Bliv klar til Persondataforordningen

Transkript

1 Bliv klar til Persondataforordningen Der indføres væsentlige ændringer og nyskabelser, i forhold til den nuværende persondatalov, der træder i kraft maj Den nye persondatalov vil i de fleste virksomheder kræve omfattende ændringer. Det er vigtigt, at ledelsen tager ansvar, og uddelegere ansvaret til de rette personer, så de opgaver der skal kortlægges, for at virksomheden kan leve op til EU s nye persondataforordning. Med vores hjælp kan du arbejde strategisk, med implementeringen af persondataforordningen og din virksomhed kan opnå indblik i hvordan persondata benyttes på tværs af systemer, så de ikke blot bliver tidssvarende, men potentielt kan give din virksomhed en konkurrencemæssig fordel. Hvad er Persondata? Persondata kan overordnet inddeles I to typer af oplysninger og vi har udarbejdet en liste over, hvilke data der kategoriseres som almindelige- og følsomme persondata: Almindelige persondata Økonomi f.eks. skat eller gæld Sygedage Tjenstlige forhold Familieforhold Bolig Bil Ansøgninger herunder CV og eksamensbevis Ansættelsesforhold som ansættelsesdato, stilling og arbejdsområder Arbejdstelefon Stamoplysninger: navn, adresse, fødselsdato At spise en elefant, som implementering af person -dataforordningen, vil være lettere ved at dele måltidet med en specialist. Eksempler på persondata: CPR-nummer Køn Navn Adresse Foto Kreditkortoplysninger Fødselsdag job-id Telefonnummer Stilling IP-adresse nummerskilt Religiøs overbevisning Sundhedsoplysninger Uddannelse Karakterer Interesser Løn Og mfl. Almindelige oplysninger kan eksempelvis håndteres og opbevares, når virksomheden: Har en nødvendig grund til at bruge persondata eller skal opfylde en aftale f.eks. brug af kontonummer til udbetaling af løn.

2 Følsomme persondata Etnisk baggrund, politisk-, religiøs-, eller filosofisk overbevisning Fagforening, helbredsmæssige- og seksuelle forhold Strafbare forhold Væsentlige sociale problemer Andre private forhold, f.eks. selvmordsforsøg, personlighedstest, bortvisning fra jobbet, førtidspensionist. Følsomme oplysninger må som udgangspunkt ikke behandles uden samtykke. Dog er der følgende undtagelser: Udtrykkeligt samtykke til behandling af sådanne personoplysninger til et eller flere specifikke formål. Behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser i tilfælde, hvor den registrerede fysisk eller juridisk ikke er i stand til at give samtykke. Behandling vedrører personoplysninger, som tydeligvis er offentliggjort af den registrerede. Ændringer i Persondataforordningen Underretningspligt Ved brud på datasikkerheden skal der ske underretning til tilsynsmyndighederne inden for 72 timer og visse tilfælde til de berørte personer. Betingelser for samtykke Et samtykke skal være frivilligt, specifikt, informeret og udtrykkeligt. Kravet om frivillighed betyder bl.a. at ved salg af varer eller serviceydelser må der almindeligvis ikke stilles krav om samtykke til, at personoplysninger kan bruges til markedsføringsøjemed. Workshop i Persondata og it-sikkerhed I samarbejde med DLA Piper tilbydes specifik workshop for jeres virksomhed. Få overblik med hvilken betydning Persondataforordningen vil have, I jeres virksomhed både på det juridiske og ITsikkerhedsmæssige område. I får konkrete vejledning og skabeloner med fra Workshoppen. Skærpede dokumentationskrav Virksomheder og offentlige myndigheder skal kunne dokumentere, at de overholder forordningens regler.

3 Personers ret til at blive glemt De nugældende regler om sletning af data bliver præciseret, så det bliver lettere for personer at få slettet oplysninger. One-stop-shop For koncerner med selskaber i flere EU-lande indføres en ny onestop-shop. Privacy by design og Privacy by default Persondatabeskyttelse skal indbygges i produkter, services, forretningsprocesser osv. Styrkelse af personers rettigheder Registrerede personer skal have mere information om, hvordan deres personoplysninger behandles. Informationen skal være tilgængelig på en klar og forståelig måde. Personer har muligheder for indsigt i hvilke personoplysninger der er gemt i virksomheden. Dataportabilitet Personer skal have lettere ved, at overføre deres personoplysninger fra én serviceudbyder til en anden. Særlig beskyttelse af mindreårige Behandling af oplysninger om personer under 16 år vil for fremtiden kræver forældresamtykke. Data Protection Officer Private virksomheder og offentlige myndigheder, hvis kerneaktiviteter er behandling af persondata skal udpege en Data Protection Officer (DPO). One-stop-shop betyder, at forbrugere og organisationer kan nemmere beskytte deres rettigheder, over internationale grænser fra deres hjemegn. Privacy by: design & default Privacy by Design indebærer, at virksomheder skal beskytte personlige oplysninger, ved at indarbejde forretningsprocedurer og infrastrukturer i teknologiens designspecifikationer. Privacy by Default betyder, at virksomheder skal indføre procedurer, der som standard sikrer, at det kun er den nødvendige persondata, som bruges til behandlingen. Du kan læse mere på følgende link: privacykompasset.erhvervsstyrelsen.dk Væsentligt højere bøder Der kan for virksomheder udstedes bøder på op til 4 % af den globale årlige koncernomsætning, helt op til euro.

4 MultiHouse anbefalinger Forbered virksomheden til den nye persondataordning med fire konkrete tiltag. Få overblik over data Vi anbefaler der opbygges et datamap og den vedligeholdes ca. hver ½ år. Få analyseret og kortlagt hvilke persondata oplysninger i behandler, samt hvem har adgang til disse data. Kortlægning kan være omfattende, alt efter hvilken type virksomheder der er tale om. Skab et overblik over persondata via følgende punkter: Hvilke typer af personoplysninger indsamles Hvorfra og hvordan indsamles disse data Videregives oplysninger og til hvem Hvor og hvordan er oplysningerne gemt og sikret imod misbrug Hvorfor og hvordan oplysninger bruges, og er det stadig relevant at gemme dem Hvilke regler er fastsat om hvornår og hvordan oplysningerne bliver slettet Kortlægning af leverandører / databehandlere Fra 2018 betyder reglerne at den dataansvarlige (virksomheden) og databehandleren (drift og cloudleverandør) begge kan drages til ansvar ved sikkerhedsbrud. Derfor er det vigtigt, at få overblik hvilke leverandører der er indgået aftaler med om behandling af personoplysninger, f.eks. cloud og outsourcing leverandører eller internetbaserede værktøjer til f.eks. HR, ERP, CRM m.v. Professionel bistand tilbydes MultiHouse tilbyder konsulent bistand og erfaringsudveksling til jer, så i letter kommer i gang med processen. Vi kan bruges som sparringspartner eller tage en større del af arbejdet for jeres virksomhed. Derefter bør kontrakterne gennemgås med henblik på at identificere, om de pågældende aftaler lever op til de skærpede krav i forordningen og evt. opdatering af aftalen.

5 Få overblik over jeres dokumentation De skærpede dokumentationskrav betyder, at det bl.a. skal dokumenteres, hvorledes en række grundlæggende principper i forordningen er overholdt. Persondataforordningen stiller større krav til at virksomhedens dokumentation af forretningsprocesser, forretningsgange mv. er beskrevet. Hvad er især vigtigt at dokumentere: Udmeldinger om den information virksomheden indsamler og bearbejder, samt formålet for bearbejdningen Optegnelser af accept fra de registrerede eller forældremyndigheds indehaver Optegnelser af behandlingsaktiviteter under dit ansvar Dokumenteret proces for beskyttelse af den personlige data, såsom: Informations sikkerhedspolitik, krypterings politik og procedure osv. Beredskabsplaner Der skal udarbejdes beredskabsplaner, som dokumenterer hvordan virksomheden handler ved sikkerhedsbrist f.eks.: Er der udført IT-sikkerheden tjek og dokumenteret? Hvordan håndteres sikkerhedsbrister? Derudover skal der udarbejdes beskrivelse og skabeloner til f.eks.: anmodning om sletning, indsigtsanmodning mv. Tips til dokumentation Det skal være en komplet dokumentation Det skal være fyldestgørende Det skal være i linje med GDPR kravene Det er bedst det er bygget til din organisation Dokumentationen skal være tilgængelig til personalet: Med varierende grade af tilgængelighed Undgå duplikering igennem dokumentet: strukturer det så du kun skal opdatere et sted En standard tilgang til opsætning af dokumentet Dokumentet skal have en livscyklus og kontrolleres Brug jobtitler i stedet for navne

6 Gør IT til Løsningen Når man nu alligevel skal, indordne sig efter GDPR, kunne man så ikke overveje at optimere sin GDPR-indsats, så den kommer kunder og andre interessenter til gode, og dermed kommer forretningen til gode? MultiHouse kan tilbyde en komplet IT sikkerhedsscanning Det er forskellig for de enkelte virksomheder hvor stor indflydelse forordningen vil få, men med de skærpede krav, er det vigtigt at jeres virksomhed får arbejdet med dem. Hos MultiHouse har vi længe arbejdet målrettet på at blive compliant til GDPR. Med baggrund i vores praktisk erfaring, bistår vi med at kortlægge persondata, og hvordan i redegør herfor. Et møde med MultiHouse, giver dig et overblik over, hvordan Persondataforordningen påvirker jeres virksomhed. Med vores projektplan og køreklar analyse dokumenter, får i skabt et overblik, over hvilke opgaver der skal igangsættes netop hos jeres virksomhed. Adgang til MultiHouse GDPR ekspert MultiHouse s ekspert inden for persondataforordningen deler sin viden ud i et møde, i jeres virksomhed, samt gennemgår hvilke punkter der er relevant for netop jer. På mødet udleverer vi vores egen tilrettede skabeloner, så i kan gå i gang med GDPR arbejdet selv. Pris kr. 2500,- Ekskl. Moms Efter mødet har du mulighed for løbende at stille spørgsmål til vores GDPR ekspert Tobias Lauridsen eller købe projekttimer. Køb f.eks. Et GDPR klippekort med rabat på timeprisen, der bliver afregnet pr. påbegyndt 15 minutter. Tilkøb Efterfølgende tilbyder vi bistand til f.eks.: IT sikkerhedspolitik IT beredskabsplan Komplet IT sikkerhedstjek Skab overblik over GDPR Kortlægning og klassificering af persondata oplysninger Analyse af nuværende processer og systemer der anvendes til persondata Hvilke sikkerhedsforanstaltninger der kræves nu Vejledning i udarbejdelse af processer, procedure og instrukser baseret på ISO27002