Persondataretlig compliance - Hvordan bliver din organisation klar?

Størrelse: px

Starte visningen fra side:

Download "Persondataretlig compliance - Hvordan bliver din organisation klar?"

Alma Andersen
7 år siden
Visninger:

1 Persondataretlig compliance - Hvordan bliver din organisation klar? København, den 26. maj Projektoverblik Fase 1: Foranalyse 2: Planlægning 3: Analyse 4: Risk mitigation 5: Procedurer 6: Forankring 7: Rapportering Resultat Gap-analyse og overblik over aktuelt complianceniveau og identifikation af højrisikoområder Kortlægning af databehandlere, projektplanlægning og etablering af projektorganisation, privacy risk assessment og evt. itsikkerhed Sikring af det rette juridiske grundlag gennem aftaler, anmeldelser og tilladelser, evt. BCR. Etablering af interne politikker og procedurer, herunder DPOorganisation. Uddannelse af medarbejdere, intern bevidsthed og kommunikation. Kontrol, opfølgning og løbende rapportering, evt. årlig audit. Produkt Projektplan og organisering Datagrundlag og risikoprofil Anmeldelser/ tilladelser Klare retningslinjer Pre auditrapport Træningsprogrammer Årlig revision Beslutning og den fortsatte proces samt estimat på den fremadrettede investering ved næste fase 1

2 Persondataretligt compliance projekt Compliance projektet tilpasses den enkelte virksomheds behov, fokusområder og kultur HR (ansatte) Kunder/forbrugere Udvalgte selskaber/hele koncernen Projektets formål, scope og resultat beskrives i compliance oplæg DPO ens rolle? Udpegning af compliance team/arbejdsgruppe/styregruppe Afgørende med grundigt benarbejde i relation til: Interne ressourcer Eksterne ressourcer Tidshorisont Aktiv projektstyring og løbende sejre er vigtigt i projekter, der strækker sig over længere tid! Væsentlige opgaver 2

3 5 Gap-analyse 6 Gapanalyse (Foranalyse) Formål Kortlægge det nuværende complianceniveau, herunder i forhold til sektorspecifik lovgivning Operationelle anbefalinger til problemløsning (heat-map) Hvor langt er organisationen fra overholdelse af reglerne i den kommende persondataforordning (gap-analyse) Generelt overblik over organisationen, datakategorier, politikker og leverandørforhold Generelt overblik over sikkerhed, organisatorisk, teknisk og fysisk Andre forhold kan inddrages efter aftale Overordnet proces Gennemgang af systemoversigter og diagrammer Udarbejdelse spørgetemaer i samarbejde med organisationen Planlægning og gennemførelse af interviews Gennemgang af politikker, godkendelser og eksempler på aftaler Juridiske og faktuelle undersøgelser Udarbejdelse af rapport(er), herunder heat-maps og gap-analyse 3

4 7 8 Formål Overholdelse af EU-forordningen At identificere og dokumentere datastrømme, herunder kategorier af persondata for hver datastrøm/proces At kunne vurdere retsgrundlaget for brug af, adgang til og overførsler af persondata, herunder identifikation af dataansvarlige og databehandlere At kunne justere datastrømme med access management restriktioner (personer og juridiske enheder) Skabe grundlag for implementering af databehandleraftaler Optimering 4

5 9 Legal Entity (Brazil) Datastrømme i en simpel global koncern Parent Company (Denmark) Dataprocessor (CRM-system) Legal Entity (Germany) Legal Entity (Spain) Legal Entity (USA) Legal Entity (China) Examples on processed personal data: Employees Customers Suppliers Agents Roles: Data Controller Data Processor 10 5

6 11 Resultat Overblik over Access Data Flow Database Access Data Flow Database nem at vedligeholde/opdatere (nye enheder, nye/erstatte samarbejdspartnere, nye IT-systemer mv.) Dokumentation af datastrømme i korrekt format til brug for såvel BCR ansøgninger såvel som databehandleraftaler Nemt at lave udtræk fra Access Data Flow Database ved rapportering til Datatilsynet (fx ved audits) Databaseinformation kan vises og opstilles til forskellige formål (fx alle overførsler uden for EU, mangel på databehandleraftaler mv.), herunder til brug for risikostyring/risikovurdering Liste over identificerede databehandlere (eksterne og interne) Kort/udførlig rapport: Andre findings/nye findings (uden for scope af pre-audit) under interviews 12 6

7 13 Etablering af interne politikker og procedurer 14 Persondatapolitikker Information om hvordan den dataansvarlige behandler de personoplysninger, som den dataansvarlige indsamler om de registrerede personer Informationen gives til, fx Ansatte Kunder Leverandører Brugere Besøgende Medlemmer Borgere På baggrund af informationen skal den registrerede være i stand til at vurdere eventuelle risici forbundet med afgivelsen af personoplysninger 7

8 15 Intern persondatapolitik Kravet om en intern persondatapolitik følger af princippet om accountability Skal kunne dokumentere, hvordan behandlingen af personlysninger sker indenfor organisationen, herunder ved gennemførelse af databeskyttelsespolitikker Opfyldelse af oplysningspligt overfor medarbejdere Interne persondatapolitikker er samtidig med til at sikre compliance i organisationen Retningslinjer for de ansatte om, hvordan de skal agere i forhold til behandling af personoplysning i organisationen Overholdelse af den interne persondatapolitik skal sikres gennem interne audits 16 Intern persondatapolitik Hvordan behandles personoplysninger internt i organisationen, herunder Definitioner Behandlingskrav Særlige områder, fx IT, HR, marketing, business development, procurement Brug af databehandlere, databehandleraftaler Videregivelse af personoplysninger (intern og eksternt) Overførsel til tredjelande Sikkerhed DPO Slettefrister Registreredes rettigheder, herunder indsigt Klageprocedure Data Protection Risk Assessment (PIA) Uddannelses-/træningsprogram Henvis eventuelt til øvrige politikker, blanketter, templates der skal anvendes 8

9 17 Implementering Intern persondatapolitik Den interne persondatapolitik skal indgå i organisationens øvrige politik-portefølje: Tillæg til ansættelsesaftale Generel medarbejderhåndbog Eventuel godkendelse i work councils, medarbejderudvalg mv. Persondatapolitikken bør understøttes gennem uddannelse/træning, så der skabes kendskab til indhold, og efterlevelse sikres i størst mulig omfang Løbende ajourføring og revidering 18 Ekstern persondatapolitik Kravet om en ekstern persondatapolitik følger af den dataansvarliges oplysningspligt over for den registrerede (PDL 28 og 29, PF artikel 13 og 14) Oplysningsforpligtelsen skal eksempelvis opfyldes i følgende tilfælde: Hjemmeside App Spørgeskema Deltagelse i konkurrence Jobansøgning Nethandel 9

10 19 Tidspunkt - Ekstern persondatapolitik Oplysningerne skal som hovedregel gives Samtidig med indsamlingen af personoplysningerne, når oplysningerne indsamles hos vedkommende selv eller Hvis oplysningerne indsamles fra en anden kilde Inden for en rimelig frist efter indsamlingen (senest 1 måned) Ved første kommunikation med den registrerede Når oplysningerne videregives 20 Ekstern persondatapolitik Følgende oplysninger skal gives i persondatapolitikken (i henhold til Forordningen): Den dataansvarliges identitet og kontaktoplysninger (PDL) samt kontaktdetaljer på eventuel DPO Formålet med behandlingen (PDL) og retsgrundlaget Hvis behandlingen er baseret på interesseafvejningsreglen skal de legitime interesser, der varetages, angives Modtagerne eller kategorierne af modtagere (PDL) Eventuel overførsel til tredjeland samt beskyttelsesniveauet (PDL) 10

11 21 Ekstern persondatapolitik Følgende yderligere oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling, skal gives: Opbevaringsperioden eller kriterier til brug ved fastlæggelse heraf Den registreredes rettigheder, herunder indsigt, dataportabilitet, mv. (PDL) Evt. retten til at trække samtykke tilbage Retten til at klage til tilsynsmyndighed Hvorvidt afgivelsen af personoplysninger er et lovpligtigt eller kontraktretligt krav Hvorvidt den registrerede har pligt til at afgive personoplysningerne, og hvad konsekvensen ved ikke at give oplysningerne er (PDL) Evt. automatisk beslutningstagning, herunder profilering Hvis personoplysningerne ikke er indsamlet hos den registrerede skal følgende yderligere oplysninger gives (Forordningen): Kategorier af personoplysninger (PDL) Hvilken kilde oplysningerne stammer fra, herunder evt. offentlig kilde 22 Kontakt Thomas Munk Rasmussen Susanne Stougaard Partner København Advokat København Ip & Technology IP & Technology T M E tmr@bechbruun.com T M E sus@bechbruun.com København Danmark Aarhus Danmark Shanghai Kina T

Relaterede dokumenter

Persondatacompliance

Persondatacompliance Ved Thomas Munk Rasmussen 2 Nyt regime på vej GDPR fra maj 2018 Hvorfor egentlig så meget fokus på persondata nu? Selskabslovens 115: I kapitalselskaber, der har en bestyrelse, skal