PERSONDATAKONFERENCEN - FORORDNINGENS DOKUMENTATIONSKRAV. Advokat Pia Kirstine Voldmester

Størrelse: px

Starte visningen fra side:

Download "PERSONDATAKONFERENCEN - FORORDNINGENS DOKUMENTATIONSKRAV. Advokat Pia Kirstine Voldmester"

Tove Kirkegaard
7 år siden
Visninger:

1 PERSONDATAKONFERENCEN - FORORDNINGENS DOKUMENTATIONSKRAV Advokat Pia Kirstine Voldmester

2 DOKUMENTATIONSKRAV OG INTERN KONTROL Udspringer af Forordningsforlagets krav om accountability Ønske om realitet frem for formalitet Hvad betyder det for virksomhederne er det godt eller skidt? Det betyder i hvert fald en del mere papir- og analysearbejde end i dag: Øgede dokumentationskrav for behandlingsaktiviteterne Krav om implementering af procedurer, politikker osv., bl.a. for at mindske behandlingsrisici

3 DOKUMENTATIONSKRAV OG INTERN KONTROL Krav om konsekvensanalyser for visse behandlingskategorier og dokumentation herfor til Datatilsynet Krav om auditering (og dokumentation?) (Fortsat) krav om skriftlig dokumentation for instrukser til databehandlere Krav om underretning og dokumentation til Datatilsynet ved sikkerhedsbrud 3

4 DOKUMENTATIONSKRAV REGLERNE Artikel 22, den dataansvarlige skal : Indføre regler og passende foranstaltninger for at sikre og påvise (dokumentere) at behandlingen sker i overensstemmelse med forordningen. Foranstaltningerne skal navnlig omfatte Dokumentation for enhver behandling (art. 28) Gennemførelse af datasikkerhedskrav (art. 30) Gennemførelse af konsekvensanalyser (art. 33) Overholdelse af evt. høringskrav (art. 34), og Udpegning af data protection officer (art. 35)

5 DOKUMENTATIONSKRAV REGLERNE Den dataansvarlige skal implementere mekanismer til efterprøvelse (kontrol) af foranstaltningernes effekt. Evt. ved interne eller eksterne revisorer, hvis hensigtsmæssigt Kommissionen bemyndiges til at udstede delegerede retsakter, mhp. fastlæggelse af kriterier og krav til passende foranstaltninger ud over de udtrykkeligt anførte, betingelser for kontrol og revisionsmekanismer og kriterier for mekanismer. Bemyndigelsen (og en lang række øvrige) er kritiseret af artikel 29-gruppen og af Datatilsynet

DOKUMENTATIONSKRAV - REGLERNE Kommissionen bemyndiges også til at overveje særlige kriterier med henblik på at overveje særlige foranstaltninger for mikrovirksomheder og små og mellemstore

6 DOKUMENTATIONSKRAV - REGLERNE Kommissionen bemyndiges også til at overveje særlige kriterier med henblik på at overveje særlige foranstaltninger for mikrovirksomheder og små og mellemstore virksomheder Forslaget indeholder ingen nærmere angivelse af, hvor meget kravene evt. kan varieres, hvad kriterierne nærmere skal være, om muligheden for at variere kravene fx også afhænger af andre forhold som fx dataenes karakter Princippet om accountability kan ikke fraviges generelt, men kan (måske) skaleres. De generelle krav om dokumentation, DPO, konsekvensanalyser osv. kan dog ikke fraviges

7 DOKUMENTATIONSKRAV - REGLERNE Dokumentationskravene i artikel 28: Krav om at den dataansvarlige opbevarer dokumentation for enhver behandling, der gennemføres. Pligt til, efter anmodning, at stille dokumentationen til rådighed for Datatilsynet Virksomheder med under 250 medarbejdere er undtaget, forudsat at behandlingen udelukkende sker i tilknytning til virksomhedens hovedaktivitet Kommissionen bemyndiges til at udarbejde delegerede retsakter Kommissionen laver (måske) standardformularer

8 DOKUMENTATIONSKRAV - REGLERNE Minimumskrav til dokumentationen Den dataansvarliges navn og kontaktoplysninger Navn og adresse på evt. data protection officer Formålene med behandlingen Hvis behandlingen er baseret på interesseafvejning skal de legitime interesser anføres Kategorier af registrerede og kategorier af oplysninger Modtagere eller kategorier af modtagere Videregivelser til 3. lande og dokumentation for datasikkerhed (modelkontrakter, BCR) Generelle slettefrister Kontrolmekanismer

DOKUMENTATIONSKRAV I FORHOLD TIL MYNDIGHEDERNE Både dataansvarlige og databehandlere har pligt til efter anmodning fra Datatilsynet at give indsigt i

9 DOKUMENTATIONSKRAV I FORHOLD TIL MYNDIGHEDERNE Både dataansvarlige og databehandlere har pligt til efter anmodning fra Datatilsynet at give indsigt i oplysningerne (og behandlingen) og adgang til lokaler, art. 29. Husk, at dokumentationen udformes i en form der (også) er egnet til udlevering til Datatilsynet

Relaterede dokumenter

Persondataforordningen. Hvad kan vi bruge KITOS til?

Persondataforordningen. Hvad kan vi bruge KITOS til? Persondataforordningen Hvad kan vi bruge KITOS til? Kort om persondataforordningen Persondataforordningen blev vedtaget den 14. april 2016 og træder i anvendelse den 25. maj 2018 Et af de overordnede formål