Ejendomsforeningen Danmark Administratorkonference Status på persondataforordning

Størrelse: px

Starte visningen fra side:

Download "Ejendomsforeningen Danmark Administratorkonference Status på persondataforordning"

Agnete Ingrid Lindholm
6 år siden
Visninger:

1 Ejendomsforeningen Danmark Administratorkonference Status på persondataforordning Labora Legal Indiavej 1, 1. DK-2100 København Ø

2 Catrine Søndergaard Byrne Partner, advokat (L), CIPP/E Forretningsområder: Arbejds- og ansættelsesret Persondataret Netværk/hverv/forfatterskaber: Forfatter til Persondata i HR ved Forlaget Andersen Uddannelse: Certificeret Privacy Professionel Europe, (CIPP/E) Møderet for Landsret, 2013 Advokat, 2005 Candidata Juris, Københavns Universitet, 1999 Medlem af repræsentantskabet ved Danske Advokater Medlem af Danske Advokaters arbejdsgruppe om persondata Medlem af Danske Advokaters arbejdsgruppe om LegalTech Formand programkomitéen, konferencen Databeskyttelsesdagen Medlem af projektledergruppen af tænke-handletanken DataEthics Diverse artikler og blogs 2

It may be frail; its roof may shake; the wind may blow through it; the storms may enter, the rain

3 Hvad er persondatabeskyttelse? The poorest man may in his cottage bid defiance to all the force of the Crown. It may be frail; its roof may shake; the wind may blow through it; the storms may enter, the rain may enter, but the King of England cannot enter; all his forces dare not cross the threshold of the ruined tenement! William Pitt, Earl of Chatham, Speech on the Excise Bill,

Persondatabeskyttelse Princip: Grundrettighed i demokratiet.

Undtagelse: Begrænsning af beskyttelsen, hvis der er et

Persondatadirektivet Dataforordningen Europarådets

4 Persondatabeskyttelse Princip: Grundrettighed i demokratiet. Hovedregel: Beskyttelse af borgerens privatliv og data. Undtagelse: Begrænsning af beskyttelsen, hvis der er et lovligt hensyn og hjemmel, og det er proportionalt og nødvendigt i et demokratisk samfund. Grundloven Forvaltningsloven Persondataloven EU traktaten Persondatadirektivet Dataforordningen Europarådets Menneskerettighedskonvention Persondatakonvention FN-konvention om civile og politiske rettigheder 4

5 Princip: kontrol med egne data Jeg bestemmer over: Min krop Mine ting Mine penge Data om mig = retten til respekt for privatliv Derfor skal du: Spørge mig om lov, hvis du vil bruge mine data Fortælle, hvorfor og til hvad mine data skal bruges til Fortælle, hvem der ellers ser dem Fortælle, hvis du mister dem eller uvedkommende ser dem = retten til persondatabeskyttelse 5

6 Hvorfor er persondatabeskyttelse (bl.a.) vigtigt? Kilde: Befolkningens adfærd på nettet samlet rapport, Erhvervsstyrelsen og IDA marts

7 Indtil 25. maj 2018 Fra 25. maj 2018 General Data Protection Regulation - Persondataforordningen Persondatadirektiv Persondatalov Anden dansk lovgivning, eks. finansiel lovgivning og sundhedslovgivning Persondataforordningen gælder direkte Databeskyttelseslov Særlovgivning, hvor muligt 7

8 Persondatabeskyttelse i en digital tidsalder - fokus på vækst Konkurrenceforhold Forretningsudvikling Regelforenkling Fokus på risiko 8

9 Persondatabeskyttelse i en digital tidsalder - fokus på sanktioner

10 Kilde: Vincent Hendricks 10

11 Den danske proces Databeskyttelseskontor i Justitsministeriet Forordningens rammer for nationale særregler Analyse af konsekvenser for gældende dansk lovgivning Tilpasning af dansk lovgivning tværgående ministerielt arbejde. Tidsplan Styregruppe, projektgruppe og arbejdsgrupper Betænkning nr af 24. maj 2017 (1112 sider) Forslag til Databeskyttelseslov i høring 7. juli 2017 (høringsfrist udløb 23. august 2017) Revideret udkast september Fremsættelse oktober

12 Særlovgivning EU-GDPR Persondata beskyttelse Retshåndhævelseslov Retshåndhævelsesdirektiv Databeskyttelseslov 12

13 Grundprincipper - GDPR Databehandling Sikkerhed Databeskyttelsespolitik Adfærdskodeks Retningslinjer/Påvise Procedurer og processer Anvendte standarder, fx. ISO27001 Dokumentation Databehandleraftale DPO Databehandlingsbetingelser Lovligt grundlag: samtykke, lovkrav, kontrakt, tungere vejende interesser Overførsel til tredjeland Oplysning om behandling og videregivelse Adgang til data Berigtigelse og sletning Nej til profilering Dataportabilitet Tilgængelighed Fortrolighed Integritet Robusthed Dataansvarlighed Datarettigheder 13

14 Ansvarlighed - accountability Ansvarlighed Den dataansvarlige er ansvarlig for og skal kunne påvise, at principperne overholdes. GDPR artikel 5, 24, 28, 30 og 37 stiller krav til dataansvarlighed: Lovlig, rimelig og transparent databehandling Databeskyttelsespolitik Organisatoriske og tekniske foranstaltninger: Interne retningslinjer, procedure og processer + kontroller Adfærdskodeks og certificeringer Anvendte standarder, fx ISO27001 Databehandleraftaler Dokumentation af databehandlingen Data Protection Officer 14

15 GDPR Strategi Kontroller Risiko Ansvarlighed Organisation (DPO) Politikker og procedurer Uddannelse medarbejdere

16 Risikobilledet I forhold til EU-GDPR er fokus ikke på virksomheden, men på risikoen for datasubjektet: 16

Konsekvensanalyser Map kritiske data flows Sæt data flow

17 Hvordan Gap & risk Assessment Evaluate & prioritér Identificer gaps & risks Kontroller & implementation Konsekvensanalyser Map kritiske data flows Sæt data flow scope Mobilisér organisationen (ressourcer, kommunikation & træning) 17

18 When eating an elephant GDPR en smule ekstra ovenpå eksisterende complianceregulering GDPR der er måske behov for en hel ny opskrift 18

Mulig påvirkning af Nye eller ændrede processer, procedure og funktioner Ændringer til eller nye roller og ansvarsområder, vidensniveau, kompetencer og kultur Ændringer til

19 Mulig påvirkning af Nye eller ændrede processer, procedure og funktioner Ændringer til eller nye roller og ansvarsområder, vidensniveau, kompetencer og kultur Ændringer til eller nye teknologier, værktøjer, ITsystemer, IT infrastruktur Kontrakter, databehandleraft aler, politikker, samtyke, documentation, informationsmed delselser, etc., 19 etc.

20 Bi-gevinster (bl.a.): Proces Proces Proces 20

3 niveauer, der skaber modstand mod forandringsprocesser 1.

En emotionel reaktion mod forandringen Jeg kan ikke lide det..! Fx pga.

kvalifikationerne til at håndtere forandringen 3.

21 3 niveauer, der skaber modstand mod forandringsprocesser 1. Manglende forståelse for ideen med forandringsforløbet Jeg forstår det ikke..! Fx pga. manglende information, uklarhed om selve ideen og behovet 2. En emotionel reaktion mod forandringen Jeg kan ikke lide det..! Fx pga. tab af magt, kontrol eller status eller udsigten til ikke at have kvalifikationerne til at håndtere forandringen 3. Manglende tillid til den der udmønter forandringen Jeg kan ikke lide dig..! Fx pga. en grundlæggende uenighed om værdigrundlag, en problemfyldt personlig relation 5

22 Kotter s 8-trinsproces til at skabe større forandringer Sæt rammen for forandringen 1. Etablere en oplevelse af nødvendighed for forandringen 2. Oprette en arbejdsgruppe af centrale interessenter Bestem hvad der skal gøres 3. Udvikle /vision/mål og plan for forandringen 4.Formidle målet med forandringen 5.Skabe grundlag for handling Få det til at ske 6.Skabe og fejre opnåelse af kortsigtede succeser 7.Sikre resultater gennem opfølgning og skabe rum for yderligere forbedring Få det forankret 8. Fastholde nye arbejdsmåder i kulturen Frit oversat efter John P. Kotter I spidsen for forandringer 22

23 Regler er ikke nok vi skal skabe en privacy kultur Frit efter Isi Foigel og Margrethe Vestager 23

24 24

Labora Legal Indiavej 1, 1 2100 København Ø

25 Labora Legal Indiavej 1, København Ø info@laboralegal.com

Relaterede dokumenter

Forstå de nye krav til databehandling og lær at afkræfte myter om persondata

Forstå de nye krav til databehandling og lær at afkræfte myter om persondata Birgitte Kofod Olsen, Partner, Cand.jur., PhD, Carve Consulting Medstifter af DataEthics Vi skaber muligheder & realiserer potentialet