Advokat (H), partner Anders Aagaard. Ledelsesansvar for IT-sikkerhed

Transkript

1 Advokat (H), partner Anders Aagaard Ledelsesansvar for IT-sikkerhed 1

2 AGENDA Ledelsens opgaver og ansvar Persondataforordningen Cases 2

3 Ledelsens opgaver og ansvar Selskabsloven hard law: SL 115: I kapitalselskaber, der har en bestyrelse, skal denne ud over at varetage den overordnede og strategiske ledelse og sikre en forsvarlig organisation af kapitalselskabets virksomhed påse, at... der er etableret de fornødne procedurer for risikostyring og interne kontroller SL 117: I kapitalselskaber, der ledes efter 111, stk. 1 (af en bestyrelse, red) varetager direktionen den daglige ledelse af kapitalselskabet. Direktionen skal følge de retningslinjer og anvisninger, som bestyrelsen har givet. Den daglige ledelse omfatter ikke dispositioner, der efter kapitalselskabets forhold er af usædvanlig art eller stor betydning. 3

4 Ledelsens opgaver og ansvar Ledelsens ansvarsnorm : SL 361: Stiftere og medlemmer af ledelsen, som under udførelsen af deres hverv forsætligt eller uagtsomt har tilføjet kapitalselskabet skade, er pligtige til at erstatte denne. Det samme gælder, når skaden er tilføjet kapitalejere eller tredjemand 4

5 Fortolkning af ansvarsnormen Selskabsanbefalingen - Soft Law: Pkt. 5 om risikostyring: Effektiv risikostyring og et effektivt internt kontrolsystem medvirker til at reducere strategiske og forretningsmæssige risici, til at sikre overholdelse af gældende regler og forskrifter samt til at sikre kvaliteten af grundlaget for ledelsens beslutninger og den finansielle rapportering. Det er væsentligt, at risiciene identificeres og kommunikeres, og at risiciene håndteres på en hensigtsmæssig måde. Anbefalingen i Pkt : Det anbefales, at bestyrelsen tager stilling til og i ledelsesberetningen redegør for de væsentligste strategiske og forretningsmæssige risici, risici i forbindelse med regnskabsaflæggelsen samt for selskabets risikostyring. Direktionen bør løbende identificere de væsentligste risici og rapportere til bestyrelsen om udviklingen inden for de væsentlige risikoområder, herunder bl.a. om tiltag og handlingsplaner. 5

6 Sammenfatning Bestyrelsens ansvarsområde omfatter: Stillingtagen til strategiske og forretningsmæssige risici, Virksomhedens risikostyring. Direktionens ansvarsområde omfatter: Identifikation og vurdering af væsentlige risici Følge udviklingen inden for væsentlige risikoområder Kommunikationen til bestyrelsen, herunder om tiltag og handlingsplaner 6

7 Persondataforordningen o EU s databeskyttelsesdirektiv ligger til grund for den danske persondatalov o Kommissionen fremsatte d. 25 januar 2012 forslag om en ny forordning om databeskyttelse, som skal erstatte det nuværende persondatadirektiv o EU-parlamentet har godkendt udkastet, som nu behandles af Rådet o Implementering mulig fra

8 Persondataforordningen o Vedtagelse af den nye forordning vil medføre en ophævelse af den danske persondatalov, da en forordning som udgangspunkt hverken skal eller kan implementeres i national lovgivning, idet forordninger har direkte virkning o Forordningen vil gøre persondataregler til et EU-anliggende i højere grad end hidtil og sikre en mere ensartet anvendelse og håndhævelse af databeskyttelsesreglerne. 8

9 Forslaget væsentlige ændringer I Retten til at blive glemt Den ikke registrerede skal have ret til at få slettet sine personlige oplysninger, hvis der ikke er legitime grunde til at den registreredes personoplysninger gemmes. Enklere procedure for dataoverførsel Det skal være nemmere for internationale virksomheder at lave aftaler om overførsel af data mellem koncernforbundne selskaber. Ændring af krav til samtykke Øgede krav til samtykke Krav om udtrykkeligt samtykke i form af en frivillig, specifik og informeret viljestilkendegivelse. F.eks. Ved markering af et afkrydsningsfelt ved besøg på et websted Tavshed eller inaktivitet kan ikke indebære samtykke Samtykke kan ikke i alle tilfælde bruges som behandlingshjemmel. Dette gælder bl.a. for ansættelsesforhold, hvor der er en klar skævhed mellem den registrerede (medarbejderen) og den registreringsansvarlige (arbejdsgiveren) Samtykke kan ikke gives af et barn under 13 år, men skal gives af barnets forældre eller værge. 9

10 Forslagets væsentligste ændringer II Databeskyttelsesansvarlig Alle offentlige myndigheder og selskaber med over 250 ansatte skal udpege en databeskyttelsesansvarlig, som skal sikre at myndigheden/selskabet overholder reglerne i forordningen Den databeskyttelsesansvarlige er en fysisk nøgleperson, som udpeges på baggrund af dennes faglige kvalifikationer, ekspertise indenfor databeskyttelseslovgivning og praksis, samt evne til at udføre de for stillingen nødvendige opgaver. Den databeskyttelsesansvarlige opgaver indebærer: at underrette og rådgive virksomhedens ledelse (som er registeransvarlig) om deres forpligtelser i henhold til forordningen, at overvåge gennemførelsen af anvendelsen af ledelsens regler om beskyttelse af personoplysninger, at kontrollere anmeldelser vedrørende brud på persondatasikkerheden, mv. 10

11 Forslagets væsentligste ændringer III Styrkelse af nationale datatilsyn strengere sanktioner Nationale datatilsyn vil få ret til at udstede bøder ved forsætlig eller uagtsom overtrædelse af persondataforordningen. Bøder på op til EURO eller op til 5 % af en virksomheds årlige omsætning 11

12 Forslaget væsentligste ændringer IV Hurtig underretning i tilfælde af brud på sikkerhed I tilfælde af brud på persondatasikkerheden skal den dataansvarlige uden unødigt ophold underrette både de berørte registrerede og det nationale datatilsyn. 12

13 Hvad bør vi undgå? God IT-sikkerhed begrænser scenarier som Edward Snowden Nets/Se & Hør Target LGT Bank JPMorgan 13