DEN KOMMENDE EU-FORORDNING

Relaterede dokumenter
Behandling af personoplysninger

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

Overblik over persondataforordningen

Databehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.

! Databehandleraftale

WinWinWeb Databehandleraftale. Databehandleraftale. Mellem. Den Dataansvarlige: Kunden. Databehandleren: WinWinWeb CVR:

3 Omfattede typer af personoplysninger og kategorier af registrerede

Databehandleraftale Om Valeurs behandling af oplysninger på vegne af kunden

Den Dataansvarlige og Databehandleren benævnes herefter samlet "Parter" og hver for sig "Part".

Databehandleraftale (v.1.1)

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Bilag 1 Databehandler aftale (v.1.2)

DATABEHANDLERAFTALE. Conscia A/S. Conscia A/S Kirkebjerg Parkvej 9 DK-2605 Brøndby Tlf

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Databehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren.

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

TDC ERHVERV MAILFILTER

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

Aftale vedrørende fælles dataansvar

Databehandleraftale. (den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )

Bilag A Databehandleraftale pr

Databehandleraftale. Mellem. Den dataansvarlige: Databehandleren. Ribe Mediehus CVR Industrivej Ribe. Danmark

1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?

BILAG 5 DATABEHANDLERAFTALE

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

DATABEHANDLERAFTALE. Omsorgsbemanding

DanDomain A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Bilag B Databehandleraftale pr

Derudover må personoplysninger i fysiske mapper kun tilgås af personer, der har et formål med at kunne tilgå de pågældende personoplysninger.

Bilag 8. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

Bekendtgørelse om opgaver og ansvar for behandlingen af personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse

DATABEHANDLERAFTALE OM -POSTKASSE

DATABEHANDLERAFTALE. General aftale omkring behandling af persondata. Udarbejdet af: ZISPA ApS

Databehandleraftale. Mellem. Dataansvarlig: Kunden

Standardvilkår. Databehandleraftale

D A T A B E H A N D L E R A F T A L E

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Databehandleraftale. Mellem. Brugere af software fra Datalogisk. Den dataansvarlige: Databehandleren: Datalogisk A/S CVR Stubbekøbingvej 41

GML-HR A/S CVR-nr.:

Databehandleraftale (Skabelon fra Datatilsynet)

Databehandleraftale

Databehandleraftale. (den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )

DATABEHANDLERAFTALE Databehandleren skal overholde Persondataloven og Persondataforordningen, samt heraf afledt national lovgivning.

Databehandleraftale. Mellem. Den dataansvarlige: Kunde hos Alsbogføring. Databehandleren. Alsbogføring.dk ApS. Møllegade Sønderborg.

Databehandleraftale INDHOLDSFORTEGNELSE

Brud på datasikkerheden

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

Databehandlingsaftale

Databehandleraftale. Mellem. Den dataansvarlige: Landbrugsstyrelsen CVR Nyropsgade København V. Danmark. Databehandleren.

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

Databehandleraftale. Mellem. Den dataansvarlige: Navn, adresse og cvr: Databehandleren. Pronavic Business Systems ApS CVR

Surftown A/S. Regionsgolf-Danmark DATABEHANDLERAFTALE. Databehandleraftalen foreligger mellem. Regionsgolf-Danmark.

Cirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1

DATABEHANDLERAFTALE

Formål. Definitioner. ø Retningslinjer om brud på datasikkerheden Anvendelsesområde

Persondataforordningen den 20. februar 2018

DATABEHANDLERAFTALE. er dags dato indgået databehandleraftale på følgende vilkår og betingelser:

Retningslinje om brud på persondatasikkerhed Skanderborg Gymnasium ANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2

Midtfyns. Gymnasium. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

Databehandleraftale. Dataansvarlig. Databehandler. Navn: CVR nr.: Adresse:

Lector ApS CVR-nr.:

Persondataforordningen. Henrik Aslund Pedersen Partner

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål.

Retningslinjer om brud på persondatasikkerheden

Persondataforordningen

3 Omfattede typer af personoplysninger og kategorier af registrerede

Databehandleraftale. Databehandleraftale webcrm, Maj Side 1 / 9

Persondataforordningen Data Protection Officer. Advokat, Marie Albæk Jacobsen

Databehandleraftale. Mellem. Den dataansvarlige: SimplyJob Aps CVR Måløv Byvej Måløv. Danmark. Databehandleren.

Databeskyttelse i den almene sektor en digital fremtid. 30. august 2018

Databehandler aftale

Databehandleraftale. (De Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under ét Parterne )

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

Komiteen for Sundhedsoplysning CVR-nr.:

BILAG 14: DATABEHANDLERAFTALE

Aftale omkring behandling af persondata.

BILAG 1 DATABEHANDLERAFTALE Rambøll som databehandler

(den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )

Plan og Handling CVR-nr.:

Bilag 6 Databehandleraftale v.1.1

Databehandleraftale e-studio.dk Side 1 af 6

PERSONDATAFORORDNINGEN STATUS???? OG ER DER NOGET NYT I DEN?

(Kunden og Databehandleren herefter hver for sig kaldet en Part eller Parten og tilsammen Parter eller Parterne )

DATABEHANDLERAFTALE. [Dataansvarlig: F.eks. Hansen Håndværk ApS] [Adresse] ( Selskabet )

BILAG TILSYN OG EGENKONTROL UDFØRT DEN [INDSÆT: DATO]

DATABEHANDLERAFTALE. Databahandleraftale # _ Mellem. Navn Adresse Postnr og by CVR: (I det følgende benævnt Kunden )

Databehandleraftale. Mellem. Kunder. Foredragsholdere, musikere og underholdere. Databehandler: ARTE BOOKING CVR DALVEJ HASLEV

Bilag X Databehandleraftale

Retningslinjer om brud på persondata

CIR1H nr 9352 af 23/05/2018 (Gældende) Udskriftsdato: 24. maj Senere ændringer til forskriften Ingen. Journalnummer: Kirkemin., j.nr.

Databehandleraftale. Mellem. Den dataansvarlige: Firma: CVR: Adresse: Postnr og by: Land: Databehandleren TINX/DK A/S CVR

Per Løkken, Partner. CAMPUS November 2018

DATABEHANDLERAFTALE. indgået mellem. Navn: CVR-nr.: Adresse: Postnr. og by: (den Dataansvarlige ) og

Databehandleraftale. Mellem. DOF`s klubber. Konkret dataansvarlig klub. Databehandleren: Dansk Orienterings-Forbund (DOF) CVR:

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

Transkript:

DEN KOMMENDE EU-FORORDNING Aarhus, 5. april 2016 Daiga Grunte-Sonne, advokat SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø CVR. NR: DK 62 60 67 11

DEN KOMMENDE EU-FORORDNING Januar 2012 Forslag fra Kommissionen Juli-December 2015 Trilog forhandlinger December 2015 Politisk enighed og udkast April/maj 2016 Forventet vedtagelse Maj/juni 2016 Den endelige ordlyd på alle EU sprog SIDE 2

DEN KOMMENDE FORORDNING Udformet som forordning og skal derfor ikke inkorporeres i national lovgivning -> vil gælde direkte Forventes at træde i kraft maj/juni 2018 (2 års ikrafttrædelsesfrist) UP: total harmonisering, hvor nationale regler kun kan vedtages i begrænset omfang - dog indbygget en fleksibilitet Denne forordning indeholder også en manøvremargen, så medlemsstaterne kan præcisere reglerne heri, herunder for behandling af følsomme oplysninger. Forordningen udelukker således ikke medlemsstatsret, der definerer omstændighederne i forbindelse med specifikke databehandlingssituationer... (betragtning 8) SIDE 3

ANVENDELSESOMRÅDE OG INTERNATIONALT SAMARBEJDE Udvidet anvendelsesområde Behandling af oplysninger i forbindelse med aktiviteter, der udøves af en dataansvarlig eller databehandler i EU Uanset om behandlingen finder sted inden for eller uden for EU Dataansvarlig eller databehandler uden for EU, som behandler data om de registrerede i EU med henblik på: Udbud af varer eller tjenesteydelser til de registrerede, uanset om disse udbydes mod betaling eller ej Overvågning af adfærd i EU skal have en repræsentant inden for EU One-stop shop hovedvirksomhed ledende datatilsyn Samarbejde mellem flere tilsynsmyndigheder inden for EU SIDE 4

BEHANDLINGSREGLERNE Lovlighed, rimelighed og gennemsigtighed Formålsbegrænsning Data minimization Rigtighed ajourføring Lagringsbegrænsning - storage limitation (slettepligt) Integritet og fortrolighed tilstrækkelig sikkerhed og beskyttelse mod ubemyndighed eller ulovlig behandling samt hændeligt tab mv. Ansvarlighed Den dataansvarlige er ansvarlig for og skal kunne påvise, at ovenstående overholdes SIDE 5

SAMTYKKE Udtrykkeligt og formålsbegrænset Samtykket må ikke være en betingelse til behandling af oplysninger, som ikke er nødvendige for f.eks. aftale med den registrerede Mister sin gyldighed, hvis ophør eller udvidelse af formål Tydelig adskillelse fra øvrig aftaletekst Skal være i letforståelig og lettilgængelig form Bokse, som er afkrydset på forhånd, må ikke bruges (betragtning 25) Skal oplyse den registrerede om, at samtykke kan tilbagekaldes Den dataansvarlige skal kunne godtgøre, at samtykke er givet SIDE 6

