet, der anses for omfattet, idet det er en forudsætning, at oplysningen i en eller anden form er underbygget. Oplysninger om personnummer (CPR) Side 14

15 ARTIKEL 6: LOVLIG BEHANDLING Behandling er kun lovlig, hvis mindst ét af følgende forhold gør sig gældende: Den registrerede har givet samtykke hertil til et eller flere specifikke formål. Behandling er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i. Behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige. Behandling er nødvendig for at beskytte den registreredes vitale interesser. Behandling er nødvendig af hensyn til udførelse af en opgave, som er i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt. Behandling er nødvendig for, at den dataansvarlige kan forfølge en legitim interesse, med mindre den registreredes interesser går forud. SIDE 15

16 ARTIKEL 7: BETINGELSER FOR SAMTYKKE Samtykke er betinget af følgende: Den dataansvarlige skal kunne påvise, at der er givet samtykke. En anmodning om skriftligt samtykke skal klart kunne skelnes fra andre forhold, være i letforståelig og lettilgængelig form og i klart og enkelt sprog ellers ikke bindende. Et samtykke kan til enhver tid trækkes tilbage, og oplysning derom skal gives inden samtykke. Det skal være lige så let at trække sit samtykke tilbage som at give det. Samtykke ifm. opfyldelse af kontrakt må ikke være gjort betinget af samtykke til behandling, der ikke er nødvendig for opfyldelse af denne kontrakt. Afkrydsning i et felt eller valg af behørige tekniske indstillinger er stadig gyldig. SIDE 16

17 ARTIKEL 9: BEHANDLING AF SÆRLIGE KATEGORIER AF PERSONOPLYSNINGER Behandling af følgende typer af personoplysninger er forbudt: race etnisk oprindelse politisk overbevisning religiøs overbevisning filosofisk overbevisning fagforeningsmæssigt tilhørsforhold genetiske data biometriske data helbredsoplysninger oplysninger om en fysisk persons seksuelle forhold seksuel orientering SIDE 17

18 ARTIKEL 9: BEHANDLING AF SÆRLIGE KATEGORIER AF PERSONOPLYSNINGER Undtagelser: Den registrerede har givet udtrykkeligt samtykke. Det er nødvendigt for at overholde den dataansvarliges eller den registreredes arbejds-, sundheds- og socialretlige forpligtelser og specifikke rettigheder. Det er nødvendigt for at beskytte den registreredes vitale interesser. Behandling foretages af en stiftelse, en sammenslutning eller et andet organ, som ikke arbejder med gevinst for øje, og hvis sigte er af politisk, filosofisk, religiøs eller fagforeningsmæssig art som led i deres lovlige aktiviteter. Personoplysningerne er offentliggjort af den registrerede. Behandling er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares. Behandling er nødvendig af hensyn til væsentlige samfundsinteresser. Behandling er nødvendig mhp. forebyggende medicin eller arbejdsmedicin til vurdering af arbejdstagere. Behandling er nødvendig af hensyn til samfundsinteresser på folkesundhedsområdet. Behandling er nødvendig til arkivformål i samfundets interesse. En medlemsstat kan opretholde eller indføre yderligere betingelser ift. genetiske data, biometriske data eller helbredsoplysninger. SIDE 18

19 SÆRLIGT VEDRØRENDE KUNDEDATA SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø CVR. NR: DK

20 KUNDEDATA LOVLIG BEHANDLING Art. 6: Behandlingen er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende Samtykke Bør kun indhentes, når hjemlen ikke kan søges andet steds Dog altid et krav ved markedsføring, nyhedsbreve mv. Opfyldelse af en kontrakt Forsendelse, service, overordnet CRM Retlig forpligtelse Interesseafvejning Eksempler: Leeds, overfladisk profilering, ajourføring fra andre kilder Din virksomhed har bevisbyrden for, at vurderingen er korrekt SIDE 20

21 KUNDEDATA SAMTYKKE Tydelig og adskilt fra øvrig tekst om f.eks. salgs- og leveringsvilkår Skal være et aktivt tilvalg (modsat et forud afkrydset samtykkefelt) Klart og enkelt sprog, som er let forståeligt for målgruppen Specificere formålet med den påtænkte behandling Hvis I ønsker samtykke til flere forskellige formål, spørger I om separat samtykke for hvert formål Din virksomheds navn (som dataansvarlig) skal fremgå I skal oplyse om muligheden for til enhver tid at trække samtykket tilbage Skal være lige så let, som det var at afgive samtykket Ingen negative konsekvenser forbundet med ikke at afgive samtykke Det skal kunne dokumenteres, at der er givet samtykke og til hvad I skal regelmæssigt følge op på, at samtykket stadig er aktuelt og korrekt SIDE 21

22 KUNDER OPBEVARINGSPERIODE IFT. KUNDEOPLYSNINGER IKKE UDTØMMENDE Der sondres mellem potentielle kunder, nuværende kunder og forhenværende kunder Må ikke opbevares i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de behandles Formål kan eksempelvis være winback af forhenværende kunder, at sikre kundegenkendelse, dokumentationshensyn, at sikre retsstillingen Konkret vurdering og ofte branche- eller produktspecifikt Eksempler: mobilabonnementer med binding i 6 mdr., leasing af bil med binding i 12 mdr., kontaktlinser købes hver måned Særlovgivning kan dog kræve opbevaring af visse personoplysninger i en længere periode (eksempelvis 5 år efter bogføringsloven) SIDE 22

23 DATAANSVARLIG OG DATABEHANDLER SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø CVR. NR: DK

24 GENERELLE FORPLIGTELSER Artikel 24: Den dataansvarliges ansvar at gennemføre passende tekniske og organisatoriske foranstaltninger, at implementere passende databeskyttelsespolitikker, at overholde godkendte adfærdskodekser eller certificeringsmekanismer at være i stand til at påvise overholdelse af den dataansvarliges forpligtelser efter forordningen. SIDE 24

25 GENERELLE FORPLIGTELSER Artikel 25: Databeskyttelse gennem design og gennem standardindstillinger Den dataansvarlige gennemfører passende tekniske og organisatoriske foranstaltninger. Standardindstillinger skal sikre, at kun personoplysninger, der er nødvendige til hvert specifikt formål med behandlingen, behandles. Denne forpligtelse gælder følgende: den mængde personoplysninger, der indsamles, omfanget af behandlingen, opbevaringsperioden, personoplysningernes tilgængelighed. Det skal sikre, at personoplysninger ikke stilles til rådighed for et ubegrænset antal fysiske personer uden den pågældende fysiske persons indgriben. Pseudonymisering og dataminimering er anerkendte teknikker i databeskyttelse gennem design. SIDE 25

26 GENERELLE FORPLIGTELSER Artikel 28: Databehandler Foretager behandling på vegne af en dataansvarlig. Der skal indgås en kontrakt for navnlig at sikre, at databehandleren: kun behandler personoplysninger efter dokumenteret instruks fra den dataansvarlige, sikrer, at de personer, der er autoriseret til at behandle personoplysninger, har forpligtet sig til fortrolighed, iværksætter passende sikkerhedsforanstaltninger, opfylder betingelserne for at gøre brug af en anden databehandler krav om forudgående specifik eller generel skriftlig godkendelse fra den dataansvarlige, og at den oprindelige databehandler forbliver fuldt ansvarlig, bistår den dataansvarlige med besvarelse af anmodninger om udøvelse af den registreredes rettigheder, bistår den dataansvarlige med at sikre overholdelse af forpligtelserne til behandlingssikkerhed, sletter eller tilbageleverer alle personoplysninger til den dataansvarlige, efter at tjenesterne vedrørende behandling er ophørt, stiller alle oplysninger, der er nødvendige for at påvise overholdelse af forordningen, til rådighed for den dataansvarlige. SIDE 26

27 FORTEGNELSE OVER BEHANDLINGSAKTIVITETER Artikel 30: Fortegnelser over behandlingsaktiviteter Hver dataansvarlig eller dennes eventuelle repræsentant fører fortegnelser over behandlingsaktiviteter, der skal omfatte alle af følgende oplysninger: Navn på og kontaktoplysninger for den dataansvarlige, den fælles dataansvarlige, den dataansvarliges repræsentant og databeskyttelsesrådgiveren, formålene med behandlingen, en beskrivelse af kategorierne af registrerede og kategorierne af personoplysninger, de kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til, overførsler af personoplysninger til et tredjeland og dokumentation for fornødne garantier, de forventede tidsfrister for sletning af de forskellige kategorier af oplysninger, en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, der implementeres. Forpligtelsen gælder dog ikke, hvis virksomheden beskæftiger under 250 personer, med mindre behandlingen f.eks. omfatter følsomme oplysninger. Der stilles lignende krav til databehandleren og dennes eventuelle repræsentant. SIDE 27

28 KONCERNFORHOLD OG TREDJELANDSOVERFØRSLER SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø CVR. NR: DK

29 KONCERNFORHOLD OG TREDJELANDSOVERFØRSLER Videregivelse i koncernforhold betragtes som videregivelse til tredjemand krav om sagligt formål, hjemmel til videregivelse (f.eks. samtykke eller interesseafvejningsreglen) mv. Særlige krav ved videregivelse til tredjelande, dvs. lande uden for EU, lande, der ikke er omfattet af EØS-samarbejdet, og lande, der ikke er særligt godkendt som et tredjeland med tilstrækkeligt beskyttelsesniveau Eksempler på særligt godkendte lande: Israel, Schweiz og Argentina forordningen opretholder sådanne godkendelser, indtil de bliver ændret, erstattet eller ophævet videregivelse kræver stadig ikke specifik godkendelse SIDE 29

30 TREDJELANDSOVERFØRSLER HOVEDREGEL: Forbud Særligt hjemmelsgrundlag for dataoverførsel til tredjelande, der ikke vurderes at yde et tilstrækkeligt sikkerhedsniveau for de overførte oplysninger, f.eks. EU Standard Model Contractual Clauses Ikke krav om tilladelse fra Datatilsynet, medmindre ordlyden ændres Yderligere bestemmelser som UP ok, hvis ikke i strid hermed Binding Corporate Rules Skal godkendes af Datatilsynet og evt. et andet datatilsyn i EU USA: EU-U.S. Privacy Shield ordning virkning fra 1. august 2016 Udtrykkeligt samtykke fra de registrerede eller en af de andre særlige undtagelsesbestemmelser, f.eks. kontrakt- eller lovgrundlag SIDE 30

31 DEN REGISTREREDES RETTIGHEDER Sundkrogsgade SUNDKROGSGADE 5, DK , København DK-2100 KØBENHAVN Ø Ø CVR-nr.: CVR. NR: DK 62 DK

32 DEN REGISTREREDES RETTIGHEDER (1) Den person, der behandles personoplysninger om, har en række rettigheder ifølge forordningen: Ret til gennemsigtig kommunikation: Al kommunikation med den registrerede skal ske på en kortfattet, letforståelig og lettilgængelig form og i et klart og enkelt sprog. Oplysningspligt: Den registrerede skal bl.a. oplyses om den dataansvarlige identitet, kontaktoplysninger (telefonnummer, adresse eller lignende), formålene og hjemmelsgrundlaget for behandlingen. Ret til indsigt: Den registrerede har ret til at få bekræftet, hvorvidt personoplysninger om den pågældende behandles, og i så fald adgang til oplysningerne. Ret til berigtigelse, sletning og begrænset behandling: Personoplysninger, der viser sig at være urigtige, behandlet i strid med persondatareglerne, ikke længere er nødvendige for formålet m.v., skal på anmodning berigtiges, slettes eller blokeres. Ret til dataportabilitet: Den registrerede har ret til i et struktureret almindeligt anvendt og maskinlæsbart format at modtage indsamlede oplysninger om sig selv, når behandlingshjemlen er baseret på kontrakt eller samtykke. Ret til at klage: Den registrerede kan til enhver tid klage til Datatilsynet over behandling af oplysninger om den pågældende Frist for at besvare henvendelser: Uden unødig forsinkelse og i alle tilfælde senest 30 dage efter modtagelsen af en anmodning fra en registreret. SIDE 32

33 DEN REGISTREREDES RETTIGHEDER (2) Begrænsninger i den registreredes rettigheder i forhold til oplysningspligt og indsigtsret: hvis den registeredes interesse i oplysningerne findes at burde vige for afgørende hensyn til private interesser, herunder hensynet til den pågældende selv Undtagelsen kan tænkes anvendt f.eks. ifm. behandling af henvendelser fra whistleblowere og andre interne undersøgelser eller beskyttelse af forretningshemmeligheder SIDE 33

34 PÅVISNING AF ANSVARLIGHED (ACCOUNTABILITY) Sundkrogsgade SUNDKROGSGADE 5, DK , København DK-2100 KØBENHAVN Ø Ø CVR-nr.: CVR. NR: DK 62 DK

35 PÅVISNING AF ANSVARLIGHED (ACCOUNTABILITY) Efter den 25. maj 2018 skal den dataansvarlige kunne påvise overholdelse af den dataansvarliges forpligtelser efter forordningen, hvilket bl.a. kræver: Overblik over behandling af personoplysninger og lovligheden heraf, f.eks. ved udarbejdelsen af en fortegnelse over behandlingsaktiviteter Implementering af passende tekniske og organisatoriske sikkerhedsforanstaltninger Iværksættelse af foranstaltninger, der sikrer efterlevelse af databeskyttelsesreglerne, f.eks. uddannelse af personale, implementering af databeskyttelsespolitikker og procedurer for behandling af anmodninger om indsigt, klager fra de registrerede mv. SIDE 35

36 PERSONDATARETLIG COMPLIANCE - HVAD SKAL VIRKSOMHEDEN GØRE? SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø CVR. NR: DK

37 KROMANN REUMERTS COMPLIANCE-MODEL Fase 1 Afgrænsning og forberedelse Fase 3 Complianceanalyse Fase 5 Implementering Vedligeholdelse og opfølgning på handlingsplanen Fase 2 Kortlægning af datastrømme Fase 4 Handlingsplan SIDE 37

38 Projektet fokuserer på afgrænsning, kortlægning af datastrømme samt udarbejdelse af compliance-analyse Afgrænsning og forberedelse Kortlægning af datastrømme Complianceanalyse Handlingsplan Implementering Vedligeholdelse Sikre organisatorisk forankring Skabe vision og mål for projektet Organisering af projektet sikre ejerskab samt allokering af ressourcer på tværs af organisationen Kortlægning af datastrømme som grundlag for det videre compliancearbejde Dokumentation Juridisk vurdering af hvorvidt behandlingen er lovlig ift. persondataloven, forordningen og andre relevante regler Konklusion og anbefalinger Prioritering af indsatsområder Anbefaling af relevante og konkrete tiltag Eksekver handlingsplanen herunder bl.a. udarbejdelse af dokumenter, implementering af nye processer, uddannelse af medarbejdere etc. Opfølgning på projektet Sikre at organisationen forbliver compliant Håndtering af ændringer herunder ajourføring af dokumentation Side 38

39 FASE 1 AFGRÆNSNING OG FORBEREDELSE SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø CVR. NR: DK

40 FASE 1 - AFGRÆNSNING OG FORBEREDELSE (1) Fase 1 skal sætte scenen for compliance-projektet og sikre organisatorisk forankring Indledende fase Projektoverblikket Formålet med fase 1 er at sikre, at organisationen og projektet bliver klar til at gennemføre de øvrige aktiviteter Forberedelse er afgørende for et velgennemført compliance-program Awareness og forankring i ledelsen Forberedelse af projektet Organisering Fastlæggelse af regler SIDE 40

41 FASE 1 - AFGRÆNSNING OG FORBEREDELSE (2) Awareness og forankring i ledelsen Skab awareness om persondataret og compliance i organisationen særligt på relevante ledelsesniveauer Den brændende platform - Hvad er persondata, og hvorfor er det vigtigt? Sørg for forankring i ledelsen Opbakning og prioritering Budget både penge og timer Placering af det organisatoriske ansvar hvem har det overordnede ansvar? Skab en vision og et mål for projektet hvad vil I opnå? Organisering Etabler en hensigtsmæssig organisation til gennemførsel af compliance-projektet Sørg for at have de nødvendige ressourcer og kompetencer til projektet: Jura men det er ikke (kun) et juridisk projekt IT / IT-sikkerhed Forretningen Ledelseskontakt (evt. i form af styregruppe el.lign.) Andre? (HR, compliance, marketing mv.) Den konkrete organisering afhænger af virksomhedens størrelse, art og organisation Afklaring af ressourcer og budget SIDE 41

42 FASE 1 - AFGRÆNSNING OG FORBEREDELSE (3) Forberedelse af projektet Overordnet koordinering af projektet Realistisk tidsplan for hele projektet og de enkelte faser Forventninger til output af de forskellige faser? Afgrænsning Afgrænsning af de relevante juridiske enheder og de relevante databehandlingsaktiviteter Afgrænsning af relevante personer til interviews Afklaring af antal IT systemer, der indeholder persondata Afklaring af eksisterende dokumentation Hvor langt er I allerede? Beskrevne processer, politikker mv. Fastlæggelse af regler Fastlæggelse af regler mv., der skal efterleves Afklaring af relevante særregler Internationale aspekter Er der grænseoverskridende aktiviteter og hvordan håndterer I dem? SIDE 42

43 FASE 2 KORTLÆGNING AF DATASTRØMME SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø CVR. NR: DK

44 FASE 2 - KORTLÆGNING AF DATASTRØMME (1) Datastrømskortlægningen skal danne grundlaget for compliancearbejdet og kan anvendes til dokumentation iht. forordningen Hvilke data? Hvem anvender dataene? Til hvilke formål? Hvem har adgang? Videregives data? Mv. Tilgang til kortlægningen Procesorienteret Tager udgangspunkt i, hvordan data flyder i forbindelse med forretningens processer -> typisk ved interviews, workshops, beskrevne processer Systemorienteret Tager udgangspunkt i, hvilke IT-systemer virksomheden anvender, og hvorledes persondata lagres, anvendes og stilles til rådighed i disse SIDE 44

45 FASE 2 - KORTLÆGNING AF DATASTRØMME (2) Dataindsamling og dokumentation via workshops En workshop er en tre timers-session, der har til formål at kortlægge datastrømme i de forskellige afdelinger i virksomhedenfilm A/S. Selve kortlægningen kan sammenlignes med en interviewsituation, hvor juristen stiller deltagerne en række spørgsmål om deres daglige arbejdsprocesser, hvori de behandler persondata. Kromann Reumert dokumenterer dette undervejs. Forud for hver workshop anbefales deltagerne at bruge ca minutter på forberedelse Efter hver workshop vil deltagerne blive bedt om at validere dokumentationen. Dette tager maks. 30 minutter SIDE 45

46 FASE 3 COMPLIANCE-ANALYSE SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø

47 FASE 3 - COMPLIANCE- ANALYSE (1) Formålet med compliance-analysen er at vurdere virksomhedens anvendelse af data i forhold til de relevante regler Afklaring af, hvilke oplysninger behandles til hvilke formål Vurdering af, om persondatabehandlingen er lovlig i forhold til databeskyttelsesforordningens regler og eventuelle andre relevante regelsæt Grundlæggende en gap-analyse, der skal identificere de gaps (huller), der skal lukkes, for at virksomheden efterlever gældende regler SIDE 47

48 FASE 3 - COMPLIANCE- ANALYSE (2) Dokumentation Resultat af compliance-analysen gap-analyse, der beskriver de områder, hvor virksomheden ikke lever op til reglerne Det endelige produkt: en compliance-rapport baseret på gap-analysen med angivelse af konkrete konklusioner og anbefalinger SIDE 48

49 FASE 4 HANDLINGSPLAN SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø CVR. NR: DK

50 FASE 4 - HANDLINGSPLAN (1) Formålet med handlingsplanen er at fastlægge og prioritere de indsatser, der skal til for at udfylde hullerne fra gap-analysen i rette tid og med rette prioritet Anbefalingerne fra compliance-rapporten danner grundlaget for udarbejdelse af en handlingsplan Handlingsplanen bør indeholde anbefalinger og planer for relevante tiltag Handlingsplanen bør indeholde prioritering, deadlines og ansvarsfordeling SIDE 50

51 FASE 4 - HANDLINGSPLAN (2) Udarbejdelse af behandlingsoversigter og konsekvensanalyse (hvor relevant) Udarbejdelse af nye politikker, guidelines, instrukser mv. (eller tilpasning af de eksisterende) Eksempler: IT politik, politik/guidelines for håndtering af persondata/hr data/kundedata, instrukser for håndtering af klager, interne retningslinjer for whistleblowerordning, intern Code of Conduct, procedurer for tilfælde, hvor DPO/juridisk afdeling/it skal involveres osv. Træning af medarbejdere Workshops, webinarer, krav om beståelse af en persondata test mv. Udarbejdelse eller tilpasning af databehandleraftaler Procedurer og/eller tjeklister til at sikre, at databehandleren er i stand til at give tilstrækkelige garantier for lovlig behandling Revisorerklæringer, certificeringer mv. Retningslinjer/procedurer for at indgå aftaler med databehandlere Håndtering af eksisterende aftaler ændring mv. Tilpasning af de øvrige dokumenter, såsom samtykketekster, privacy policies/notices, Binding Corporate Rules mv. SIDE 51

52 FASE 4 - HANDLINGSPLAN (3) Tilpasning af IT systemer til at håndtere sletning, blokering, begrænsning, indsigtsret, de nødvendige sikkerhedstiltag mv. Opfølgning hos tredjepartsleverandører Sikring af persondatabeskyttelse i igangværende udviklingsprojekter Data protection by design Data protection by default Indførelse af slettefrister mv. Implementering af procedurer til håndtering af sikkerhedsbrud, herunder konkrete instrukser til medarbejderne om: Hvad der forstås ved et sikkerhedsbrud Hvordan man skal agere mv. Procedurer for, hvordan man boarder en ny medarbejder/kunde mv. efter 25. maj 2018 for at sikre compliance Nødvendig for enhver proces, hvor persondata er involveret Udarbejdelse af kontrolprocedurer og retningslinjer for håndtering af inspektioner/kontrolbesøg SIDE 52

53 FASE 5 IMPLEMENTERING SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø CVR. NR: DK

54 FASE 5 - IMPLEMENTERING Eksekvering af handlingsplanen Udarbejdelse af dokumenterne nævnt i handlingsplanen Og der skal skabes kendskab til indholdet! Implementering af nye processer Uddannelse af medarbejdere Udpegning af en DPO, hvis lovkrav eller vurderes at være nødvendigt/hensigtsmæssigt Test af de tekniske løsninger og ændrede processer de skal jo fungere den 25. maj 2018 Evt. udeståender hvis tidsplanen skrider Hvordan og hvornår håndteres disse bedst? SIDE 54

55 VEDLIGEHOLDELSE SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø

56 VEDLIGEHOLDELSE Opfølgning på projektet Eks. årlig/halvårlig evaluering Håndtering af ændringer Tilpasning af processer, som ikke fungerer hensigtsmæssigt Hold øje med ny lovgivning og praksis på området En afgørelse hos CNIL i Frankrig kan lige pludselig få en meget større betydning end før! Awareness og træning Sørg for at persondata er et kendt og accepteret fokusområde Governance En governance-struktur, der sikrer, at nye systemer og processer ikke kan etableres uden fornøden tanke på persondata Efterleves reglerne? Løbende audit og intern afprøvning SIDE 56

57 TOP 5 FINDINGS I COMPLIANCEPROJEKTER 1 Dataminimering 2 Sletteregler 3 Der behandles for mange data i forholdt til formålet Der behandles følsomme data uden behandlingshjemmel Ingen politik eller regler for hvor længe data skal opbevares (herunder i back-up) Data opbevares for længe Oplysningspligt Ingen oplysning til registrerede om behandlingen (eks. om brug eller videregivelse) Ingen oplysning om rettigheder for registrerede 4 Databehandleraftaler 5 Dokumentation og * Manglende databehandleraftaler (særligt koncerninterne) Databehandleraftaler ikke klar til GDPR-krav Ingen brug af ret til audit kontrol Ingen politikker, dokumentation eller løbende kontrol af hvordan persondata behandles. Manglende opfølgning på sikkerhed og adgangsret men også Manglende kendskab til reglerne Manglende forståelse for regelsættene Manglende kultur om beskyttelse af persondata SIDE 57

58 KRISTIAN STORGAARD Kristian Storgaard arbejder primært med it, telekommunikation og persondata samt immaterialret, og rådgiver klienter i forbindelse med indkøb og kontraktforhold. Kristian har indgående erfaring med at udarbejde og forhandle kontrakter om anskaffelse og drift af IT og telekommunikation. Herudover har Kristian arbejdet med andre IT-retlige forhold, regulatoriske forhold og beskyttelse af persondata. Ud over IT-retten beskæftiger Kristian sig i betydeligt omfang med immaterialret og markedsføringsret, blandt andet licenskontrakter og udviklingssamarbejde. Kristian har desuden stor erfaring med sager om krænkelse af varemærker, ophavsret og design, samt produktefterligning. Desuden rådgiver Kristian virksomheder om andre former for tvister i erhvervsretlige forhold. Partner, advokat (L), certificeret IT-advokat, Master i IT (Org.) M.: D.: kst@kromannreumert.com SIDE 58