Agenda. Præsentation af Thomas Riisager Persondataforordningen de vigtigste punkter. Pause

Transkript

1 Agenda Præsentation af Thomas Riisager Persondataforordningen de vigtigste punkter Pause De indledende trin på vej mod compliance Hvordan bliver I klar inden 25. maj 2018?

2 Thomas Riisager Produktionsingeniør 5 år som ledelsessystemansvarlig i Bantex A/S og Casco A/S 6 år som proceskonsulent hos Qualiware Consulting 12 år som ejer og konsulent i Dcide ApS Procesdokumentation Procesudvikling, LEAN Kvalitets-og miljøledelse Certificeret i Persondataret (GDPR) hos Plesner

3 General Data Protection Regulation (GDPR) - Persondataforordningen Beskyttelse af EU borgeres personlige data, en lov som gælder på tværs af alle medlemsstater og som erstatter tidligere data protection love. En lov der passer på dine og mine personlige data

4 Det persondataretlige univers Personoplysninger: - Alle oplysninger om en identificeret eller identificerbar fysisk person Medarbejder data Kundedata Leverandørdata Forhandlerdata

5 Hvor findes personoplysninger? Leverandør Underleverendør

6 Involverede partnere Dataansvarlige (Virksomheden) Databehandlere (systemleverandører, hostingsvirksomheder) De registrerede (medarbejdere, kunder, leverandører)

7 Det retlige landskab Væsentligste nyheder Ansvarlighed: Forpligtelse til selv at opretholde dokumentation for efterlevelse af reglerne (compliance) Databeskyttelsesansvarlig: Alle offentlige myndigheder og visse private virksomheder skal have en DPO (Data Protection Officer) Strenge bøder: Væsentligt strengere sanktionssystem Databeskyttelselov: Høring 7. juli 2017 Høringsfrist 22. august 2017 Loven vedtages sandsynligvis først forår 2018

8 Andre nyskabelser i forordningen Skærpede krav til samtykke Krav om privacy by design og privacy by default Pligt til at orientere Datatilsynet og i nogen tilfælde også de registrerede i tilfælde af datasikkerhedsbrister Strengere krav til databehandlere Styrkelse af de registreredes rettigheder Udvidet mulighed for erstatning for overtrædelse af reglerne

9 De grundlæggende principper hvad er det vi må? Personoplysninger skal efter art. 5, stk. 1: behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (»lovlighed, rimelighed og gennemsigtighed«) indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål (»formålsbegrænsning«) være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (»dataminimering«) være korrekte og om nødvendigt ajourførte (»rigtighed«) opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles (»opbevaringsbegrænsning«) behandles på en sikker måde (»integritet og fortrolighed«).

10 Behandlingsregler Det kræver hjemmel at behandle personoplysninger, f.eks. kontrakt eller samtykke Navn, adresse, , telefonnummer, osv Helbredsoplysninger, religion, fagforening, etnicitet, straffeattest Ikke følsomme personoplysninger (art. 6) Følsomme personoplysninger (art. 9,10)

11 Nogle eksempler inden for HR Før ansættelse: Du må benytte de data der indgår i ansøgning og CV i forbindelse med ansættelsessamtaler, både almindelige data og følsomme data Du må ikke gemme ansøgninger til senere brug, med mindre du har oplyst ansøger om dette og kun i rimelig tid

12 Nogle eksempler inden for HR Under ansættelse: Du må indhente de almindelige data om medarbejdere, som er nødvendige for at opretholde ansættelsesforholdet Følsomme data kan som udgangspunkt kun indhentes hvis medarbejderen giver samtykke, f.eks. fagforeningsforhold, helbredsforhold, m.m. Nogle følsomme data kan dog være nødvendige for at sikre opfyldelse af ansættelseskontrakten, f.eks. sygefravær. Dog ikke karakteren af sygdommen

13 Nogle eksempler inden for HR Efter ansættelse: Opbevaring af data om tidligere medarbejdere må kun ske hvis der er et sagligt formål, f.eks. aflønning under fritstilling

14 Samtykke Et samtykke skal være en frivillig, specifik, informeret og utvetydig viljestilkendegivelse Dataansvarlige skal kunne påvise, at der er givet samtykke Skriftligt samtykke anbefales Samtykket skal være adskilt fra øvrige tekst Det er en gyldighedsbetingelse for et samtykke, at der forinden er informeret om muligheden for at trække samtykket tilbage. Det skal være lige så let at trække tilbage som at give det.

15 Dokumentation for overholdelse Pligt til at dokumentere compliance, jf. art. 24: Under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med denne forordning. Pligt til at dokumentere overholdelse af behandlingsprincipperne, jf. art. 5, stk. 2, dvs. principperne om Lovlighed, rimelighed, gennemsigtighed, til udtrykkelige og legitime formål, at behandlingen er nødvendig og proportionel mv. Dokumentation skal bl.a. sikres via politikker og retningslinjer samt beskrivelser af sikringer og dataflow i systemer.

16 Dataflowanalyser Det er en forudsætning for compliance, at man som dataansvarlig har et overblik over sine data Indhold (ikke udtømmende): Hvilke typer af personoplysninger behandles? (Ikkefølsomme/følsomme) Hvorfra indsamles oplysningerne? Hvordan indsamles oplysningerne? Videregives oplysningerne og i så fald til hvem? (Andre virksomheder/offentlige myndigheder) Formålet/-ene med behandlingen? Hvor bruges de henne i organisationen? Hvor og hvordan oplysningerne er opbevaret og sikret? Hvornår og hvordan oplysningerne vil blive slettet?

17 Pligt til at fastsætte passende sikkerhedsforanstaltninger Den dataansvarlige skal fastsætte passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at forordningen overholdes, jf. art. 24, stk. 1 Vurdering ud fra behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder Foranstaltningerne skal om nødvendigt revideres og ajourføres. Hvor går det typisk galt? Menneskelige fejl F.eks. sender s uden kryptering eller til forkert modtager, glemmer USB-sticks, lader papirer flyde i printerrummet Organisatoriske fejl Glemmer at fastsætte eller opdatere interne retningslinjer, manglende kontrol med databehandlere, manglende undervisning eller instruktion af medarbejdere Systemmæssige fejl Utilstrækkelig sikkerhed i IT-systemer, f.eks. ikke mulighed for at slette effektivt, manglende kryptering, utilstrækkelig adgangskontrol, for bred adgang til oplysninger etc.

18 Anmeldelse af sikkerhedsbrud Anmeldelsespligt til tilsynsmyndigheden inden 72 timer, medmindre det er usandsynligt, at bruddet indebærer en risiko. Den dataansvarlige skal dokumentere sikkerhedsbrud, herunder de faktiske omstændigheder, virkningerne heraf og trufne afhjælpende foranstaltninger. Vigtigt at man som dataansvarlig har faste procedurer for håndtering af sikkerhedsbrud.

19 Pause

20 De indledende trin på vej mod compliance 1. Skab awareness og kortlæg hvordan forordningen påvirker jer 2. Få overblik over jeres processer og behandlingsaktiviteter 3. Få overblik over jeres personoplysninger (Dataflowanalyse) 4. Kortlæg leverandører og gennemgå databehandleraftalerne 5. Fastlæg rutiner for brud på persondatasikkerheden 6. Tænk databeskyttelse ind i jeres IT-systemer og arbejdsgange 7. Fastlæg rutiner for imødekommelse af de registreredes rettigheder

21 Awareness Forstå hvad persondata er og hvad forordningen betyder for jer Træning, kurser Eksempel på kursus

22 Overblik over processer Forstå din egen forretning for at forstå hvordan det rammer din virksomhed Kortlæg processer hvor der behandles persondata Beskriv processerne Hvilke data behandles Hvilke systemer ligger data i

23 Eksempel på proceskortlægning Process Map Management Processes Strategy Process Budgeting Process HR Strategy Primary Proceses Customer order Customer request Sales Projects Inbound Logistics Production Outbound Logistics Order delivered Supporting Processes Marketing Customer Service Health & Safety Finance IT External Relations Human Resource Management Purchasing

24 Overblik over personoplysninger (dataflow) Indhold Hvilke typer af personoplysninger behandles? (Ikke-følsomme/følsomme) Hvorfra indsamles oplysningerne? Hvordan indsamles oplysningerne? Videregives oplysningerne og i så fald til hvem? Formålet/-ene med behandlingen? Hvor og hvordan oplysningerne er opbevaret og sikret? Hvornår og hvordan oplysningerne vil blive slettet?

25 Databehandleraftale Gennemgå leverandører Typiske leverandører er kontraktpartnere v. outsourcing, systemleverandører, hosting, herunder cloudleverandører, konsulenter etc. Identificere behov for databehandleraftaler Indgå databehandleraftaler Brug en jurist da det kan koste dyrt ikke at have styr på det

26 Brud på datasikkerheden Sikkerhedsbrud er uundgåelige pga. enten systemmæssige eller menneskelige fejl, herunder hacking Kan I dokumentere alle brud på persondatasikkerheden? Kan I rapportere et sikkerhedsbrud til Datatilsynet inden for 72 timer? Fastlæg rutiner for at opdage, undersøge og rapportere sikkerhedsbrud Lav allerede nu skabeloner for rapporteringer til Datatilsynet Eksempel på skabelon

27 Databeskyttelse i IT-systemer og arbejdsgange Se på mulighederne for Dataminimering kan data undværes? Begræns adgangen til data internt i virksomheden Beskyt data ved at anvende pseudonymisering, hvor det er muligt Benyt passende tekniske beskyttelsesforanstaltninger Kryptering af data Sikker mail (e-boks) Firewall

28 De registreredes rettigheder Retten til indsigt Retten til at få data slettet ( Retten til at blive glemt ) Retten til at at få data rettet Retten til begrænsning af behandling af data Retten til indsigelse mod behandling Retten til at få data overført

29 Hvordan bliver I klar inden 25. maj 2018? - GDPR Projekt trin: Hvordan ser det ud? Hvad skal der til? Det er det vi gør! Afgrænsning Projekt plan Analyse og design Implementeringsplan Implementering Compliance 29

30 Spørgsmål?

31 Tak for i dag Thomas Riisager Ejer Dcide ApS og Partner i GDPR Partner Telefon: thomas@dcide.dk tri@gdprpartner.dk