Accountability Hvad kan vi lære af den finansielle sektor Databeskyttelsesdagen 28. januar 2016
Forordningens krav til accountability Article 5(2) The controller shall be responsible for and be able to demonstrate compliance with paragraph 1 (Accountability) Article 22 Taking into account the nature, scope, context and purpose of the processing as well as the risks of varying likelihood and severity for the rights and freedoms of individuals, the controller shall implement appropriate technical and organisational measures to ensure and be able to demonstrate that the processing of personal data is performed in compliance with this Regulation. These measures shall be reviewed and updated where necessary. Article 28 Each controller and, if any, the controller's representative, shall maintain a record of processing activities under its responsibility. [ ] 2
Accountability Kontrol over "kæden" fra identifikation af behandlinger over risikoanalyse til udførte processer og kontroller Vi siger, hvad vi gør og vi kan forklare hvorfor Vi gør, hvad vi siger og vi kan bevise det 3
Accountability Dokumenterede procedurer, som beskriver hvordan organisationen sikrer at alle behandlinger er identificerede at behandlinger risikovurderes systematisk at der implementeres processer og kontroller, som modsvarer identificerede risici at processer og kontroller er beskrevet og relevante medarbejdere uddannes i disse Dokumentation for efterlevelse Dokumentation som viser, at procedurer er efterlevet og relevante kontroller udført; f.eks. Udfyldte formularer og checklister Kvitteringer/signoffs Systemunderstøttede workflows og kontroller Hvis man kan dokumentere, at man har kontrol over systemændringer og brugeradgange 4
og hvad har det så med den finansielle sektor at gøre? 28. januar 2016
Forordningens krav til accountability Article 5(2) The controller shall be responsible for and be able to demonstrate compliance with paragraph 1 (Accountability) Article 22 Taking into account the nature, scope, context and purpose of the processing as well as the risks of varying likelihood and severity for the rights and freedoms of individuals, the controller shall implement appropriate technical and organisational measures to ensure and be able to demonstrate that the processing of personal data is performed in compliance with this Regulation. These measures shall be reviewed and updated where necessary. Article 28 Each controller and, if any, the controller's representative, shall maintain a record of processing activities under its responsibility. [ ] 6
Lov om finansiel virksomhed, 71 En finansiel virksomhed, en finansiel holdingvirksomhed og en forsikringsholdingvirksomhed skal have effektive former for virksomhedsstyring, herunder 1) en klar organisatorisk struktur med en veldefineret, gennemskuelig og konsekvent ansvarsfordeling, 2) en god administrativ og regnskabsmæssig praksis, 3) skriftlige forretningsgange for alle de væsentlige aktivitetsområder, 4) effektive procedurer til at identificere, forvalte, overvåge og rapportere om de risici, som virksomheden er eller kan blive udsat for, 5) de ressourcer, der er nødvendige for den rette gennemførelse af dens virksomhed, og hensigtsmæssig anvendelse af disse, 6) procedurer med henblik på adskillelse af funktioner i forbindelse med håndtering og forebyggelse af interessekonflikter, 7) fyldestgørende interne kontrolprocedurer, 8) betryggende kontrol- og sikringsforanstaltninger på it-området, 9) en skriftlig lønpolitik, der er i overensstemmelse med og fremmer en sund og effektiv risikostyring, og 10) personalemæssige og økonomiske ressourcer, der er nødvendige for at sikre tilstrækkelige muligheder for introduktions- og efteruddannelseskurser til medlemmer af bestyrelsen og direktionen. 7
Ledelsesbekendtgørelsen 2 Bestyrelsen henholdsvis direktionen i de af 1, stk. 1, omfattede virksomheder skal træffe foranstaltninger, der er tilstrækkelige til, at virksomheden drives betryggende. Bestyrelsen henholdsvis direktionen skal herunder tage stilling til, hvilke foranstaltninger, der er tilstrækkelige til, at bestemmelserne overholdes. Hvilke foranstaltninger, der er tilstrækkelige, vil afhænge af virksomhedens forretningsmodel, herunder 1) virksomhedens størrelse, 2) virksomhedens struktur samt strukturen af den koncern, hvori virksomheden måtte indgå, 3) de forretningsmæssige og geografiske områder, som virksomheden opererer på, 4) de finansielle tjenesteydelser, som virksomheden tilbyder, og 5) de finansielle produkter, som virksomheden handler med. 6 På grundlag af risikovurderingen, jf. 5, og i henhold til de i 4 besluttede politikker skal bestyrelsen udstede skriftlige retningslinjer til direktionen. 8
Hvordan kommer man i gang? Få overblik over hvilke data organisationen har, og hvilke behandlinger disse data indgår i (artikel 28) Indledende risikovurdering af identificerede behandlinger med fokus på risikoen for krænkelse af den registreredes rettigheder og frihedsrettigheder Prioritering af behandlinger Gap-analyse med henblik på at identificere de områder, hvor justeringer/forbedringer er nødvendige for at leve op til forordningens krav (bortset fra artikel 5(2) og artikel 22, som behandles særskilt) Etablering af kontrolmål (hvad skal vi sikre) Mapning af eksisterende processer og kontrolmål mod de definerede kontrolmål Tilpasning af processer og kontroller Skal dække hele kæden fra sikring af at behandlinger af persondata identificeres til dokumentation af, at behandlinger udføres i overensstemmelse med vedtagne processer og kontroller Skal sikre samlet opnåelse af de definerede kontrolmål Implementering, drift og governance 9
Plesner Plesner Advokatfirma Amerika Plads 37 2100 København Ø Denmark T: +45 33 12 11 33 Fax: +45 33 12 00 14 CVR: 42 93 85 13 www.plesner.com Informationerne i denne præsentation er af generel karakter og er ikke at forveksle med juridisk rådgivning. Anvendelse af præsentationens informationer sker på eget ansvar. Du er velkommen til at kontakte Plesner ved behov for rådgivning.