EU Persondataforordning GDPR 14. juni 2018
Agenda Persondataforordningen - GDPR Hvad går forordningen grundlæggende ud på og hvorfor? Hvad stiller forordningen af krav til nødvendig indsats? Hvordan sikrer man den bedste måde at beskrive en arbejdsgang (hvordan laver man datastrømsanalyser)? Hvordan har skoler grebet det an? Er der eksempler på skoler, der har arbejdet systematisk med procedure og implementering, og hvordan er dette grebet an? Konsekvenser for kvalitetsarbejdet på erhvervsskolerne og VUC Opsamling og afrunding
EU Persondataforordning - Databeskyttelseskonsulent Marts 2017
EU Persondataforordning - GDPR Forordning gælder på lige fod med lokal lovgivning Er vedtaget skal efterleves fra 25. maj 2018 Omfatter alle som håndterer EU borgeres data Erstatter Persondataloven og sikkerhedsbekendtgørelsen Medlemslande kan vedtage særlovgivning Formål er at sikre klar og konsistent databeskyttelse
Hvad er persondata - behandling? - enhver form for information om en identificeret eller identificerbar person - almindelige personoplysninger følsomme personoplysninger Navn, adresse, Sygefravær Sociale problemer CPR Strafbare forhold særlige krav til behandlingen Race og etnisk oprindelse Politiske holdninger Religiøs og filosofisk opfattelse Fagforeningsmæssigt tilhørsforhold Genetisk data Biometrisk data Helbredsoplysninger Seksualitet og seksuel orientering Kilde: Bech-Bruun - Behandling - enhver aktivitet eller række af aktiviteter som personoplysninger gøres til genstand for, elektronisk eller manuel. - Fra de opstår, til de ophører, dvs. indsamling, systematisering, opbevaring, ændring, søgning i, brug, videregivelse, overladelse, sammenstilling, samkøring og sletning
Overblik grundlæggende principper for data Skal behandles lovligt, rimeligt og på en gennemsigtig måde Indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål (»formålsbegrænsning«) Være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til formålet (»dataminimering«) Være korrekte og om nødvendigt ajourførte (»rigtighed«) Skal opbevares så det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til formålet (»opbevaringsbegrænsning«) Skal behandles på en sikker måde (»integritet og fortrolighed«)
Borddiskussion grundlæggende principper for data Fortæl omkring bordet hvordan I sikrer at I kun håndterer persondata Lovligt Rimeligt Gennemsigtigt Med angivne formål Relevante og begrænsede Korrekte Fortæl omkring bordet hvordan I har sikret at man ikke kan identificere de registrerede i et længere tidsrum end det, der er nødvendigt til formålet
Drejebogsmøderne Drejebogsmøde 1 Indblik, overblik, proces, mål Drejebog 1 extra.efif.dk Drejebogsmøde 2 Konkret, værktøjer, løsninger, valg Fra mindmap til matrix Drejebog 2 extra.efif.dk Drejebogsmøde 3 Granskning af produceret dokumentation GAP analyse prioritering af indsats før 25. maj 2018 Tiden efter - årshjul
Aktivitetsforslag Organisere projektet Styregruppe, projektgruppe, projektansvarlig Involver bredt i organisationen Dataansvarlige udpeges Skab awareness Udpeg DPO Kortlægning af persondata Processer, arkiver, adgang, videregivelse, sletning Udarbejde risikovurdering og beredskabsplan Fokuser især på HR Studievejledning Studiemiljøer Centralt systemer kontra decentralt Databehandleraftaler Udarbejde databeskyttelsespolitik, retningslinjer
Dokumentationskrav Den dataansvarlige skal kunne dokumentere compliance med forordningen Både dataansvarlige (og databehandlere) skal opbevare dokumentation for enhver behandling af personoplysninger Dokumentationen skal mindst omfatte Navn og kontaktoplysninger på den dataansvarlige eller den fælles dataansvarlige og dennes eventuelle repræsentant samt evt. DPO Formålene med behandlingen Beskrivelse af kategorier af datasubjekter og kategorier af personoplysninger vedrørende datasubjekter Kategorier af modtagere af personoplysningerne Evt. overførsel af personoplysninger til et tredjeland, herunder identifikation af dette tredjeland, og dokumentation af fornødne garantier ved overførsel til ikke-sikre tredjelande En generel angivelse af tidsfristerne for sletning af de forskellige kategorier af personoplysninger Hvis muligt, en beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger
Dataflowanalyser - Fortegnelser Det er en forudsætning for compliance, at man som dataansvarlig har et overblik over sine data Indhold (ikke udtømmende) Hvilke typer af personoplysninger behandles? (Ikke følsomme/følsomme) Hvorfra indsamles oplysningerne? (Fra lærerne/eleverne/registre) Hvordan indsamles oplysningerne? Videregives oplysningerne og i så fald til hvem? (Andre virksomheder/offentlige myndigheder) Formålet/-ene med behandlingen? Hvor bruges de henne i organisationen? Hvor og hvordan oplysningerne er opbevaret og sikret? Hvornår og hvordan oplysningerne vil blive slettet?
Borddiskussion dokumentation af data Fortæl omkring bordet hvor I er i GDPR processen Fortæl omkring bordet hvordan I sikrer et overblik over data i kvalitetsafdelingen Dokumentation Brug af medier Tilgængelighed Fortæl omkring bordet hvordan I skaber Awareness
Risikovurdering - beredskabsplaner Med afsæt i dokumentationen foretages en risikovurdering Risiko for datasikkerhedsbrist Risiko for datatab Risiko for utilgængelighed Udarbejd beredskabsplaner Stop bristen Anmeld til Datatilsynet inden 72 timer Informer registrerede Forhindre gentagelser
Registreredes rettigheder Oplysningspligten Retten til indsigt Retten til korrektion Retten til at blive slettet Retten til dataportabilitet
Udfordringer Dokumentation og især efterfølgende vedligeholdelse i form af et årshjul Overholde krav om kun at have nødvendige data i den nødvendige periode Persondata på papir - mails Samtykke håndtering Ret til vide hvad der er registreret Ret til sletning Minimere risiko for fejl Awareness blandt medarbejdere
Borddiskussion registreredes rettigheder Fortæl omkring bordet hvordan I vil håndtere registreredes rettigheder Oplysningspligten Retten til indsigt Retten til korrektion Retten til at blive slettet Retten til dataportabilitet
Eksempler Udsendelse af materiale til studerende Et uddannelsessted må ikke udlevere studerendes navne og adresser til brug for udsendelse af informations- eller markedsføringsmateriale uden de studerendes samtykke. Udsendelse af informationsmateriale om diverse studie- og erhvervsrelevante tiltag til de studerende kan ske uden samtykke. Der må dog ikke udsendes egentligt markedsføringsmateriale. Elevoplysninger på internettet Offentliggørelse af oplysninger om elever i form af navne, portrætbilleder, klassebilleder eller fritidsinteresser på skolens hjemmeside må kun ske, hvis der forinden er indhentet samtykke fra hver enkelt elev. Kontrol af de studerendes internetbrug, f.eks. i form af logning Kan ske uden samtykke, hvis hensynet er at sikre en etisk forsvarlig brug af internettet, herunder sikre, at der ikke downloades pornografisk materiale og lignende Forudsætning at de studerende informeres på forhånd om kontrollen Videregivelse af karakterer etc. En uddannelsesinstitution kan normalt udlevere oplysninger om, hvilke elever der går på skolen (klasselister) uden samtykke Men som altovervejende hovedregel ikke oplysninger om karakterer og lignende
Borddiskussion GDPR og kvalitetsarbejdet Fortæl omkring bordet hvordan I vil arbejde med kvalitet og GDPR