Databeskyttelsesrådgiver/DPO. artikel 37-39

Relaterede dokumenter
Stormøde om databeskyttelsesforordningen 9. februar 2017

Data Protection Officer (DPO): DPO-krav og outsourcing af DPO-rollen

Data Protection Officer: krav og outsourcing af DPO-rollen. Uddannelsesdagen 2017

WP243 BILAG OFTE STILLEDE SPØRGSMÅL

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Persondataforordningen Data Protection Officer. Advokat, Marie Albæk Jacobsen

Vejledning om databeskyttelsesrådgivere

Vejledning om databeskyttelsesrådgivere

Gå-hjem-møde Persondataforordning

Gå-hjem-møde Persondataforordning

Til Økonomi- og Indenrigsministeriet 18. september 2017

Retningslinje om fortegnelser over behandlingsaktiviteter

Retningslinje om fortegnelser over behandlingsaktiviteter

Introduktion til persondataforordning

Retningslinje om databeskyttelsesrådgivere

Retningslinje om databeskyttelsesrådgivere

Rollen som DPO. September 2016

Notat. Databeskyttelsesrådgiver. Anvendelsesområde. Formål. Definitioner. Retningslinje om databeskyttelsesrådgivere. Danske Gymnasiers medlemsskoler

Retningslinje om fortegnelser over behandlingsaktiviteter

Retningslinje om fortegnelser over behandlingsaktiviteter

Overblik over persondataforordningen

Stormøde om databeskyttelsesforordningen - og betænkning nr juni 2017

Persondata politik for GHP Gildhøj Privathospital

Persondatapolitik for Aabenraa Statsskole

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

Persondatapolitik for Tørring Gymnasium 2018

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

BAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4

Persondatapolitik Vordingborg Gymnasium & HF

Formålet med denne retningslinje er at sikre, at Ringkjøbing Gymnasium udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.

Persondatapolitik for Odense Katedralskole

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Formålet med denne retningslinje er at sikre, at Nykøbing Katedralskole udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Formålet med denne retningslinje er at sikre, at Nakskov Gymnasium og HF udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.

Retningslinje om ansvarsfordeling - dataansvarlig vs. databehandler

Retningslinje om behandlingsgrundlag

EU s persondataforordning. Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse

Formålet med denne retningslinje er at sikre, at Midtfyns Gymnasium udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.

ANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2 BEHANDLINGSGRUNDLAG... 3 KONTROL OG DOKUMENTATION... 8

Persondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Persondatapolitik på Gentofte Studenterkursus

Persondatapolitikken er godkendt på Vesthimmerlands Gymnasium og HF s bestyrelsesmøde den 25. juni 2018

Persondatapolitikken er godkendt på VUC Roskildes bestyrelsesmøde den 7 juni 2018.

Behandlingsgrundlag Horsens Statsskole

Retningslinje om behandlingsgrundlag (hjemmel)

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

Bilag 8. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Per Løkken, Partner. CAMPUS November 2018

Håndtering af Persondataforordningen. Aarhus den 22. august 2017 Advokat Kamilla Mondrup

1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?

Brud på datasikkerheden

HR og ansættelsesret. - bliv skarp på, hvornår du kan behandle oplysninger om dine medarbejdere

Persondataforordningen. Henrik Aslund Pedersen Partner

Retningslinje om brud på persondatasikkerhed Skanderborg Gymnasium ANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2

Midtfyns. Gymnasium. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

Persondata fra en it-vinkel. Dansk Fjernvarme

Formål. Definitioner. ø Retningslinjer om brud på datasikkerheden Anvendelsesområde

Databeskyttelsesdagen

ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever,

PERSONDATAKONFERENCEN - FORORDNINGENS DOKUMENTATIONSKRAV. Advokat Pia Kirstine Voldmester

Overblik over Justitsministeriets betænkning og de væsentligste ændringer i persondataforordningen

Dispensation fra lov om kommunernes styrelse

Retningslinjer om brud på persondatasikkerheden

Er du klar til den nye Persondataforordning?

Retningslinjer om brud på persondata

Retningslinjer om brud på persondatasikkerheden

Orientering om databeskyttelsesforordningen. Sundhedsstrategisk Forum Onsdag den 21. marts 2018

Bilag 7. Retningslinje om behandlingssikkerhed. Anvendelsesområde. Formål. Definitioner

Hvad betyder den nye persondataforordning for udvikling og brug af digitale sundhedsløsninger, og hvem har ansvaret for overholdelse?

Persondata og whistleblowerordninger. Nyhedsbrev

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106.

Maj 2018 Retningslinje om de registreredes rettigheder på Frederiksberg Gymnasium

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

Persondataforordningen & kommuner. Vejle, 5. maj 2015 Advokat, partner Nis Peter Dall. Baseret på persondatadirektivet (fra 1995)

Persondataforordningen den 20. februar 2018

Den nye persondataforordning. 2. februar 2017

Præsentation Tid +/- 25 minutter i praktik

Plesner Certifikat i Persondataret

Bank & Finans IP & Technology

Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den

"forordningen" i det følgende) og gælder for alle ansatte på Midtfyns Gymnasium, der behandler personoplysninger.

Retningslinje om behandlingssikkerhed

Introduktion til persondataforordningen PSF temadag d , lektor Dorthe Høilund, Metropol

SÅDAN BEHANDLER NORDDJURS KOMMUNE DINE PERSONOPLYSNINGER

Databehandleraftale

Databeskyttelse i den almene sektor en digital fremtid. 30. august 2018

Regler om persondata Koordinatormøde den 28. nov. 2017

PRIVATLIVSPOLITIK for Advokatfirmaet Gaarn Pedersen. (Opdateret maj 2018)

N. Zahles Skole Persondatapolitik

INTERN HR PERSONDATAPOLITIK FOR LIONS MD106. Nærværende gælder for MD 106, dvs. alle ansatte og medlemmer i Lions MD 106.

Organisatorisk og teknisk implementering af GDPR i Rigsarkivet. Fagligt forum 3. september 2019 Jan Dalsten Sørensen Rigsarkivet

Persondataforordningen...den nye erklæringsstandard

Transkript:

Databeskyttelsesrådgiver/DPO artikel 37-39

Hvem skal have en DPO? Offentlige myndigheder Private virksomheder (se de følgende plancher) 2

Hvornår skal private udpege en DPO? Private virksomheder skal i visse situationer udpege en DPO men kun når visse særlige forhold gør sig gældende for virksomheden (art. 37, stk. 1, litra b-c) I de fleste tilfælde vil private virksomheder således ikke skulle udpege en DPO Private virksomheder kan i øvrigt frivilligt vælge at udpege en DPO (art. 37, stk. 4) 3

Hvornår skal private udpege en DPO? Følgende 3 betingelser skal alle være opfyldt for, at en privat virksomhed har pligt til at udpege en DPO: 1. Behandling af personoplysninger skal være virksomhedens kerneaktivitet 2. Der skal behandles personoplysninger i et stort omfang 3. Behandlingsaktiviteten består i regelmæssig og systematisk overvågning af personer eller behandlingen vedrører følsomme oplysninger/oplysninger om strafbare forhold (art. 9/10-oplysninger) 4

Hvornår er der tale om kerneaktivitet? Begrebet kerneaktiviteter går på, at behandlingen af personoplysninger er virksomhedens hovedaktivitet Hvis behandlingen af personoplysninger er en biaktivitet, skal der ikke udpeges en DPO (betyder, at de fleste private virksomheder ikke skal have en DPO) Afgørende skillelinje: Består virksomhedens produkt eller tjeneste i behandling af personoplysninger eller er aktiviteterne uløseligt forbundet hermed? Hvis ja: hovedaktivitet 5

Hvornår er der tale om kerneaktivitet? Eksempler på hovedaktiviteter (kerneaktiviteter): Hosting eller lagring af oplysninger, herunder cloududbydere Udbydere af marketingsundersøgelser Forsikringsselskab (forsikringsydelsen uløseligt forbundet med behandlingen af personoplysninger) Privathospital (patientbehandling uløseligt forbundet med journalbehandling) 6

Hvornår er der tale om kerneaktivitet? Eksempler på biaktiviteter: Kundekontakt Personaleadministration (ofte inkl. helbredsoplysninger og oplysninger om fagforeningsmæssige forhold) IT-support Advokatfirmaers behandling af klientoplysninger På trods af, at sådanne behandlinger er vigtige for virksomheden, er der ikke tale om hovedaktivitet 7

Hvornår er der tale om behandling i et stort omfang? Ikke noget direkte i forordningen herom, men der må skulle en del til (kerneaktivitet ikke nok) Art. 29-gruppen har gode bud på relevante momenter: Antallet af personer, der behandles oplysninger om Mængden af data Varigheden af behandlingen, herunder hvorvidt den er permanent Den geografiske udstrækning af behandlingsaktiviteterne 8

Hvornår er der tale om behandling i et stort omfang? Ikke behandling i et stort omfang: En advokats behandling af personoplysninger En praktiserende læges behandling af oplysninger Behandling i et stort omfang: Privathospitaler Forsikringsselskaber Rejsekortet 9

Kort opsamling: Hvornår skal private udpege en DPO? Krav: Kerneaktivitet Stort omfang Behandlingen består i regelmæssig/systematisk overvågning eller følsomme oplysninger (art. 9)/oplysninger om strafbare forhold (art. 10) Hvad gør man, hvis man ikke er omfattet af kravet? Kræver ikke noget selvstændigt skridt man skal dog altid kunne påvise overholdelse af forordningen (accountability). Virksomhedens overvejelser kan i tvivlstilfælde fx dokumenteres i en intern notits 10

Stilles der uddannelsesmæssige krav til en DPO? Skal udpeges på baggrund af sine faglige kvalifikationer, navnlig ekspertise inden for databeskyttelsesret og praksis samt evne til at udføre DPOopgaverne Der stilles ikke krav om bestemt uddannelsesmæssig baggrund, såsom fx jurist Sigtes til en person med juridiske kompetencer inden for databeskyttelsesret + en vis praktisk erfaring Niveauet afhænger af mængden, følsomheden og kompleksiteten af data 11

Hvem kan varetage rollen som DPO? En af virksomhedens medarbejdere Må dog ikke medføre interessekonflikt (mere om lidt) En koncern kan udpege en fælles databeskyttelsesrådgiver for hele koncernen, forudsat at alle etableringer af koncernen har let adgang til DPO en En ekstern på baggrund af en tjenesteydelseskontrakt Fx en advokat eller en revisor dog vil det være meget vanskeligt at vælge en eksisterende rådgiver grundet interessekonfliktregler 12

Hvad skal DPO en lave? Får en central rådgivnings- og overvågningsrolle i organisationen. Uddannelse af ledelse og medarbejdere Både forordningen og nationale regler om databeskyttelse Skal være kontaktpunkt for de registrerede (kontaktoplysninger skal offentliggøres) DPO en tager, i forbindelse med prioritering af opgaverne, hensyn til risici forbundet med behandlingsaktiviteterne 13

Hvad ligger der i DPO ens uafhængige position? Nedslag fra art. 38: Skal inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende databeskyttelse Skal have tilstrækkelige ressourcer + tid til rådighed, være tilgængelig Må ikke modtage instrukser eller afskediges/straffes for at udføre sine DPOopgaver Rapporterer til det øverste ledelsesniveau Kan udføre andre opgaver, der dog ikke må medføre en interessekonflikt 14

Hvad ligger der i DPO ens uafhængige position? Skal fx inddrages i spørgsmål om databeskyttelse gennem design, behandlingssikkerhed og håndtering af registreredes rettigheder i så god tid, at det er muligt at tage højde for DPO ens rådgivning Må ikke direkte eller indirekte få besked på at komme til et bestemt resultat, når vedkommende opererer som DPO 15

Hvad ligger der i DPO ens uafhængige position? Hvem i organisationen kan så ikke være DPO? DPO en kan ikke samtidigt være øverste ansvarlig for organisationens lovlige behandling af personoplysninger Dvs. DPO en kan ikke fx være den øverste IT-ansvarlige eller øverste HRansvarlige i organisationen 16

Hvad ligger der i DPO ens uafhængige position? Omvendt er der grænser for begrænsningerne DPO en skal inddrages rettidigt i alle spørgsmål DPO en kan ikke være afskåret fra at være en aktiv del af overvejelserne og beslutningerne om, hvordan compliance sikres DPO en kan og skal således inddrages i organisationens implementering af de krav, der følger af forordningen 17

Hvad ligger der i DPO ens uafhængige position? Omvendt er der grænser for begrænsningerne fortsat Fx i forbindelse med indkøb af nyt IT-system og formulering af kravspecifikationer til leverandører Fx i forbindelse med udarbejdelse af organisationens data-politikker Kan være organisationens compliance officer 18

Er en DPO ansvarlig for brud på reglerne om databeskyttelse? En DPO kan ikke gøres personlig ansvarlig for en virksomheds manglende overholdelse af databeskyttelseslovgivningen Det er altid virksomhedens ansvar, at behandlingen af personoplysninger sker lovligt, jf. art. 5, stk. 2, og art. 24 (den dataansvarlige skal kunne påvise compliance) 19

Har en DPO en særlig ansættelsesretlig beskyttelse? Må ikke afskediges eller straffes for udførelse af DPO-opgaverne, jf. art. 38, stk. 3, 2. pkt. Normalt kan man dog i Danmark ikke afskediges for at udføre sine arbejdsopgaver. Bestemmelsen sigter på en almindelig saglighedsbeskyttelse som efter funktionærloven DPO en vil kunne afskediges på et sagligt grundlag efter almindelige arbejdsretlige regler NB: Risiko for bødestraf 20

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback