Undervisningsplan for certifikat i persondataret

Transkript

1 Indhold Om undervisningen... 2 Dag 1: 29. april Dag 1: Introduktion til persondataretten... 3 Dag 1: Forberedelse Introduktion til persondataretten... 3 Dag 1: Grundlæggende persondataret, første del... 3 Dag 1: Forberedelse Grundlæggende persondataret, første del... 4 Dag 2: 6. maj Dag 2: Grundlæggende persondataret, anden del... 5 Dag 2: Forberedelse Grundlæggende persondataret, anden del... 5 Dag 2: De registreredes rettigheder... 6 Dag 2: Forberedelse De registreredes rettigheder... 6 Dag 3: 13. maj Dag 3: Samarbejdskonstruktioner... 7 Dag 3: Forberedelse Samarbejdskonstruktioner... 7 Dag 3: Overførsler til udlandet, cloudordninger og Internet of Things... 7 Dag 3: Forberedelse Overførsler til udlandet, cloudordninger og Internet of Things... 8 Dag 4: 20. maj Dag 4: Informationssikkerhed... 9 Dag 4: Forberedelse Informationssikkerhed... 9 Dag 4: Praktisk persondata compliance... 9 Dag 4: Forberedelse Praktisk persondata compliance Dag 5: 27. maj Dag 5: Tilsyn, kontrol og sanktioner Dag 5: Forberedelse Tilsyn, kontrol og sanktioner Dag 5: Databeskyttelsesrådgivere (Data Protection Officers) og Datatilsynets 12 råd Dag 5: Forberedelse Databeskyttelsesrådgivere (Data Protection Officers) og Datatilsynets 12 råd... 12

2 Om undervisningen Forløbet er bygget op på en måde, så gennemgange og casearbejde går tæt på jeres hverdag. Dette skal bl.a. skabe en umiddelbar nytteværdi for jeres organisation i forbindelse med forberedelserne til databeskyttelsesforordningen. Det er derfor vigtigt, at I til første lektion bidrager med en beskrivelse af jeres arbejdsplads og dens organisation, som angivet under Forberedelse under 1. undervisningsdag. I løbet af undervisningen vil I løbende blive bedt om at udbygge og supplere denne beskrivelse, efterhånden som vi arbejder os igennem regelsættet. Tanken er, at I skridt for skridt får mulighed for at kortlægge det samlede regelsæts betydning for jeres arbejdsplads. Denne lidt usædvanlige tilrettelæggelse af læringsforløbet har til formål at sikre, at I hver især igennem forløbet får et helt og komplet billede af, hvordan databeskyttelsesforordningen regulerer netop de eksempler, som I har bragt med til undervisningen. Skabelsen af et sådan billede er et af de 12 råd, som Datatilsynet har sendt ud og som gennemgås til sidst i forløbet. Ved spørgsmål til undervisningsforløbet m.v. kan I skrive til hama@sam.sdu.dk

3 Dag 1: 29. april 2017 Dag 1: Introduktion til persondataretten Underviser: Hanne Marie Motzfeldt Efter en kort gennemgang af uddannelsens målsætninger arbejder vi med databeskyttelsesforordningens formål, anvendelsesområde og persondatarettens definitioner og begreber. Det vil sige, at vi ser på reglernes baggrund, hvordan de fungerer sammen med andre regler, på deres anvendelsesområde og på, hvornår data regnes som personoplysninger, og hvem der er dataansvarlige, databehandlere, registrerede, modtagere, tredjemænd mv. I undervisningens arbejde med cases vil vi bruge de beskrivelser af en arbejdsplads og funktion, som I har lagt på Blackboard for at kortlægge, hvem der har hvilke roller i den organisation, I har beskrevet. Dag 1: Forberedelse Introduktion til persondataretten I skal forud for undervisningen lægge en beskrivelse af jeres arbejdsplads, dens organisation og enhedernes funktioner på Blackboard (se yderligere forklaring på, hvad beskrivelsen skal indeholde på Blackboard under lektion 1.1). o Persondataforordningens artikel 1 4 og 27 og præamblens betragtning 1 37 o Materialesamlingen del 1.1. o Blume, Peter: Den nye persondataret: Persondataforordningen s , s , s og skimme s o Læse case 1 på Blackboard (under lektion 1.1) håndbog for praktikere s , s og Dag 1: Grundlæggende persondataret, første del : Underviser: Hanne Marie Motzfeldt Om eftermiddagen tager vi hul på temaet om den grundlæggende persondataret, dvs. vi fokuserer på persondatarettens principper og behandlingsbetingelser. Denne eftermiddag drejer sig om principperne og udgangspunktet er databeskyttelsesforordningens artikel 5. Gennemgangen vil være praksisnær med brug af mange konkrete eksempler fra tilsynspraksis.

