Sådan forholder du dig til EU s nye persondataforordning. General Data Protection Regulation (GDPR)

Transkript

1 Sådan forholder du dig til EU s nye persondataforordning General Data Protection Regulation (GDPR)

2 Forstå den nye persondataforordning Hvad er den nye persondataforordning helt præcis? Den nye persondataforordning er en ny, europæisk persondatalov. Helt præcist er det en regulering af privatlivets rettigheder på tværs af Den Europæiske Union, som giver individer mere kontrol over deres personlige data og sikrer bedre gennemsigtighed omkring brugen af data end tidligere. Derudover kræver den nye persondataforordning sikkerhed og kontrol og beskyttelse af data. Hvorfor skal jeg vide noget om den nye persondataforordning gælder den overhovedet for min organisation? Introduktion En ny europæisk persondatalov træder i kraft i slutningen af maj 2018 helt præcist d. 25. maj GDPR, EU s nye persondataforordning, handler om beskyttelsen af privatlivets rettigheder for individer, og den vil sætte en ny barre globalt, når det gælder anliggender som sikkerhed, privatlivets rettigheder og overholdelse af disse regler. Hvordan I håndterer og beskytter personlige data og på samme tid respekterer ethvert tænkeligt individuelt valg, bliver fastslået og reguleret af den nye persondataforordning. Og bestemmelserne vil være der, uanset hvor I sender jeres data hen, hvor I lagrer jeres data, og hvordan I håndterer jeres data. Dette whitepaper hjælper jer med at forberede jer på den nye persondataforordning, og den giver et overblik over den nye, europæiske persondatalov. I får alle de svar, I har brug for, for at komme i gang med processen inklusive hvordan AlfaPeople kan hjælpe jer med at overholde den nye persondataforordning i relation til jeres Microsoft Dynamics 365-platform. Det kan være fristende at tro, at den nye persondataforordning kun gælder for helt specifikke organisationer. Men ser man lidt nærmere på den, kan man se, at den gælder bredere, end man måske umiddelbart skulle tro. Faktisk pålægger den nye persondataforordning nye regler for virksomheder, statslige myndigheder, nonprofitorganisationer og øvrige organisationer, der tilbyder varer og tjenester til personer i Den Europæiske Union, eller virksomheder, statslige myndigheder, nonprofitorganisationer og øvrige organisationer, der indsamler og analyserer data, der er knyttet til EU-borgere. Og loven gælder, uanset hvor i verden organisationerne befinder sig. Hvor persondatalove i øvrige jurisdiktioner muligvis ikke gælder for alle typer af og størrelser på organisationer, tager den nye persondataforordning ikke hensyn til størrelsen på eller typen af branche; den gælder for alle. Den nye persondataforordning bliver ikke nødvendigvis ved med at være begrænset til EU da Den Europæiske Union ofte bliver betragtet som rollemodel inden for privatlivsproblemstillinger internationalt, forventes begreberne fra forordningen over tid at dukke op i andre dele af verden. Den nye persondataforordning hvornår træder den i kraft? Som nævnt ovenfor træder den nye persondataforordning officielt i kraft den 25. maj 2018, selv om den allerede blev vedtaget som lov i EU tilbage i april Grunden til, at den først træder officielt i kraft i 2018 er, at den medfører betydelige ændringer, som nogle organisationer vil have behov for at rette ind efter, og derfor har en toårig overgangsperiode været nødvendig. Den nye persondataforordning erstatter det eksisterende databeskyttelsesdirektiv (direktiv 95/46/EC), som har været gyldigt siden Whitepaper 2

3 Nøglebegreber i den nye persondataforordning Den nye forordning kan muligvis synes kompleks, men nøglebegreberne kan brydes ned til seks principper. Den nye persondataforordning er: Krav om gennemsigtighed i forhold til, hvordan håndteringen og brugen af persondata finder sted. Begrænsning af persondatahåndtering til specificerede, retmæssige formål. Begrænsning af persondataindsamling og -lagring til tilsigtede formål. Mulighed for, at individer kan rette i eller anmode om at få slettet deres personlige data. Begrænsning af datalagring for personligt identificerbare data i kun så lang tid, som er nødvendigt for det tilsigtede formål. Sikkerhed for, at personlige data er beskyttet vha. hensigtsmæssig sikkerhedspraksis Eksempler på bestemmelser inden for persondataforordningen, som er relateret til disse principper Hvis en organisation håndterer personlige data, så har individer i henhold til den nye persondataforordning ret til at kende til og blive informeret om (og forstå) formålet med håndteringen. Hvis individer ønsker at få deres data slettet eller rettet, eller hvis individer ikke vil have deres data håndteret længere, fremsætte indsigelser over direkte markedsføring, tilbagekalde samtykke for visse brug af deres data, etc., er det deres ret. Og pga. retten til dataportabilitet har individer også ret til at flytte deres data andre steder hen og til at få assistance til at gøre det. I henhold til den nye forordning skal organisationer sikre personlige data i overensstemmelse med graden af følsomhed. Hvis der opstår et brud på datasikkerheden, skal de relevante autoriteter informeres inden for 72 timer af dem, der håndterer data i jeres organisation. Hvis det er sandsynligt, at bruddet resulterer i en høj risiko for rettighederne og friheden for individer, skal berørte individer informeres af organisationen uden unødig forsinkelse. Håndtering af personlige data skal udføres på et lovligt grundlag. Samtykke til håndtering af personlige data skal gives uden tvang, specifikt, informeret og utvetydigt. Den nye persondataforordning indeholder unikke krav til samtykke, når det gælder børn. For at forudsige privatlivspåvirkningen af projekter og for at anvende nedsættelse efter behov skal organisationer udføre data-konsekvensanalyser. Det vil sige, at der skal vedligeholdes optegnelser over håndteringsaktiviteter, samtykke til at håndtere data og overholdelse af forordningen. Overholdelse af den nye persondataforordning er en løbende proces, og overholder man ikke forordningen, kan det resultere i betydelige bøder. Organisationer opfordres til at omfavne en privatlivskultur, der skal beskytte individers interesse i deres personlige data for at sikre overholdelse. Både Microsoft og AlfaPeople er engagerede i at hjælpe virksomheder med at møde forordningens krav og yderligere at støtte privatlivets rettigheder for individer. Besøg Microsoft.com/GDPR for en mere detaljeret oversigt over den nye persondataforordning og en bedre forståelse af termer som pseudonymization, håndtering, controllere, processorer, dataregistrerede og personlige data. Whitepaper 3

4 Få hjælp til persondataforordningen med Microsoft Det er en bred, forretningsmæssig udfordring at overholde den nye persondataforordning. En udfordring, der vil kræve tid, værktøjer, processer og ekspertise, og formentlig også en udfordring, der vil kræve betydelige ændringer i jeres praksisser om privatliv og datahåndtering. At arbejde i en veludført cloud-tjeneste-model gør det nemmere at komme til at overholde forordningen og det vil et effektivt datastyringsprogram også. Microsoft og AlfaPeople er klar til at hjælpe virksomheder med succesfuldt at overholde den nye persondataforordning både effektivt og professionelt. En cloud-tjeneste du kan stole på er det, Microsoft står for. Microsoft har en principiel tilgang til privatlivets rettigheder, sikkerhed, overholdelse og gennemsigtighed med et stærkt engagement, så I kan være sikre på, at I kan stole på den digitale teknologi, I har behov for og har tillid til. Microsoft har den mest omfattende portefølje i branchen, og organisationen var den første til at tage nøglestandarder som ISO/IEC cloud privacy-standarden til sig. Derudover er Microsoft en erfaren leder inden for privatliv, sikkerhed, overholdelse og gennemsigtighed noget både kunder og partnere har gavn af. Kom godt i gang med den nye persondataforordning Det meste af jeres it-landskab bliver sandsynligvis udsat for den nye krav. Årsagen til det er, at de systemer I plejer at bruge til at skabe, lagre, analysere og håndtere data kan være spredt ud over en lang række it-miljøer personlige enheder, on-premises servere, cloud-tjenester og selv Internet of Things. At se på den nye persondataforordningens krav holistisk og i en kontekst af al jeres regulatoriske og lovmæssige beskyttelse af personlige oplysninger vil hjælpe din indsats for at møde kravene og overholde forordningen bedst. Den nye persondataforordning er ikke den eneste databeskyttelse, der findes, og derfor ligner mange af de sikkerhedskontroller, persondataforordningen kræver for at forebygge, opdage og respondere på sårbarheder og brud på datasikkerheden de kontroller, der forventes af f.eks. ISO cloud privacystandarden. Det er meget tidskrævende at spore kontroller, der kræves af individuelle standarder eller bestemmelser fra sag til sag. Best practice vil være at identificere et overordnet sæt kontroller og kapaciteter til at møde disse krav, på samme måde, som det at have en platform-holdning (f.eks. Windows, Microsoft SQL Server, SharePoint, Exchange, Office 365, Azure, og Dynamics 365) kan give en sikker vej til overholdelse af ikke bare den nye persondataforordning, men også af øvrige krav, der er vigtige og relevante for dig. Ofte er individuelle teknologier og løsninger vurderet ud fra en omfattende bestemmelse, men det tager alt for meget tid. Whitepaper 4

5 Facilitér din rejse mod den nye persondataforordning med de følgende FIRE NØGLETRIN: Identificér jeres personlige data, og hvor de ligger. Etablér sikkerhedskontroller for at forebygge, opdage og reagere på sårbarheder og brud på datasikkerheden. Bestem, hvordan jeres personlige data skal bruges og tilgås. Eksekvér ved dataforespørgsler, rapportér brud på datasikkerheden, og behold den påkrævede dokumentation. Whitepaper 5

6 12 spørgsmål, der skal adresseres nu. Ved at læse og forberede dig på nedenstående 12 spørgsmål fra Datatilsynet 1, kan du komme på forkant med den nye persondataforordning ved at træffe foranstaltninger allerede i dag. 1. Kender jeres organisation til den nye persondataforordning? Det er vigtigt, at beslutningstagere og nøglepersoner i jeres organisation ved, at persondataloven bliver erstattet af den nye persondataforordning i maj Det er også vigtigt, at I undersøger, hvordan jeres organisation bliver påvirket af forordningen. Identificér evt. de områder, I skal arbejde særskilt med, for at være på forkant. 2. Hvilken slags personoplysninger behandler I? Det er en god idé at både undersøge og dokumentere, hvilken slags personoplysninger I behandler, samt hvor oplysninger kommer fra, og hvem jeres organisation deler dem med. Det kan også være nødvendigt, at jeres organisation bliver gennemgået med det formål at finde ud af, hvilke dele af organisationen, der behandler hvilke oplysninger. 3. Hvilken information giver jeres organisation de registrerede? Det er vigtigt at have styr på, hvilke kategorier af personoplysninger I behandler, og også på hvilket retligt grundlag I gør det. Samtidig bør I dokumentere jeres konklusioner. 4. Hvordan opfylder I de registreredes rettigheder? For at være på den sikre side bør I gennemgå jeres procedurer i organisationen. Dette for at sikre, at I kan opfylde alle de rettigheder, som de registrerede er tillagt efter persondataforordningen. Selv om de registrerede i det store hele kommer til at have de samme rettigheder som i dag, bliver rettighederne styrket/skærpet med den nye persondataforordning. Har I allerede styr på de registreredes rettighed, bliver overgangen til forordningen formentlig ganske smidig. Gennemgå gerne jeres rutiner allerede nu, og overvej, hvordan I vil håndtere en anmodning fra en registreret om at blive slettet. Er det nemt at finde og slette oplysningerne i jeres system, og hvem har rettigheder til at gøre det? 1 Whitepaper 6

7 5. Hvilket retligt grundlag behandler I personoplysninger på? Det er vigtigt at have styr på, hvilke kategorier af personoplysninger I behandler, og også på hvilket retligt grundlag I gør det. Samtidig bør I dokumentere jeres konklusioner. 6. Hvordan indhenter I samtykke til at indsamle personoplysninger? Det er en god idé at undersøge i organisationen, hvordan I indhenter, opbevarer og dokumenterer samtykke til at indsamle personoplysninger, og om I bør foretage nogle ændringer. 7. Behandler/håndterer I personoplysninger om børn? Det er nødvendigt at have styr på, hvordan I kontrollerer og fremover vil kontrollere alderen på en given person, og hvordan I vil indhente samtykke fra forældrene eller indehavere af forældremyndigheden, når/hvis I behandler personoplysninger om børn. 8. Brud på persondatasikkerheden hvad gør I? Brud på persondatasikkerheden er en alvorlig sag. I bør sikre jer, at I har de nødvendige procedurer på plads, så I kan opdage, rapportere og undersøge brud på persondatasikkerheden hurtigst og bedst muligt. 9. Er jeres behandling af persondata forbundet med særlige risici af nogen art? Hvis jeres behandling af personoplysninger er forbundet med særlige risici for den registreredes grundlæggende rettigheder, bør I overveje, om I skal udarbejde en konsekvensanalyse omhandlende databeskyttelse, der er i overensstemmelse med forordningen. 11. Hvem er ansvarlig for databeskyttelsesspørgsmål i jeres organisation? Ansvaret for databeskyttelsesspørgsmålet bør ligge et bestemt sted i jeres organisation, og I bør bestemme hvor. Persondataforordningen stiller i visse situationer krav om, at organisationen formelt skal udpege en DPO en databeskyttelsesrådgiver. 12. Driver I virksomhed i flere lande? Hvis jeres organisation driver virksomhed i flere EUlande, er det nødvendigt at finde ud af, hvad det er for en tilsynsmyndighed, der har ansvaret for at føre tilsyn med jeres behandling af personoplysninger. Iht. den nye persondataforordning behøver i nemlig kun at kommunikere med én tilsynsmyndighed inden for EU ved behandlinger af persondata, der overskrider grænser. Whitepaper 7

8 Sådan kan AlfaPeople hjælpe dig med at opfylde kravene til persondataforordningen AlfaPeople er en Gold Microsoft Partner og Cloud CRM partner of the Year i Danmark. Vi bestræber os på at hjælpe vores kunder med at komme i overensstemmelse med den nye persondataforordning. Vi er vant til at arbejde med store, internationale projekter inden for CRM og ERP, nærmere betegnet Microsoft Dynamics 365-løsninger. Disse løsninger omfatter ofte store mængder personlige oplysninger, sikkerhedskrav og ændringshåndtering. Derfor sætter vores erfaring os i stand til at forstå, hvordan kravene til den nye forordning skal håndteres. AlfaPeople kan hjælpe dig med at blive parat til den nye persondataforordning med en 3-trinsmetode, hvor vurdering og analyse af processerne understøttes af Microsoft Dynamics 365-platformen. Gennem en grundig analyse kan vi give kunderne handlingsorienteret indsigt i de områder og processer, der berøres af den nye persondataforordning, og efterfølgende hjælpe dem med at prioritere, planlægge og gennemføre de tiltag, der er nødvendige for at opnå overensstemmelse. Whitepaper 8

9 Global Offices AlfaPeople - Headquarters Støberigade 14, 4. sal 2450 København SV Denmark Phone: info.dk@alfapeople.com AlfaPeople United Kingdom Phoenix House 18 King William Street, London, EC4N 7BP Phone: info.uk@alfapeople.com AlfaPeople US Chrysler Building 405 Lexington Avenue, 26th Floor, NY Phone: +1 (855) info.us@alfapeople.com AlfaPeople Germany Elsbach Haus, Goebenstraße Herford Phone: Fax info.de@alfapeople.com AlfaPeople Switzerland Hohenbühlstrasse Glattbrugg Phone: Fax: info.ch@alfapeople.com AlfaPeople Colombia Ave Cra 9 # Edificio Uraki Ofi 401, Bogotá Phone: Fax: info.co@alfapeople.com AlfaPeople Chile Avda. Nueva de Lyon 072 Oficina 801, Piso 8 Providencia, Santiago Phone: +56 (2) Mobile: info.cl@alfapeople.com AlfaPeople Brazil - Barueri Al. Tocantins, 125 Conj. 250, Alphaville Industrial Barueri-SP Phone: +55 (11) info.br@alfapeople.com AlfaPeople Brazil - Porto Alegre Rua Mostardeiro, andar Porto Alegre Phone: +55 (51) info.br@alfapeople.com AlfaPeople Costa Rica Calle 36. Av 4 y 6. Edificio Don Bosco. Tercer Piso San Jose Phone: Fax info.cr@alfapeople.com AlfaPeople Guatemala 5ta Avenida 4-55 Zona 14 Edificio Europlaza Torre 1, 2do Nivel, Oficina 208/209 Phone: Fax: info.gt@alfapeople.com AlfaPeople Mexico Baja California # 245 Piso 8 Colonia Hipódromo. Condesa C.P México, D.F. Phone: Ext info.mx@alfapeople.com AlfaPeople China Four Seasons Square, Building 2 No. 503 NingGuo Road, Shanghai Phone: kle@alfapeople.com AlfaPeople United Arab Emirates Sidra Tower (1801) Sheikh Zayed Road PO Box 9588, Dubai Phone: Fax: info.me@alfapeople.com AlfaPeople Saudi Arabia King Road Tower (1106) King Abdulaziz Road Jeddah PO Box 11787, Jeddah Phone: Fax: info.me@alfapeople.com