EU-dataforordningen hvad er formålet og hvad skal du gøre?

Relaterede dokumenter
SISCON årskonference 2016 Bella Sky Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting. Vi skaber muligheder & realiserer potentialet sammen

Forstå de nye krav til databehandling og lær at afkræfte myter om persondata

Konsekvensanalyser i praksis: hvorfor, hvornår og hvordan

VELKOMMEN TIL. ERFA-MØDE 14. juni 2016

Deloitte, Finansagenda 2015 Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting. Vi skaber muligheder & realiserer potentialet sammen

Struktureret Compliance. EU-GDPR eftersyn

Persondata politik for GHP Gildhøj Privathospital

Ejendomsforeningen Danmark Administratorkonference Status på persondataforordning

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

Per Løkken, Partner. CAMPUS November 2018

Persondataforordningen. Henrik Aslund Pedersen Partner

Persondatapolitik Vordingborg Gymnasium & HF

GDPR projekt papirtiger Med det rette overblik

Persondatapolitik for Aabenraa Statsskole

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

Struktureret compliance. 9 måneder med GDPR-compliance krav hvordan er det gået?

GDPR projekt papirtiger. - Med det rette overblik

Persondatapolitik for Tørring Gymnasium 2018

Privatlivspolitik for

N. Zahles Skole Persondatapolitik

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

Privatlivspolitik for Psykologisk Praksis Camilla Schrøder

Privatlivspolitik for Psykolog Stig Jensen

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

Organisatorisk og teknisk implementering af GDPR i Rigsarkivet. Fagligt forum 3. september 2019 Jan Dalsten Sørensen Rigsarkivet

Persondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.

Persondatapolitikken er godkendt på VUC Roskildes bestyrelsesmøde den 7 juni 2018.

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

Persondatapolitik på Gentofte Studenterkursus

Privatlivspolitik for Fyns Psykologpraksis

Privatlivspolitik for Psykologcentret Trekanten I/S

BAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4

Persondatapolitik for Odense Katedralskole

Privatlivspolitik. for SUN DESIGN A/S.

VELKOMMEN TIL ERFA-MØDE 8. juni 2017

Privatlivspolitik for

Privatlivspolitik for Zieglersoft.

Privatlivspolitik for

Procedure for håndtering af personoplysninger - GDPR Denne udgave: /TW

Privatlivspolitik for Vejle Rejser ApS.

Privatlivspolitik for LTECH A/S

Persondataforordningen. Hvad kan vi bruge KITOS til?

POLITIK FOR DATABESKYTTELSE

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106.

Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den

Ny persondataforordning

GML-HR A/S CVR-nr.:

Sådan arbejder. SprogGruppen med. Persondataforordningen. Indholdsfortegnelse

Tilsyn med Databehandlere

PERSONDATA & PERSONDATAORDBOG

Behandling af personoplysninger

Persondatapolitikken er godkendt på Vesthimmerlands Gymnasium og HF s bestyrelsesmøde den 25. juni 2018

Persondataforordningen...den nye erklæringsstandard

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Databeskyttelsespolitik

BILAG 3.2 FÆLLES DATAANSVARSAFTALE

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I. INDHOLDSFORTEGNELSE: 1. Generelt... 2

EU Persondataforordning GDPR

PERSONDATAPOLITIK FOR DANSK TOURETTE FORENING

Privatlivspolitik for Det Våde Får/Tolykkegård

Politikken beskrivelser hvordan vi behandler persondata om vores medlemmer og netværk.

Privatlivspolitik for NEWWWEB ApS

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

Ecofleet. Persondataforordningen Kort fortalt. Del 1. Peter Dam Nordic Project Manager

Databeskyttelsesdagen

Privatlivspolitik for Presentiapsykologerne A/S

Persondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017

Privatlivspolitik for TechMedia A/S

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Privatlivspolitik for Molis ApS

Kortlægning af dataflows og konsekvensanalyse

PERSONDATAPOLITIK FOR AXIS

PERSONDATAFORORDNINGEN APRIL 2018

Standardvilkår. Databehandleraftale

Lector ApS CVR-nr.:

Vi sikrer, at dine personoplysninger behandles i overensstemmelse med gældende persondatalovgivning.

Hillerød Spildevand A/S

Præsentation Tid +/- 25 minutter i praktik

Det skal du have styr pa inden 2018

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Introduktion til persondataforordning

Privatlivspolitik og databehandling i Klinikken Psykolog Allan Blaabjerg

Databeskyttelse i den almene sektor en digital fremtid. 30. august 2018

INTERN HR PERSONDATAPOLITIK FOR LIONS MD106. Nærværende gælder for MD 106, dvs. alle ansatte og medlemmer i Lions MD 106.

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

Persondatapolitik i Dansk Oplysnings Forbund

GDPR - Bryder verden sammen efter den 25. maj?

EN DAG OM PERSONDATAFORORDNINGEN. STU Foreningen. 7. december 2017

Kontaktoplysninger FysioDanmark Holstebro er dataansvarlig, og vi sikrer, at dine persondata behandles i overensstemmelse med lovgivningen.

PERSONDATAPOLITIK FOR BEHANDLING OG BESKYTTELSE AF PERSONOPLYSNINGER I UDENRIGSMISTERIET

Velkommen til seminar om Persondataforordningen. Den 16. maj 2018.

Komiteen for Sundhedsoplysning CVR-nr.:

Oplysning om behandling af personoplysninger om dig i medfør af databeskyttelsesforordningen artikel 13.

Privatlivspolitik for frivillige

Skau Reipurth & Partnere Advokatpartnerselskab FORTEGNELSE OVER BEHANDLINGSAKTIVITER. Dataansvarlig: Databehandler: Udarbejdet: Næste revision:

One year with GDPR - one year to come

ERFA-MØDE 8. & 15. dec. 2016

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

Transkript:

EU-dataforordningen hvad er formålet og hvad skal du gøre? IDA Driving IT 4. november 2016 Birgitte Kofod Olsen, partner, Ph.d., Carve Consulting Vi skaber muligheder & realiserer potentialet sammen

Præsentation Birgitte Kofod Olsen Jurist (1991) med Ph.D.-grad i biometri og privatlivsbeskyttelse (1998) Partner og medejer af Carve Consulting CSR-chef i Tryg 2009-14 Vicedirektør, afdelingsleder og forsker i Institut for menneskerettigheder 1994-2009 Ekstern lektor, gæsteforelæser, censor og PhD-bedømmer på Københavns Universitet, Roskilde Universitet, Århus Universitet, Ålborg Universitet, Copenhagen Business School, BI Norwegian Business School 1999- Forskningssamarbejde med DTU og SDU, 2016 Medlem af repræsentantskabet i Foreningen Nordea Liv og Pension, 2016- Modtog prisen som Årets Erhvervskvinde i 2014 Medlem af Ligebehandlingsnævnet 2015- Optaget i Kraks Blå Bog i 2013. Medstifter af tænke-handle-tanken Dataethics 2015 Formand for Rådet for Digital Sikkerhed 2012-2015 Bestyrelsesformand for Ungdomsbyen 2016, næstformand 2007-15 Bestyrelsesformand for teatrene Danskdansk og Teatergrad 2012-2

3

Dataethic 4

EU Dataforordningens formål 5

IMPLEMENTERING Datasubjektet har ret til kontrol med egne data Jeg bestemmer over min krop mine ting mine penge data om mig Retten til respekt for privatliv Enhver har ret til respekt for sit privatliv, familieliv,hjem og korrespondance Retten til beskyttelse af data Enhver har ret til beskyttelse af persondata, der vedrører ham eller hend Derfor skal du spørge mig om lov, hvis du vil bruge mine data fortælle, hvorfor og til hvad, mine data skal bruges til fortælle, hvem der ellers ser dem fortælle, hvis du mister dem -

IMPLEMENTERING af persondatabeskyttelse som grundrettighed EU direktiv om persondatabeskyttelse 1995 EU Charter for grundlæggende rettigheder 2000 EU Traktaten Lissabon 2009 EU forordning om persondatabeskyttelse 2018 Persondataloven 1995 Registerlovene 1978/79 Grundloven 1849 72 FN s Konvention om civile og politiske rettigheder 1966 FN s Verdenserklæring 1948 Europarådets Konvention om databeskyttelse 1981 Europarådets Europæiske Menneskerettighedskonvention 1953 OECD retningslinjer for persondata- Beskyttelse 1980 7

TILLID Oplevelse af manglende egen-kontrol 67% europæere er bekymrede over ikke at have kontrol over de oplysninger de afgiver online

VÆKST Et Forretningstilpasset perspektiv Forretningsudvikling Regelforenkling Konkurrenceforhold Fokus på risiko

KONCEPT Grundprincipper for databeskyttelse EU persondataforordningen er baseret på fire grundprincipper: Databeskyttelse som rettighed: Beskyttelsesværnet er givet til individet i form af kunden, forbrugeren og medarbejderen. Den enkelte person skal kunne kontrollere sine egne data og som udgangspunkt bestemme, hvad data om vedkommende kan anvendes til. Livscyklus: Databeskyttelsen skal være effektiv fra indsamling til sletning Individets rettigheder Information Valg og samtykke Adgang til data Retten til at blive glemt Kontrol med informationer Informationssikkerhed Kvalitet Evaluering Kontrol Data livscyklus Indsamling Brug og opbevaring Videregivelse Sletning Ledelse Risikostyring Administration Monitorering Håndhævelse Kontrol: Den dataansvarlige og databehandlere skal sikre dataenes integritet, troværdighed, tilgængelighed og kvalitet Ledelse: Den dataansvarlige og databehandlere skal sørge for organisatorisk og teknisk parathed og robusthed

Hvad gør du? Kortlæg Vurdér Implementér Evaluér Tilpas 11

4 FOKUSOMRÅDER Databeskyttelsespolitik Adfærdskodeks Retningslinjer Procedurer and processer Dokumentation Databehandleraftale Databeskyttelsesrådgiver Konsekvensanalyse - Data Protection Impact Assessment, DPIA Databehandling Databehandlingsbetingelser Lovligt grundlag: samtykke, lovkrav, kontrakt, tungere vejende intereseer Overførsel til tredjeland Oplysning om behandling og videregivelse Adgang til data Berigtigelse og sletning Nej til profilering Dataportabilitet Tilgængelighed Fortrolighed Integritet Robusthed Adgang Sikkerhed Dataansvarlighed Datarettigheder

DATAANSVARLIGHED Opfylder vi kravet om lovlig, rimelig og transparent databehandling? Til passende organisatoriske og tekniske foranstaltninger? Og hvordan kontrollerer vi det? KULTUR Parathed gennem information og uddannelse DOKUMENTATION af behandlingsaktiviteterne Behovet for DATABESKYTTELSES- RÅDGIVER DPIA KOMPETENCER Kendskab til behandlingskravene LEVERANDØRER Styring via databehandleraftaler, kravsspecifikationer og kontrol INTERN REGULERING Politik Procedurer Processer Kontroller AMBITION Niveaet for compliance, robusthed og dataetik LEDELSE Styring af risiko, monitorering og håndhævelse REGULERING Anvendte standarder

DATABEHANDLING Har vi styr på opfyldelse af behandlingskravene? FORMÅL Data må kun indsamles til bestemte formål MINIMERING Data skal være nødvendige, tilstrækkelige og relevante RIGTIGHED Data skal være opdaterede og korrekte SLETNING Data må kun opbevares så længe, det er nødvendigt LOVLIGT GRUNDLAG Data må kun behandles, hvis der er samtykke, lovkrav eller andet lovligt grundlag

DATARETTIGHEDER Kan vi imødekomme datasubjektets krav om brug af vedkommendes datarettigheder?

BEHANDLINGSSIKKERHED Hvad er passende tekniske og organisatoriske foranstaltninger og et passende sikkerhedsniveau hos os? Beskyttelse Beredskab Selvevaluering Hvilke sikkerhedstiltag er relevante? Hvordan sikrer vi vores behandlingssystemer i forhold til: Hvordan sikrer vi at vores tekniske og organisatoriske foranstaltninger er effektive? EU-GDPR Pseudonymisering Fortrolighed Afprøvning Anonymisering Integritet Vurdering Kryptering Tilgængelighed Evaluering Robusthed

KOM GODT I GANG Få styr på dine dataflows og din risiko! 17

KORTLÆGNING AF DATAFLOWS Hvilke data indhenter vi i de enkelte forretningsområder/funktionsområder? Hvilke datatyper behandler vi? er de almindelige, kumulerede eller følsomme? Hvem videregiver vi data til? bruger vi leverandører? kender vi deres underleverandører? Overfører vi data til tredjeland? er behandlings eller opbevaringsfunktionen outsourcet? Mail Samtale Office 365 Rekruttering Personlighedstest Online registrering HR Brug af headhunter Click trace Annoncering Modtagelse af ansøging Forretningsområde Funktionsområde Proces Sys

DPIA: RISIKOVURDERING Hvad er risikoen for, at vi påvirker datasubjektet negativt gennem vores databehandling? Hvad er sandsynligheden for, at risikoen indtræder? Hvad kan vi gøre for at eliminere, reducere eller forebygge risikoen? Direkte negativ effekt for datasubjektet Fysisk, materiel eller moralsk skade Diskrimination Identitetstyveri og bedrageri Finansielle tab Skade på omdømme Tab af fortrolighed Økonomiske eller sociale ulemper Begrænsning i udøvelsen af rettigheder og friheder Begrænsning i udøvelse af kontrol over persondata Indirekte negativ effekt for datasubjektet Afdækning af oplysninger om race, etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, medlemskab af fagforening og om sundhed, sexliv samt strafbare forhold Profilering til forudsigelse af fx arbejdsindsats, økonomisk situation, sundhed, personlige præferencer eller interesser, troværdighed og adfærd, lokation eller bevægelser Behandling af persondata om udsatte grupper, herunder børn Behandling af data i stor skala, der har effekt I forhold til et stort antal datasubjekter Negativ effekt pga sikkerhedshændelse Uautoriseret afpseudonymisering Hændelig eller ulovlig destruktion, tab eller ændring af data Uautoriseret offentliggørelse af persondata Uautoriseret adgang til persondata under transmission, opbevaring eller anden behandling 19

20

Redskaber PrivacyKompasset - Indeholder test med 34 spørgsmål - Giver adgang til at generere en privatlivspolitik https://privacykompasset.erhvervsstyrelsen.dk/ DI Vejledning Persondataforordningen implementering i danske virksomheder https://digital.di.dk/sitecollectiondocuments/vejledninger/persondataforord ningen/vejledning%20om%20persondataforordningen%20med%20bilag.pdf Digitaliseringsstyrelsens Guide til konsekvensvurdering af privatlivsbeskyttelsen file:///c:/users/bko/downloads/guide%20til%20konsekvensvurdering%20af %20privatlivsbeskyttelsen_ver3%20(6).pdf ControlManager redskab til monitorering af informationssikkerhed http://siscon.dk/ 21

Læsestof Whitepaper: EU s forordninge om persondatabeskyttelse Whitepaper: Kend dine dataflows http://dataethics.eu/viden/analyser/ 22

Kontakt information Birgitte Kofod Olsen Partner, phd Carve Consulting Nørre Voldgade 11, 2. sal 1358 København K +45 25 26 09 03 bko@carve.dk Carve.dk 23

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback