DPO ens rolle i praksis. 13. Juni 2016 Advokat Lars Japp Haslund



Relaterede dokumenter
Rollen som DPO. September 2016

Persondataforordningen Data Protection Officer. Advokat, Marie Albæk Jacobsen

Data Protection Officer (DPO): DPO-krav og outsourcing af DPO-rollen

Overblik over persondataforordningen

Hvorfor er informationssikkerhed et ledelsesansvar?

Data Protection Officer: krav og outsourcing af DPO-rollen. Uddannelsesdagen 2017

Den nye persondataforordning. 2. februar 2017

Plesner Certifikat i Persondataret

Databeskyttelsesrådgiver/DPO. artikel 37-39

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Databeskyttelse i den almene sektor en digital fremtid. 30. august 2018

Persondataforordningen

Overblik over persondataforordningen

Forberedelser forud for EU s databeskyttelsesforordning. 12 spørgsmål som dataansvarlige allerede nu med fordel kan forholde sig til

Den nye persondataforordning. Hvordan kommer du i gang?

Data Protection Officer Til lægemiddelindustrien og sundhedssektoren

Databeskyttelsesdagen

Persondataforordningen & kommuner. Vejle, 5. maj 2015 Advokat, partner Nis Peter Dall. Baseret på persondatadirektivet (fra 1995)

Den nye persondataforordning. 17. maj 2016

Persondataretlig compliance - Hvordan bliver din organisation klar?

Persondata og sikkerhedsbrud

Notat. Databeskyttelsesrådgiver. Anvendelsesområde. Formål. Definitioner. Retningslinje om databeskyttelsesrådgivere. Danske Gymnasiers medlemsskoler

Retningslinje om databeskyttelsesrådgivere

Handlingsplan for bedre behandling af fortrolige oplysninger om personer og virksomheder

Retningslinje om databeskyttelsesrådgivere

Praktisk persondatacompliance

Persondataforordningen den 20. februar 2018

2) Vurderingskriterier og løsningsformat for din løsning, som skal udfyldes og sendes til senest 26. oktober.

Til Økonomi- og Indenrigsministeriet 18. september 2017

WP243 BILAG OFTE STILLEDE SPØRGSMÅL

General Data Protection Regulation

Persondataforordningen - set med danske øjne

BPO og IT-outsourcing. Ved persondataspecialist Charlotte Bagger Tranberg

for meddelelse af kreditformidleres grænseoverskridende virksomhed i henhold til boligkreditdirektivet

EU s persondataforordning. Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse

Webinar om Persondataforordningen. 10. april :30-10:15 Advokat Lars Japp Haslund

Persondataretlig compliance i praksis. Uddannelsesdagen 28. maj 2015 v/ partner Thomas Munk Rasmussen og partner Mikkel Friis Rossa

EU GDPR Endnu en Guide

GML-HR A/S CVR-nr.:

RÅDET FOR DIGITAL SIKKERHED

Få en globalt anerkendt persondatacertificering

Kommissorium for Revisionsudvalget i Spar Nord Bank A/S

Arbejdsmiljøgruppens problemløsning

Samarbejdsaftale mellem Finanstilsynet og Forbrugerombudsmanden vedrørende finansielle virksomheder

Stormøde om databeskyttelsesforordningen 9. februar 2017

Data Protection Officer Til lægemiddelindustrien og sundhedssektoren

Retningslinjer om brud på persondata

Bilag 8. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

Persondata fra en it-vinkel. Dansk Fjernvarme

Få en globalt anerkendt persondatacertificering

PERSONDATAFORORDNINGEN STATUS???? OG ER DER NOGET NYT I DEN?

TEMAMØDE 16. MARTS 2016

PERSONDATAKONFERENCEN - FORORDNINGENS DOKUMENTATIONSKRAV. Advokat Pia Kirstine Voldmester

Accountability Hvad kan vi lære af den finansielle sektor

Persondataforordningen. Henrik Aslund Pedersen Partner

Grab n Go: Session 2 EU s persondataforordning og hvad så?!? 17. marts 2016

Kommissorium for Revisionsudvalget. Juni 2016

Brud på datasikkerheden

Introduktion til persondataforordning

Stormøde om databeskyttelsesforordningen - og betænkning nr juni 2017

Retningslinje om brud på persondatasikkerhed Skanderborg Gymnasium ANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2

Aftale vedrørende fælles dataansvar

Overblik over Justitsministeriets betænkning og de væsentligste ændringer i persondataforordningen

Retningslinjer om brud på persondatasikkerheden

Plesner Certifikat i Persondataret

UDKAST til Værdighedspolitik. (Orange silhuetter kommer)

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

Persondataforordningen...den nye erklæringsstandard

KOMMISSIONENS DELEGEREDE FORORDNING (EU) / af

Cirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer

HAR DIN VIRKSOMHED STYR PÅ GDPR? v/ Advokat Henrik Mansfeldt Witt & Advokatfuldmægtig Majbritt Alemany

KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER. Forslag til RÅDETS AFGØRELSE

KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER. Forslag til RÅDETS FORORDNING

1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?

DATABEHANDLERAFTALE. er dags dato indgået databehandleraftale på følgende vilkår og betingelser:

Midtfyns. Gymnasium. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

Retsudvalget REU Alm.del endeligt svar på spørgsmål 104 Offentligt

Retningslinjer om brud på persondatasikkerheden

Tjekliste til arbejde med persondata. Branchefælleskab for Intelligent Energi

Persondatapolitik for Aabenraa Statsskole

Persondatapolitik Vordingborg Gymnasium & HF

DATABEHANDLERAFTALE. Omsorgsbemanding

Formål. Definitioner. ø Retningslinjer om brud på datasikkerheden Anvendelsesområde

Lector ApS CVR-nr.:

GENEREL KRAVSPECIFIKATION TILLÆG

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

DPO-uddannelsen 2018

DATABEHANDLERAFTALE Databehandleren skal overholde Persondataloven og Persondataforordningen, samt heraf afledt national lovgivning.

Plan og Handling CVR-nr.:

Persondata politik for GHP Gildhøj Privathospital

Persondatapolitik for Tørring Gymnasium 2018

Forslag til RÅDETS FORORDNING

Skema for Lovpligtig redegørelse om god fondsledelse, jf. årsregnskabslovens 77 a for Den Danske Naturfond.

Indhold. Fremtidens Data Protection Officer 3. Uddannelsens opbygning 4. MODUL 1 Din rolle som DPO 5. MODUL 2 Grundlæggende persondataret 6

Lovpligtig redegørelse om god fondsledelse

Agenda. Præsentation af Thomas Riisager Persondataforordningen de vigtigste punkter. Pause

Komiteen for Sundhedsoplysning CVR-nr.:

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

EU GDPR og IT-sikkerhedsløsninger v/jørgen Hartig

Transkript:

DPO ens rolle i praksis 13. Juni 2016 Advokat Lars Japp Haslund

2 DPO ens rolle i praksis 1 2 3 4 ROCKWOOL Group Data Privacy Compliance project DPO hvornår og hvorfor DPO ens rolle i praksis

1 ROCKWOOL Group ROCKWOOL GROUP Part of the solution in more ways than you can imagine Insulation business Systems business Building insulation Acoustic ceilings and wall systems Industrial & technical insulation for process industry, marine External cladding systems and offshore Horticultural substrate solutions Customised solutions for industrial applications Engineered fibres solutions e.g. for the automotive industry Wall systems (External Thermal Insulation Composite Systems) Noise and vibration control 3

1 ROCKWOOL Group ROCKWOOL GROUP The world s leading supplier of innovative stone wool products and systems IN NUMBERS STONE WOOL FACTORIES COUNTRIES WE OPERATE IN EMPLOYEES WORLDWIDE 28 4 37 App10,600

2 Data Privacy Compliance project 5 W H Y Build a Privacy Compliance Setup in Group to support integrity focus, avoid loss of brand value/pr risks and also avoid financial and legal risks. Integrity ensure legal and ethical compliance with privacy regulation W H A T International data transfer - Implementation of Binding Corporate Rules (BCRs) Digitalisation - will be a cornerstone in increased digitalization of organisation Ready for GDPR - needs no further introduction W H E N 2015 2016 2017 2018 25. Maj 2018

3 DPO hvornår og hvorfor 6 DPO skal, vil eller bør virksomheden have én? 1. Skal organisation have en DPO efter GDPR? 2. Bør organisationen alligevel have en? Vil organisationen af andre kommercielleforretningshensyn? 3. BCR: medfører krav om DPO! 4. Catch 22: Beslut DPO så tidligt i processen som muligt. Muliggør at DPO kan være med i arbejdet med at kortlægge behandlingsaktiviteter og få baggrundsviden. 5. HR og medarbejder fastholdelse privacy is the new black 6. Hvis større (global) virksomhed, vil DPO uanset om det hviler på GDPR eller BCR ikke meningsfuldt være et one man band. 7. Måske har du som DPO en allerede kollegaer ude i koncernen, da DPO er lovpligtigt visse steder eller giver fordele i fht. tilsynsprocesser. 8. Måske skal rollen outsources? Måske bare for visse enheder?

4 DPO ens rolle i praksis 7 DPO i praksis = multi-talent?! Uanset om DPO sidder i IT, Legal, HR så får du brug for alle dine talenter 1. Projektleder budgetter, leverancer og eksterne leverandører mv i implementering 2. Driftsansvarlig post-implementering for data privacy område 3. Stakeholder management med respekt for the cultural prism i globale organisationer 4. DPO skal være kendt og respekteret i organisationen. Både i C-suite og i alle øvrige samarbejdsrelationer 5. Faglig reference for Global DPO-organisation 6. Trusted advisor (Være kreativ og forretningsorienteret) og watch dog for data privacy 7. Bistå med DPIA 8. Undervise og træne kollegaer. Sætte fokus på privacy awareness 9. Følge regulatoriske ændringer såvel som ændringer i best practices vedr. informationssikkerhed 10. Rapportere, dokumentere og kontrollere politikker og processer 11. Administrere hændelser, brud på persondatasikkerheden og underretninger af tilsynsmyndigheden 12. Sikre egen løbende uddannelse i persondataret, IT sikkerhed og compliance management.

8 Kontakt Lars Japp Haslund Senior Associate, Attorney-at-law (CIPP/E) Copenhagen IP & Technology T +45 72 27 34 52 M +45 25 26 34 52 E lajh@bechbruun.com København Danmark Aarhus Danmark Shanghai Kina T +45 72 27 00 00 www.bechbruun.com

BACKUP SLIDES 9

10 Forordningens DPO-krav Person med ekspertise i databeskyttelsesret og -praksis bistå den dataansvarlige eller databehandleren med at overvåge, at forordningen overholdes internt (præambel pkt. 97) Sådanne DPO er bør, uanset om de er ansat hos den dataansvarlige eller ej, være i stand til at udøve deres hverv på uafhængig vis (præambel pkt. 97) Informationsforpligtelsen efter artikel 13 og 14 omfatter også kontaktoplysninger for den eventuelle DPO Dataansvarliges og databehandleres fortegnelse over behandlingsaktiviteter skal også omfatte navn og kontaktoplysninger for evt. DPO (artikel 30, stk. 1, litra a og stk. 2, litra a) Anmeldelse af sikkerhedsbrud til tilsynsmyndigheden skal angive navn og kontaktoplysninger for DPO en (eller et andet kontaktpunkt) (artikel 33, stk. 3, litra b) I forbindelse med gennemførelse af konsekvensanalyse vedr. databeskyttelse (PIA) er den dataansvarlige forpligtet til at rådføre sig med DPO en (artikel 35) I situationer, hvor der er krav om forudgående høring af tilsynsmyndigheden skal DPO ens kontaktoplysninger angives, hvis det er relevant (artikel 36)

11 Udpegning af DPO Hvilke organisationer (både dataansvarlige og databehandlere) skal have en DPO (artikel 37)? Offentlige myndigheder (undtagen domstole) Private virksomheder, hvis kerneaktivitet består af omfattende databehandling, som kræver regelmæssig og systematisk overvågning af den registrerede i stort omfang Private virksomheder, hvis kerneaktivitet består af behandling i stort omfang af følsomme personoplysninger eller oplysninger om straffedomme og straffelovsovertrædelser Koncern kan udpege én fælles DPO alle etableringer have let adgang til DPO en Flere offentlige myndigheder/organer kan udpege fælles DPO i overensstemmelse med struktur og størrelse National ret eller EU-ret (specielle områder) kan fastsætte andre krav til udpegning af DPO Øvrige organisationer kan udpege DPO medlemsstaterne kan lave særregler Alle organisationer bør forankre arbejdet med persondata hos en DPO/databeskyttelsesansvarlig

12 Generelle krav vedr. DPO Udpegning på grundlag af faglige kvalifikationer og ekspertise inden for persondatalovgivning og -praksis samt evner til at udføre opgaver oplistet i forordningens artikel 39 Kan både være medarbejder hos den dataansvarlige og ekstern Kontaktoplysninger på DPO en skal offentliggøres og meddeles til tilsynsmyndigheden DPO en skal tilstrækkeligt og rettidigt inddrages i alle spørgsmål vedrørende beskyttelse af personoplysninger DPO en skal støttes i udførelsen af sine opgaver tilvejebringelse af nødvendige ressourcer til gennemførelse af opgaver, opretholdelse af DPO s ekspertise og adgang til personoplysninger og behandlingsaktiviteter DPO en skal være de registreredes point of contact i alle spørgsmål vedr. behandling af deres oplysninger og udøvelse af deres rettigheder i henhold til forordningen

13 Generelle krav vedr. DPO Den dataansvarlige/databehandleren sikre, at DPO en ikke modtager instrukser vedr. udførelsen af sine opgaver Ikke afskediges eller straffes af dataansvarlig/databehandler for at udføre sine opgaver (ikke en egentlig beskyttet stilling) Rapportere direkte til øverste ledelsesniveau (C-level stilling (CPO)) DPO en underlagt tavshedspligt/fortrolighed vedrørende udførelsen af sine opgaver (i overensstemmelse med EU-ret/lovgivningen i en medlemsstat) DPO en kan udføre andre opgaver/pligter sikre mod interessekonflikt BCR-politik skal indeholde beskrivelse af DPO ens opgaver

14 DPO ens opgaver Opgaver (minimumskrav) (artikel 39): Underretning og rådgivning af dataansvarlig /databehandler/ansatte om forpligtelser i henhold til forordningen og andre bestemmelser vedr. databeskyttelse (EU/nationalt) Overvåge overholdelse af forordningen, EU/nationale regler om databeskyttelse og dataransvarliges/databehandlers regler om beskyttelse af personoplysninger (fordeling af ansvar, oplysningskampagner og uddannelse af relevant personale tilhørende revisioner) Kontrollere den dataansvarliges/databehandlerens gennemførelse af PIA og dens efterfølgende opfyldelse Samarbejde med og være kontaktpunkt for de relevante tilsynsmyndigheder (bl.a. høre tilsynsmyndigheden, når det er nødvendigt) DPO tage behørigt hensyn til risiko forbundet med behandlingsaktiviteter under udførelsen af sine opgaver (karakter, omfang, kontekst, formål) Retningslinjer for den dataansvarliges eller databehandlerens gennemførelse af passende foranstaltninger og for påvisning af dennes overholdelse af bestemmelserne, navnlig for så vidt angår identificering af risikoen i forbindelse med behandlingen, vurdering heraf med hensyn til deres oprindelse, karakter, sandsynlighed og alvor og identificering af bedste praksis med henblik på at mindske denne risiko, kan især opstilles gennem en databeskyttelsesansvarliges anvisninger (eller via godkendte adfærdskodekser, godkendte certificeringer eller retningslinjer fra Det Europæiske Databeskyttelsesråd) (præambel pkt. 77)

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback