Persondataforordningen -

Relaterede dokumenter
Agenda. Præsentation af Thomas Riisager Persondataforordningen de vigtigste punkter. Pause

EU Persondataforordning GDPR

Databeskyttelsesforordningen i uddannelsessektoren

Persondatapolitik Vordingborg Gymnasium & HF

Persondatapolitik for Tørring Gymnasium 2018

Persondatapolitik for Aabenraa Statsskole

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

Overblik over persondataforordningen

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

DATABEHANDLERAFTALE. Omsorgsbemanding

Bilag 8. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

Persondata politik for GHP Gildhøj Privathospital

Er I klar til den nye persondataforordning?

BAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4

Retningslinjer om brud på persondatasikkerheden

Persondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.

Behandling af personoplysninger

Persondatapolitikken er godkendt på VUC Roskildes bestyrelsesmøde den 7 juni 2018.

Persondatapolitik på Gentofte Studenterkursus

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

Retningslinjer om brud på persondatasikkerheden

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

Persondatapolitik for Odense Katedralskole

1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?

Brud på datasikkerheden

Formål. Definitioner. ø Retningslinjer om brud på datasikkerheden Anvendelsesområde

Retningslinje om brud på persondatasikkerhed Skanderborg Gymnasium ANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2

Databeskyttelsesdagen

Retningslinjer om brud på persondata

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Databehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.

Aftale vedrørende fælles dataansvar

Midtfyns. Gymnasium. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den

Introduktion til persondataforordning

CIR1H nr 9352 af 23/05/2018 (Gældende) Udskriftsdato: 24. maj Senere ændringer til forskriften Ingen. Journalnummer: Kirkemin., j.nr.

PERSONDATAFORORDNINGEN STATUS???? OG ER DER NOGET NYT I DEN?

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

Persondatapolitikken er godkendt på Vesthimmerlands Gymnasium og HF s bestyrelsesmøde den 25. juni 2018

Derudover må personoplysninger i fysiske mapper kun tilgås af personer, der har et formål med at kunne tilgå de pågældende personoplysninger.

Persondataforordningen den 20. februar 2018

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

Cirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer

Persondataforordningen. Hvad kan vi bruge KITOS til?

WinWinWeb Databehandleraftale. Databehandleraftale. Mellem. Den Dataansvarlige: Kunden. Databehandleren: WinWinWeb CVR:

N. Zahles Skole Persondatapolitik

Databehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren.

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Databehandleraftale (Skabelon fra Datatilsynet)

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

DATABEHANDLERAFTALE. er dags dato indgået databehandleraftale på følgende vilkår og betingelser:

Retningslinje om ansvarsfordeling - dataansvarlig vs. databehandler

Bekendtgørelse om opgaver og ansvar for behandlingen af personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse

Bilag 1 Databehandler aftale (v.1.2)

Databehandleraftale. Mellem. Dataansvarlig: Kunden

Databehandleraftale. Mellem. Den dataansvarlige: Kunde hos Alsbogføring. Databehandleren. Alsbogføring.dk ApS. Møllegade Sønderborg.

Retningslinje om fortegnelser over behandlingsaktiviteter

Databehandleraftale (v.1.1)

BILAG 14: DATABEHANDLERAFTALE

Databehandleraftale. Mellem. Den dataansvarlige: Databehandleren. Ribe Mediehus CVR Industrivej Ribe. Danmark

Persondataforordningen Data Protection Officer. Advokat, Marie Albæk Jacobsen

3 Omfattede typer af personoplysninger og kategorier af registrerede

Kontraktbilag 3. Databehandleraftale

GML-HR A/S CVR-nr.:

DATABEHANDLERAFTALE Databehandleren skal overholde Persondataloven og Persondataforordningen, samt heraf afledt national lovgivning.

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

Databeskyttelse i den almene sektor en digital fremtid. 30. august 2018

Persondata Behandlingssikkerhed. v/rami Chr. Sørensen

Retningslinje om fortegnelser over behandlingsaktiviteter

Databehandleraftale. Mellem. Den dataansvarlige: Navn, adresse og cvr: Databehandleren. Pronavic Business Systems ApS CVR

BILAG TILSYN OG EGENKONTROL UDFØRT DEN [INDSÆT: DATO]

Persondata og sikkerhedsbrud

Standardvilkår. Databehandleraftale

Bilag 6 Databehandleraftale v.1.1

DATABEHANDLERAFTALE. Databahandleraftale # _ Mellem. Navn Adresse Postnr og by CVR: (I det følgende benævnt Kunden )

Databehandleraftale Om Valeurs behandling af oplysninger på vegne af kunden

Databehandleraftale. Mellem. Brugere af software fra Datalogisk. Den dataansvarlige: Databehandleren: Datalogisk A/S CVR Stubbekøbingvej 41

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

! Databehandleraftale

Databehandleraftale. Mellem. DOF`s klubber. Konkret dataansvarlig klub. Databehandleren: Dansk Orienterings-Forbund (DOF) CVR:

Bilag A Databehandleraftale pr

Persondataforordningen

Databehandleraftale. Mellem. Den dataansvarlige: Landbrugsstyrelsen CVR Nyropsgade København V. Danmark. Databehandleren.

Retningslinje om fortegnelser over behandlingsaktiviteter

Per Løkken, Partner. CAMPUS November 2018

Aftale vedrørende fælles dataansvar

Vi har udarbejdet en særlig fortegnelse over vores databehandlingsaktiviteter. Denne fortegnelse indeholder:

Aftale omkring behandling af persondata.

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Retningslinje om dataansvarlig/databehandler

Velkommen til seminar om Persondataforordningen. Den 16. maj 2018.

Databehandleraftale. Databehandleraftale webcrm, Maj Side 1 / 9

POLITIK FOR DATABESKYTTELSE

September Indledning

Transkript:

Persondataforordningen - Sådan bliver ungdomsuddannelsesinstitutionerne klar til de nye regler v/advokaterne Niels Banke og Martin Sønnersgaard 1

To centrale spørgsmål Hvordan påvirker de nye persondataregler jer? Hvad kan I gøre allerede nu for at overholde reglerne? 2

Det persondataretlige univers Karakterer Oplysninger på Lectio Sygdom Fraværsårsager HRoplysninger Personoplysninger Alle oplysninger om en identificeret eller identificerbar fysisk person Sociale medier Billeder fra fredagsfesten Oplysning om forældres alkoholmisbrug 3

Leverandør Underleverandør 6. SEPTEMBER 2016 Hvor findes personoplysninger henne? 4

Persongalleriet Dataansvarlige (ungdomsuddannelsesinstitutioner) Databehandlere (systemleverandører, hostingvirksomheder) De registrerede (studerende, lærere, øvrige ansatte, forældre etc.) 5

Det nye retlige landskab Persondataforordningen er trådt i kraft skal anvendes fra den 25. maj 2018 Forordningen gælder umiddelbart i Danmark skal ikke implementeres, men fortolkes Persondataloven og sikkerhedsbekendtgørelsen ophæves men skal overholdes indtil da Formentlig ny supplerende persondatalov og sikkerhedsbekendtgørelse 6

Noget nyt og noget gammelt Grundlæggende struktur er stort set bevaret Væsentligste nyheder Ansvarlighed: Forpligtelse til selv at opretholde dokumentation for efterlevelse af reglerne (compliance) Databeskyttelsesansvarlig: Alle offentlige myndigheder og visse private virksomheder skal have en DPO (Data Protection Officer) Strenge bøder: Væsentligt strengere sanktionssystem Nogle af de andre nyskabelser i forordningen Skærpede krav til samtykke Krav om privacy by design og privacy by default Pligt til at orientere Datatilsynet og i nogen tilfælde også de registrerede i tilfælde af datasikkerhedsbrister Strengere krav til databehandlere Styrkelse af de registreredes rettigheder Udvidet mulighed for erstatning for overtrædelse af reglerne 7

Er der forskel på reglerne for jer? Nogle af jer er organisationer under den offentlige forvaltning andre er ikke Nej, som udgangspunkt ikke forskel på reglerne for private virksomheder og offentlige myndigheder Væsentligste undtagelser DPO en er pligtmæssig for offentlige myndigheder, men kun for visse virksomheder Private virksomheder underlægges strenge bøder det gør offentlige myndigheder ikke nødvendigvis 8

De grundlæggende principper Personoplysninger skal efter art. 5, stk. 1: behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (»lovlighed, rimelighed og gennemsigtighed«) indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål (»formålsbegrænsning«) være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (»dataminimering«) være korrekte og om nødvendigt ajourførte (»rigtighed«) opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles (»opbevaringsbegrænsning«) behandles på en sikker måde (»integritet og fortrolighed«). 9

Behandlingsregler Det kræver hjemmel at behandle personoplysninger, f.eks. samtykke Ikke-følsomme personoplysninger (art. 6) Følsomme personoplysninger (art. 9, 10) 10

Nogle eksempler Udsendelse af materiale til studerende Et uddannelsessted må ikke udlevere studerendes navne og adresser til brug for udsendelse af informations- eller markedsføringsmateriale uden de studerendes samtykke. Udsendelse af informationsmateriale om diverse studie- og erhvervsrelevante tiltag til de studerende kan ske uden samtykke. Der må dog ikke udsendes egentligt markedsføringsmateriale. Elevoplysninger på internettet Offentliggørelse af oplysninger om elever i form af navne, portrætbilleder, klassebilleder eller fritidsinteresser på skolens hjemmeside må kun ske, hvis der forinden er indhentet samtykke fra hver enkelt elev. Situationsbilleder vs. portrætbilleder 11

Nogle eksempler Kontrol af de studerendes internetbrug, f.eks. i form af logning Kan ske uden samtykke, hvis hensynet er at sikre en etisk forsvarlig brug af internettet, herunder sikre, at der ikke downloades pornografisk materiale o.lign. Forudsætning at de studerende informeres på forhånd om kontrollen (Rt. j.nr. 1999-210-189 (RÅ 1999, s. 48-49) Videregivelse af karakterer etc. En uddannelsesinstitution kan normalt udlevere oplysninger om, hvilke elever der går på skolen (klasselister) uden samtykke Men som altovervejende hovedregel ikke oplysninger om karakterer o.lign. (Retsudvalgets spm. nr. 57 til lovforslag L 44 af 8. oktober 1998) 12

Samtykke (art. 7) Et samtykke skal være en frivillig, specifik, informeret og utvetydig viljestilkendegivelse, jf. art. 4, nr. 11 Dataansvarlige skal som hidtil kunne påvise, at datasubjektet har samtykket til behandlingen Kravene til bevis for samtykke skærpes, jf. utvetydighed Skriftligt samtykke anbefales Kan godt indhentes og dokumenteres digitalt Samtykket skal være adskilt fra øvrige tekst Det er en gyldighedsbetingelse for et samtykke, at der forinden er informeret om muligheden for at trække samtykket tilbage. Det skal være lige så let at trække tilbage som at give det. Hvor gammel skal man være for at kunne give et gyldigt samtykke? 13

Kontrolforanstaltninger over for ansatte F.eks. Overvågning af internettrafik Overvågning af mailtrafik Egentlig gennemgang af ansattes mails i forbindelse med mistanker, eller i forbindelse med fratræden TV-overvågning Retsstillingen i dag kollektivretlig regulering og persondataregulering 14

Dokumentation for overholdelse Pligt til at dokumentere compliance, jf. art. 24: Under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med denne forordning. Pligt til at dokumentere overholdelse af behandlingsprincipperne, jf. art. 5, stk. 2, dvs. principperne om Lovlighed, rimelighed, gennemsigtighed, til udtrykkelige og legitime formål, at behandlingen er nødvendig og proportionel mv. Dokumentation skal bl.a. sikres via politikker og retningslinjer samt beskrivelser af sikringer og dataflow i systemer. 15

Dokumentation - fortegnelsen I forordningen introduceres et princip om egen kontrol i form af dokumentation af databehandlingen, jf. art. 30 ( Fortegnelse ): Hver dataansvarlig fører fortegnelser over behandlingsaktiviteter under deres ansvar. Fortegnelser skal foreligge skriftligt, herunder elektronisk, jf. stk. 3. Fortegnelsen skal på anmodning stilles til rådighed for tilsynsmyndigheden, jf. stk. 4. Kravet om en fortegnelse gælder som udg.pkt. ikke organisationer og foretagender med < 250 ansatte Indholdet af en fortegnelse efter artikel 30, stk. 1: a) Navn og kontaktoplysninger på den dataansvarlige eller den fælles dataansvarlige og denne eventuelle repræsentant samt evt. DPO b) Formålene med behandlingen c) Beskrivelse af kategorier af datasubjekter og kategorier af personoplysninger vedrørende datasubjekter d) Kategorier af modtagere af personoplysningerne e) overførsler af personoplysninger til et tredjeland eller en international organisation, f) de forventede tidsfrister for sletning af de forskellige kategorier af oplysninger, g) en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger omhandlet i artikel 32, stk. 1 16

Dataflowsanalyser Det er en forudsætning for compliance, at man som dataansvarlig har et overblik over sine data Indhold (ikke udtømmende): Hvilke typer af personoplysninger behandles? (Ikkefølsomme/følsomme) Hvorfra indsamles oplysningerne? (Fra lærerne/eleverne/registre) Hvordan indsamles oplysningerne? Videregives oplysningerne og i så fald til hvem? (Andre virksomheder/offentlige myndigheder) Formålet/-ene med behandlingen? Hvor bruges de henne i organisationen? Hvor og hvordan oplysningerne er opbevaret og sikret? Hvornår og hvordan oplysningerne vil blive slettet? 17

Sikkerhed 18

Kilde: Beretning til Statsrevisorerne om statens behandling af fortrolige oplysninger om personer og virksomheder, s. 22, Rigsrevisionen, nov. 2014 19

Pligt til at fastsætte passende sikkerhedsforanstaltninger Den dataansvarlige skal fastsætte passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at forordningen overholdes, jf. art. 24, stk. 1 Vurdering ud fra behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder Foranstaltningerne skal om nødvendigt revideres og ajourføres. Menneskelige fejl Hvor går det typisk galt? F.eks. sender e-mails uden kryptering eller til forkert modtager, glemmer USB-sticks, lader papirer flyde i printerrummet Organisatoriske fejl Glemmer at fastsætte eller opdatere interne retningslinjer, manglende kontrol med databehandlere, manglende undervisning eller instruktion af medarbejdere Systemmæssige fejl Utilstrækkelig sikkerhed i IT-systemer, f.eks. ikke mulighed for at slette effektivt, manglende kryptering, utilstrækkelig adgangskontrol, for bred adgang til oplysninger etc. 20

Indbygget databeskyttelse - data protection by design and by default Tænke databeskyttelse ind i IT-systemer og arbejdsgange, jf. art. 25 Træffe de fornødne tekniske og organisatoriske foranstaltninger under hensyntagen til: Den teknologiske udvikling Omkostningerne Arten, omfanget, kontekst og formålet med behandlingen Risikoen ved behandlingen Eksempel: Brug af pseudonymisering 21

Krav til databehandleren og databehandleraftalen Krav til databehandleren Krav til databehandleren Krav til databehandleraftalen Krav til databehandleraftalen Udelukkende brug af databehandlere, der kan stille de fornødne garantier for, at de vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandling opfylder kravene i denne forordning og sikrer beskyttelse af den registreredes rettigheder. Ingen adgang til brug af underdatabehandlere uden forudgående specifik eller generel skriftligt godkendelse fra den dataansvarlige. Mulighed for indsigelse ved ændringer. Kontrakt eller et andet retligt dokument, som fastsætter: Genstanden for behandling Varigheden af behandlingen Behandlingens karakter og formål Typen af personoplysninger kategorierne af registrerede den dataansvarliges forpligtelser og rettigheder Krav om instruks Fortrolighed/tavshedspligt Krav om behandlingssikkerhed (art. 32) Krav om bistand (Art. 32-36) Krav om sletning og tilbagelevering af data Krav om løbende bistand ifm. dokumentation og inspektion Artikel 28, stk. 1 Artikel 28, stk. 2 Artikel 28, stk. 2 Artikel 28, stk. 2 22

Databeskyttelsesrådgiver (Data Protection Officer ( DPO )) Hvem skal have en DPO? (art. 37) Offentlige myndigheder Visse virksomheder Status (art. 38) Beskyttet rolle kan ikke afskediges eller straffes for udførelsen af sine opgaver Uafhængig. Må ikke instrueres vedrørende udførelse af sine opgaver Refererer direkte til øverste ledelse Må gerne varetage andre opgaver, men der må ikke være interessekonflikt DPO ens opgaver (art. 39) Har ansvaret for at informere og rådgive om forpligtelser og at overvåge, at de overholdes Skal være kontaktperson for og samarbejde med Datatilsynet 23

DPO en kan være: En ansat ved myndigheden Fælles for flere myndigheder under hensyntagen til størrelsen og strukturen, jf. art. 37, stk. 3 Ekstern Skal udpeges på baggrund af professionelle kvalifikationer, ekspertise inden for databeskyttelseslovgivning og -praksis 24

Hvad gør man, når det går galt? Kilde: informationisbeautiful.net 25

Anmeldelse af sikkerhedsbrud (art. 33) Anmeldelsespligt til tilsynsmyndigheden inden 72 timer, medmindre det er usandsynligt, at bruddet indebærer en risiko. Den dataansvarlige skal dokumentere sikkerhedsbrud, herunder de faktiske omstændigheder, virkningerne heraf og trufne afhjælpende foranstaltninger. Vigtigt at man som dataansvarlig har faste procedurer for håndtering af sikkerhedsbrud. Indholdsmæssige krav til anmeldelsen Beskrivelse af karakteren af bruddet, herunder kategorierne og antallet af berørte datasubjekter samt kategorierne og antallet af berørte registreringer Angivelse af navn og kontaktoplysninger for DPO en eller et andet kontaktpunkt, Beskrivelse af sandsynlige konsekvenserne af bruddet på persondatasikkerheden Beskrivelse af de foranstaltninger, som den dataansvarlige foreslår eller har iværksat for at afhjælpe bruddet på persondatasikkerheden 26

Underretning om sikkerhedsbrud (art. 34) Pligt til uden unødig forsinkelse at underrette datasubjekter om brud på sikkerheden, hvis bruddet sandsynligvis medfører en høj risiko for datasubjekternes rettigheder og frihedsrettigheder Underretning er ikke nødvendigt, hvis: der er gennemført passende tekniske og organisatoriske beskyttelsesforanstaltninger, som fx gør oplysningerne uforståelige, eller der er truffet efterfølgende foranstaltninger, som medfører at risikoen sandsynligvis ikke længere er reel, eller det vil kræve en uforholdsmæssig indsats. Her kan der i stedet foretages en offentlig meddelelse. Key takeaways Tænk sikkerhedshændelser ind i forholdet til leverandører allerede i anskaffelsesfasen. Udarbejd en procedure for håndtering af sikkerhedshændelser. Udarbejd en skabelon for notifikationer til tilsynet, så I er klar, hvis uheldet er ude. 27

Sanktioner bøder og erstatning Gradueret bødemodel efter overtrædelsestype Mulighed for bøder på op til 20.000.000 EUR, eller hvis der er tale om en virksomhed op til 4 % af den samlede årlig omsætning (hvad der er højest) Formildende omstændigheder Ikke adm. bøder i DK, da betænkeligheder i forhold til grundloven ( 3) eksplicit forbehold herom i forordningen, jf. art. 83, stk. 9 Bøder i DK bliver sædvanlige strafferetlige bøder som i dag Bøder for offentlige myndigheder? Mulighed for erstatning for immateriel skade, jf. art. 82 I dag: Persondatalovens 69 ikke-økonomisk skade + erstatningsansvarslovens 26 om tort Gruppesøgsmål 28

PAUSE 29

Hvad kan I gøre allerede nu for at overholde reglerne? 30

Datatilsynet d. 21. juni 2016 31

1. Skab awareness og kortlæg hvordan forordningen påvirker jer Compliance tager tid Hvordan påvirker forordningen jer? De relevante ressourcer interne og eksterne skal tilknyttes, og arbejdet skal forankres i ledelsen 32

2. Overvej, hvem der er ansvarlig for databeskyttelse i jeres organisation? Uddannelse og udpegning af DPO 33

3. Lav en dataflowanalyse få overblik over jeres personoplysninger Indhold Hvilke typer af personoplysninger behandles? (Ikke-følsomme/følsomme) Hvorfra indsamles oplysningerne? (Fra de studerende/lærerne/eksterne registre/andre myndigheder) Hvordan indsamles oplysningerne? Videregives oplysningerne og i så fald til hvem? Formålet/-ene med behandlingen? Hvor og hvordan oplysningerne er opbevaret og sikret? Hvornår og hvordan oplysningerne vil blive slettet? Dokumentér konklusionerne i en rapport Afsæt god tid til det al erfaring tilsiger, at det tager lang tid i praksis! Brug eksisterende dokumentation, f.eks. i eksisterende anmeldelser m.v. (Husk egne interne HR-oplysninger) 34

4. Hvordan indhenter I samtykke? Hvordan indhenter, opbevarer og dokumenterer I samtykke? Skal I foretage nogen ændringer i jeres rutiner? Kan I evt. bruge et andet behandlingsgrundlag? 35

5. Kortlæg jeres leverandører og gennemgå databehandleraftalerne Dataansvarlige skal udøve kontrol med databehandlere Stor risiko righoldig praksis fra DT Typiske leverandører er kontraktpartnere v. outsourcing, systemleverandører, hosting, herunder cloudleverandører, konsulenter etc. Husk også underdatabehandlere Gennemgå (under)databehandleraftalerne lever de op til den nye forordnings krav? Hvis ikke, så genforhandl dem, så der opnås compliance 36

6. Fastlæg rutiner for brud på persondatasikkerheden Sikkerhedsbrud er uundgåelige pga. enten systemmæssige eller menneskelige fejl, herunder hacking Kan I dokumentere alle brud på persondatasikkerheden? Kan I rapportere et sikkerhedsbrud til Datatilsynet inden for 72 timer? Fastlæg rutiner for at opdage, undersøge og rapportere sikkerhedsbrud Lav allerede nu skabeloner for rapporteringer til Datatilsynet 37

7. Tænk databeskyttelse ind i jeres IT-systemer og arbejdsgange Husk på privacy by design og by default, når I enten tager et nyt IT-system i brug eller ændrer et eksisterende Brug f.eks. privatlivsfremmende standardindstillinger Dataminimering Pseudonymisering 38

8. Sørg for den kontraktretlige understøttelse De nye krav i forordningen skal understøttes kontraktretligt i forbindelse med udbud/indkøb af f.eks. en ny IT-løsning eller ny kommunikationsløsning etc. 39

Spørgsmål? 40

Den persondataretlige grundpakke Overblik over, om ungdomsuddannelsesinstitutionen overholder reglerne En risikovurdering med oversigt over høj- og lavrisikoområder Forslag til konkrete løsninger, der sikrer compliance og er lette at implementere fremadrettet Processen Processen med udførelsen af den persondataretlige grundpakke vil typisk forløbe således: 1 2 Opstartsmøde 3 4 Kammeradvokaten indhenter relevante oplysninger Kammeradvokaten sender udkast til rapport Udkastet drøftes og færdiggøres med anbefalinger/implementeringsplan Implementeringsplan 5 Kammeradvokaten bistår med implementering Prisen 35.000,- ex moms og eventuelle rejseomkostninger Specialister i Danmark 41

DPO-uddannelse: Et samarbejde mellem Kammeradvokaten og Implement 42

Toleddet DPO-uddannelse 43

Hold dig opdateret på persondataretsområdet Tilmeld dig via LinkedIn 44

Tak for i dag Niels Banke Advokat (H), partner Telefon: 25 43 03 07 Mail: ban@kammeradvokaten.dk Martin Sønnersgaard Advokat Telefon: 5077 8423 Mail: mso@kammeradvokaten.dk 45

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback