GDPR og operationel compliance. Jesper Husmer Vang og Sara Holst Sonne

Relaterede dokumenter
Datatilsynets tilsyn hvordan og hvorfor

GDPR - Bryder verden sammen efter den 25. maj?

Organisatorisk og teknisk implementering af GDPR i Rigsarkivet. Fagligt forum 3. september 2019 Jan Dalsten Sørensen Rigsarkivet

Årshjul. Kort sagt beskrives og planlægges mange af de opgaver, der efterfølgende kontrolleres/følges op på i årshjulet, i årsplanen.

1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?

PERSONDATAPOLITIK maj 2018

Dansk Selskab for GCP. Persondatareglerne

General Data Protection Regulation

Persondataforordningen

Regler om persondata Koordinatormøde den 28. nov. 2017

Persondatapolitik Vordingborg Gymnasium & HF

GDPR Persondatapolitik Tage E. Nielsen A/S

Thea Præstmark WW W W W.SKA W UR.SKA EIP UR UR EIP TH UR. TH C. OM C

Persondataforordningen...den nye erklæringsstandard

Sletteregler. v/rami Chr. Sørensen

Persondataforordningen

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

GDPR Beskyttelse af persondata

Struktureret compliance. 9 måneder med GDPR-compliance krav hvordan er det gået?

PERSONDATAPOLITIK. Behandling af personoplysninger om kunder hos Holstebro Turistbusser

Lever din myndighed op til persondatalovens krav?

Workshop om persondataforordningen

PERSONDATAPOLITIK FOR SOLRØD LÆRERFORENING. Vedtaget af kontorgruppen 17. april 2018

PERSONDATAPOLITIK FOR ÅRHUS LÆRERFORENING Revideret 17. januar 2019

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

Når Compliance Bliver Kultur

Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den

Lector ApS CVR-nr.:

Når compliance bliver kultur

Justitsministeriet Slotsholmsgade København K Danmark. Att. Christian Fuglsang, og

Forslag til nye felter i OS2-kitos til understøttelse af GDPR-arbejdet

GDPR og borgerne og arkiverne og arkivloven

PERSONDATAPOLITIK FOR DANMARKS LÆRERFORENING. Vedtaget af styregruppen 21. februar 2018

P R O C E D U R E O G R E T N I N G S L I N J E R F O R B E H A N D L I N G A F I N D S I G T S- A N M O D N I N G E R M V.

Retningslinjer for behandling af personoplysninger for kunder og leverandører i med Anker Hansen og Co. A/S ( AHC ) CVR-nr

Databeskyttelsesdagen

I, Privatlivspolitik for Kunder, kan du læse om vores politikker, principper og procedure for håndtering af personoplysninger.

Aftale vedrørende fælles dataansvar

PERSONDATAPOLITIK. Jeg optræder som dataansvarlig, når jeg behandler personoplysninger.

Cirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer

Persondata politik for GHP Gildhøj Privathospital

Ma lrettet arbejde med persondataforordningen for

Privatlivspolitik for medlemmer af Veganerpartiet

GML-HR A/S CVR-nr.:

Ma lrettet arbejde med persondataforordningen for

Persondatapolitik. Dataansvarlig Vision Management A/S Kongevejen Holte Danmark CVR-nr.:

Må lrettet årbejde med persondåtåforordningen for Gl. Rye Våndværk

Persondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017

1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du giver til os, og

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

Persondatapolitik. Oplysninger om vores behandling af dine personoplysninger mv.

Sprogvurdering -Til alle 3-årige i Holbæk


Målrettet arbejde med persondataforordningen for

Politikken skal opfylde kravene til oplysning om behandling af personoplysninger i EU s Forordning om beskyttelse af

Privatlivspolitik for

Ma lrettet arbejde med persondataforordningen for Helberskov Vandværk

Målrettet arbejde med persondataforordningen for

Persondatapolitik for Ehlers-Danlos Foreningen i Danmark

Behandling af persondata i EL Andersen A/S

1.3 Nedenfor fremgår de informationer, der indsamles, herunder hvordan oplysningerne behandles, hvad de bruges til, hvem der har adga ng til

Persondatapolitik for. Klippinge Vandværk

Persondataforordningen. Nye regler om persondata

Privatlivs og Persondatapolitik for Evangelisk Luthersk Netværk

Persondatapolitik for Aabenraa Statsskole

Udkast til Bekendtgørelse om politiets behandling af oplysninger i forbindelse med tværgående informationsanalyser

Målrettet arbejde med persondataforordningen for

Alm. Brands persondatapolitik

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

Anmodning om oplysninger i henhold til forordning 376/ Navn: 2. Hvilke oplysninger anmodes der om? 3. Begrundelse for anmodningen:

INFORMATION TIL JOBANSØGERE OM BEHANDLING AF PERSONOPLYSNINGER

Persondatapolitik for Tørring Gymnasium 2018

Indholdsfortegnelse Fortroligheds- og beskyttelsespolitik... 3

CIR1H nr 9352 af 23/05/2018 (Gældende) Udskriftsdato: 24. maj Senere ændringer til forskriften Ingen. Journalnummer: Kirkemin., j.nr.

Må lrettet årbejde med persondåtåforordningen for

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

Persondataforordningen Data Protection Officer. Advokat, Marie Albæk Jacobsen

Persondatalovens dokumentationskrav

Ørsted A/S - Persondatapolitik for aktionærer mv.

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

Dette dokument indeholder grundoplysninger vedr. GDPR-området i AIMS International Danmark / Totem Search & Selection

Persondatapolitik. Dataansvarlig Paarup Hansen ApS Enghaven Roskilde Danmark CVR-nr.:

PERSONDATAPOLITIK FOR DANSK TOURETTE FORENING

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

Persondatapolitik. Persondatapolitik

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

BILAG 1 DATABEHANDLERAFTALE Rambøll som databehandler

Persondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.

Privatlivspolitik for LTECH A/S

Derudover må personoplysninger i fysiske mapper kun tilgås af personer, der har et formål med at kunne tilgå de pågældende personoplysninger.

Databehandleraftale ISS

BAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4

PERSONDATAPOLITIK EKSTERN

Privatlivspolitik hos TAG Copenhagen A/S (GDPR)

N. Zahles Skole Persondatapolitik

Persondatapolitik på Gentofte Studenterkursus

Avnbøl-Ullerup Våndværk A.m.b.å. CVR-nr

UDVALGET FOR HUSMODERFERIE Politik for opbevaring og sletning af personlige oplysninger

Transkript:

GDPR og operationel compliance Jesper Husmer Vang og Sara Holst Sonne

Hvor er vi gået fra og til med GDPR? De opgaver der følger med forordningens artikel 5, stk. 2, og artikel 24 er kommet bag på mange Tidligere var det tilstrækkeligt, hvis man kunne fremlægge en fin persondatapolitik Nu skal man også efterleve politikken i praksis og kunne dokumentere dette 2

Datatilsynets slettetilsyn fra efteråret 2018 Læren af tilsynene: Man skal have styr på: 1. Hvilke systemer man har 2. Hvilke personoplysninger der behandles i systemerne 3. Man skal fastsætte en passende slettefrist for de personoplysninger, man har i de enkelte systemer mv. og dokumentere de fastsatte frister (vi har set eksempler på, at fristerne ikke var nedskrevet nogen steder, men blot var inde i hovederne på udvalgte medarbejdere). 4. Man skal vide og kunne dokumentere, hvordan sletningen understøttes teknisk samt manuelt og/eller automatisk (vi har f.eks. set eksempler på, at en "sletning" blot indebar, at der ikke længere kunne ske en kobling mellem sagsbehandlingssystem og database dette er ikke en sletning) 5. Man skal følge op på, om sletning rent faktisk finder sted og kunne dokumentere sine procedurer for denne opfølgning (stikprøvekontroller mv.) Datatilsynet vil på et tilsyn kontrollere ovennævnte samt lave stikprøvekontroller af, om der forefindes oplysninger i systemerne, der burde være slettet efter de fastsatte frister. 3

Compliance Compliance Det at efterleve en lov eller regel, eller at agere i overensstemmelse med en aftale Cambridge dictionary Compliancerisiko virksomhedens manglende overholdelse af gældende lovgivning, markedsstandarder eller interne regelsæt (compliancerisici) 4

Accountabiliy - hvis det ikke er dokumenteret, er det ikke sket! Hvordan er man accountable? Dokumenter at I har forholdt jer til hvordan I implementerer reglerne (politikker og procedurer) Dokumenter at I rent faktisk gør det, I siger I gør! Eksempel Det er ikke tilstrækkeligt at skrive i en procedure, at "vi indhenter samtykke". Samtykket skal gemmes på kunden med datoangivelse, så det altid kan fremfindes. Behovet for skriftlige politikker og dokumentation skal ses i forhold til virksomhedens størrelse, omfanget af behandlingsaktiviteterne og den iboende risiko 5

Nogle gode råd baseret på erfaringer Vurder jeres risiko, og prioriter flest ressourcer der hvor, risikoen er størst (sandsynlighed * konsekvens) Definer roller og ansvar og dokumenter i skriftlige procedurer (risiko ved udskiftning af medarbejdere, når alle har ansvaret har ingen ansvaret) Implementer passende foranstaltninger for at minimere risiko for fejl (fx fjerne muligheden for fritekstfelt) Husk, ingen skal vide alt, alle skal vide nok (Procedurer overkompliceres ofte, keep it simple) Definer kontroller, udfør, evaluer og rapporter Ressourcebehovet undervurderes ofte, opgaver nedprioriteres Manglende dokumentation Forordningen tænkes ikke ind i forbindelse med ændringer (nye produkter, systemer, organisationsændringer, osv.) 6

Case I har konstateret, at medarbejderne i jeres call center ikke følger jeres interne GDPR procedurer. De noterer følsomme oplysninger om kunderne i jeres CRM system, sender mails med personoplysninger til forkerte kunder og glemmer/undlader at indhente og registrere samtykke fra kunder. Diskuter med sidemanden hvilke foranstaltninger I kan implementere for at minimere risikoen for non-compliance - Forebyggende foranstaltninger - Kontroller 7

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback