Databeskyttelsesdagen

Transkript

1 Databeskyttelsesdagen GDPR: Ping-pong mellem teori og praksis! Revision. Skat. Rådgivning.

2 Præsentation Claus Bartholin Senior Manager, IT Risk Assurance E: T: M: Lena Andersen Salin Manager, IT Risk Assurance E: T: M:

3 Hvad siger forordningen? Grundprincipper Ansvarlighed Krav om databeskyttelsespolitikker? 3

4 Grundprincipperne i forordningen Artikel 5, stk. 1 a) Lovlighed, rimelighed og gennemsigtighed b) Formålsbegrænsning c) Dataminimering d) Rigtighed e) Opbevaringsbegrænsning f) Integritet og fortrolighed Artikel 5, stk. 2 Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes ( ansvarlighed ) 4

5 Den dataansvarliges ansvar Artikel 24, stk. 1 Under hensyntagen til den pågældende behandlings: karakter omfang Sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandlingen er i overensstemmelse med denne forordning. Disse foranstaltninger skal om nødvendigt revideres og ajourføres. 5

6 Krav om databeskyttelsespolitikker? Artikel 24, stk. 2 Hvis det står i rimeligt forhold til behandlingsaktiviteter, skal de foranstaltninger, der er omhandlet i stk. 1, omfatte den dataansvarliges implementering af passende databeskyttelsespolitikker. Artikel 24, stk. 3 Overholdelse af godkendte adfærdskodekser som omhandlet i artikel 40 eller godkendte certificeringsmekanismer som omhandlet i artikel 42 kan bruges som et element til at påvise overholdelse af den dataansvarliges forpligtelser. 6

7 Hvad gør vi i praksis? Projektplan Udvalgte emner 7

8 Faser i et GDPR-projekt Strategisk afklaring/dialog Oversigt over behandling Organisering Persondatatjek Persondatapolitik Privacy by design, risici og DPIA Databehandleraftaler Sikkerhedsbrud Awareness program 8

9 Fase 2 - Oversigt over behandling Spørgsmål Hvilke krav er der til indholdet i fortegnelserne? Svar Forordningen indeholder minimumskrav Data fra alle dele af organisationen Er der formkrav? Ingen formkrav Fx skabeloner Hvor mange fortegnelser skal man have? Afgræns på hovedområder Vi ser et ønske om mange fortegnelser, der dækker specifikke emner 9

10 Fase 4 - Persondatatjek (Lovlig behandling og registreredes rettigheder) Spørgsmål Hvordan skal man dokumentere lovlig behandling? Hvordan håndterer vi kravet om opbevaringsfrister? Svar Kortlægning af retsgrundlaget Indsæt behandlingshjemmel Byg videre på fortegnelserne Afklar ønsker og behov, fastlæg derefter sletterutinerne Afklar om manuel eller automatisk Dokumentér Hvad gør vi med samtykker? Afklar hvor samtykke er hjemlen Formulér eller opdatér samtykkeerklæringer Dokumentér samtykker 10

11 Fase 7 - Databehandleraftaler Spørgsmål Hvordan skal vi påse, at behandlingen hos leverandøren sker sikkert nok? Hvad er kravene til en databehandleraftale? Skal vi stille specifikke sikkerhedskrav til vores databehandler? Svar Samarbejde er nødvendigt Risikobaseret tilgang ISAE 3000 databeskyttelseserklæring Artikel 28 s krav skal med i aftalen Sikkerheden: Vurdér om (cloud)-leverandørens standardbetingelser er tilstrækkelige 11

12 Hvad gør vi i praksis? To-do-liste NB! Vurderingen af, om en given aktivitet skal udføres, eller om en databeskyttelsespolitik eller procedure skal foreligge, vil bl.a. bero på, hvilke behandlingsaktiviteter der er tale om i den pågældende virksomhed 12

13 1. Strategisk afklaring/dialog Planlægning af arbejdet med at etablere efterlevelse Ledelsesforankring Styregruppe/projektledelse Deltagere Prioriteringer Tidsplaner GDPR-grundlag Afklaring af ambitioner, og dialog om eksisterende praksis fx risikovurdering, mhp. at forstå organisationens forhold. Forretningsfokus Evt. modenhedsvurdering/gap-analyse 13

14 2. Oversigt over behandling Afklar, hvem er den dataansvarlige virksomhed eller myndighed (fx i koncerner eller i samarbejder, franchiseforhold ol.) Hvis aktiviteter i flere lande: Afklar om flere landes lovgivning finder anvendelse Afklar om der foregår aktiviteter både som dataansvarlig og databehandler Kortlægning af persondata og behandlinger: Artikel 30, stk. 1-fortegnelser som dataansvarlig Artikel 30, stk. 2- fortegnelser som databehandler Overblik over anvendte systemer Overblik over anvendte databehandlere Procedurer vedrørende fortegnelser (ansvar og retningslinjer) 14

15 3. Organisering Fastlæg, hvor i virksomheden ansvaret for databeskyttelsen skal ligge Beskriv, hvordan efterlevelse af databeskyttelsesreglerne er organiseret i en databeskyttelsespolitik Evt. udpegelse af databeskyttelsesrådgiver (DPO) og organisering heraf Udpeg evt. en eller flere ressourcepersoner, som skal understøtte databeskyttelsen i organisationen 15

16 4. Persondatatjek Lovlig behandling Procedurer og dokumentation vedrørende behandlingsgrundlaget Behandlingsgrundlag Samtykker, der begrunder behandling Sletterutiner, fastlæggelse og implementering Standardkontrakter for overførsel af persondata til et tredjeland, hvor der ikke er andet grundlag for overførslen Registreredes rettigheder Procedurer og dokumentation vedrørende håndtering af de registreredes rettigheder Generelle procedurer vedrørende registreredes rettigheder Specifikke procedurer vedrørende enkelte rettigheder Hvor og hvor længe dokumenteres håndteringen af rettighederne? 16

17 5. Persondatapolitik Privatlivs- og persondatapolitikker i forhold til interne og eksterne registrerede, fx: Ansøgere og medarbejdere Borgerhenvendelser Direktion Klagesager Konferenceadministration Kunder Tv-overvågning Plan for implementering af persondatapolitikerne, herunder dokumentation 17

18 6. Privacy by design, risici og DPIA Procedurer vedrørende behandlingssikkerhed (evt. it-sikkerheds-politikken) Dokumentation Risikovurdering vedr. sikkerhed Beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger der er vurderet som passende til imødegåelse af de identificerede risici Overvejelser og beslutninger vedr. databeskyttelse gennem design og standardindstillinger Implementering af de valgte sikkerhedsforanstaltninger Evt. afprøvning og evaluering af tekniske og organisatoriske sikkerhedsforanstaltninger Kontrol af, at virksomhedens sikkerhedsforanstaltninger mv. efterleves Konsekvensanalyser vedrørende databeskyttelse (DPIA): Afklaring af behov, samt evt. procedurer og dokumentation 18

19 7. Databehandleraftaler Procedurer vedrørende behandling ved databehandlere Dokumentation Databehandleraftaler Garanti for databehandlers efterlevelse Kontrol med databehandler, fx erklæring (påvise) Godkendelser af underdatabehandlere. Hvis generel skriftlig godkendelse: Dokumentation af underretninger fra den primære databehandler om, hvilke underdatabehandlere der benyttes Håndtering af eventuelle underretninger fra databehandler om strid med lov mv. (art. 28, stk. 3, litra h), sidste led) 19

20 8. Sikkerhedsbrud Procedurer vedr. håndtering af brud på persondatasikkerheden Dokumentation Registrering af alle brud på persondatasikkerheden Foretagne anmeldelser til Datatilsynet Meddelelser til de berørte registrerede Beslutninger om ikke at sende anmeldelse til Datatilsynet eller ikke at sende meddelelse til registrerede 20

21 9. Awareness program Instruks til medarbejdere, der behandler personoplysninger (der gælder ingen formkrav, kan evt. følge af en bestemt stilling eller autorisation fra den dataansvarlige) Awareness aktiviteter for medarbejdere Dokumentation af awareness aktiviteter 21

22 Spørgsmål? Denne publikation er udarbejdet alene som en generel orientering om forhold, som måtte være af interesse, og gør det ikke ud for professionel rådgivning. Du bør ikke disponere på baggrund af de oplysninger, der er indeholdt i denne publikation, uden at indhente specifik professionel rådgivning. Vi afgiver ingen erklæringer eller garantier (udtrykkeligt eller underforstået) hvad angår nøjagtigheden og fuldstændigheden af de oplysninger, der findes i publikationen, og, i det omfang loven tillader, accepterer eller påtager PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, dets aktionærer, medarbejdere og repræsentanter sig ikke nogen forpligtelse, ansvar eller agtpågivenhedspligt for eventuelle konsekvenser, som følger af, at du eller andre handler eller undlader at handle i tillid til de oplysninger, der findes i publikationen, eller for eventuelle beslutninger truffet på baggrund af publikationen PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab. Alle rettigheder forbeholdes. I dette dokument refererer til PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, som er et medlemsfirma af PricewaterhouseCoopers International Limited, hvor hver enkelt virksomhed er en særskilt juridisk enhed.