EU GDPR General Data Protection Regulation Person Data Beskyttelse

Transkript

1 EU GDPR General Data Protection Regulation Person Data Beskyttelse Skal din virksomhed overholde EU GDPR Hvordan håndteres Data Flow Overholder du EU GDPR Handlingsplan Implementering af EU GDPR Vedligeholdelse EU GDPR efter 25 Maj 2018

2 Skal din virksomhed overholde EU GDPR Hvordan håndteres Data Flow Overholder du EU GDPR Handlingsplan Implementering af EU GDPR Vedligeholdelse EU GDPR efter 25 Maj 2018 Er dataansvarlig eller databehandler beliggende indenfor EU s grænser Behandler virksomheden data for fysiske personer indenfor EU s grænser Indeholder behandlingen opbevaring eller bearbejdning af person relateret data Skal virksomhed have en Databeskyttelsesrådgiver (DPO) Bør der udarbejdes en konsekvensanalyse / DPIA Findes der et godkendt adfærdskodeks og certificering Findes en beskrivelse af indsamling, opbevaring, behandling og sikring af data Hvilke kategorier af data indsamles og behandles og er data at betragte som kritisk data, med øget krav til følge Overføres data til anden part (databehandler eller anden dataansvarlig) Overføres data udenfor EU og sikre lande Findes relevante samtykker Findes der beskrevet fortegnelser over databehandling og opbevaring Er der sammenhæng med data der opsamles og formålet for dette Slettes data der ikke længere kan betragtes som relevant Kan personen få oplyst, slettet eller overført personlig data Sikres data med nødvendige processer, tekniske løsninger og logs Findes Sikkerhedspolitik og er medarbejdere bekendt med denne Udvikles nye systemer med sikkerhed for øje Findes der eventuelt adfærdskodeks / certificering og er disse godkendt Findes rutiner for håndtering og rapportering i tilfælde af data brist Er der emner der bør behandles i henhold til GAP (konsekvensanalyse) og Fortegnelser Skal der udarbejdes nye processer og implementeres eventuelle tekniske løsninger Er øverste ledelse bekendt med status Skal DPO ansættes Implementer eventuelt defineret aktiviteter Sikre Databehandler aftale hvis 3 rd part har adgang til data Sikre nødvendige godkendelser, bla overførelse til 3 rd land Implementer nødvendig organisation for håndtering og rapportering af hændelser Ansættelse af DPO Implementer eventuelle tekniske løsninger (pseudonymisering / kryptering / adgangskontrol/ sletning af data / portabilitet / etc) Vedligeholdelse af Sikkerpolitikker og organisatorisk viden Løbende rapportering til firmaets ledelse Sikkerhedsgodkendelse af nye tekniske platform, leverandører og samarbejdspartners (databehandlere) Konsekvensanalyse - DPIA

3 EU GDPR General Data Protection Regulation Person Data Beskyttelse Geografisk Omfang Artefakt Databeskyttelsesrådgiver (DPO) Omfang Security By Design/Default Vedligeholdelse af overholdelse Checkliste Vedligeholdelse og Udvikling af Fremtidige Løsninger Overblik Kend dine data (Fortegnelser) Konsekvensanalyse (DPIA) Adfærdskodeks Certificeringer Pligt til Rapportering Tilsyn Rapportering til Forurettede Ledelsesrapportering Rapportering Indsamling, Opbevaring, Behandling og Overførelse af Data Databehandler & Dataansvarlig Samtykke Data Politikker & Uddannelse Overførelse til 3 rd Land Den Registreredes Rettigheder Retten til Indsigt, Indsigelse, At Blive Glemt og Portabilitet

4 OMFANG Placering af Dataansvarlig GDPR omhandler begrebet fysisk person og tilhørende data, hvilket dækker individer og enkeltmandsvirksomhedere Alle virksomheder der er beliggende indenfor EU s grænser og/eller som behandler eller opbevarer person data, for EU borgere, enten som dataansvarlig eller databehandler er underlagt GDPR Personhenførbare data kan være data som CPR, Navn, IP, Indkomst og anden information der helt eller delvist kan identificere personen Aktivitet kan være bearbejdning eller opbevaring af indsamlet data til defineret og/eller systematisk formål Hvis virksomheden er underlagt GDPR, vil visse virksomheden være forpligtiget til at ansætte en Databaskyttelsesrådgiver (DPO) Databeskyttelsesrådgiver (DPO) Personens Placering Aktivitet

5 OMFANG (ER VIRKSOMHEDEN UNDERLAGT EU GDPR) Har Dataansvarlig eller Databehandler fysisk placering indenfor EU og/eller behandles eller gemmes personhenførbare(1) oplysninger for fysiske personer der opholder sig indenfor EU Der er ikke krav til efterlevelse af EU GDPR I visse tilfælde vil der være et krav til at virksomheden har en udpeget Databeskyttelsesrådgiver (DPO) Virksomheden er underlagt EU GDPR Behandles særlige følsomme oplysninger(2)(3) Er behandling af personoplysning en Kerneaktivitet(4) Behandles personoplysning i stort omfang(5) Består behandlingsaktiviteten i systematisk overvågning af personer eller behandling vedrørende følsomme oplysninger eller oplysning om strafbare forhold Virksomheden skal have en Databeskyttelsesrådgiver / DPO Der er ikke krav til Databeskyttelsesrådgiver / DPO, dog skal virksomheden efterleve de krav der er omfattet i forordningen, bla. Sikring af data og rapportering 1.Kan være information som navn, adresse, IP, CPR, lønoplysning eller data der kan sættes i forbindelse med en given person eller en enkeltmandsvirksomhed 2.Race, etnisk oprindelse, religiøs el. filosofisk overbevisning, fagforeningsmæssige tilhørsforhold, genetisk data, biometriske data, mhp. Entydig identifikation, helbredsoplysninger, seksuelle forhold eller orientering, straffedomme, lovovertrædelse 3.Generelt tilrådes det altid at gennemføre en konsekvensanalyse, og dette er et krav hvis der er en høj risiko, samt at virksomheden a. foretager systematisk og omfattende behandling, b. omfattende behandling af følsomme data, c. omfattende overvågning af offentlige områder 4.Eks. Cloud-computing, hosting af hjemmesider, privathospitaler, forsikring, marketing undersøgelser, søgemaskiner, tele, applikation der bygger på personoplysninger, stillingsbesættende virksomheder 5.Eks., en stor mængde personoplysninger, oplysninger om et stort antal personer, permanent behandling, stor geografisk udstrækning, virksomheder som stor lægepraksis, privathospitaler, tele/internet udbydere, marketing firmaer der udbyder marketingundersøgelser

6 DATABESKYTTELSESRÅDGIVER (DPO) Virksomheden skal have en Databeskyttelsesrådgiver (DPO) (1) Virksomheden ansætter en kvalificeret DPO eller en person/organisation der varetager denne rolle på vegne af virksomheden(1)(2) Er DPO linjemæssigt ansvarlig for personoplysning, e.g. IT eller HR chef Rapporterer DPO fagligt til den øverste ledelse(4) En neutral og kvalificeret person skal udvælges da en IT eller HR chef ikke kan varetage rollen, uden at der kan opstå interesse konflikt Virksomheden lever ikke op til de defineret krav og bør derfor tilrette organisation, handling og ansvar i henhold Rådgiver kan være ansat i virksomheden eller en person/organisation som varetager rollen på vegne af virksomheden Rådgiver kan IKKE være den øverste IT eller HR ansvarlige Rådgiver skal fagligt rapportere til den øverste ledelse Ansvaret påhviler den dataansvarlige og rådgiver tilsikrer overholdelse af regulativet En DPO er underlagt ansættelsesbeskyttelse i rollen Rådgiveren skal have de nødvendige kompetencer for at kunne udføre rollen Rådgiver skal inddrages i fremtidige tekniske løsninger med henblik på at sikre disse og involveret leverandører, bla ved implementering af ny IT Rådgiver skal tilsikre at virksomheden har de nødvendige sikkerhedspolitikker og at medarbejderne er udannet i disse Rådgiver skal tilsikre løbende rapportering til ledelse samt tilsyn og den fysiske person, i tilfælde af brud Yder DPO rådgivning til udarbejdelse af Konsekvensanalyse / DPIA, udarbejdelse af data og sikkerhedspolitikker samt uddannelse af medarbejdere Involveres DPO i spørgsmål vedrørende personoplysning og sikring af denne samt compliance Involveres DPO i beslutning omkring implementering af Processer/IT løsninger (inkl beskyttelse via design og standardindstillinger) der er dækket af forordningen samt i dialog til IT leverandører Rapporterer DPO sikkerhedshændelser til øverste ledelse og deltager ledelsen aktivt i at tilsikre sikkerhed Sikrer DPO at rapportering om hændelser sker til den fysiske person, samt til datatilsynet ved sikkerhedshændelser(3) 1.Det kan tilrådet at virksomheder udpeger en DPO lignende rolle for at sikre den nødvendige fokus og efterlevelse af forordningen, selv hvis der ikke er krav til ansættelse af en DPO 2.Virksomheden har mulighed for at vælge en DPO for hele koncernen, samt udnytte konsulenter hvilket dog kræver en tydelig beskrivelse af rolle samt at DPO kan tilsikre overholdelse af forordningen og rollen som DPO 3.DPO har pligt til at samarbejde med tilsynet, samt sikre at virksomheden er opdateret omkring eventuelle ændringer og opdateringer til regulativet 4.DPO skal fagligt referere til den øverste ledelse og kan ikke direkte afskediges på baggrund af beslutninger i roller som DPO

7 OVERBLIK Konsekvens analyse / DPIA For at kunne vurdere risiko for eventuelle brud tilrådes det generelt at der altid forefindes nødvendig dokumentation omkring data, adgangskontrol, behandling, opbevaring, deling, risikovurdering og lignende Virksomheden bør have en klar vurdering af datakategorier, hvordan disse indsamlet, behandles og videreformidles Vi visse tilfælde er en risikovurdering (Konsekvensanalyse/DPIA) et krav Fortegnelser bør altid indeholde data som kilde, slette politik og bør være grundlag for dokumentation i forhold til tilsyn Adfærdskodeks kan benyttes til samlet beskrivelse, indenfor en given koncern men også på vegne af medlemmer i eks en brancheforening En forhåndscertificering kan opnås for at afhjælpe for sikre en smidig håndtering Certificering Fortegnelse Adfærdskodeks

8 KONSEKVENSANALYSE / DATA PROTECTION IMPACTS ACCESSMENT (DPIA) Behandles særlige følsomme oplysninger Er der særlig risiko for at data kan blive lækket Gennemfør en Konsekvensanalyse / DPIA (1)(2) af den Dataansvarlige Virksomheden lever ikke op til de defineret krav og bør derfor tilrette organisation, handling og ansvar i henhold En Konsekvensanalyse (DPIA) skal gennemføres hvis der er særlig risiko for at den fysiske persons rettigheder og frihedsrettigheder kan komprimenteres eller der arbejdes med særlig følsomme oplysninger Formålet med DPIA er at tilsikre at virksomheden har det nødvendige overblik, kan dokumentere dette samt at der udarbejdes nye handlinger hvor nødvendigt En konsekvensanalyse kan være nødvendig ved udvikling af nye projekter, hvor disse ændrer betingelser og er derfor en løbende aktivitet I virksomheden med en DPO ansat, vil DPO indgå i arbejdet omkring en konsekvensanalyse Gennemføres DPIA forud for behandlingen Rådgiver DPO (hvis denne er udpeget) den dataansvarlige omkring udførelse Hvis behandling hovedsageligt gøres af databehandler og andre relevante funktioner, indgår disse i analyse arbejdet Indeholder DPIA en systematisk beskrivelse af de planlagte aktiviteter og formål med behandling Indeholder DPIA en vurdering af risiciene for den registreredes rettigheder og frihedsrettigheder Gennemføres løbende opdatering og justering af DPIA Hvis risici er særlige høje, informeres datatilsynet En beskrivelse af foranstaltninger for at imødegå risici og påvise overholdelse af forordningen 1.En DPIA bør indeholde information der systematisk beskriver planlagte aktiviteter, formål samt tilsikre at behandling er nødvendige og står i rimelig forhold samt at en vurdering af risici, samt oplæg til metoder for at afhjælpe eventuelle findings 2.En DPIA kan omhandle en eller flere behandlingsaktiviteter der sandsynligvis udgør en høj risiko, dette kan blandt andet være systematisk og omfattende behandling af person oplysning, behandling af særlige data, behandling af straffedomme og lovovertrædelse samt systematisk overvågning af offentligt rum

9 Konsekvensanalyse / DPIA (Data Protection Impact Assesment) Input: Definer kilden til data / aktivitet Behandling/Aktivitet: Beskrive den aktivitet der foregår, eventuelle risici og niveau, hvordan data beskyttes samt hvem der har adgang Output: Eventuelle krav til ændret proces, IT løsning eller anden aktivitet der måtte være nødvendig, samt hvordan data indgår i en efterfølgende proces Konsekvensanalyse / DPIA Firma XYZ Projekt ZYX - Udfyldt af: Dataansvarlig: DPO: Dato: Input Data Kilde: Behandling / Aktivitet og formål med behandling: Samtykke Indhentes: (/): Behandling / Aktivitet Indeholder behandling henførbare personoplysning og hvilke: Kort beskrivelse af hvordan data opbevares og eventuel teknisk platform: Kort beskrivelse af hvordan data beskyttes: Kort beskrivelse af adgang og adgangskontrol: (Hvem/Hvordan) Vurder risiko baseret at data kan blive (mis)brugt til andet formål end indsamlet: (Lav/Middel/Høj) Beskrive tiltag for yderligere sikring af data, hvis nødvendigt: Beskrive tiltag for yderligere sikring af data, hvis nødvendigt: Output Er personoplysning af særlig karakter: (/) Er data påkrævet for at udføre behandling: (/) Kan data slettes efter udført behandling: (/) Data indgår i efterfølgende behandling: Dato for sletning: Skal tilsynet kontaktes: (/nej)

10 FORTEGNELSE Er virksomheden over 250 personer Vil behandling sandsynligt medføre en risiko for den registreredes rettigheder eller frihedsrettigheder Behandles data systematisk og regelmæssigt Virksomheden lever ikke op til de defineret krav og bør derfor tilrette organisation, handling og ansvar i henhold Findes en beskrivelse af indsamling, opbevaring, behandling og sikring af data Findes der beskrevet fortegnelser over databehandling og opbevaring Hvilke kategorier af data indsamles og behandles og er data at betragte som kritisk data, med øget krav til følge Overføres data til anden part (databehandler eller anden dataansvarlig) Overføres data udenfor EU og sikre lande Findes relevante samtykker Omfatter behandling følsomme personoplysninger eller oplysninger om straffedomme eller lovovertrædelser Der er ingen krav til dokumenteret fortegnelse Dataansvarlig og eventuel databehandler udarbejder fortegnelse over behandlingsaktiviteter(1)(2) 1.Fortegnelse skal udarbejder for virksomheder der beskæftiger mere end 250 medarbejdere, udfører regelmæssig behandling, der er en sandsynlig risiko for den registrerede (DPIA) og hvis data omfatter følsomme personoplysninger, straffedomme eller oplysninger om lovovertrædelse 2.Skal som minimum indeholde:, Navn og kontaktoplysninger, formål, kategori af registrerede personoplysninger, overførelse til 3 rd lande, slettefrister og hvis muligt tekniske og organisatoriske foranstaltninger

11 Fortegnelse 1/3 Område Beskrivelse Eksempel Virksomhedens Beskrivelse Dataansvalig Myndighedens/ virksomhedens navn, CVR-nr. og kontaktoplysninger (adresse, hjemmeside, telefonnummer og e- mail) Den fælles dataansvarlige samt dennes kontaktoplysninger (adresse, hjemmeside, telefonnummer og ) Den dataansvarliges Den dataansvarliges repræsentant samt dennes kontaktoplysninger (adresse, hjemmeside, telefonnummer og e- mail) (Offentlige myndigheder er ikke omfattet, jf. artikel 27, stk. 2, litra b) Københavns Kommune Økonomiforvaltningen Rådhuset 1599 København V CVR: Myndighedens/ virksomhedens databeskyttelsesrådgiver samt dennes kontaktoplysninger (adresse, hjemmeside, telefonnummer og ) DPO, Anders Andersen Kongestien XXX, 1111 Kongsted dpo@andersandersen.dk Formål (-ene) Behandlingens eller behandlingernes formål (et samlet, logisk sammenhængende formål med en behandling eller en række af behandlinger, som hermed angives som ét formål ud af alle samlede formål hos den dataansvarlige) Personaleadministration Kategorierne af registrerede og kategorierne af personoplysningerne Kategori af registrerede personer (eksempelvis borger/kunder, partsrepræsentanter nuværende eller tidligere ansatte, andre virksomheder, andre myndigheder mv.) Der behandles oplysninger om følgende kategorier af registrerede personer: a) Ansøgere b) Ansatte c) Tidligere ansatte d) Pårørende e) Borger der henvender sig til Københavns Kommune f) Politikere

12 Fortegnelse 2/3 Område Beskrivelse Eksempel Virksomhedens Beskrivelse Modtagerne af personoplysningerne Tredjelande og internationale organisationer Oplysninger, som behandles om de registrerede personer (afkryds og beskriv de typer af oplysninger, som er omfattet af behandlingsaktiviteterne) Kategorier af modtagere som oplysninger er eller vil blive videregivet til herunder modtagere i tredjelande og internationale organisationer (eksempelvis andre myndigheder, virksomheder, borger/kunder mv.) Oplysninger om overførelse af personoplysninger til tredjelande eller internationale organisationer (eksempelvis databehandleres placering i tredjelande, databehandlers brug af cloudløsninger placeret i tredjelande) Oplysninger, som indgår i den specifikke behandling. Beskriv: Identifikationsoplysninger Oplysninger vedrørende ansættelsesforholdet til brug for administration herunder stilling og tjenestested, lønforhold, oplysninger af relevans for lønindeholdelse, personalepapirer, uddannelse og sygefravær. Race eller etnisk oprindelse Politisk, religiøs eller filosofisk overbevisning Fagforeningsmæssigt tilhørsforhold Helbredsoplysninger herunder genetisk data Biometrisk data med henblik på identifikation Seksuelle forhold eller seksuel orientering Strafbare forhold 1. Offentlige myndigheder (så vidt muligt myndighedens navn, f.eks. SKAT) 2. Banker 3. Pensionskasser (Angivelse af virksomhed/ samarbejdspartner, hvis denne er placeret i tredjeland)

13 Fortegnelse 3/3 Område Beskrivelse Eksempel Virksomhedens Beskrivelse Sletning Tekniske og organisatoriske sikkerhedsforanstalt ninger Tidspunkt for sletning af oplysninger (de forventede tidsfrister for sletning af de forskellige kategorier af oplysninger) Generel beskrivelse af tekniske og organisatoriske sikkerhedsforanstaltninger (hvis muligt skal der gives en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, jf. artikel 32, stk. 1) Oplysninger om tidligere ansatte slettes senest X år efter afslutningen af den journalperiode, hvor personalesagen er afsluttet. Oplysninger om ansøgere slettes senest X måneder efter afslutningen af den journalperiode, hvor sagen er afsluttet. Oplysninger overføres løbende til Rigsarkivet efter arkivlovens regler og Statens Arkivers bestemmelser herom Behandling af personoplysninger i forbindelse med HR-arbejde sker i overensstemmelse med interne retningslinjer, som bl.a. fastsætter rammerne for autorisation- og adgangsstyring og logning. Personoplysninger opbevares i pseudonymiseret og i kryptret form og transmitteres krypteret. Fysisk materiale opbevares aflåst. 19/20 Vejledning om fortegnelse Der anvendes følgende sikkerhedsstandarder: ISOXXXXX.

14 ADFÆRDSKODEKS Er det en defineret sammenslutning eller et organ som repræsenterer ligestillede (eks branche specifik) Dækker kodeks et eller flere punkter der kræver overholdelse i forordningen(1) Adfærdskodeks og certificering er tiltænkt som en hjælp for mindre og mellemstore virksomheder, men kan også benyttes af større virksomheder Et adfærdskodeks beskriver retningslinjer for overholdelse af forordningen Adfærdskodeks vil typisk være udarbejdet af brancheorganisationer og sammenslutninger Et adfærdskodeks kan bla beskrive overførelse til 3 rd land Et adfærdskodeks fritager ikke den dataansvarlige fra at have det endelige ansvar, men skal ses som en beskrevet proces for håndtering Indeholder kodeks klar beskrivelse af sektorer og organisationer Er kodeks for en klart konkret og defineret behandling Er kodeks sendt til revision hos relevante interessenter, eks Forbrugerrådet Fremgår der klare retningslinjer for overholdelse af kodeks Er kodeks og kontrol organ godkendt af datatilsynet Det kan ikke betragtes som en samlet koncern, en sammenslutning af ligestillede og der kan derfor ikke udfærdiges et adfærdskodeks på vegne af interessenter, eller der leves ikke op til de krav der stilles og der bør eks indføres egenkontrol etc. Udføres løbende kontrol 1.Dette kan blandt andet være overførelse af data til 3 rd land, håndtering af HR information eller anden personfølsom data samt behandlingssikkerhed i Cloud-løsninger Indeholder kodeks mekanismer for kontrol af overholdelse Findes der en beskrevet proces og foretages løbende opdateringer

15 Proces, udgivet af datatilsynet ADFÆRDSKODEKS

16 CERTIFICERING Omhandler certificering en specifik aktivitet(1) En certificering er en forhåndsgodkendelse af en given behandlingsaktivitet og kan være hensigtsmæssig for visse typer af databehandler Foretages certificering af et akkrediteret certificeringsorgan eller Datatilsynet Er certificering publiceret af Datatilsynet Virksomheden lever ikke op til de defineret krav og bør derfor tilrette organisation, handling og ansvar i henhold 1.Dette kan blandt andet være en defineret måde at bruge pseudonymisering, brug af sikkerhed gennem design og brug af standardindstillinger og overførelse til 3 rd lande

17 INDSAMLING, OPBEVARING, BEHANDLING OG OVERFØRELSE AF DATA Overførelse til 3 rd Land Databehandler / Dataansvarlig Data Politikker & Uddannelse Der må alene indsamles, opbevares og behandles data der er relevant og indsamlet i henhold til samtykke. Data der ikke længere er relevant kræver sletning Data der ikke er indsamlet med personens samtykke er ikke lovligt indsamlet Samtykke skal holdes løbende opdateret og alene omfatte relevant data. Data indsamlet under et given samtykke, må ikke benyttes til formål ikke dækkes af det afgivne samtykke Dataansvarlig skal tilsikre at relevante og opdateret samtykker er tilgængelig og kan fremvises ved behov I tilfælde af at flere parter er involveret, skal disse sikre klar og godkendt beskrivelse mellem dataansvarlig og databehandler. Dataansvarlig vil være den ultimative ansvarlige og skal sikre at eventuelle databehandler med tilsvarende under part, lever op til de gældende regler Dataansvarlig skal tilsikre at der findes nødvendige sikkerhedspolitikker og at medarbejdere er uddannet og bekendt med disse Dataansvarlig skal tilsikre at der ved overførelse til 3 rd lande, udenfor EU, er de nødvendige godkendelser, og at man lever op til principperne for sikker overførelse samt at data ikke misbruges af 3 rd land og dennes myndighed Samtykke

18 DATABEHANDLER AFTALE Overføres data til anden part (databehandler eller dataansvarlig) Sker overførelsen til en part udenfor EU Undersøg krav til overførelse i 3 rd land Dansk Erhverv, har udarbejdet en standard Databehandler aftale som kan hentes Dataansvarlig er ansvarlig for at tilsikre at Databehandler aftale findes og eventuel godkendelse af at Databehandler bruger Underdatabehandler Der kan være et fællesansvar mellem 2 Dataansvarlige Dataansvarlig har ansvaret for rapportering til myndigheder og den fysiske person ved brud Videregives information til behandling på vegne af og under dit ansvar Er det afklaret hvem som har dataansvarlig vs. databehandler rollen(1)(2)(3) Videregives data til anden part som herefter vil være selvstændig Dataansvarlig og behandle under eget ansvar(5) Findes Databehandler aftale mellem dataansvarlig og databehandler Benytter du som Databehandler eventuelle Underdatabehandlere, har du accept fra den Dataansvarlige og sikret aftalen mellem dig og Underdatabehandler(4) Databehandler skal sikre efterlevelse af de krav der stilles fra Dataansvarlig, samt support ved eventuelle brud Virksomheden lever ikke op til de defineret krav og bør derfor tilrette organisation, handling og ansvar i henhold 1.Der skelnes mellem parter hvor der udføres arbejde, eks håndværk, og hvor behandling af data indgår. 2.Følgende definerer Dataansvarlig og Databehandler. Efter databeskyttelsesforordningens artikel 4, nr. 7 er en dataansvarlig: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.. Efter databeskyttelsesforordningens artikel 4, nr. 8, er en databehandler: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne. 3.Dataansvarlig er overordnet ansvarlig for behandling og at denne sker i henhold til forordning samt indrapportering af eventuelle brud. Dataansvarlig kan pålægge databehandler krav og behandling og værktøjer 4.Databehandler har ansvaret for at tilsikre godkendelse af at der indgår Underdatabehandler, aftale med denne og at Underdatabehandler efterleve GDPR krav 5.Du skal som videregiver af information sikre at der findes hjemmel for dette, samt at modtager har hjemmel for modtagelse og behandling af videregivet data

19 SAMTYKKE Indsamles og opbevares person oplysning omfattet af EU GDPR Indhentes, eller findes, der samtykke fra datagiver/person (mundtligt, skriftligt, digitalt) I har taget stilling til, at samtykke er den mest hensigtsmæssige hjemmel til at behandle data i den givne situation Samtykkeanmodningen er tydelig og adskilt fra øvrig tekst som f.eks. salgs- og leveringsbetingelsesvilkår I indhenter altid samtykke via et aktivt tilvalg fra den samtykkendes side Indeholder samtykke beskrivelse af data, formål og periode(1) Modsvarer opbevaret/behandlet data indhold i samtykke(2) Opbevares samtykke for senere dokumentation og kan dataansvarlig dokumentere godkendt samtykke Findes rutiner for indsigt, rettelse, sletning og portabilitet I indhenter aldrig samtykke via forudafkrydsede samtykkefelter eller på anden vis, der baserer sig på den samtykkendes passivitet Samtykket er formuleret i et klart og enkelt sprog, som er letforståeligt for en person i målgruppen Samtykket specificerer formålet med den påtænkte behandling af data Hvis I ønsker samtykke til flere forskellige formål, spørger I om separat samtykke for hvert formål Er samtykke givet frivilligt og kan personen frit vælge/fravælge samtykke Findes rutiner for at sikre, indsigt, og/eller tilbagetrækning af samtykke Navnet på den/de dataansvarlige fremgår af samtykketeksten I oplyser om muligheden for at trække samtykket tilbage Der er ikke negative konsekvenser forbundet med ikke at give samtykke Er personen <13 eller hvad der er gældende i det enkelte land under hvilken data behandles Gælder samtykke et ansættelsesforhold Specielle regler gælder hvor visse dele af samtykke ses som naturlige i et ansættelsesforhold, men at den registrerede stadig har ret til indsigelse ved udstilling af personlige information Er samtykke skrevet så det kan forstås samt hvis nødvendigt at den myndige har givet samtykke Virksomheden lever ikke op til de defineret krav og bør derfor tilrette organisation, handling og ansvar i henhold Samtykke er ikke en betingelse for levering af en vare/ydelse Hvis I udbyder online tjenester direkte rettet mod børn under 13 år, anvender I kun samtykke i det omfang, det er muligt at tjekke barnets alder, og I indhenter forældresamtykke, hvis barnet er under 13 år. I kan dokumentere, hvem der har givet samtykke, hvornår og hvordan samtykket blev givet, hvad den enkelte har samtykket til, og at samtykket reelt er afgivet frivilligt o I følger regelmæssigt op på, at samtykket stadig er aktuelt og korrekt, og at formålet med behandlingen eller selve behandlingen ikke har ændret sig. 1.Skal indeholde beskrivelse af den dataansvarliges identitet, formålet med den påtænkte behandling, hvilke oplysninger der behandles og hvilken behandling der findes sted 2.Virksomheden bør sikre at der ikke opbevares data som ikke længere er relevant, eller gældende i henhold til sidste Samtykke. Data der ikke er dækket af et samtykke bør slettes, eller samtykke bør indhentes.

20 OVERFØRELSE TIL 3 RD LAND Findes der lovmæssige krav om overførelse til 3 rd land(1) Kræver behandling eller opbevaring overførelse til 3 rd land Data kan overføres uden yderligere godkendelse Ved overførelse til lande udenfor EU, skal den dataansvarlige sikre at det enkelte land efterlever en række standard krav om fortrolighed Visse lande er udpeget som sikre lande, til hvilken data kan overføres i stil med EU lande Ved overførelse til ikke sikre lande skal der indhentes godkendelse og de nødvendige aftaler være på plads Er der adgang til data fra 3 rd land (offentligt eller kommercielt) Overholdes de 4 EU Garantier ALTID(2) Er 3 rd land på listen over Sikre lande og dækket under tilstrækkelighedsafgørelse Findes godkendte retslig bindende instrument eks mellem myndigheder Findes der garantier fra modtager i 3 land, eks defineret i kontrakt Findes godkendte bindende virksomhedsregler indenfor koncern eller gruppe af foretagender(4)(5). Kan også være adfærdskodeks og certificering Virksomheden lever ikke op til de defineret krav og bør derfor tilrette organisation, handling og ansvar i henhold Er overførelse nødvendig af hensyn til opfyldelse af kontrakt eller af vigtige samfundsinteresser(6), inkl retslige anden nødvendig data for at beskytte den registrerede Har den registrerede givet samtykke til overførelse Findes der en godkendt ad-hoc kontrakt Findes standardbestemmelse mellem dataansvarlig og dataansvarlig/behandler i 3 rd land og er der indhentet godkendelse til brug af denne Kan den dataansvarlige IKKE sikre de 4 grundprincipper for overførelse må data ikke overføres 1.Ved 3 rd land henvises til lande udenfor EU, samt organisationer som eks. WHO, FN etc. 2.De 4 EU garantier er 1. Myndigheder i tredjelandes adgang til og brug af personoplysninger hidrørende fra EU skal ske på grundlag af klare, præcise og tilgængelige regler. 2. Myndigheder i tredjelandes adgang til og brug af personoplysninger hidrørende fra EU skal være nødvendig og proportional (der skal være balance mellem formålet (national sikkerhed) og indgrebet i de registreredes ret til beskyttelse af deres privatliv. 3. Der skal være en uafhængig og effektiv tilsynsmyndighed i tredjelandet. 4. Der skal være tilgængelige og effektive retsmidler for de registrerede i tredjelandet 3. Sikre lande (Februar 2018), Andorra Argentina Færøerne Guernsey Isle of Man Israel Jersey New Zealand Schweiz Uruguay. Sikre Områder Australien Overførsel af oplysninger om flypassagerer Canada Modtagere underlagt den canadiske Personal Information Protection and Electronic Documents Act (PIPED ACT)) USA Overførsel af oplysninger om flypassagerer, og overførsel til organisationer/virksomheder, der har tilsluttet sig EU-U.S. Privacy 4.Kan være mellem to af virksomhedens lande, eller to parter der har indgået godkendt kontrakt 5.Skal som minimum indeholde, reglernes bindende virkning, efterlevelse, samarbejdsforpligtigelser med tilsynsmyndigheder, beskrivelse af behandling og data flows, mekanisme til rapportering af ændringer, databeskyttelse 6. Kan være vidergivelse af navn i forbindelse med en rejse, folkesundhed eller juridiske informationer for at sikre den registrerede

21 OVERFØRELSE TIL 3 RD LAND Ved overførelse til lande udenfor EU, skal den dataansvarlige sikre at det enkelte land efterlever en række standard krav om fortrolighed Visse lande er udpeget som sikre lande, til hvilken data kan overføres i stil med EU lande Ved overførelse til ikke sikre lande skal der indhentes godkendelse og de nødvendige aftaler være på plads Kan den dataansvarlige IKKE sikre de 4 grundprincipper for overførelse må data ikke overføres

22 DEN REGISTREREDES RETTIGHEDER Retten til Indsigt Den registrerede har ret til indsigt over den data der opbevares og behandles, mulighed for indsigelse og rettelse af data, mulighed for sletning samt mulighed for at få data overført til anden part Muligheden for at få slettet data inkluderer også at virksomheden skal tilsikre at backup data ikke genetablerer slettet data Virksomheden skal stille tekniske muligheder til rådighed for overførelse af den registreredes data til anden logisk part Retten til Overførelse (Portabilitet) Retten til Indsigelse Retten til Sletning (Right to be Forgotten)

23 DEN REGISTREREDES RETTIGHEDER Kan en person få udleveret en let læselig dokumentation over personens data (indsigt), relevansen for denne samt at der findes nødvendigt samtykke Findes mulighed for at personen kan gøre indsigelse overfor opbevaret/behandlet data Virksomheden skal kunne udlevere kopi af data gemt og behandles for den registrerede, hvilket kan være online eller via udskrift Den registrerede har ret til indsigelse og justering af opbevaret og behandlet data Virksomheden skal kunne dokumentere sammenhæng med afgivet samtykke og den data der opbevares og behandles Den registrerede har mulighed ved tilbagetrækning af samtykke af få slettet eventuel data, med mindre dette er underlagt anden lovgivning Findes proces og mulighed for korrigering af data Findes mulighed for at personen kan tilbagetrække samtykke og få slettet opbevaret data(1) Indeholder sletning også sletning af backup, eller eventuel anden teknisk løsning som pseudonymisering eller fritagelse fra restore Den registrerede har ret til overførelse af data til anden dataansvarlig, og virksomheden forpligtigelse til at have nødvendige og realistiske værktøjer for dette Eventuel sletning af data, kræver også sletning af tilsvarende backups, eller andre løsninger der kan tilsikre at data ikke reetableres Findes mulighed og proces for at personen kan få overført data til anden databehandler Virksomheden lever ikke op til de defineret krav og bør derfor tilrette organisation, handling og ansvar i henhold 1.Retten til at blive glemt kan i visse tilfælde tilsidesættes, eks SKAT og opbevaring der er underlagt anden lovgivning

24 RAPPORTERING Ledelsesinformation Den dataansvarlige har pligt til løbende at informere ledelsen omkring eventuelle brud og status på datasikkerheden Ved brud der kan medføre risici for den registrerede har den dataansvarlig pligt til at informere tilsyn såvel som den registrerede Eventuelle databehandler har pligt til at underrette dataansvarlige i tilfælde af kendte brud, uden yderligere forsinkelse Den dataansvarlige har pligt til at føre log over eventuelle brud samt eventuelle årsager og løsninger Log af databrud Rapportering til tilsyn Rapportering til den registrerede

25 RAPPORTERING Er virksomheden bekendt med brud på datasikkerheden Er der sat aktiviteter i gang for at mitigere yderligere brud Vurderer virksomheden at brud kan betyde en sandsynlig risiko for personens rettigheder(1)(2) Indebærer brud for registrerede i flere EU lande Er Databehandler bekendt med et eventuelt brud Rettidig rapportering til Dataansvarlig gøres Rapportering er IKKE påkrævet Rapportering til Datatilsynet(3) Underretning og løbende rapportering til firmaets øverste ledelse Det vil altid være den dataansvarlige der har ansvaret for nødvendig rapportering Inden rapportering, bør virksomhed sikre at eventuelle brud er afhjulpet for derved at forhindre yderligere tab af data Både dataansvarlig og databehandler har pligt til at sikre nødvendig rapportering ved brud, og det er den dataansvarlige som har pligten i forhold til tilsyn og den registrerede Rapportering skal ske uden unødig forsinkelse og om muligt senest 72 timer efter at brud er bekendt Den fysiske person skal informeres hvis virksomheden vurderer en sandsynlig risiko for dennes rettigheder Brud skal altid registreres og dokumenteres Hvis brud opstår i andet EU land, skal rapportering ske i dette Der kan være sektor specifikke krav til yderligere rapportering Den dataansvarlige rapportere til tilsynet i det land hvor virksomhedens hovedvirksomhed ligger eller der træffes alle beslutninger om behandling Underretning til den fysiske person(4)(5) Virksomheden sikrer nødvendig dokumentation af brud(6) Virksomheden lever ikke op til de defineret krav og bør derfor tilrette organisation, handling og ansvar i henhold 1.En risiko for fysiske personers rettigheder og frihedsrettigheder omfatter bl.a. diskrimination, identitetstyveri eller -svindel, økonomisk tab, skade på omdømme, tab af fortrolighed af data underlagt tavshedspligt eller enhver anden væsentlig økonomisk eller social ulempe for den registrerede. 2.Der bør tages højde for mængden af data, datafølsomhed samt hvornår angrebet er sket i forhold til identificeret i beslutningen 3.Skal indeholde, beskrive karakteren eventuelle kategorier om omfang, kontakt data i virksomheden, sandsynlige konsekvenser, eventuelle foranstaltninger der er indført 4.Skal indeholde virksomhedens kontakt information, sandsynlige konsekvenser og der bør tages højde for mængden af data, datafølsomhed samt foranstaltninger truffet eller foreslået for at undgå yderligere brud og risiko 5.Information kan sendes via SMS, , brev eller lignende 6.Dato og tidspunkt, hvad der er sket, årsag til brud, typer af person oplysning, konsekvenser, afhjælpende foranstaltninger, om der er sket anmelde til tilsynet eller ej

26 VEDLIGEHOLDELSE OG UDVIKLING AF FREMTIDIGE LØSNINGER Dokumentation Implementering af EU GDPR er et langsigtet mål om mere relevant sikkerhed gennem større ansvar for de dataansvarlige og databehandler Efter implementeringen 25 Maj 2018 vil det være et krav at virksomheder fortsat sikrer dokumentation, samtykker og ikke mindst at tekniske løsninger udvikles og implementeres med Privacy by Design og Default for øje De virksomheder som har en databeskyttelsesrådgiver (DPO) bør sikre involvering af denne og de resterende at der udpeges ansvarlige for opdatering af firmaets dokumentation, politikker, uddannelse og tekniske platform Den dataansvarlige vil ligeledes løbende skulle informere firmaets ledelse, samt indgå i rapportering i tilfælde af brud Det må formodes at de fleste virksomheder kræver implementering af yderligere tiltag, tekniske, manuelle samt organisatoriske, og en handlingsplan Handlingsplan Indførelse af ny teknologi Checkliste

27 VEDLIGEHOLDELSE Løbende vedligeholdelse af dokumentation & Data Virksomheden skal tilsikre at unødig data slettes og at relevante samtykker findes Data opsamlet til andet formål betragtes bør betragtes som unødig, eller nyt samtykke indhentes Virksomheden skal sikre at eventuelle konsekvensanalyser er opdateret og relevante og eventuelle sikringer gøres Virksomheden skal sikre at fortegnelser og dataanalyser er opdateret og til enhver tid beskriver den nuværende situation Virksomheden skal tilsikre løbende uddannelse af medarbejdere samt at sikkerhedspolitikker er opdateret Virksomheden skal sikre at der er de nødvendige og opdateret godkendelser, eks 3 rd land, samt databehandler aftaler Tekniske Implementeringer Virksomheden skal tilsikre involvering og godkendelse af Security by Design/Default og at DPO involveres hvor relevant Virksomheden skal sikre at standardindstillinger er sat med sikkerhed for øje, og at disse holdes opdateret Virksomheden skal tilsikre at eventuelle leverandører lever op til firmaets sikkerhedspolitikker Rapportering Virksomhedens ledelse skal løbende orienteres omkring eventuelle hændelser og firmaets status i relation til EU GDPR Virksomheden skal løbende rapportere eventuelle hændelser til myndigheder og fysiske personer

28 CHECKLISTE Findes en opdateret beskrivelse af databehandling samt hvem der evt. har adgang til denne Undersøg om der skal udarbejdes fortegnelse og data flow Findes der sikkerhed for at der alene behandles og opbevares relevant data i forhold til aktive samtykker Er behandlingen en kerneaktivitet og behandles der særlig følsomme data Overføres data til anden dataansvarlig eller databehandler Findes der data som må betragtes som forældes og u-relevante for nuværende behandling Det bør overvejes om der skal indhentes nye samtykker, og/eller data skal slettes Databehandler aftale bør indgås Data bør slettes og mekanisme sikre at data ikke bliver genoprettet ved evt restore fra backup Undersøg om der skal ansættes en DPO og udføres en konsekvensanalyse/dpia Behandles data indenfor samme koncern eller organisation Undersøg muligheden for at udarbejde Adfærdskodeks / Certificering Opbevares eller behandles data underfor EU i 3 rd land Der bør udarbejdes sikre og godkendte rutiner for 3 rd land Findes der de nødvendige tekniske løsninger og standardindstillinger Undersøg og implementer nødvendige tekniske løsninger Har personen mulighed for indsigt, rettelser, sletning og portabilitet af data Findes der beskrevne sikkerhedspolitikker og er medarbejdere bekendte med disse Der bør udarbejdes rutiner og tekniske løsninger Der bør udarbejdes fornødne sikkerhedspolitikker og udføres den nødvendige træning af medarbejdere Er der rutiner for Security by Design ved indførelse af nye systemer Er behandling i relation til ansættelsesforhold Findes rutiner og processer for rapportering til ledelse, tilsyn samt den fysiske person Der bør udpeget ansvarlig og udarbejdes processer

29 CHECKLISTE Område Mulig Løsning Yes No Samtykke Indsamles der løbende samtykke for at sikre at data der indsamles er i overensstemmelse med personens samtykke Retten til Indsigt Har personen mulighed for at få udleveret en let læselig oversigt over data der opbevares og behandles samt det relateret samtykke Retten til Indsigelse Har personen mulighed for at få korrigeret data der opbevares og behandles samt gøre indsigelse på indhold Retten til at blive slettet (Glemt) Har personen mulighed for at tilbagetrække samtykke samt bede om eventuelt sletning af data, med mindre denne er underlagt anden lovgivning Rapportering ved databrud til myndigheder Findes der de nødvendige processer for rapportering i tilfælde af brud og inkluderer disse nødvendig dokumentation samt rapportering til ledelse og myndighed Rapportering ved databrud til fysiske person Findes der de nødvendige processer for information til den fysiske person i tilfælde af brud der sandsynligvis udgør en risiko for personens rettigheder Overførelse af data til 3 rd land Er virksomheden opmærksom på de krav der stilles til overførelse udenfor EU og i relation til sikre/usikre lande, samt nødvendig godkendelse Opbevaring og/eller bearbejdning af data af 3 rd mand Overføres data til behandling af 3 rd mand og dataansvarlig Dokumenteret opbevaring og behandling af data Findes en beskrivelse af opbevaret og behandlet data, samt kilde og relation til indsamlet samtykke Det bør tilsikres at der alene opbevares data ud fra lovmæssige og godkendte krav. Personen bør løbende bekræfte samtykke på opbevaring og behandling af persondata, og der bør findes rutiner for indsigt og tilbagetrækning af givet samtykke, med efterfølgende handling (sletning) Processer og værktøjer bør findes som på en let læselig måde giver mulighed for at udlevere data opbevaret og behandlet for en fysisk person. Ud over dette bør det kunne dokumenteret hvilket samtykke data er opbevaret under Der bør udarbejdes en proces for hvordan en person kan give indsigelse og få rettet data som er fejlagtige Løsning bør findes hvor virksomheden kan tillade en tilbagetrækning af et samtykke samt sletning af tilhørende data, eller anden data som den fysiske person forventer i retten til at blive glemt. Det kan være en fordel at der er lave detaljeret betegnelser af data samt metoder for hvordan data evt kan slettes automatisk og tilsvarende i backup data Der bør indføres processer i firmaets krisehåndtering der kan afgøre om der er sket brud som bør indrapporteret til ledelsen og myndighed, samt efterfølge værktøjer for dokumentation at brud (rapporteret og ikke rapporteret) Der bør indføres processer i firmaets krisehåndtering der kan afgøre om et brud er af en art at det skal rapporteret til en fysiske person, samt rutiner for hvordan en sådanne rapportering kan gøres, og håndtering af eventuelle offentlige konsekvenser der kan opstå Det bør undersøges om 3 rd land er godkendt til overførelse, enten via tilstrækkelighedsafgørelse, bindende regler, regler for sikre lande ellers bør der alternativt sikres den nødvendige godkendelse og aftaler Inden man overlader data til 3 rd mand, bør man tilsikre at man har den nødvendige hjemmel og at 3 rd mand har den nødvendige hjemmel for modtagelse og yderligere behandling, under eget ansvar Man bør udarbejde Fortegnelse da dette både vil kunne dokumentere et overblik, sikre højere sikkerhed og afhjælpe eventuelle brud, samt leve op til de krav der måtte være for fortegnelse

30 CHECKLISTE Område Mulig Løsning Yes No Oversigt of risici ved opbevaring og behandling af data Er det et krav at konsekvensanalyse er udarbejdet eller at dette gøres for at tilsikre den nødvendige sikkerhed Sikkerhedspolitikker En virksomhed skal have en beskrevet sikkerhedspolitik og medarbejdere skal være bekendt med denne Opdateringer Efter implementering den 25 Maj, skal virksomheder tilsikre at diverse politikker, analyser, processer og tekniske implementering overholde regulativet Det bør undersøges om der er risici, hvilket kan gøres via en DPIA. Ud over dette bør man overveje om anonymisering og kryptering kan yde yderligere beskyttelse samt indførelse af ISO 27001, som blandt andet indeholder adgangskontrol, rettigheder og beskyttelse af data Virksomheden bør undersøge krav til sikkerhedspolitik, samt sikre at medarbejdere er bekendt med denne, samt at der løbende undervises i samme Virksomheden bør dokumenter løbende processer for vedligeholdelse og opdatering af artefakter, samt at der løbende informeres og undervises i eventuelle ændringer

31 HANDLINGSPLAN Område Styr på data Beskrivelse af data flow, lagring og behandlingsaktiviteter (Fortegnelser) Konsekvensanalyse / DPIA Databehandleraftale Tekniske løsninger Adfærdskodeks / Certificering Sikkerhedspolitik Uddannelse af organisation (ledelse og medarbejdere) Samtykke Personens Rettigheder Ansættelse af databeskyttelsesrådgiver /DPO Rapportering Beskrivelse Findes der den nødvendige viden om data der opbevares og behandles, hvor denne kommer fra, hvem der har adgang, hvordan data beskyttes og om der er de nødvendige samtykker etc. En data analyse kan være et godt værktøj for alle, og føre til en egentlig Fortegnelse, også selvom dette ikke er et krav for alle En beskrivelse af data, input, behandling, opbevaring, vider givelse kan være påkrævet og vil generelt være et værktøj til håndtering af data, sikring af samtykke og håndtering ved eventuelle brud I visse tilfælde er det påkrævet at der udarbejdes en konsekvensanalyse (DPIA). Generelt rådes der til en sådanne, da den kan afhjælpe eventuelle brud proaktivt. Hvis en anden par udfører arbejde på vegne af den dataansvarlig skal der indgås en databehandleraftale, for derved at sikre aftalt ansvar, beskrevet roller Kryptering, anonymisering samt andre tekniske løsninger til beskyttelse af data bør undersøges og samtidigt kan det foreslås at man undersøger ISO 2700x for yderligere detaljer Adfærdskodeks og certificering kan med fordel benyttes af specifikke brancher og kan gøre implementering nemmere samt sikre forhåndsgodkendelse af en given behandling En sikkerhedspolitik vil beskrive virksomhedens proces for sikkerhed omkring persondata og vil samtidigt indgå som et artefakt i virksomhedens uddannelse af medarbejdere og eventuelle underleverandører Medarbejdere bør kende til virksomhedens sikkerhedspolitik, men samtidigt også til hvordan man skal agere ved eventuelle brud. I forbindelse med forordning kræves det også at den øverste ledelse er bekendt med virksomhedens sikkerhed samt om eventuelle brud, som øverste ansvarlige Virksomheden skal tilsikre at der alene indsamles og behandlet data til hvilken en person har givet samtykke. Samtykke skal løbende opdateres og være relevante og alene relevant data indsamlet må opbevares og behandles Virksomheden bør tilsikre den registreredes rettighed til indsigt, rettelse og til at blive glemt. Dette gøres via defineret processer og eventuelle tekniske løsninger Visse virksomheder har krav på ansættelse af en dedikeret DPO, bla ved opbevaring af kritisk data. Denne bør være kvalificeret og rapportere fagligt til den øverste ledelse Virksomheden bør have veldefineret roller og ansvar, også selvom der ikke er udpeget en DPO, omkring rapportering til ledelse, myndigheder og den fysiske person i tilfælde af brud. Det er vigtige at dette ansvar er klart defineret og accepteres af de involveret, inden et eventuelt brud sker