Persondataforordningen i forsyningssektoren. Sonlinc ERFA arrangement Faaborg, 26. oktober 2016 Advokat Jesper Langemark

Transkript

1 Persondataforordningen i forsyningssektoren Sonlinc ERFA arrangement Faaborg, 26. oktober 2016 Advokat Jesper Langemark

2 Program 1. Hvad er persondata overhovedet, og hvorfor er reglerne relevante for forsyningsvirksomheder? 2. Fra persondataloven til persondataforordningen 3. Forordningens skærpede sanktioner 4. Hvordan må I behandle persondata? 5. Dataansvarlig/databehandler/datasubjekt? 6. Sikkerheds- og dokumentationskrav 7. Data Protection Officers 8. Hvordan sikres compliance? Side 2

3 Hvad er persondata?

4 Hvad er persondata? Enhver information om en identificeret eller identificerbar fysisk person Navn, adresse, , telefon nr., foto, kortoplysninger Også hvor det kræver særlig indsats/særlig adgang at opnå forbindelse mellem oplysningen og personen nummerplade, fingeraftryk, ip-adresse, DNA Fuldstændig anonymisering Er ikke persondata (men pseudonymiserede og krypterede oplysninger er!) Side 4

5 Typer af persondata Side 5

6 Behandling Enhver operation eller række af operationer, der omhandler personoplysninger Indsamling, registrering, systematisering, opbevaring, tilpasning, videregivelse og søgning I praksis alt man kan foretage sig med data Side 6

7 Personoplysninger i forsyningssektoren? Forsyningsselskaber behandler store mængder af personoplysninger: Kundeoplysninger: Navn, adresse, øvrige stamoplysninger, cpr.numre og kreditværdighed, andet? HR-oplysninger: Navn, adresse, stamoplysninger, cpr.numre, løn- og ansættelsesforhold, helbredsoplysninger, oplysninger om medlemskab af fagforening og/eller A-kasse m.v. Side 7

8 Fra persondataloven til persondata forordningen

9 Persondatalovgivningen i dag Persondataloven (2000) Baseret på persondatadirektivet (1995) år med voldsom udvikling Internettet, cloud, big data Sociale medier og digitale tjenester kan kortlægge en persons liv og færden og danne detaljerede profiler Lang flere og mere indgribende muligheder for behandling af personoplysninger nu end for 20 år siden Forskellig implementering indenfor EU Dvs. internationale virksomheder skal forholde sig til op til 28 EU-landes forskellige lovgivninger => Behov for et serviceeftersyn! Side 9

10 Persondatalovgivningen i fremtiden Forordningen Vedtaget den 14. april 2016 En forordning, dvs. umiddelbart anvendelig i hele EU ingen national implementering 2 års sunrise -periode, hvor persondataloven gælder Muligheder for visse nationale særregler (bl.a. på HR-området og behandling af cpr.numre) Dansk lovpakke forventes fremsat i efteråret 2017 på baggrund af arbejde i tværministeriel arbejdsgruppe Side 10

11 Overblik over forordningen Ikrafttræden den 25. maj 2018 Udvider beskyttelsen af personlige oplysninger Udvider virksomhedernes forpligtelser Indfører nye rettigheder "The right to be forgotten", forbud mod automatisk profilering, dataportabilitet, m.fl. Skærpet bødeniveau! Side 11

12 A quick comparison DP Directive 95/46/EC General DP Regulation 34 articles 99 articles 72 recitals 173 recitals 8 definitions 19 definitions scope extends to local processing effective through national DP Acts varied national guidance & enforcement Enforcement patchy scope extends to global processing directly effective centralized enforcement and guidance Fines of 4% worldwide turnover 291% increase 240 % increase 240 % increase From local to global From member states to Europe From little enforcement to a lot Page 12

13 Top-10 over væsentligste ændringer 1. Udvidet territorialt anvendelsesområde 2. Skærpede krav til behandlingshjemmel 3. Nye dokumentationskrav 4. Styrkelse af de registreredes rettigheder 5. Privacy by design, privacy by default og krav om risikovurderinger 6. Pligt til udpegning af Data Protection Officer i visse tilfælde Side 13

14 Top-10 - fortsat 7. Underretningspligt ved sikkerhedsbrud 8. Brug af databehandlere og krav til databehandlere 9. Overførsel til tredjelande 10. Håndhævelse, "one-stop shop" og sanktioner Side 14

15 De nye, skærpede sanktioner

16 De skærpede sanktioner nok den væsentligste konsekvens Virksomheder behandler eksponentielt stigende mængder af personoplysninger Personoplysninger er for mange virksomheder et væsentligt aktiv og persondatabehandling afgørende for virksomhedens drift Den øgede datamængde og vigtigheden heraf for virksomhederne på den ene side og Forordningens skærpede sanktioner på den anden er i praksis den væsentligste konsekvens for virksomhederne; Overholdelse af reglerne bliver forretningskritisk og dermed et ledelsesanliggende Det bliver endvidere væsentligt for vurderingen af virksomhedens værdi og et centralt tema i virksomhedshandler "Compliance by chance" is no longer an option! Side 16

17 Erstatning Alle, der lider tab som følge af en overtrædelse, kan kræve erstatning Omvendt bevisbyrde! Dataansvarlig eller databehandler kan/skal helt eller delvist fritages for erstatningsansvar, hvis de: beviser, at de ikke er ansvarlige for hændelsen, der medførte skaden Tab skal stadig bevises, men 'Tort erstatning' for ikke økonomisk skade er en mulighed Mulighed for gruppesøgsmål fra registrerede Side 17

18 Bøder Op til EUR 20m eller 4% af årlig globale omsætning Afhængigt af hvad der er højest Tage højde for: grovheden, skades størrelse, gentagelse m.v. Niveauet er væsentligt forøget i forhold til tidligere Sanktioner skal være afskrækkende Ensartede i hele EU Bøder kan udstedes administrativt dog ikke i Danmark Side 18

19 Oversigt over bødeniveau Side 19

20 Anmeldelse af sikkerhedsbrud Anmeldelse af sikkerhedsbrud til Datatilsynet Uden ugrundet ophold og ikke senere end 72 timer Orientering til datasubjekterne Hvor der er høj risiko for datasubjekterne Uden ugrundet ophold Side 20

21 Hacker puts up 167 Million LinkedIn Passwords for Sale Wednesday, May 18, 2016 LinkedIn's 2012 data breach was much worse than anybody first thought. In 2012, LinkedIn suffered a massive data breach in which more than 6 Million users accounts login details, including encrypted passwords, were posted online by a Russian hacker. Now, it turns out that it was not just 6 Million users who got their login details stolen. Side 21

22 Hvordan må I behandle persondata?

23 Hvornår må din virksomhed behandle persondata? Saglige og lovlige formål Krav om behandlingshjemmel sondring mellem almindelige og følsomme oplysninger Almindelige oplysninger: Utvetydigt samtykke fra datasubjektet Nødvendig aht. opfyldelse af en kontrakt Nødvendig aht. opfyldelse af en retlig forpligtelse Nødvendig for at beskytte en fysisk persons vitale interesser Nødvendig aht. til udførelse af en opgave i offentlighedens interesse/aht. udøvelse af offentlig myndighed pålagt den dataansvarlige Nødvendig af hensyn til forfølgelse af legitime interesser, medmindre sådanne interesser overstiges af datasubjektets interesse eller grundlæggende rettigheder (interesseafvejning) ( offentlige myndigheders myndighedsudøvelse) (OBS! Medlemslande kan introducere mere specifikke, præciserende bestemmelser) Side 23

24 Hvornår må din virksomhed behandle persondata? Følsomme oplysninger Udtrykkeligt samtykke fra datasubjektet Nødvendigt aht. opfyldelse af forpligtelser/rettigheder på beskæftigelsesområdet (ansættelsesforhold), social sikring og social beskyttelse Nødvendig for at kunne beskytte vitale interesser, hvor den pågældende ikke fysisk eller juridisk er i stand til at give sit samtykke Behandlingen vedr. persondata, som er gjort offentligt tilgængelig af datasubjektet Nødvendig for at et retskrav kan fastlægges, gøres gældende eller forsvares Andre særlige situationer (OBS! Medlemslande kan introducere yderligere krav og begrænsninger ift. genetiske data og helbredsdata) Side 24

25 Interessenterne: databehandler, dataansvarlig, datasubjektet

26 Dataansvarlig eller databehandler? Hvad er forskellen? Dataansvarlig: Afgør til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger. Databehandler: Behandler personoplysninger på dataansvarliges vegne. Behandler aldrig data til egne formål Minder om et 'arbejdsgiver arbejdstager' forhold Eksempel: It-leverandør, der har varetager driften af kundens itsystem, der indeholder personoplysninger - eller blot har en fjernadgang hertil (som i Sonlincs tilfælde) Side 26

27 Databehandleraftaler Nye, udvidede krav til databehandleraftaler eksisterende databehandleraftaler skal opdateres inden den 25. maj Krav (artikel 28, stk. 3) Der skal indgås skriftlig aftale mellem dataansvarlig og databehandler Formål: Side 27 Kan være elektronisk Den dataansvarlige skal sikre: Kontrol med data Tilstrækkelige tekniske og organisatoriske foranstaltninger er implementeret med henblik på at sikre, at persondata behandles i overensstemmelse med Persondataforordningen

28 Databehandleraftaler Skal som minimum indeholde: En beskrivelse af emnet, varigheden, arten og formålet med behandlingen, typen af data, kategorier af datasubjekter samt den dataansvarliges forpligtelser og rettigheder Instruktionsbeføjelse Databehandler må kun behandle data under den ansvarliges instruks Krav om fortrolighed hos autoriserede personer Betingelse om, at der kun må bruges underdatabehandlere med den dataansvarliges forudgående skriftlige samtykke Side 28

29 Databehandleraftaler Skal som minimum indeholde (fortsat): Betingelse om at databehandleren bistår med at besvare henvendelser fra datasubjekter Krav om implementering af sikkerhedskrav Betingelse om at databehandleren bistår med overholdelse af forpligtelserne ift. personoplysningssikkerhed: Behandlingssikkerhed Anmeldelse af sikkerhedsbrud til myndighed og eventuelt datasubjekter Konsekvensanalyse og forudgående høring Betingelse om, at persondata skal slettes eller returneres ved aftalens ophør Betingelse om, at databehandler dokumenterer overholdelse af aftalen og tillader revision og inspektion Side 29

30 Databehandleraftaler Underdatabehandlere Underleverandører til databehandleren Underdatabehandlere er også databehandler for den dataansvarlige Uagtet der ikke måtte være et direkte leverandørforhold Er der ikke et direkte leverandørforhold, er databehandleren ansvarlig overfor den dataansvarlige i relation til underdatabehandlerens misligholdelse Der skal indgås databehandleraftale mellem den dataansvarlige og underdatabehandleren Enten direkte, eller Gennem fuldmagtsordning med databehandleren Kræver skriftlig accept fra den dataansvarlige - konkret/generelt Side 30

31 Datasubjekternes rettigheder Datasubjekternes rettigheder bibeholdes: Indsigtsret Ret til berigtigelse Indsigelsesret Og der kommer nye: Retten til at blive glemt (slettepligt) Dataportabilitet Indsigelsesret mod automatisk behandling/profilering og direkte markedsføring Side 31

32 Opbevaring/sletning Oplysninger må ikke opbevares længere end strengt nødvendigt Opbevaringsperioden afhænger af de konkrete omstændigheder, herunder: Tjener fortsat opbevaring et sagligt formål, og er der fortsat en hjemmel? Tidsfrister for sletning/sletteprocedurer Side 32

33 Nye, skærpede dokumentationskrav

34 Anmeldelsessystemet afskaffes prisen er øgede krav til dokumentation, gennemsigtighed og egenkontrol Virksomhedens persondatabehandling skal dokumenteres! Den dataansvarlige skal: Dokumentere, at behandling af personoplysninger er i overensstemmelse med forordningens generelle principper Dokumentere, at der er iværksat passende tekniske og organisatoriske foranstaltninger til beskyttelse af personoplysninger Side 34

35 Hvordan? 'fortegnelse' over behandlingsaktiviteter Passende procedure for håndtering af de registreredes rettigheder Udarbejdelse af intern persondatapolitik samt sikkerhedspolitik Løbende ajourføring Side 35

36 Fortegnelsen over behandlingsaktiviteter skal indeholde oplysninger om: Navn og kontaktoplysninger til: Dataansvarlig(e), Evt. DPO og evt. repræsentant Formål med behandlingen En beskrivelse af kategorier af datasubjekter og datatyper Kategorier af datamodtagere Overførsler til tredjelande Tidsgrænser for sletning Overordnet beskrivelse af teknisk og organisatorisk sikkerhed Også et krav for databehandlere, men mindre omfattende Side 36

37 Den dataansvarlige skal have passende foranstaltninger (reelt procedurer), som sikrer håndteringen af: Alle datasubjekternes rettigheder, bl.a.: Orienteringspligt til datasubjekterne Indsigtsret Ret til berigtigelse Indsigelsesret Henvendelser vedrørende rettigheder Tidsfrist for besvarelse uden unødigt ophold og inden 1 måned Hvis ønske afvises Begrundes Klagemulighed og mulighed for retssag skal beskrives Side 37

38 Almindelig risikovurdering og Data Protection Impact Assesment skal dokumenteres Bør altid foreligge skriftligt! (For DPIA et udtrykkeligt krav) Sikkerhedsbrud skal også dokumenteres Side 38

39 Nye, skærpede sikkerhedskrav

40 Artikel 22: Dataansvarlig skal implementere 'passende tekniske og organisatoriske sikkerhedsforanstaltninger' og kunne bevise dette overfor myndighederne. En del af den øgede dokumentationspligt (til gengæld afskaffes anmeldelsespligten) Hvad er passende? (afvejning mellem risiko, state of the art og omkostninger) Side 40

41 Pligt til at foretage risikovurdering, dvs. en vurdering af risici forbundet med behandlingen Persondataforordningens artikel 32, stk. 1: "Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige og databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici" Har altid skulle foretages! Men ofte overset DPIA (Data Privacy Impact Assessment) Særligt omfattende risikovurdering Kræves, hvis der er særlige risici Fx. brug af ny teknologi (cloud, big data m.v.), automatiseret behandling/profilering af økonomiske forhold eller følsomme oplysninger Leverandørens (databehandlerens) rolle Brug af sikkerhedsstandarder ISO serien f.eks. Side 41

42 Dansk Industris vejledning om DPIA Side 42

43 Anmeldelse af brud på persondatasikkerhed Hvad er et brud på persondatasikkerheden? "Et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet." Meget bred definition Side 43

44 Anmeldelse af brud på persondatasikkerhed Eksempler: Side 44 Organisatorisk fejl Adgang for personer uden behov Menneskelige fejl Offentliggørelse af personoplysninger på internettet som følge af fejl eller uvidenhed om, hvad der må offentliggøres, eller som følge af utilstrækkelig anonymisering mv. Utilstrækkelige eller fejlbehæftede it-løsninger Manglende kryptering af formularer på hjemmesider til brug for fremsendelse af følsomme oplysninger Kriminelle handlinger Hackerangreb Identitetstyveri Industrispionage eller terror

45 Anmeldelse af brud på persondatasikkerhed Orientering til tilsynsmyndighederne Uden ugrundet ophold og ikke senere end 72 timer Redegøre for: Sikkerhedsbruddets karakter Konsekvenser af sikkerhedsbruddet Hvordan skaden er/vil blive søgt begrænset af den dataansvarlige Kontaktoplysninger på dataansvarlig (evt. DPO) Dokumentere alle relevante forhold omkring sikkerhedsbruddet, så myndigheden kan vurdere, om forordningen er overholdt U: Usandsynligt at der er en risiko Side 45

46 Anmeldelse af brud på persondatasikkerhed Orientering til datasubjekterne Kun hvor der er høj risiko for datasubjekterne Uden ugrundet ophold Redegøre i letforståeligt sprog for: Konsekvenser af sikkerhedsbruddet Anbefalinger til hvordan datasubjektet kan begrænse skaden Kontaktoplysninger til dataansvarlig (evt. DPO) Ingen pligt, hvis: Data er gjort uforståelige fx ved stærk kryptering Den dataanvarlige har fjernet risiko Uforholdsmæssigt besværligt Men så krav om offentlig kommunikation (fx. annoncer) Procedure for sikkerhedsbrud bør være del af sikkerhedspolitik Side 46

47 Privacy by Design/Default By design Alle nye teknologier, produkter og services, der behandler persondata, skal designes med persondatasikkerhed og overholdelse af forordningen in mente By default Persondatabeskyttelse skal være udgangspunktet Kun relevante data indsamles og behandles Data kan ikke gemmes længere end nødvendigt Kun relevante personer har adgang til data Side 47

48 Privacy by Design/Default Eksisterende IT-løsninger Understøttes privacy by design/default? Hvis ikke - kan det bringes til at understøtte dette? Hvilket arbejde/hvilke omkostninger er der forbundet med dette? Hvor lang levetid har den pågældende it-løsning tilbage? Nye IT-løsninger Sikre, at kommende IT understøtter privacy by design/default Sikre, at de rigtige krav fremgår af kravsspecifikationer/løsningsbeskrivelse Få dokumentation fra leverandør Redskaber til understøttelse af privay by design/default Pseudonymisering Kryptering Systemopsætning/konfigurering Instrukser/vejledninger Side 48

49 Data protection officers

50 Hvad er en Data Protection Officer ('DPO')? Tilsyn med overholdelse af Persondataforordningen. Krav til uddannelsesbaggrund ekspertviden inden for databeskyttelse, herunder lovgivning og praksis. Ansat eller tredjepart (kan deles) Har din virksomhed brug for en DPO? Hvis offentlig virksomhed eller offentligretligt organ (offentligt ejet forsyningsselskab, f.eks.) Hvis din virksomheds "kerneaktivitet" består i behandling af personoplysninger: Der har en sådan karakter eller et sådant formål at den kræver regelmæssig og systematisk overvågning af datasubjekter i stort omfang. Af følsom karakter eller strafbare oplysninger i stort omfang. Side 50

51 Data Protection Officers Ansat eller tredjepart Kan deles mellem flere myndigheder/virksomheder f.eks. kan en koncern udpege en fælles DPO Uafhængig Må ikke have interessekonflikter i stillingen (kan blive svært!) Må ikke modtage ordrer vedr. dennes opgaver Kan ikke blive afskediget eller straffet for udførelse af sine opgaver) Rapporterer direkte til ledelse Kan have andre opgaver (kun hvis ingen interessekonflikt) Skal udpeges på grundlag af faglige kvalifikationer, herunder særligt ekspertviden indenfor databeskyttelseslovgivning og praksis Side 51

52 Data Protection Officers DPO ens job (minimumskrav) Deltage i alle spørgsmål vedrørende persondatabehandling Øge vidensniveau hos arbejdsgiver om persondatabeskyttelse (awareness) Kontaktperson for myndigheder og datasubjekter Tilsyn med overholdelse af forordning (compliance) Side 52 Tilsyn med implementering og overholdelse af Politikker, procedurer Sikkerhedskrav/risikovurderinger (+DPIA) Sikre dokumentation

53 Hvordan gribes compliance arbejdet an?

54

55 Hvorfor gå i gang nu? Der er 20 måneder til Forordningen træder i kraft! Der bliver nok at se til! Særligt hvis der ikke allerede er helt styr på persondatabehandlingen! Compliance har betydning for virksomhedens værdi Og image udadtil! Compliance er tidskrævende Og der kan dukke ubehagelige overraskelser op undervejs! Side 55

56 Dansk industris vejledning - Persondataforordning en implementering i danske virksomheder Side 56

57 Organisation Nedsæt en arbejdsgruppe Deltagelse fra alle relevante afdelinger jura, forretning, it, HR Afhængigt af virksomheden størrelse Ansvarlige for at bringe virksomheden i compliance Inkludér DPO en / sørg for ledelsesforankring! Side 57

58 Mapping af persondata De færreste virksomheder har fuldt overblik over hvilke persondata de behandler pt. Skab overblik/udarbejd en fortegnelse over: Hvilke persondata I indsamler og behandler HR, salgs- og markedsføringsafdelinger er usual suspects Er der følsomme data iblandt? IT-afdeling er et godt sted at starte de har overblik over systemer Interviews af nøglepersoner i alle afdelinger Til hvilke formål I behandler de enkelte datatyper? Side 58

59 Mapping af persondata Hvem er datasubjekterne, og antallet af datasubjekter? Hvorfra er datene indsamlet? Datasubjekt Tredjemand Internettet Videregives data? Hvilken hjemmel ligger til grund for behandlingen, herunder eventuelt videregivelsen? Er data stadig relevante/ajour? Side 59

60 Mapping af persondata Hvor behandles data? Internt? Databehandlere? Er alle databehandleraftaler på plads (og hvor findes de?) Er der overførsler til tredjelande? Hvorfor overføres til tredjeland? Til anden dataansvarlig? Til databehandlere? Side 60

61 Mapping af persondata Behandler I data for andre? (Dvs. I er databehandlere) Har I styr på alle databehandleraftaler? Skal de opdateres? (sandsynligvis) Overholder I kravene i databehandleraftalerne? Har I tredjemandsdata liggende, som reelt skulle have været slettet? Dataflowsdiagrammer kan være nyttige Indhent nødvendige eksisterende anmeldelser/tilladelser fra databeskyttelsesmyndigheder. Selv om forordningen afskaffer anmeldelsespligten, vil anmeldelserne være nyttige. Billedet ændrer sig løbende! Orientere ansatte om arbejdsgruppen/dpo Pligt til at orientere arbejdsgruppen/dpo Opdagelse af flere persondata Iværksættelse af projekter, som er persondata-relevante Side 61

62 Politikker / Procedurer Eksterne Findes der en privacy policy? Er den relevant for alle/nogle indsamlinger af data? Up-to-date? Er den forståelig for målgruppen? Internt Er der en overordnet privacy policy? Er der en for hver behandlingsområde, som foretages? Fx markedsføring og HR Er der udarbejdet en fortegnelse over behandlinger? Er der procedurer for håndtering af datasubjekters rettigheder? Ellers bør disse laves Side 62

63 Orientering af datasubjekter Informeres datasubjekter om indsamlingen/ behandlingen? Kræves opdatering? Kan det dokumenteres? Gem tidligere udgaver. Samtykke Side 63 Identificer eventuelle manglende oplysninger, der kræves i henhold til forordningen Kan det dokumenteres? Gem tidligere udgaver Registrer hvilken udgave, der er samtykket til

64 Sikkerhed Få overblik over virksomhedens sikkerhed Findes der en sikkerhedspolitik? Stadig up-to-date? Eller skal der startes helt fra bunden? Er der lavet risikovurderinger? Er de dokumenteret eller skal de laves? Er der behov for, at der laves DPIA? Er der en procedure for udførelse af risikovurderinger/dpia? Er der en procedure for håndtering af sikkerhedsbrud? Husk, at sikkerhed er ikke kun fysisk og teknisk, men i høj grad også organisatorisk! Mapping af, hvem der har adgang til hvilke data, hvorfor, og er det relevant? Side 64

65 Privacy by Design/Default Eksisterende IT-løsninger Understøttes privacy by design/default? Hvis ikke - kan det bringes til at understøtte dette? Hvilket arbejde/hvilke omkostninger er der forbundet med dette? Hvor lang levetid har den pågældende IT tilbage? Redskaber til understøttelse af privacy by design/default Pseudonymisering Kryptering Side 65

66 Privacy by Design/Default Nye IT-løsninger Sikre, at kommende IT understøtter privacy by design/default Kontrollere, at det fremgår af kravsspec./løsningsbeskrivelse Få dokumentation fra leverandør Side 66

67 Databehandlere Bruges databehandlere? Hvordan er databehandleraftalerne udformet? Sikrer de jer som dataansvarlig på fornøden vis? Skal de opdateres for at leve op til forordningens krav? Bruges standardteksten fra Datatilsynets hjemmeside? Hvilke sikkerhedskrav skal stilles til databehandlere? Om muligt, skal databehandlere overholde samme politik som virksomheden selv Hvis ikke hvordan skal gaps håndteres? Overholder databehandlerne sikkerhedskravene? Har I en tilsynsret? Indhent årlig revisionsrapport Overvej at foretag inspektion Side 67

68 Overførsler til tredjelande Har I de nødvendige aftaler på plads? Safe Harbor OBS! Ordningen er erklæret ugyldig Find nyt hjemmelsgrundlag fx SCC, BCR eller samtykke Ny aftale vedtaget og godkendt af Kommisionen - Privacy Shield SCC Kan I leve op til vilkårene? Vær opmærksom på at det ikke er muligt at foretage materielle ændringer Nye SCC'er? Side 68

69 Awareness Planlæg undervisning af medarbejdere Generelt om persondata, og hvorfor det skal respekteres I politikker/procedurer Relevante sikkerhedsforhold også organisatorisk Intern bevidsthed og kommunikation Opgave for DPO Side 69

70 Forslag til compliance projektets faser 1. Opstart 2. Analyse 3. Løsningsbeskrivelse 4. Implementering 5. Drift Side 70

71 Compliance arbejdet skal være internt forankret og drevet og have ledelsens opbakning Men det kan være en god idé at etablere en ekstern, tværfaglig følgegruppe til at Holde arbejdsgruppen til ilden Stille ubehagelige spørgsmål Tilføre ekspertviden/afklare juridiske og tekniske spørgsmål Verificere compliance Side 71

72 Hvis du vil vide mere: "Persondataforordningen en håndbog for praktikere" Side 72

73 Inden 25. maj 2018 (forordningen) Overholder du persondataloven i dag? Key take aways 1. Beslut at reglerne skal efterleves; 2. Få overblik over data og processer; 3. Find ud af hvilke tilpasninger, der er nødvendige for, at sikre compliance 4. Lav plan for compliance arbejdet 5. Sørg for løbende opdatering Det kan blive dyrt ikke at overholde reglerne, og overholdelse af reglerne bliver et konkurrenceparameter Side 73

74 Thank you Advokat Jesper Langemark Mobil: BIRD & BIRD ADVOKATPARTNERSELSKAB Bird & Bird Advokatpartnerselskab er et registreret selskab i Danmark under CVR-nr Alle vores advokater er medlem af Advokatsamfundet og underlagt de advokatetiske regler fra Advokatrådet. Reglerne er tilgængelige her: BIRD & BIRD Bird & Bird LLP, er et registreret partnerskab, registreret i England og Wales under registreringsnummer OC340318, der er autoriseret og underlagt Solicitors Regulation Authority, og dets regler og retningslinier der er tilgængelige her: sra.org.uk/handbook/ For yderligere information om Bird & Bird internationalt, herunder Bird & Bird LLP, dets filialer og associerede selskaber (samlet benævnt Bird & Bird ), vores kontorer, ansatte, partnere og rådgivningsområder, brug af s og regulatoriske forhold, se vores website på twobirds.com og navnlig Legal Notices.