Persondataforordningen. Konsekvenser for virksomheder

Transkript

1 Persondataforordningen Konsekvenser for virksomheder

2 Disposition Baggrund Trusler Indledende bemærkninger Principper for behandling De registreredes rettigheder Dataansvarlig og databehandlers pligter Overførsel Andre forhold Sektorbetragtninger Det videre arbejde Operationelle anbefalinger DI's vejledning DPIA 2

3 Baggrund 3

4 Hvad er privacy? Ingen almengyldig definition The poorest man may in his cottage bid defiance to all the force of the Crown. It may be frail; its roof may shake; the wind may blow through it; the storms may enter, the rain may enter, but the King of England cannot enter; all his forces dare not cross the threshold of the ruined tenement! Willian Pitt, Earl of Chatham, Speech on the Excise Bill, 1763 The right to be let alone Louis Brandeis, 1890 No one shall be subjected to arbitrary interference with his privacy, family, home or correspondence Verdenserklæringen om Menneskerettighederne, 1948 Privacy er muligheden for selv (at kunne håndtere risikoen for ikke) at have kontrol over hvilken information man vil dele med hvem hvornår og hvordan. 4

5 Hvorfor er privacy vigtigt? Individsynspunkt Være i kontrol med sine personoplysninger, selv bestemme hvem vi vil dele med Risiko for anvendelse imod individets interesser Historisk og geografisk betydning Refleksion, ytringsfrihed, demokrati, konstruktion af ego, altid noget galt Kilde: "De overvågede", Henning Mortensen, m.fl. Virksomhedssynspunkt Behandle den enkelte kunde på en sådan måde, at de forbliver kunder og taler positivt om virksomheden - herunder giver mulighed for at kunder har forskellige præferencer for at videregive personoplysninger Det gode ry, CSR Overholde loven Minimere omkostninger 5

6 Trusler 6

7 Trusler opsummering Fjender - Fremmede lande - Klassiske it-kriminelle - Idealister - Fejl Motiver - Snyd, afpresning og salg af stjålne aktiver - Nationale, strategiske eller konkurrencemæssige fordele - Uvidenhed, uheld eller dumhed Mere generelt: OCTAVE trusselsterminologi - Menneskelige fejl (interne/eksterne; bevidste/ubevidste) - Systemmæssige fejl - Trusler udenfor virksomhedens kontrol 7

8 Indledende bemærkninger 8

9 Jurister versus sikkerhedsfolk Juristerne: Det her er en opgave for jurister, der står meget lidt i reglerne om, hvordan man skal beskytte data. Der skal fokus på compliance med loven. Sikkerhedsfolk kender ikke den komplicerede retspraksis. Sikkerhedsfolk kan ikke foretage en vurdering af hvilke problematikker, som er relevante. Sikkerhedsfolk: Grundlæggende handler det om at beskytte personoplysningers fortrolighed og til dels deres integritet. Der er fokus på risikovurderinger, privatlivsimplikationsanalyser, dataklassifikation, sikringstiltag, design af itarkitektur og det er en sikkerhedsbrist i sig selv at overlade det til en jurist. DI: Ingen af parterne kan leve uden den anden. 9

10 Ejerskab vs. behandling Lovene fastslår ikke et ejerskab til personoplysninger Lovene gælder regler for behandling af personoplysninger uanset hvem der "ejer" dem. Når man f.eks. samtykker giver den personoplysningerne vedrører en tilladelse til at en dataansvarlig må foretage en behandling af personoplysningerne, men der er ikke forudsat et ejerskab for at man kan samtykke til en behandling. Summa sumarum: I lovene er det behandling der er centralt - ikke ejerskab. 10

11 Persondataforordningen - baggrund Formål: Styrke individernes ret til databeskyttelse Understøtte det frie flow af data Reducere administrative byrder 11

12 Lovens opbygning Der er nogle principper for god behandlingsskik som skal efterleves Der skal findes et hjemmelsgrundlag til behandling Den registrerede har nogle rettigheder, som vedkommende skal kunne udøve Den dataansvarlige og databehandlere skal efterleve nogle forpligtelser Datatilsynet har ret til at føre tilsyn, komme med påbud, advarsler og bøder 12

13 Reglernes scope Reglerne beskytter fysiske personer Personoplysninger som behandles automatiseret eller anden behandling af personoplysninger som indgår i et arkiv. Personoplysninger er alle informationer relateret til en identificeret eller identificerbar person - herunder inklusiv pseudonymer, eksklusiv anonymisering En identificerbar person er en person som kan identificeres (direkte eller indirekte) under henvisning til: en identifier som f.eks. navn, ID-nummer, lokationsdata eller en online identifier af alle slags (f.eks. IP, cookie, RFID) eller andre faktorer som er specifikke for personen (fysisk, genetisk, mental, økonomisk, kulturel eller social identitet) 13

14 Hvem er omfattet? Alle dataansvarlige og databehandlere, som har etableret sig i EU - uanset om behandlingen finder sted i EU Virksomheder der laver varer eller services rettet mod borgere i EU, defineret ved f.eks. sprog, valuta eller kunder indenfor EU Virksomheder som registrerer adfærd (tracking, profilering, præferencer) for de registrerede der befinder sig i EU Virksomheder, som omfattes af de to sidste bullets, skal udpege en repræsentant i EU (Dataansvarlige udenfor EU, men hvor EU lov gælder i medfør af internationale aftaler (ambassader)) 14

15 Principper for behandling 15

16 Principper for behandling 1 Lovlig, rimelig og gennemsigtig Lovlig (A6) Samtykke, kontrakt, retlig forpligtelse hos dataansvarlig, vitale interesser, samfundets interesse eller myndighedsudøvelse, legitim interesse under hensyn til interesseafvejning Der kan fastsættes nationale regler for retlig forpligtelse og samfundets interesse Der skal ske behandling til et andet formål, hvis den dataansvarlige vurderer om de to formål er kompatible: forbindelse mellem formål, konteksten (relation mellem dataansvarlig og den registrerede), personoplysningernes følsomhed, konsekvenser, sikkerhedsforanstaltninger (og om den registrerede skal oplyses, jf. A13+A14) Rimelig og gennemsigtig (A13+A14) Oplysning: Der skal gratis gives information om den dataansvarliges identitet og kontaktinformation (+ evt. DPO), behandlingsformålet, retsgrundlaget for behandlingen (A6+A9, særligt interesseafvejning), kategorierne af modtagerne af data, om der sker overførsel til tredjelande, Rimelig m.v.: tidsrum for behandlingen, om de registreredes rettigheder (indsigt, berigtigelse, sletning, begrænsning, indsigelse, dataportabilitet, retten til at trække samtykke tilbage, ret til at klage til Datatilsyn, om behandling følger af lov eller kontrakt, om der sker profilering. Oplysning skal gives i almindeligt sprog eller via ikoner 16

17 Samtykke Bekræftende handling, der er viser en fri, specifik, informeret og utvetydig accept af at data behandles til et eller flere specifikke formål Fri betyder reelt frit valg (ingen ubalance, (off. myndighed)) og reel mulighed for at nægte (herunder at der ikke må kræves unødvendige data - heller ikke i forbindelse med en kontrakt) samt mulighed for at trække det tilbage. Specifikt betyder eet tydeligt afgrænset formål Informeret betyder kendskab til den dataansvarliges identitet m.v. og mulighed for at trække samtykke tilbage Formen for samtykket kan være skriftlig, mundtlig, elektronisk eller gennem handling Eksempler på utvetydig inkluderer at klikke i en boks, valg af indstillinger på siden og anden afgivelse af erklæring eller anden adfærd. For følsomme personoplysninger skal samtykket være eksplicit Det er den dataansvarlige, som har ansvaret for at påvise at der er afgivet samtykke Hvis samtykket er skriftligt skal det gives i en let tilgængelig form og være let at forstå Særlige regler for samtykke for årige 17

18 Datas følsomhed Almindelige personoplysninger (hjemmel i A6) Må behandles hvis principperne og loven i øvrigt er opfyldt Følsomme personoplysninger: personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering Behandling er som udgangspunkt forbudt Undtagelser (hjemmel i A9): Eksplicit samtykke, med mindre national lovgivning fastslår at borgeren ikke har ret til at give et sådant samtykke Overholde den dataansvarliges eller den registreredes arbejds-, sundheds- og socialretlige forpligtelser og specifikke rettigheder med hjemmel i EU-ret, national ret eller kollektive overenskomster Vitale interesser Stiftelser, foreninger m.v. som led i legitime aktiviteter Offentliggjort af den registrerede selv Retskrav Væsentlige samfundsinteresser på grundlag af lov På sundhedsområdet (til dels med tavshedspligt) Videnskabelig eller historisk forskning og statistik Almindelige oplysninger med særlig beskyttelse: alt vedrørende lovovertrædelse Må kun behandles af offentlige myndigheder eller i medfør af national lovgivning 18

19 Principper for behandling 2 Formålsbegrænsning Udtrykkeligt angivne og legitime formål (vs. specified, explicit and legitimate purposes) Data må ikke behandles mere end formålet tilsiger med mindre det er i offentlig interesse, til videnskabelig og historisk forskning eller statistiske formål 19

20 Principper for behandling 3 Dataminimering Behandlingen af data skal være tilstrækkelig, relevant og begrænset hvad der er nødvendigt i forhold til formålet 20

21 Principper for behandling 4 Rigtighed Data skal være korrekte og om nødvendigt ajourførte Ukorrekte data skal slettes eller berigtiges Dog, hvis formålet ikke længere kræver, at den registrerede er identificeret, så skal der ikke behandles yderligere oplysninger for at identificere vedkommende (A11) 21

22 Principper for behandling 5 Opbevaringsbegrænsning Data må kun lagres i en form, hvor den registrerede kan identificeres i længere tid end nødvendigt Der er undtagelser for arkivering samt videnskabelige, historiske og statistiske formål 22

23 Principper for behandling 6 Integritet og fortrolighed Behandlingen må kun ske, hvis der er taget de fornødne sikkerhedsforanstaltninger Beskyttelsen skal bl.a. sikre mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse Der skal iværksættes passende tekniske og organisatoriske foranstaltninger Man skal kunne tilvejebringe fortrolighed, integritet, tilgængelighed og robusthed Man skal kunne genoprette tilgængelighed og adgang indenfor rimelig tid Tiltag skal baseres på en vurdering af de risici behandlingen udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet Tiltag skal afprøves, vurderes og evalueres Psedonymisering kan anvendes til at reducere risici Den dataansvarlige må gerne behandle data med det formål at sikre sine netværks stabilitet og styrke til at modstå angreb Det er den dataansvarlige som bestemmer, hvilke data der må behandles hvordan 23

24 Principper for behandling 7 Ansvarlighed Den dataansvarlige er ansvarlig for compliance med principperne og skal kunne påvise compliance med principperne Bemærkning: Dette er en betydelig dokumentationsopgave!!! 24

25 Den registreredes rettigheder 25

26 Datasubjektets rettigheder 1 Retten til gennemsigtig oplysning og hjælp fra dataansvarlig til udøvelse af rettigheder Gratis, med mindre der er mange gentagne og upræcise henvendelser Letforståeligt og lettilgængelig og evt. med anvendelse af standardiserede ikoner Uden unødig forsinkelse og indenfor en måned 26

27 Datasubjektets rettigheder 2 Oplysningspligt (A13+A14) Data fra den registrerede (*) eller fra tredjepart (**) - Den dataansvarliges identitet og kontaktinformation, ditto evt. DPO - Behandlingsformålet - Retsgrundlaget for behandlingen - Legitime interesse hos den dataansvarlige, hvis behandling er baseret på interesseafvejning - Kategorierne af modtagerne af personoplysninger - Evt. overførsel til tredjelande - Kategorierne af personoplysningerne(**) - Perioden for behandlingen (inkl. lagring) - Retten til at få indsigt, berigtige eller slette personoplysninger, begrænse behandling, gøre indsigelse mod behandling og retten til dataportabilitet - Muligheden for at trække samtykke tilbage - Muligheden for at klage til tilsynsmyndigheden - Data behandles som led i en kontrakt (*) - Evt. profilering - Anvendelse af personoplysningerne til et nyt formål (*) 27

28 Datasubjektets rettigheder 3 Indsigt (A15) De registrerede har ret til at få bekræftet behandling af personoplysninger Formål Kategorier af personoplysninger Modtagere Tidsrum for behandling Ret til berigtigelse, sletning, begrænsning og indsigelse Klage til tilsynsmyndighed Evt. kilde til personoplysninger Profilering Evt. overførsel til tredjeland Der skal udleveres kopi af personoplysninger (dog mod rimeligt gebyr) 28

29 Datasubjektets rettigheder 4 Berigtige (A16) og slette (A17) De registrerede kan få berigtiget personoplysninger De registrerede har ret til at få slettet data (blive glemt) Når de ikke længere er nødvendige for formålet Når samtykke trækkes tilbage Indsigelse og uden legitime grunde til behandling Når de har været behandlet ulovligt Når lovgivning tilsiger sletning Informationssamfundstjenester rettet mod børn, jf. A8 Den dataansvarlige, som har gjort personoplysninger offentlige, og som pålægges at slette disse, skal tage rimelige skridt til at få andre dataansvarlige som behandler de pågældende oplysninger til at slette disse eller links hertil. 29

30 Datasubjektets rettigheder 5 Begrænse behandling (A18) og Underretning (A19) De registrerede har ret til at begrænse behandling, hvis Rigtigheden af personoplysningerne bestrides Behandlingen er ulovlig (og begrænsning foretrækkes fremfor sletning) Dataansvarlig ikke har brug for personoplysninger, men de er nødvendige af hensyn til retskrav Indtil afgørelse af indsigelse Berigtigelse eller sletning, hvis det ikke er uforholdsmæssigt vanskeligt Underretning: Dataansvarlig underretter tredjeparter om berigtigelse, sletning eller begrænsning 30

31 Datasubjektets rettigheder 6 Dataportabilitet (A20) og indsigelse (A21) Den registrerede skal kunne modtage data vedrørende vedkommende selv i et struktureret, almindeligt anvendt og maskinlæsbart format. Data skal kunne sendes videre til en anden dataansvarlig Undtagelse for offentlig interesse og offentlige myndigheder Kan kræve oplysninger sendt fra dataansvarlig til dataansvarlig, hvis det er teknisk muligt Den registrerede kan altid gøre indsigelse, hvis det retlige grundlag er myndighedsudøvelse eller interesseafvejning Der kan gøres indsigelse mod behandling til markedsføringsformål herunder profilering Retten skal meddeles klart og adskilt fra andre formål 31

32 Datasubjektets rettigheder 7 Profilering (A22) Ret til ikke at blive profileret Profilering: afgørelse alene baseret på automatiseret behandling, som har retsvirkning eller betydelige konsekvenser. Eksempler: kreditvurdering eller e-rekruttering Undtagelse: kontrakt, lovgivning, samtykke Konsekvens er formodentlig samtykke til profilering til markedsføringsformål 32

33 Datasubjektets rettigheder 8 Undtagelser til rettigheder (A23) Skal fastsættes i lov og med krav til detaljer i lov Sikkerhed Strafferet Samfundsinteresser (statens væsentlige økonomiske eller finansielle interesser, folkesundhed og social sikkerhed) Retsvæsenets uafhængighed Etiske regler for lovregulerede erhverv Kontrol- tilsyns- og reguleringsfunktioner Beskyttelse af registreredes rettigheder Civilretslige krav 33

34 Dataansvarlig og databehandlers pligter 34

35 Dataansvarligs pligter 1 Overordnet ansvarsplacering: Dataansvarlig Den dataansvarlige har ansvar for gennem passende tekniske og organisatoriske til enhver tid ajourførte foranstaltninger at efterleve og dokumentere efterlevelse af forordningen Der kan anvendes databeskyttelsespolitikker (og kontroller) Der kan anvendes Code of Conducts (A40) og Certificeringsmekanismer (A42) 35

36 Dataansvarligs pligter 2 PbDx2 Den dataansvarlige skal designe passende tekniske og organisatoriske sikkerhedsforanstaltninger som understøtter principperne for behandling under hensyn til: Teknologiens udviklingsstade Omkostningerne Behandlingens karakter, omfang, sammenhæng og formål Risici, sandsynlighed og alvor (konsekvens) for de registrerede I artiklen er der speciel fokus på pseudonymisering og dataminimering Kun nødvendige personoplysninger behandles som udgangspunkt (slået til som standard) Producenter opfordres til at indbygge disse to tiltag, således at den 36

37 DI's bud på DPbD DPbD Data Loss Prevention Data Discovery Identity and Access Governance Log management Backup Shadow-it discovery Information Lifecycle Management Pseudonymization Encryption Anonymization Virtual or partial identities 37

38 Psedonymisering 38

39 Særligt for producenter P78 (uddrag - endelig tekst) Når producenter af produkter, tjenester og applikationer udvikler, designer, udvælger og bruger applikationer, tjenester og produkter, der er baseret på behandling af personoplysninger eller behandler personoplysninger, for at udføre deres opgaver, bør de tilskyndes til at tage højde for retten til databeskyttelse i forbindelse med udvikling og design af sådanne produkter, tjenester og applikationer og til under behørig hensyntagen til det aktuelle tekniske niveau at sørge for, at de dataansvarlige og databehandlerne er i stand til at opfylde deres databeskyttelsesforpligtelser. 39

40 Databehandlers pligter Databehandler Den dataansvarlige skal kun bruge databehandlere, som kan garantere at implementere de rette tekniske og organisatoriske foranstaltninger Databehandlere må kun bruge underdatabehandlere efter samtykke fra den dataansvarlige Der skal være en kontrakt/databehandleraftale baseret på EU eller national lov, som specificerer: Der må kun behandles personoplysninger efter instruktion fra den dataansvarlige Kun autoriseret personale Iværksættelse af foranstaltninger i medfør af A32 (sikkerhed) Opfylder betingelserne for anvendelse af underdatabehandlere Hjælpe den dataansvarlige med at opfylde sine pligter i forhold til de registreredes rettigheder Slette eller levere alle data til den dataansvarlige ved kontrakts ophør Tilvejebringe dokumentation til den dataansvarlige til compliance/revision, herunder hjælp med sikkerhed/sikkerhedsbrud, risikovurdering og evt. anmeldelse til tilsynsmyndighed Databehandler har pligt til at underrette dataansvarlig, hvis en instruktion vurderes at være ulovlig Code of Conduct eller certificering kan være et element i at demonstrere compliance Der kan anvendes SCC ved overførsel til udlandet Konsekvens: Næste alle databehandleraftaler skal genforhandles. 40

41 Dokumentation for behandling Fortegnelse over behandlingsaktiviteter Virksomheder med mindre end 250 ansatte er undtaget med mindre behandlingen udgør en særlig risiko for de registrerede Dataansvarlig og databehandler Navn og kontaktinformation på dataansvarlig Overførsler til tredjeland, hvor det er relevant Tekniske og organisatoriske sikkerhedsforanstaltninger Der skal samarbejdes med tilsynsmyndigheden Dataansvarlig Formål med behandling Kategorier af registrerede og personoplysninger Kategorier af modtagere Tidsperioder Databehandler Kategorier af behandlinger på vegne af de dataansvarlige 41

42 Sikkerhedsforanstaltninger Sikkerhedsforanstaltninger Der skal iværksættes passende tekniske og organisatoriske sikkerhedstiltag Psedonymisering kan anvendes til at reducere risici og det skal overvejes konkret at bruge kryptering og pseudonymisering Der skal tilvejebringes fortrolighed, integritet, tilgængelighed og robusthed Tilgængelighed og adgang skal kunne genoprettes rettidigt i tilfælde af hændelse Regelmæssig afprøvning, vurdering og evaluering Tiltag skal baseres på en vurdering af risici, navnlig hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet Den dataansvarlige må gerne behandle data med det formål at sikre sine netværks stabilitet og styrke til at modstå angreb Det er den dataansvarlige som bestemmer, hvilke data der må behandles hvordan Kort sagt: Gå frem efter ISO27001 og ISO

43 Sikkerhedsbekendtgørelsen 1 Sikkerhedsbekendtgørelsen gælder kun for offentlige myndigheder Alle data Der skal fastlægges interne bestemmelser og instrukser Organisation Fysisk sikring Adgangskontrol Autorisation og kontrol hermed Ansvar for behandling og destruction af ind- og uddata Anvendelse af EDB-udstyr Tilsyn med overholdelse af sikkerhedsforanstaltningerne Årlig revision Instruktion til medarbejderne Identifikation Autentifikation Autorisation Case: Pas vs. CPR Databehandleraftaler Samme sikkerhed på hjemmearbejdspladser Forhindre uvedkommendes fysiske adgang Reperation og service samt salg og kassation af medier 43

44 Sikkerhedsbekendtgørelsen 2 Alle data, fortsat Autorisation Opfyldelse af formål Revision Drift- og systemtekniske opgaver Kun autoriserede brugere skal have adgang og kun til det som autorisationen dækker Inddatamateriale Adgangsbegrænsning til dem der er autoriseret Sletning når det ikke er relevant for formål Fornødne sikkerhedstiltag ved sletning Uddatamateriale Ditto som inddatamateriale Revison og personer med drift- og systemtekniske opgaver må få adgang Opbevares så uvedkommende ikke kan få adgang Eksterne kommunikationsforbindelser skal sikres 44

45 Sikkerhedsbekendtgørelsen 3 Data med anmeldelsespligt Autorisationer skal redegøre for R, WE, D Kontrol af de tildelte autorisationer hvert halve år Kontrol med afviste adgangsforsøg og evt. blokering Logning af alle anvendelser af personoplysninger Tidspunkt BrugerID Anvendelse Den registrerede Anvendt søgekriterium 6 mdr., dog op til 5 år. 45

46 Sikkerhedskrav ved personaleadm. Datatilsynets 12 krav om datasikkerhed ved personaleadministration Dokumentation, retningslinjer og politikker Adgangsbegrænsning Instruktion og oplæring Håndtering af oplysninger på papir Adgangskoder Logning Bærbare datamedier Firewall og antivirus Obligatorisk kryptering af hjemmesideformularer Anbefalet kryptering af Reparation og kassation af datamedier Databehandleraftale 46

47 Introduktion til ISO27001 Standard der sikrer, at man kommer hele vejen rundt Skaf ledelsesopbakning (herunder til omfang og ISMS) Identificer aktiver og ejere (system og dataklassifikation) Lav risikovurdering af aktiverne Lav risikohåndteringsplan Identificer eksisterende korrigerende foranstaltninger formuleret som kontroller Liste over nye korrigerende foranstaltninger formuleret som kontroller (Disse to punkter udgør "Statement of Applicability" og er grundstenen i ISMS) Identifikation af restrisiko og evt. forsikring Ledelsesgodkendelse (af ISMS) Dokumenter processer/kontroller og efterlevelse Vedligehold 47

48 Overskrifter I ISO27002 Informationssikkerhedspolitikker og retningslinjer Organisering (rolle, funktionsadskillelse, mobilt udstyr, fjernarbejdspladser) HR-sikkerhed (før, under og efter ansættelsen) Styring af aktiver (ansvar, klassifikation, mediehåndtering) Adgangsstyring (politik, brugeradgang, brugeransvar, system og app-adgang) Kryptering Fysisk sikring (områder, udstyr) Driftssikkerhed (procedurer og ansvar, skadelig kode, backup, logning, installation, sårbarheder, audit) Kommunikationssikkerhed (netværk og segmentering, overførsel af information) Anskaffelse, udvikling og vedligehold Leverandørforhold (krav til og styring af) Styring af brud Beredskab (kontinuitet og retablering) Compliance (love, standarder, best practises og kontrakter) 48

49 Data breach notification Brud på datasikkerheden DA til Myndighed: 72 timer, ellers begrundelse DB til DA: straks Indhold i meddelelse Type af databrud, kategorier af data, antal registrerede, antal registreringer, kontaktinfo (på DPO), konsekvenser, korrigerende foranstaltninger Dokumentation/bevissikring af databruddet DA til registreret: ved høj risiko gives meddelelse uden unødig forsinkelse i klart sprog Indhold: kontaktinfo (på DPO), konsekvenser, korrigerende foranstaltninger Undtagelser: ulæselige data, ingen risiko, vanskeligt at give information Pligt til at have procedurer for at håndtere DBN 49

50 Data protection impact assessment Konsekvensanalyse Den dataansvarlige skal gennemføres en DPIA under hensyn til: Anvendelse af nye teknologier Behandlingens karakter, omfang, sammenhæng og formål Høje risici for de registrerede - især systematisk og bred evaluering af personer med henblik på profilering, store mængder (*) følsomme (A9) og semifølsomme (A10) oplysninger og systematisk overvågning af offentlige områder DPO'en skal inddrages Tilsynsmyndigheden kan lave liste over behandlinger, hvor DPIA skal foretages (godkendes af EDPB) og en ditto hvor der ikke skal laves DPIA DPIA skal indeholde: beskrivelse af behandlinger, formål, legitim interesse hos dataansvarlig, vurdering af nødvendighed og proportionalitet af behandling i forhold til formål, vurdering af risici og beskrivelse af sikkerhedsforanstaltninger Eventuel compliance med Code of Conduct De registrerede kan eventuelt inddrages i evaluering Tilsynsmyndigheden skal inddrages, hvis der er er høj risiko efter sikkerhedstiltag, jf. slide om anmeldelse (*) store mængder data er mindst større end enkelte praktiserede læger eller en advokat, minimum en region 50

51 Anmeldelse af behandling til DPA Anmeldelse til tilsynsmyndigheden Der skal som udgangspunkt ikke foretages anmeldelse af behandling til tilsynsmyndighed Der skal tages kontakt til tilsynsmyndighed hvis DPIA viser høj risiko Anmeldelse skal indeholde: Ansvar hos henholdsvis dataansvarlige og databehandlere Formål Foranstaltninger DPO kontaktinformation DPIA Alle andre informationer som tilsynsmyndighed måtte ønske 51

52 Data protection officer 1 Databeskyttelsesrådgiver, udpegning Der skal udpeges en DPO når: Behandling gennemføres af en offentlig myndighed Den dataansvarliges kerneaktiviteter består af behandlinger der gennem deres karakter, omfang eller formål kræver en regelmæssig og systematisk overvågning af de registrerede Den dataansvarliges kerneaktiviteter er baseret på større behandlinger af følsomme eller semifølsomme data DPO'en kan være intern eller ekstern og udføre sin opgave for en eller flere virksomheder, herunder en koncern DPO'en er underlagt fortrolighed DPO'en må ikke udføre opgaver, som kan skabe en interessekonflikt 52

53 Data protection officer 2 Databeskyttelsesrådgiver, opgaver Informere og rådgive dataansvarlig, databehandler og ansatte Overvåge compliance med lovgivningen og politikker hos den dataansvarlige og databehandleren Rådgive om DPIA Samarbejde med tilsynsmyndighed Kontaktpunkt for tilsynsmyndighed Være særlig opmærksom på risici ved behandling, herunder behandlingens karakter, omfang, sammenhæng og formål 53

54 Code of Conduct og Certificering CoC og Certificering Begge disse tiltag tillægges større vægt end i de nuværende regler Det er især foreninger der kan lave CoC Eu's institutioner får til opgave at fremme certificeringsmekanismer og mærkningsordninger 54

55 Overførsel 55

56 Overførsel til tredje lande 1 Privacy Shield, SCC, BCR Kommissionen kan godkende lande, områder og sektorer (EDPB kan udstede opinion, tilsyn kan underkende) Kommissionen skal især lægge vægt på: Forskellige former for lovgivning, menneskerettigheder, databeskyttelse, sikkerhedstiltag, videre overførsel, håndhævelse af regler, muligheder for domstolsprøvelse Eksistens af tilsynsmyndighed med de rette beføjelser Internationale aftaler Løbende overvåge Dataansvarlig og databehandler kan overføre data i medfør af Retligt bindende instrument BCR (A47) CC/SCC lavet af Kommissionen eller tilsynsmyndighed og godkendt af Kommissionen CoC eller Certificering Der må kun overføres data til et tredjelands domstol, hvis der foreligger en 56

57 Overførsel til tredje lande 2 BCR Godkendes af national tilsynsmyndighed Indeholder Struktur og kontaktinfo i koncern Kategorier af oplysninger, typer af behandling, formål, type af registrerede, tredjeland De juridisk bindende forhold (hjemmel) Overholdelse af principperne (A5), PbDx2 (A25), retsgrundlag (A6, A9), foranstaltninger (A32), overførsel (A46) Overholdelse af de registreredes rettigheder (A12-22), samt domstolsprøvelse (A79) Ansvar for databrud Information til de registrerede (A13-14) DPO'ens opgaver (A37-38) Klageprocedurer Procedurer for verifikation af BCRs compliance (kontroller) Procedurer for ændringer, samarbejde og indberetning til tilsynsmyndighed Uddannelse af personale 57

58 Overførsel til tredje lande 3 Andre måder at overføre data på (undtagelser) Samtykke Nødvendigt for overholdelse af en kontrakt, hvor den registrerede er den ene part Kontrakt i den registreredes interesse, uden den registrerede er part Vigtige samfundsinteresser Retskrav Vital interesse Hvis der er særlig lovhjemmel Overførslen er i enkeltstående tilfælde der ikke gentages og berører få registrerede 58

59 Andre forhold 59

60 One-stop-shop Den dataansvarliges main establishment er det sted, hvor der træffes beslutninger vedr. databehandling (evt. hovedkvarter og ikke nødvendigvis det sted hvor data faktisk behandles) Databehandlerens main establishment er dens hovedkvarter eller hvis der ikke er et hovedkvarter indenfor EU så det sted hvor behandlingen foregår i EU Tilsynsmyndigheden har kompetencerne på sit eget territorie. Hvor den offentlige sektor er dataansvarlig foretager den nationale tilsynsmyndighed alle afgørelser. Hvor den dataansvarlige befinder sig i den private sektor træder onestop-shop i kraft. I det land hvor main establishment ligger er tilsynsmyndigheden lead supervisory authority. De øvrige tilsynsmyndigheder kan være concerned supervisory authority (fordi virksomheden også er etableret i dette land, fordi landets borgere er væsentligt berørt eller sag er rejst i det land) Sager der rejses overfor en virksomhed skal lead behandle sagen, give udkast til beslutning og høre concerned Hvis concerned ikke er enig og ønsker ændringer og disse ikke efterkommes af lead, træder sammenhængsmekanismen i kraft og en afgørelse træffes herefter Hvis tilsynsmyndighederne er enige meddeles afgørelsen fra lead til main establishment og fra concerned til klager 60

61 Sammenhængsmekanisme De nationale tilsynsmyndigheder pålægges at samarbejde Er der uenighed mellem de samarbejdende tilsynsmyndigheder skal tvister afgøres gennem EDPB som kan skabe juridisk bindende beslutninger Sondring mellem draft decisions, binding decisions og opinions 61

62 Administrative bøder Tilsynsmyndighed kan udstede advarsler og reprimander Tilsynsmyndighed kan udstede administrative bøder som skal være effektive, proportionale og afskrækkende Der skal lægges vægt på: Karakteren, alvorligheden og varigheden Med vilje eller manglende fokus Korrigerende tiltag Graden af ansvar Tidligere forteelser Villigheden til at samarbejde med tilsynsmyndighed Kategorierne af personoplysninger Om der har været gevinster ved ikke at være lovmedholdende Der kan ikke udstedes administrative bøder i Danmark. Det afventes hvordan modellen bliver: ombudsmandsmodel eller bødeforlæg via anklagemyndighed. 62

63 Bødeniveauer 2% af omsætningen eller EUR Manglende efterlevelse af dataansvarlig eller databehandlers pligter 4% af omsætningen eller EUR Brud på principperne Brug på de registreredes rettigheder Overførsel til tredje lande uden hjemmel Manglede efterlevelse af ordre fra tilsynsmyndighed Der kan nationalt fastsættes regler om hvorvidt og i hvilket omfang der kan udstedes administrative bøder til offentlige myndigheder 63

64 Sektorbetragtninger og andre betragtninger 64

65 Risikoanalyse Udgangspunkt: behandling af personoplysninger udsætter den registrerede for risici. Der er mange steder i forordning, hvor aktiviteter afhænger af en vurdering af risici, f.eks.: Når den dataansvarlige skal iværksætte alskens tiltag Når det skal besluttes hvilke tiltag, der skal designes ind i en løsning Når MMV skal beslutte om de skal dokumentere deres behandlingsaktiviteter Når det skal besluttes hvilke sikkerhedstiltag, der skal implementeres Når det skal besluttes om der skal rapporteres hændelser til tilsynsmyndighed og den registrerede Når det skal besluttes om der skal laves DPIA Når det skal besluttes om tilsynsmyndighed skal konsulteres før behandling iværksættes Obligatorisk aktivitet for DPO Summa sumarum: Risikovurdering har fået en fremtrædende plads i 65

66 Risikovurdering i praksis Konsekvensvurdering Identificer aktiver For hvert aktiv, hvad er så konsekvensen (stor, medium, lav) ved tab af fortrolighed, tilgængelighed og integritet Trusselsvurdering Identificer trusler og fastlæg sandsynlighed (stor, medium lav) Sårbarhedsvurdering Hvilke korrigerende tiltag har vi således at vi kan reducere sandsynligheden til en given restsandsynlighed Beskrivelse af risikobilledet Sammenvejning af risici, forslag til ekstra korrigerende foranstaltninger og ledelsesmæssig accept af restrisiko 66

67 Afstikker: risikovurdering 67

68 National lovgivning (harmonisering) Udgangspunkt: Der er i omegnen af 54 forhold som skal bestemmes af national lov, bl.a.: National lovgivning kan fastslå hvornår offentlige myndigheder må behandle personoplysninger National lovgivning kan fastslå hvornår personoplysninger må viderebehandles National lovgivning kan fastslå hvornår følsomme og semi-følsomme oplysninger kan behandles National lovgivning kan fastslå om der skal gives information om behandling til de registrerede National lovgivning kan fastslå at personoplysninger ikke må slettes på trods af den registreredes ønske (f.eks. hos en myndighed) National lovgivning kan fastslå at den registrerede ikke kan forhindre profilering National lovgivning kan generelt indskrænke de registreredes rettigheder, hvis det findes i offentlig interesse National lovgivning kan bestemme, hvornår der skal tilknyttes en DPO National lovgivning om etablering af tilsynsmyndighed National lovgivning om fastsættelse af administrative bøder National lovgivning om afvejning i forhold til ytringsfrihed National lovgivning om afvejning om offentlighed National lovgivning om behandling af identifikationsnummer National lovgivning anvendelse af personoplysninger til arkiver, offentlighedens interesse, videnskabelig og historisk forskning samt statistiske formål. 68

69 National lovgivning (eksempler) Artikel 6: Behandling er kun lovlig : 6(1)(c) overholde retlig forpligtelse & 6(1)(e)opgave I samfundets interesse eller som henhører under offentlig myndighedsudøvelse 6(2) Medlemsstaterne kan opretholde eller indføre mere specifikke bestemmelser for at tilpasse anvendelsen af denne forordnings bestemmelser om behandling med henblik på overholdelse af stk. 1, litra c) og e), ved at fastsætte mere præcist specifikke krav til behandling og andre foranstaltninger for at sikre lovlig og rimelig behandling, herunder for andre specifikke databehandlingssituationer som omhandlet i kapitel IX. 6(3) Grundlaget for behandling i henhold til stk. 1, litra c) og e), skal fremgå af: a) EU-retten, eller medlemsstaternes nationale ret, som den dataansvarlige er underlagt. Artikel 55: Kompetence (tilsynsmyndighed) 55(2) Hvis behandling foretages af offentlige myndigheder eller af private organer, der handler på grundlag af artikel 6, stk. 1, litra c) eller e), er tilsynsmyndigheden i den pågældende medlemsstat kompetent. I så fald finder artikel 56 ikke anvendelse. (one-stop-shop og sammenhængsmekanisme sætte ud af kraft => ingen harmonisering) 69

70 National lovgivning (off. sektor) Der er ikke fuldstændig symmetri mellem offentlig og privat sektor, eksempler inkluderer Der kan nationalt fastsættes regler for hvornår den offentlige myndigheder må behandle data Der kan nationalt fastsættes regler som sætter den registreredes ret ud af kraft, således at offentlige myndigheder ikke skal slette data Den offentlige sektor skal ikke efterleve reglerne om dataportabilitet Der kan nationalt fastsættes regler som sætter væsentlige dele af de registreredes rettigheder ud af kraft under hensyn til den offentlige sektor Der kan nationalt fastsættes regler om hvorvidt og i hvilket omfang offentlige myndigheder må modtage administrative bøder 70

71 Arbejdsgiver vs. arbejdstager Der kan i vid udstrækning fastsættes national lovgivning og det må forventes at den danske model kan opretholdes Data om virksomheder som juridiske personer, herunder navn, selskabsform og kontaktinformation, er ikke omfattet Følsomme personoplysninger må gerne behandles, hvis den dataansvarlige har et nødvendigt formål, der vedrører ansættelse, og dette har hjemmel i national lov eller kollektive overenskomster med hjemmel i national lov National lov eller kollektive aftale kan fastsætte specifikke regler for behandlingen af en medarbejders personoplysninger: I hvilket omfang skal der gives samtykke (P155) Sundhed og sikkerhed på arbejde (P155) Formålet med ansættelsen (A88) Udformningen af en ansættelseskontrakt (herunder forpligtelser som følge af lov eller kollektive overenskomster) (A88) Ledelse (A88) Planlægning og tilrettelæggelse af arbejdet (A88) Ligestilling og mangfoldighed (A88) Arbejdsmiljø (A88) Beskyttelse af arbejdsgivers eller kunders ejendom (A88) Rettigheder og fordele ved ansættelsen (A88) Ophør af ansættelsesforholdet (A88) Der skal i de nationale regler lægges vægt på hensynet til den registreredes interesser, gennemsigtighed i behandlingen, overførsler af personoplysninger indenfor koncerner og overvågning på arbejdspladsen. Kommissionen skal orienteres om nationale regler 71

72 Dansk retspraksis, arbejdsmarked 1 Private virksomheder finder typisk hjemmel til de forskellige behandlinger i: 6, stk. 1, nr. 1: samtykke 6, stk. 1, nr. 2: aftale 6, stk. 1, nr. 7: interesseafvejning 7, stk. 2, nr. 1: samtykke 7, stk. 2, nr. 4: retskrav 8, stk. 4: samtykke og interesseafvejning Hjemmel Ansættelsessituationen, ansættelsesforhold Almindelige oplysninger (typisk kontrakt): navn, adresse, personnummer ( 11), stamoplysninger nærmeste familie, skattemæssige oplysninger, bankoplysninger, pensionsforhold, cv-oplysninger, anbefalinger, nuværende stilling, arbejdsopgaver, arbejdstider, tjenestelige forhold, løn, skat, sygefravær, sygdomsperioder, andet fravær, tjenstlige forseelser og advarsler, personalebedømmelser, opsigelse, fratrædelse Særligt betroet stilling: oplysninger fra kreditoplysningsbureau, straffeattest Følsomme og semi-følsomme oplysninger (typisk samtykke): helbredsforhold (alkoholmisbrug), medlemskab af fagforening, strafbare forhold og andre rent private forhold, f.eks. bortvisning og alkoholtest, personlighedstest Følsomme oplysninger (typisk retskrav): strafbart forhold rettet mod virksomhed Typisk ikke anmeldelse af almindeligt personaleregister med mindre der indgår følsomme eller semifølsomme oplysninger (jf. 49, stk. 1) Medarbejderes kontaktinformationer må offentliggøres med interesseafvejning, foto med samtykke Videregivelse om medarbejdere til fagforening kan ske i medfør af aftale og overenskomst alternativt samtykke for ikke-medlemmer Tillidsrepræsentant kan få adgang til lønoplysninger og videregivelse (ikke offentliggørelse) af lønoplysninger kan ske ud fra interesseafvejning Whistleblowerordninger: kun alvorlige forhold (regnskaber, korruption, miljøforureningg, arbejdssikkerhed, vold, seksuelle overgreb) Adgang til politik og sikkerhedshensyn 72

73 Dansk retspraksis, arbejdsmarked 2 Principperne i 5 God skik Saglige formål Relevante og tilstrækkelige (proportionalitet og minimering) Ajourføring Tidsrum og sletning (mail 1 år, personalesystem 5 år) Praksis Oplysning om fratrædelse, sygemelding og diagnose Oplysning til nuværende arbejdsgiver om ansøgning Kilder Datatilsynet om personaleregistre: Datatilsynets sikkerhedskrav til personaleadministration: 73

74 Kunder og markedsføring Kundeoplysninger Anvendelse af sprog, valuta og omtale af kunder er bestemmende for om en service udenfor EU falder ind under forordningen. Legitim interesse hos dataansvarlig kan udgøre hjemmel til at behandle kundeoplysninger (hvis den registrerede med rimelighed kan forvente behandling) Kundeoplysninger kan videregives indenfor koncern med samme hjemmel som andre oplysninger Markedsføring Der indføres en særlig beskyttelse af børn i forhold til markedsføring Behandling af personoplysninger til direkte markedsføring kan anses for at være foretaget i en legitim interesse Når der sker behandling af personoplysninger til direkte markedsføring skal der altid være mulighed for at gøre indsigelse og der skal oplyses om denne ret på en klar måde og adskilt fra andre oplysninger Profilering Udgangspunktet er at der er ret til ikke at blive profileret Under anvendelse af passende sikkerhedstiltag kan almindeoplysninger dog anvendes til profilering hvis der hjemmel i kontrakt, lov eller med samtykke 74

75 Det videre arbejde 75

76 Myndighederne EU Virkning fra 25. maj 2018 eprivacy-direktivet under revision Vejledninger fra artikel 29-gruppen og Kommissionen bl.a. ifht. dataportabilitet, DPIA, DPO, certificering, code of conducts og ikoner Justitsministeriets persondatakontor m.fl. Udnyttelse af hvilke af fleksibilitetsbestemmelserne, der skal udnyttes Hvilke særlove og sektorspecifikke love skal ændres/opretholdes Datatilsynets regulering og organisering Hjemmel til staf og administrative bøder Afklare forhold til anden EU ret notater og rapport ultimo 1. kvartal 2017 Lovforslag oktober 2017 Al lovgivning på plads i 1. kvartal

77 DI's aktiviteter DPIA-skabelon opdateret DPO-netværk etableret Vejledning om forordningen formuleret som kontroller Præsentationerne af reglerne Følge de nationale loves tilretning Følge anvendelsen af fleksibilitetsbestemmelserne 77

78 Operationelle anbefalinger til virksomheder (GDPR) 78

79 Vejledningen, overordnet Formål: en lavpraktisk og operationel tilgang til arbejdet med forordningen Vejledningen er for MMV'erne En letlæst introduktion til de nye regler Baggrund Beskyttelse af fundamentale rettigheder Persondataforordningens opbygning De nye tiltag i hovedtræk (nye og objektivt nødvendige) DI's anbefalinger (forudsætningsbetinget o.a.) En række væsentlige spørgsmål og anbefalinger, som MMV'erne bør forholde sig til Bilag er for de store/modne virksomheder Mapning af forordningens krav til virksomhederne op mod kontrollerne i ISO

80 Konkrete anbefalinger 1 Topledelsen Det er jeres ansvar: Bøder, image og konsekvenser for de registrerede Udpeg CISO og DPO/CPO og nedsæt projektgruppe Lyt til deres råd Godkendt politikker og procedurer, risikovurderinger og system/dataklassifikation ca. årligt Få korte kvartalsvise statusopdateringer Være rollemodeller i at skabe en sikkerhedskultur (Hvis det ikke betyder noget for chefen, betyder det heller ikke noget for mig) 80

81 Konkrete anbefalinger 2 CISO / DPO Samarbejd med hinanden (i projektgruppe) Lav politikker og procedurer (inkl. dokumentation jf. A5, stk. 2) og få dem godkendt af topledelsen Lav ikke romaner Lav praktisk anvendelige skabeloner med spørgsmål Spørgsmålene/kontrollerne fra DI s vejledning DI s DPIA skabelon og valg af design Dokumenter, kontroller og vedligehold Gennemgå databehandleraftaler Gennemgå hjemmelsgrundlag for behandling Gennemgå ISO27002-kontrollerne 81

82 Konkrete anbefalinger 3 System og dataansvarlige Følg vejledninger, politikker og procedurer Lad være med at bøje reglerne Hvis i har spørgsmål, så gå til CISO/DPO og tag altid dem med i et itprojektforløb (allerede når det er på tankeplan) Besvar spørgsmål i de redskaber der stilles til rådighed Det handler ikke bare om compliance eller teknik: Det handler om ikke at save den gren over i sidder på 82

83 Konkrete anbefalinger 4 Forretningen: Se det som en mulighed! Det er ikke bare udgifter og besvær I kommer til at kende jeres data på en ny måde i forbindelse med kortlægningen => måske nye forretningsmuligheder I kommer til at kunne strømline nogle processer, når i ved hvor data flyder rundt => måske mulighed for at effektivisere I kommer til at kunne give den beskyttelse af data, som i egentlig gerne ville give, men som i bare håber, at ingen opdager, at i ikke giver lige nu => bedre håndtering af organisationens risici 83

84 Konkrete anbefalinger 5 Overordnede værktøjer GDPR som kontroller a la ISO27002 DPIA Besvar de overordnede spørgsmål Er virksomheden omfattet af forordningen? Er informationerne, som virksomheden ønsker at behandle, omfattet af forordningen; er informationerne at betragte som personoplysninger? Hvilke kategorier af personoplysninger ønsker virksomheden at behandle? Hvilke behandlinger ønsker virksomheden at foretage? Spiller virksomheden en rolle som dataansvarlig eller databehandler i forhold til de konkrete behandlinger? Har virksomheden et retligt grundlag til at behandle de ønskede kategorier af personoplysninger? Opfylder virksomheden principperne for behandling af oplysningerne? Er behandlingen nødvendig (proportional)? Kan virksomheden behandle oplysningerne på en mindre indgribende måde og stadig opnå formålet? Opfylder virksomheden de registreredes rettigheder ved behandling af oplysningerne? Opfylder virksomheden sine forpligtelser (herunder vedrørende overførsel og sikkerhed) ved at behandle personoplysninger? Er der særlige forhold, der gør sig gældende, for virksomhedens behandling af personoplysninger? 84

85 Vejledningen, mapning, ex GDPR (15. december 2015 udgaven), Artikel 30, stk. 1, litra c: the controller shall implement appropriate technical and organizational measures, to ensure a level of security appropriate to risk including the ability to restore the availability and access to data in a timely manner in the event of a physical or technical incident ISO/IEC 27002:2013, Control : Backup copies of information, software and system images should be taken and tested regularly in accordance with an agreed policy DI s beskrivelse af kontrollen og mapping af de to kilder: Virksomheden skal sikre, at personoplysninger kan genskabes indenfor rimelig tid. Artikel X, stk. Y A (kontroller i forbindelse med audit af informationssystemer) A (backup af information) A (planlægning af informationssikkerhedskontinuitet) A (implementering af informationssikkerhedskontinuitet) A.18.2 (gennemgang af informationssikkerhed) Virksomheden skal sikre, at sikkerhedstiltagene bliver testet og at personoplysninger kan genskabes indenfor rimelig tid 85

86 Artikel 30, stk. 1, litra b + stk. 1b Vejledningen, sikkerhed A (politikker for informationssikkerhed) A (informationssikkerhed ved projektstyring) A (analyse og specifikation af informationssikkerhedskrav) Virksomheden skal iværksætte de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger, således at personoplysninger kan behandles lovligt, er sikret fortrolighed, integritet, tilgængelighed og modstandskraft og ikke fortabes, ødelægges eller skades A (principper for udvikling af sikre systemer) Artikel 30, litra b + stk. 1b A (politikker for informationssikkerhed) Virksomheden skal sikre, at sikkerhedstiltagene er baseret på en risikovurdering A (informationssikkerhed ved projektstyring) A (analyse og specifikation af informationssikkerhedskrav) A (principper for udvikling af sikre systemer) Artikel 30, stk. 1, litra a A (politik for anvendelsen af kryptografi) A (begrænset adgang til informationer) Artikel 30, stk. 1, litra c og d A (kontroller i forbindelse med audit af informationssystemer) Virksomhederne bør vurdere om sikkerhedstiltage skal inkludere kryptering og pseudonymisering Virksomheden skal sikre, at sikkerhedstiltagene bliver testet og at personoplysninger kan genskabes indenfor rimelig tid A (backup af information) A (planlægning af informationssikkerhedskontinuitet) A (implementering af informationssikkerhedskontinuitet) A.18.2 (gennemgang af informationssikkerhed) 86

87 DPIA 87

88 DPIA - "definition" Definition En DPIA er en vurdering af risici, set fra et individs synspunkt, ved at en aktør behandler individets personoplysninger. Indhold DPIA'en består af en analyse og af en proces. Analysen sikrer, at de rette spørgsmål bliver stillet og besvaret. Processen sikrer, at spørgsmål stilles og svar gives på dette rette tidspunkt i en teknologis livscyklus. 88

89 DPIA-proces DPIA-proces Idefase Planlægning og arkitektur Teknologivalg Implementering og test Drift og ændringer Idefase: Er der behov for DPIA? (A) og compliance-betragtning (B) Planlægning og arkitektur: dataflowanalyse (C), de registreredes risici (D) og planlægning af korrigerende foranstaltninger (E) Teknologivalg: Privacy Enhancing Technologies (G) Implementering og test: Information til datasubjekter (F) og anonymisere/slette Drift og ændringer: Følge op på DPIA og implementere kontroller 89

90 DPIA - dataflowanalyse Hvilke personoplysninger vil blive behandlet? Hvilke typer af teknologier anvendes? Hvordan foregår indsamlingen af personoplysninger? Til hvilket formål behandles personoplysningerne? Andre formål? Ekstra data? På hvilket retligt grundlag firetages behandlingen? Samtykke? Hvilken behandling finder sted? Hvem har adgang til data? Hvem har ansvaret for personoplysningernes sikkerhed? Hvordan ser dataflowet ud efter indsamling? Tegnet flowdiagram? Hvordan organiseres personoplysningerne? Videregives data til andre? 90

91 Links DI's vejledning ejledningompersondataforordningen.aspx DI's DPIA-skabelon IsskabelonforPrivacyImpactAssessment.aspx DI's sikkerhedsside DI's arrangementer om persondataforordningen DI's DPO-netværk Mail til Henning Mortensen, 91