4 Som led i casearbejdet vil vi bruge de beskrivelser, som I har lagt på Blackboard. Det giver os mulighed for sammen at arbejde med og vurdere, om de persondataretlige principper giver udfordringer i forhold til den brug af data, I har beskrevet. Dag 1: Forberedelse Grundlæggende persondataret, første del I skal forud for undervisningen uddybe jeres tidligere beskrivelse af jeres arbejdsplads med en beskrivelse af, hvem der indhenter, udveksler, opbevarer, arkiverer og sletter personoplysninger internt i den organisation, I har beskrevet i forbindelse med 1.1. Angiv om muligt også, hvilke kategorier af oplysninger, der bruges, udveksles og opbevares af hvilke enheder i jeres organisation og hvad oplysningerne skal bruges til (se yderligere forklaring på, hvad beskrivelsen skal indeholde på Blackboard under lektion 1.2.). o Persondataforordningens artikel 5 o Præamblens betragtning 39 og 58 o Materialesamlingen del 1.2. o Blume, Peter: Den nye persondataret: Persondataforordningen s håndbog for praktikere s

5 Dag 2: 6. maj 2017 Dag 2: Grundlæggende persondataret, anden del Underviser: Hanne Marie Motzfeldt Vi går nu over til at arbejde med persondatarettens behandlingsbetingelser. Det handler med andre ord først om bestemmelserne i forordningens artikel 6 11 og til dels artikel Det gennemgås, hvad der ligger i ordinære og følsomme oplysninger, hvornår en oplysning regnes som en oplysning om et strafbart forhold mv. Vi ser også på de generelle behandlingsbetingelser for de enkelte oplysningstyper, og hvordan de skal anvendes i praksis. Derefter arbejder vi med udvalgte områder, hvor der i særlig grad kan opstå tvivl om reglernes betydning. På forhånd områder er det forberedt, at vi arbejder med: HR (ansættelsesområdet) Brug af brug af medier (herunder sociale medier). Derudover er der mulighed for at få inddraget områder, som holdet peger på. Som led i casearbejdet vil vi bruge de beskrivelser af dataflow (brugen af personoplysninger), som I har lagt på Blackboard i forbindelse med første undervisningsgang. Det giver os mulighed for sammen at vurdere, hvilke behandlingshjemler der kan bruges til de dataflow, I har beskrevet. Dag 2: Forberedelse Grundlæggende persondataret, anden del Se videoen på Blackboard (om samspillet mellem de danske regler om tavshedspligt mv. og persondataforordningens regler) I skal forud for undervisningen lægge en kort beskrivelse af et område, hvor du tænker, du kan møde særlige udfordringer (se yderligere forklaring på, hvad beskrivelsen skal indeholde på Blackboard under lektion 2.1). o Persondataforordningens artikel 6 11 og artikel o Præamblens betragtning 10, og o Materialesamlingen del 2.1. o Blume, Peter: Den nye persondataret: Persondataforordningen s og håndbog for praktikere s

6 Dag 2: De registreredes rettigheder Underviser: Hanne Marie Motzfeldt Sikring af de registreredes rettigheder er helt central for, at en organisation overholder databeskyttelsesforordningen. Som led i dette tema gennemgås de registreredes rettigheder i forordningen, og vi arbejder derefter med, om der skal lægges yderligere tekster og procedurer ind i det dataflow, I tidligere har bidraget med fra jeres hverdag. Dag 2: Forberedelse De registreredes rettigheder I skal forud for undervisningen prøve at finde ud af, om I har beskrivelser på jeres arbejdspladser af, hvordan de registreredes rettigheder skal sikres i praksis. Undersøg også, om I har modtaget information om overvågning af internetbrug, telefoner og e mails på jeres arbejdsplads (se yderligere forklaring på, hvad beskrivelsen skal indeholde på Blackboard under lektion 2.2). o Persondataforordningens artikel samt 34 o Præamblens betragtning og o Materialesamlingen del 2.2. o Blume, Peter: Den nye persondataret: Persondataforordningens håndbog for praktikere s

7 Dag 3: 13. maj 2017 Dag 3: Samarbejdskonstruktioner Underviser: Jesper Løffler Nielsen Dataforordningen præciserer og udvider de krav, der gælder, når forskellige organisationer deler data, eller når der anvendes databehandlere, underdatabehandlere eller fælles løsninger. Her genopfrisker vi først kort rollefordelingerne og begreberne, hvorefter vi arbejder med de forhold, man skal være særlig opmærksom på, når der skabes datafællesskaber. I forlængelse heraf ser vi også på, hvad man skal være særlig opmærksom på, hvis ens egen organisation eller samarbejdsparterne kan være interesseret i at bruge oplysningerne til markedsføringsformål. Som led i casearbejdet vil vi bruge beskrivelserne af jeres arbejdsplads dataflow. Dag 3: Forberedelse Samarbejdskonstruktioner I skal forud for undervisningen lægge en uddybende beskrivelse af jeres arbejdsplads brug af personoplysninger op på Blackboard. Den tidligere beskrivelse skal gerne suppleres med information om den eksterne del af jeres dataflow, dvs. af a) hvor der overlades, videregives og offentliggøres oplysninger til eksterne og b) hvor it leverandører og andre uden for jeres organisation har adgang til personoplysninger (se yderligere forklaring på, hvad beskrivelsen skal indeholde på Blackboard under lektion 3.1.). o Persondataforordningens artikel 4 og o Præamblens betragtning 47, 79 og 81 o Materialesamlingen del 3.1. o Blume, Peter: Den nye persondataret: Persondataforordningens s håndbog for praktikere s , s , s , s og s Dag 3: Overførsler til udlandet, cloudordninger og Internet of Things Underviser: Jesper Løffler Nielsen Dataansvarlige kan have en vis usikkerhed i forhold til, om de foretager en overførsel til udlandet, når der anvendes en cloudordning eller en internetforbunden teknologi (Internet of Things). Med henblik på at fjerne denne usikkerhed sættes der under dette tema indledningsvis fokus på, hvornår der sker en overførsel af data til udlandet. Derefter arbejdes der med de særlige krav, forordningen stiller til overførsler

8 af personoplysninger til såkaldte tredjelande, dvs. lande uden for EU. Samtidig ser vi på, hvad cloudordninger og Internet of Things er, og hvilke særlige udfordringer der følger med brugen af sådanne velfærdsteknologier. Dag 3: Forberedelse Overførsler til udlandet, cloudordninger og Internet of Things I skal forud for undervisningen lægge en beskrivelse af jeres arbejdspladsens dataflow med angivelser af, hvor der anvendes eller kan tænkes anvendt cloudordninger eller andre netforbundne tjenester, samt hvor der kan tænkes overført oplysninger til udlandet, eventuelt via databehandlere eller underdatabehandlere (se yderligere forklaring på, hvad beskrivelsen skal indeholde på Blackboard under lektion 3.2). Overvej om I anvender nogen former for internetforbundne velfærdsteknologier i jeres organisation. o Persondataforordningens artikel 27 og o Præamblens betragtning o Materialesamlingen del 3.2. o Blume, Peter: Den nye persondataret: Persondataforordningen s håndbog for praktikere s og s

9 Dag 4: 20. maj 2017 Dag 4: Informationssikkerhed Underviser: Daniel Hartfield Traun En række sikkerhedskrav er i dag relativt velkendte, f.eks. logningskrav, sletterutiner mv. Andre er mindre kendte, og den mere konkrete udmøntning står hen i det uvisse for mange. Om formiddagen arbejdes der med, hvad der ligger i de organisatoriske, de systemtekniske og de fysiske sikkerhedskrav, og hvilke krav der stilles til sikring af den faktiske efterlevelse og til de beredskabsplaner, der skal ligge i jeres organisation efter maj Dag 4: Forberedelse Informationssikkerhed I skal forud for undervisningen forsøge at finde jeres arbejdsplads retningslinjer for datasikkerhed, herunder om hjemmearbejdspladser, om transmission af data (f.eks. om kryptering af e mail / sikker e mail) og om opbevaring af koder mv. Undersøg hvis I kan om der sker logning på arbejdspladsen, og hvordan jeres login system fungerer, og om I har beskyttelse mod forsøg på at gætte adgangsgivende faktorer ved login (se yderligere forklaring på, hvad beskrivelsen skal indeholde på Blackboard under lektion 4.1). o Læs retningslinjerne og medbring dem eventuelt i print, så du kan arbejde med dem som case i forbindelse med undervisningen. Se nedenfor under Forberedelse til 4. undervisningsdag, eftermiddag Dag 4: Praktisk persondata compliance Underviser: Jesper Løffler Nielsen Her går vi tæt på de dataansvarliges hverdag, og der ses på de nye informations og dokumentationskrav, der i vidt omfang vil afløse anmeldelses og tilladelsesordningerne. Der arbejdes desuden med, hvordan der gennemføres Data Protection Impact Assessments (PIA) og sikring af de registreredes rettigheder i praksis, herunder de nye rettigheder og i forhold til de særlige regler, der kommer i forhold til børn.

10 Dag 4: Forberedelse Praktisk persondata compliance I skal forud for undervisningen lægge en kort notits op på Blackboard, der beskriver, hvor let/vanskeligt det var at finde informationerne til 4.1. (retningslinjerne). I forhold til de retningslinjer, der er rettet til medarbejderne: Beskriv også gerne, hvornår du sidst har læst dem (se yderligere forklaring på, hvad notitsen skal indeholde på Blackboard under lektion 4.2). o Persondataforordningens artikel 24 25, samt og o Præamblens betragtning o Materialesamlingen del 4.1 og 4.2. o Blume, Peter: Den nye persondataret: Persondataforordningen s håndbog for praktikere s og 87 94

11 Dag 5: 27. maj 2017 Dag 5: Tilsyn, kontrol og sanktioner Underviser: Hanne Marie Motzfeldt Om formiddagen tager vi fat på organiseringen af administration og håndhævelse, herunder især de nye tilsynskonstruktioner, om tilsynenes kontrolmuligheder samt de sanktioner, der følger med databeskyttelsesforordningen. Dag 5: Forberedelse Tilsyn, kontrol og sanktioner Saml det materiale, du har udarbejdet under forløbet indtil nu. Skriv et notat (som var det til din ledelse / direktion). Notatet skal redegøre for organisationens persondataretlige udfordringer og for, hvilke tiltag der bør tages for at forberede jeres organisation til forordningen og til at være beredt på tilsynsbesøg fra Datatilsynet efter 25. maj Upload notatet på Blackboard senest den 24. maj 2017 kl (se yderligere forklaring på, hvad beskrivelsen skal indeholde på Blackboard under lektion 5.1.). o Notatet har et dobbelt formål. Det ene formål er at give jer mulighed for at få individuel sparring fra underviseren. Det andet formål er, at notatet kan fungere som kladde til jeres synopsis, hvis I ønsker at gå til eksamen i faget og få certifikatbeviset. o Persondataforordningens artikel o Præamblens betragtning o Materialesamlingen del 5.1. o Blume, Peter: Den nye persondataret: Persondataforordningen s håndbog for praktikere s Dag 5: Databeskyttelsesrådgivere (Data Protection Officers) og Datatilsynets 12 råd Underviser: Sissel Michelle Kristensen I dette modul ses på de krav, der vil blive stillet til databeskyttelsesrådgivernes/dpo eres kvalifikationer, ansættelsesform, opgaver og rolle i de organisationer, som de er knyttet til. Da DPO erne og deres samarbejdsparters arbejde bør tage udgangspunkt i Datatilsynets 12 råd, gennemgås disse råd som afslutning på forløbet.

12 Dag 5: Forberedelse Databeskyttelsesrådgivere (Data Protection Officers) og Datatilsynets 12 råd o Persondataforordningens artikel o Præamblens betragtning 97 o Materialesamlingen del 5.2. o Blume, Peter: Den nye persondataret: Persondataforordningen s håndbog for praktikere s. s