Persondataforordningen. Henrik Aslund Pedersen Partner



Relaterede dokumenter
Persondataforordningen...den nye erklæringsstandard

Overblik over persondataforordningen

Per Løkken, Partner. CAMPUS November 2018

N. Zahles Skole Persondatapolitik

Standardvilkår. Databehandleraftale

PERSONDATALOVEN - UDFORDRINGER. Birthe Boisen, Juridisk Konsulent Tlf

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Introduktion til persondataforordning

Overblik over persondataforordningen

September Indledning

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Bilag 8. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

Den nye persondataforordning. 17. maj 2016

Procedure for håndtering af personoplysninger - GDPR Denne udgave: /TW

Hvad betyder den nye persondataforordning for udvikling og brug af digitale sundhedsløsninger, og hvem har ansvaret for overholdelse?

Persondatapolitik for Aabenraa Statsskole

Brud på datasikkerheden

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

Persondatapolitik for Tørring Gymnasium 2018

Persondata politik for GHP Gildhøj Privathospital

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

Formål. Definitioner. ø Retningslinjer om brud på datasikkerheden Anvendelsesområde

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

Retningslinje om brud på persondatasikkerhed Skanderborg Gymnasium ANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2

Skau Reipurth & Partnere Advokatpartnerselskab FORTEGNELSE OVER BEHANDLINGSAKTIVITER. Dataansvarlig: Databehandler: Udarbejdet: Næste revision:

Midtfyns. Gymnasium. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

Retningslinjer om brud på persondata

Persondatapolitik Vordingborg Gymnasium & HF

Persondataforordningen AbMano

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

Personoplysninger. Jens Hørlück

Retningslinjer om brud på persondatasikkerheden

Persondataforordningen & kommuner. Vejle, 5. maj 2015 Advokat, partner Nis Peter Dall. Baseret på persondatadirektivet (fra 1995)

Bliv klar til Persondataforordningen

Politik for beskyttelse og behandling af personoplysninger

BAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4

Grab n Go: Session 2 EU s persondataforordning og hvad så?!? 17. marts 2016

DanDomain A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

Den nye persondataforordning. 2. februar 2017

Persondatapolitik på Gentofte Studenterkursus

Retningslinjer om brud på persondatasikkerheden

Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den

Surftown A/S. Regionsgolf-Danmark DATABEHANDLERAFTALE. Databehandleraftalen foreligger mellem. Regionsgolf-Danmark.

Databehandleraftale

Regler om persondata Koordinatormøde den 28. nov. 2017

FORTEGNELSE OVER BEHANDLINGSAKTIVITER. Dataansvarlig: Databehandler: Område: Udarbejdet: Næste revision:

Persondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106.

EN DAG OM PERSONDATAFORORDNINGEN. STU Foreningen. 7. december 2017

POLITIK FOR DATABESKYTTELSE

Thea Præstmark WW W W W.SKA W UR.SKA EIP UR UR EIP TH UR. TH C. OM C

Persondataforordningen den 20. februar 2018

Databeskyttelse i den almene sektor en digital fremtid. 30. august 2018

Det skal du have styr pa inden 2018

DATABEHANDLERAFTALE

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

Behandling af personoplysninger

Ecofleet. Persondataforordningen Kort fortalt. Del 1. Peter Dam Nordic Project Manager

Persondataforordningen

PERSONDATA - HVAD ER DET FOR NOGET OG HVORDAN BRUGES DET?

EU Persondataforordning GDPR

Persondatapolitik for Odense Katedralskole

Persondatapolitikken er godkendt på VUC Roskildes bestyrelsesmøde den 7 juni 2018.

IT-Ansvar God skik og ansvarlighed. Persondataforordningen. Jørgen Granborg

HJULMANDKAPTAIN PERSONDATA REGLER OG IMPLEMENTERING. OPLÆG TIL DANSKE BUSVOGMÆND DEN 29. NOVEMBER 2017 Advokat Karina Søndergaard

6.1 Introduktion. Af Jeppe Høyer Jørgensen, LETT Advokatpartnerselskab Indhold. Denne artikel har følgende

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Overblik over Justitsministeriets betænkning og de væsentligste ændringer i persondataforordningen

PERSONDATAFORORDNINGEN STATUS???? OG ER DER NOGET NYT I DEN?

Privatlivspolitik. Odense LMU

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi


BILAG 3.2 FÆLLES DATAANSVARSAFTALE

DATABEHANDLERAFTALE. Conscia A/S. Conscia A/S Kirkebjerg Parkvej 9 DK-2605 Brøndby Tlf

Tjekliste til arbejde med persondata. Branchefælleskab for Intelligent Energi

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I. INDHOLDSFORTEGNELSE: 1. Generelt... 2

Lidt om mig selv. Konsulentstillinger hos hhv. KMD og WM-data. Uddannelse: Data Protection Officer, IT & digitaliseringsledelse, Cand. Merc.

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Er du klar til den nye Persondataforordning?

Persondataforordningen

1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?

Retningslinje om fortegnelser over behandlingsaktiviteter

Derudover må personoplysninger i fysiske mapper kun tilgås af personer, der har et formål med at kunne tilgå de pågældende personoplysninger.

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

Persondata, compliance og datasikkerhed. Ved Charlotte Bagger Tranberg

Rammer og vilkår for brug af data. 25. oktober 2016 Afdelingschef Birgitte Drewes,

Privatlivspolitik. for Odense LM

Persondatapolitikken er godkendt på Vesthimmerlands Gymnasium og HF s bestyrelsesmøde den 25. juni 2018

Forberedelser til implementering af EU forordningen om beskyttelse af personoplysninger

INTERN HR PERSONDATAPOLITIK FOR LIONS MD106. Nærværende gælder for MD 106, dvs. alle ansatte og medlemmer i Lions MD 106.

PERSONDATAPOLITIK 1. INTRODUKTION

Retningslinje om fortegnelser over behandlingsaktiviteter

Gå-hjem-møde Persondataforordning

Bekendtgørelse om opgaver og ansvar for behandlingen af personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse

Transkript:

www.pwc.dk Persondataforordningen Morgenmøde Henrik Aslund Pedersen Partner Revision. Skat. Rådgivning.

Hvorfor en ny Persondataforordning? EU persondataforordning - Morgenmøde Hillerød 2

Hvorfor en ny Persondataforordning? Fordi det er vigtigt at skabe den tillid, der gør det muligt, at den digitale økonomi kan udvikle sig Fysiske personer bør have kontrol over deres personoplysninger. 3

Det handler om databeskyttelse Hvem har adgang til hvilke data? (arbejdsbetinget behov) Hvad kan der ske med disse persondata? Authorization Hvor sikre er vi på, at alt foregår som det skal? Hvordan kan vi følge op på om processen og retningslinjerne efterleves? både så vi ved om autoriserede følger reglerne og at uautoriserede ikke opnår adgang Hvornår må der være adgang til persondata? Subject Audit Object 4

Hvad er personoplysninger Hvilke data taler vi om? Enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede). Al information som direkte eller indirekte kan henføres til en given fysisk person Omfatter også oplysninger, som kun særligt indviede personer vil kunne henføre til en given person Loven omfatter kun personoplysninger vedrørende fysiske personer, ikke juridiske personer. Ny klassifikation af data I persondataloven er der i dag 3 niveauer + CPR Det ændres til 2 niveauer - Persondata - Særlige kategorier Særlige kategorier af personoplysninger: Race, etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold, behandling af genetiske data, helbredsoplysninger, oplysninger om seksuelle forhold, straffedomme eller tilknyttede sikkerhedsforanstaltninger. Den nuværende Persondatalov Almindelige ikke-følsomme oplysninger: identifikationsoplysninger, såsom navn, adresse, fødselsdato og e-mail. Fortrolige oplysninger: private forhold, såsom økonomiske og strafbare forhold, sociale problemer og lignende Følsomme oplysninger: race, religiøs og politisk overbevisning, helbredsmæssige og seksuelle forhold. 5

Action Hvad bør virksomhederne gøre nu? Kortlæg omfang af persondata i organisationen Det er processer og modenhed ift. eksisterende persondatalov (As-Is) Vurdering af compliance i forhold til de forventede skærpede krav i forordningen (To- Be) Styrkelse af sikkerhedsniveauet fx ved at se på: Governance og DPO Er der den rette opmærksomhed Håndtering af samarbejdspartnere Aftaler med databehandler Opdagelse og respons på hændelser (sikkerhedshændelser) Teknisk sikkerhedsniveau (arkitektur og beskyttelse). 6

Udpegning af Data Protection Officer (DPO) Krav om udpegning Data Protection Officer pligten skal ikke gælde efter faste tabeller over antal medarbejdere eller antal registrerede men være baseret på en risikovurdering fx Sundhedsdata, personlighedstest, lokationsdata Offentlige virksomheder skal fortsat have en DPO. Private virksomheder, som: foretager behandling som forudsætter jævnlig og systematisk overvågning af personer, eller behandler følsomme oplysninger, lokalitetsoplysninger eller oplysninger om børn og ansatte i store registre I forhold til risici! DPO rolle og ansvar sætter krav til kompetencer fx faglige kvalifikationer, erfaring, certificeringer mv. 7

Udpegning af Data Protection Officer (DPO) Væsentlige opgaver som DPO Den registrerede Den registeransvarlige/ registerføreren Tilsynsmyndigheden Rolle Ombudsmand Operationelt bindeled/kustode Ansvar Opgaver Varetagelse af den registreredes rettigheder. Kontaktpunkt og samarbejdspartner Sikre at forordningens bestemmelser efterleves Rådgivning af den registeransvarlige/ registerføreren. Anmeldelse af brud på persondatasikkerheden. Meddelelse ved brud på persondatasikkerheden. Tilsyn og dokumentation. Intern dokumentation. Samarbejde. 8

Privacy by Default Øget fokus på privatlivsbeskyttelse Princip om databeskyttelse gennem indstillinger/privacy by Default Det betyder bl.a. at: Princippet om indbygget databeskyttelse medfører at persondatabeskyttelse skal være standarden for myndigheder og virksomheder. Privacy er opfyldt ift. forordningen og brugerne aktivt skal vælge det fra! Hvilket er det omvendte af i dag Beskyttelse er en del af forretningsprocesserne - Privacy by Governance og samarbejdsmodel Der indsamles ikke persondata medmindre det er nødvendigt, og brugeren giver sit udtrykkelige samtykke hertil. Det oplyses hvad data skal anvendes til. 9

Privacy by Design Øget fokus på at sikkerhed en del af livscyklussen Princip om indbygget databeskyttelse/privacy by Design Princippet om databeskyttelse gennem indstillinger medfører at virksomheder og myndigheder skal tænke persondatabeskyttelse ind i den tekniske løsning. Det er en livscyklus tankegang (naturlig del af virksomhedens drift), hvor persondata beskyttes ift. fortrolighed (dataklassifikation) i alle behandlingsprocesser. Persondatabeskyttelse begynder i idéfasen og skal risiko- og konsekvensvurderes Design skal kunne favne et kontinuerligt overblik over hvad og hvor indsamlede, behandlede og gemte persondata er og hvordan de er beskyttet. Retten til at blive glemt og dataoverførsel er indarbejdet i designet. 10

Den registreredes ret til at blive glemt Den registrerede har ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, og den dataansvarlige har pligt til at slette personoplysninger uden unødig forsinkelse, Det betyder at forretningsgange, systemer og services i deres design skal kunne favne et kontinuerligt overblik over hvad og hvor indsamlede, behandlede og gemte data er, og at disse data kan slettes. I onlinemiljøet bør retten til sletning udvides, så en dataansvarlig, der har offentliggjort personoplysninger, forpligtes til at få slettet alle links til, kopier af eller gengivelser af disse personoplysninger. Data portability Data overførsel Den registrerede kan bede om at: Få en samlet liste over hvad der er registreret Få flyttet sine data fx fra en udbyder til en anden Dvs. design skal kunne samle informationerne og på struktureret vis overlevere dem til ny part, uden teknologiske barrierer Gælder også for cloud-baserede løsninger. 11

Skærpet underretningspligt Information til den registrerede Den registeransvarlige skal, som minimum, oplyse den registrerede om følgende ved indsamling af personoplysninger om den registrerede: Kontaktoplysninger om den registeransvarlige Behandlingsformål Opbevaringsperiode Den registreredes ret til indsigt Den registreredes ret til berigtigelse Den registreredes ret til at blive glemt og slettet Den registreredes ret til at klage til tilsynsmyndighed Modtager(e) af indsamlede oplysninger Ved videregivelse til tredjeland og/eller international organisation skal det pågældende beskyttelsesniveau oplyses. 12

Skærpet underretningspligt Ved brud på persondatasikkerheden Den registrerede skal underrettes, hvis det forventes at bruddet vil krænke den registrerede. Bruddet skal anmeldes til tilsynsmyndighed denne anmeldelse skal indeholde: Karakteren og konsekvenserne af bruddet. Kategorier og antal af berørte registrerede og registreringer. Kontaktoplysninger på DPO. Anbefalede og eventuelt iværksatte foranstaltninger. Underretning af både den registrerede og tilsynsmyndigheden skal ske uden unødig ophold. 13

Privacy Impact Assessment Udarbejdelse af konsekvensanalyse vedrørende databeskyttelse Konsekvensanalyse skal udarbejdes ved behandling af personoplysninger, som kan indebære specifikke risici for den registreredes rettigheder. Konsekvensanalysen fortæller om risici og konsekvenser = Hvad ønsker vi at beskytte os imod Spændingsfeltet fra ide til realisering/ idriftsætning er hvor design skal tage hånd om: Hvordan vi vil beskyttes os mod de identificerede risici/konsekvenser Det betyder at informationssikkerhed skal være en integreret del af virksomhedens måde at tænke på. Eksempler på spørgsmål/risici Vil projektet indebære indsamling af nye oplysninger om enkeltpersoner? Vil projektet tvinge enkeltpersoner til at give oplysninger om sig selv? Vil oplysninger om enkeltpersoner blive videregivet til organisationer eller personer, der ikke tidligere har haft adgang til oplysningerne? Risici Lider økonomiske tab Mister et job Skade på en persons omdømme Identitetstyveri. 14

Nye sanktionsmuligheder Ny bødestruktur Ved overtrædelse af persondataforordningen gives tilsynsmyndigheden følgende bemyndigelse: - Skriftlig advarsel i tilfælde af førstegangs- og ikke-intentionelle overtrædelser. - Regelmæssige/periodiske databeskyttelsesrevisioner/tilsyn. - Bøde på op til 4 % af den globale omsætning eller 20 mio. EUR, hvad end der er størst. 15

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback