Persondatalovens dokumentationskrav

Størrelse: px

Starte visningen fra side:

Download "Persondatalovens dokumentationskrav"

Tilde Frandsen
4 år siden
Visninger:

1 Persondatalovens dokumentationskrav It-advokat Martin Folke Vasehus, ComplyCloud ComplyCloud ApS

2 Martin Folke Vasehus Certificeret IT-advokat Erfaring 10 år med IT og digitalisering (8 hos Bruun & Hjejle) Medlem af IT-Branchens Sikkerhedsudvalg Master-studerende på IT-Universitetet Ekstern lektor ved Juridisk Fakultet, KU Specialer GDPR og compliance-programmer It-kontrakter og it-outsourcing It-forsikring og cyber-skader og ansvar It-retssager og voldgiftssager 2

3 Hvad kræver persondataloven? Hvordan gør vi det nemt? 3

4 Behandling Behandling omfatter i praksis alle former for håndtering af persondata ( 3, nr. 2) Eksempler på handlinger omfattet af behandling : Registrering Redigering s Samkøring Videregivelse Søgning Alt hvad man overhovedet kan forestille sig at gøre ved persondata med undtagelse af at kigge på det og glemme det er behandling og omfattet af loven

Personoplysninger Personoplysninger er defineret som Enhver form for information om en identificeret eller identificerbar fysisk person ( 3, nr.

5 Personoplysninger Personoplysninger er defineret som Enhver form for information om en identificeret eller identificerbar fysisk person ( 3, nr. 1) Det afgørende er, om en person kan identificeres ud fra oplysningerne det er ikke afgørende, hvem der kan DATA Alt elektronisk data, og alt ikke-elektronisk data i registre, er persondata, hvis det for sig selv eller ved sammenstilling med anden tilgængelig data kan henføres til en fysisk person

6 Særlige kategorier af personoplysninger Der gælder et generelt forbud mod behandling af særlige kategorier af personoplysninger ( 7). Listen over særlige kategorier af personoplysninger er udtømmende og er som følger: Race og etnicitet Politisk standpunkt Religion og filosofi Seksuel orientering Helbredsoplysninger Fagforening Forbuddet har en række undtagelser, herunder at behandling af de særlige kategorier er tilladt, hvis den registrerede har samtykket hertil.

7 Hvad er dokumentationskravene?

8 Juridisk dokumentation Kortlægning til anmeldelse Juridiske dokumenter Processer og kontroller 8

9 Juridisk dokumentation Kortlægning til anmeldelse Dokumenter Processer og kontroller 9

10 Kortlægning af behandling til brug for anmeldelse Offentlige myndigheder skal som udgangspunkt anmelde deres behandlinger af fortrolige oplysninger ( 43). Behandlinger påbegyndt før 1. december 2016 skal anmeldes inden den 1. december 2019, mens behandlinger efter 1. december 2016 skal som udgangspunkt anmeldes forud for iværksættelsen af behandlingen.

11 Hvad skal kortlægges? En anmeldelse af behandling til Datatilsynet skal indeholde følgende oplysninger: 1) Navn og adresse på den dataansvarlige, dennes eventuelle repræsentant og på en eventuel databehandler 2) Behandlingens betegnelse og formål 3) En generel beskrivelse af behandlingen 4) En beskrivelse af kategorierne af registrerede og af de typer af oplysninger, der vedrører dem 5) Modtagere eller kategorier af modtagere, som oplysningerne kan overføres til 6) Påtænkte overførsler af oplysninger til tredjelande 7) En generel beskrivelse af de foranstaltninger, der iværksættes af hensyn til behandlingssikkerheden 8) Tidspunktet for påbegyndelsen af behandlingen 9) Tidspunktet for sletning af oplysningerne

12 12

13 13

14 14

15 Den digitale fortegnelse gør det nemt at vedligeholde kortlægningen. Man skal regne med at bruge ca. 2 timer pr. Halvår på vedligeholdelse. 15

16 Juridisk dokumentation Kortlægning til anmeldelse Juridiske dokumenter Processer og kontroller 16

17 Alle de nødvendige Interne dokumenter Persondatapolitikker (HR og rekruttering) Sikkerhedsbeskrivelser Procesbeskrivelser Medarbejderinstrukser Tredjeparter Databehandleraftaler Overførselsgrundlag ved overførsel til tredjelande Fælles dataansvarlige aftaler Hemmeligholdelsesaftaler (NDA) De registrerede personer Persondatapolitik (ekstern) Proces for overholdelse af de registreredes rettigheder Dokumentation af korrekt svar til registrerrede Samtykkeerklæringer Løbende kontrol Egenkontrol Kontrol med databehandlere Systemkontrol DPO kontrol Registrering af hændelser Konsekvensanalyser (DPIA) 17

18 18

19 19

20 20

21 21

22 Ved brug af ComplyCloud sparer man ca. 80% af den interne tid til udarbejdelse af den nødvendige dokumentation Eksempel: Analog udarejdelse af Persondatapolitik i Word: minimum 3 timer. Udarbejdelse af Persondatapolitik i ComplyCloud: 15 minutter. 22

23 Juridisk dokumentation Kortlægning til anmeldelse Dokumenter Processer og kontroller 23

24 Hvordan laver man løbende kontrol og sikrer dokumentation af efterlevelse af lovens mange krav? Man skal huske at lave løbende kontroller og sikre dokumentation af de foretagne vurderinger 24

25 37 kontroller/år 500+ underliggende delkontroller 25

26 Hvordan? Følg to-do liste Besvar spørgeskemaet Færdige dokumenter Årshjul og automatisering 26

27 Rådgivning omsat til en konkret to-do liste 27

28 Opsummering 10+ fortegnelser 20+ dokumenter 37 kontroller/år 28

29 Opsummering af værditilbud 1 Advokat 24/7 med advokatansvarsforsikring 2 Nemt at implementere og bruge 3 Minimerer omkostninger til administration og advokat 4 5 Automatiserede processer og dokumentation Den hurtigste og sikreste måde at få de juridiske dokumenter og løbende kontrol på plads 29

30 Skalerbar løsning og prismodel Større virksomheder Mindre virksomheder 30

31 Tak for opmærksomheden spørgsmål? For mere info og demo: eller send en til: 31

Relaterede dokumenter

EU Persondataforordning GDPR

EU Persondataforordning GDPR 14. juni 2018 Agenda Persondataforordningen - GDPR Hvad går forordningen grundlæggende ud på og hvorfor? Hvad stiller forordningen af krav til nødvendig indsats? Hvordan sikrer