SÆRLIGE KATEGORIER AF OPLYSNINGER Følsomme oplysninger ( pt. 7) udvides med: Genetiske data - en fysisk persons genetiske karakteristika, som giver entydig information om personens fysiologi eller helbred, og som foreligger efter en analyse af en biologisk prøve Biometriske data - oplysninger, der som følge af specifik teknisk behandling om en fysisk persons fysiske, fysiologiske eller adfærdsmæssige karakteristika muliggør eller bekræfter entydig identifikation af vedkommende, f.eks. ansigtsbillede eller fingeraftryksoplysninger Særlige danske kategorier (pt. 8) udgår, medmindre bestemmelserne i persondataloven opretholdes SIDE 7

DEN REGISTREREDES RETTIGHEDER Krav om kortfattede, gennemsigtige og lettilgængelige regler for behandlingen af data og udøvelse af den registreredes rettigheder Krav om standardiserede informationspolitikker til behandling af indsigtsbegæringer Pligt til at gennemføre mekanismer, der sikrer overholdelse af slettefrister og/eller periodisk evaluering af nødvendigheden af fortsat opbevaring Ret til dataportabilitet Ret til modtage oplysninger om sig selv i et struktureret og almindeligt anvendt og maskinlæsbart format Får videresent oplysningerne fra en dataansvarlig til en anden Ret til sletning inkluderer pligt til aktivt at sikre sletning hos tredjeparter The right to be forgotten Google dom i 2014 ( )weighing the individual's right to privacy against the public's right to know, and deciding if the data is inadequate, irrelevant or no longer relevant, or excessive in relation to the purposes for which they were processed ( ) Oplysningerne skal blokeres, mens begæring om sletning behandles Ret til begrænsning af behandling SIDE 8

BRUG AF DATABEHANDLERE Der må kun bruges databehandlere, der giver tilstrækkelige garantier for passende tekniske og organisatoriske foranstaltninger, og at behandlingen opfylder forordningens krav Underdatabehandlere kun med forudgående samtykke (specifikt eller generelt) + samme forpligtelser skal underrette den dataansvarlige om ændringer, tilføjelser mv. give mulighed for indsigelser Hver databehandler skal føre dokumentation for alle kategorier af oplysninger, der behandles, herunder kategorier af behandling, oplysninger om videregivelse, brug af underdatabehandlere og en beskrivelse af sikkerhedsforanstaltninger - skriftligt SIDE 9

BRUG AF DATABEHANDLERE Skriftlig aftale, som fastsætter bl.a., at databehandleren: kun må behandle oplysningerne efter dokumenteret instruks fra den dataansvarlige, herunder også ift. videregivelse til 3-lande; sikrer, at dennes medarbejdere eller andre personer, der er bemyndiget til at behandle oplysningerne, har forpligtet sig til fortrolighed eller er underlagt tavshedspligt; iværksætter alle passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de aktuelle risici Under hensyn til det aktuelle tekniske niveau og gennemførselsomkostningerne samt behandlingens karakter, omfang, kontekst, formål mv. I nødvendigt omfang skal der ske pseydonymisering, kryptering, regelmæssig afprøvning, vurdering og evaluering af effektiviteten af foranstaltningerne skal efter den dataansvarliges valg slette eller tilbagelevere alle oplysninger og kopier heraf, når aftaleforholdet ophører (medmindre lovkrav at opbevare); stiller alle oplysninger til rådighed, der er nødvendige for at påvise opfyldelse af kravene til rådighed for den dataansvarlige og giver mulighed for inspektioner, revisioner mv. SIDE 10

DATABEHANDLERES ANSVAR Direct liability for violations Enhver databehandler hæfter for den skade, der er forvoldt af behandlingen, hvis pågældende ikke har opfyldt forpligtelser, der er rettet mod databehandlere, eller har undladt at følge eller handlet i strid med den dataansvarliges lovlige instrukser kan dog helt fritages for erstatningsansvar, hvis det bevises, at den pågældende ikke på nogen måde er skyld i den begivenhed, der medførte skaden Hvis mere end en databehandler eller en dataansvarlig og en databehandler er involveret i samme behandling solidarisk hæftelse for hele skaden SIDE 11

SIKKERHEDSBRUD Underretnings- og dokumentationspligt over for tilsynsmyndighederne ved ethvert sikkerhedsbrud 72 timers frist Hvis ikke muligt at opfylde dokumentationspligten inden for fristen hurtigst muligt + en begrundelse herfor Karakteren af bruddet skal beskrives, herunder kategorierne og antal berørte registrerede + registreringer Skal angive relevante kontaktoplysninger, hvor yderligere oplysninger om bruddet kan indhentes (f.eks. hos DPO) Skal beskrive de sandsynlige konsekvenser af bruddet De foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at afhjælpe bruddet, skal beskrives Underretningspligt over for den registrerede, hvis bruddet kan få konsekvenser for personen - uden unødig forsinkelse Krav om klart og letforståeligt sprog og skal oplyse om registreredes rettigheder, herunder klageadgangen SIDE 12

DATA PROTECTION OFFICER (DPO) Krav om DPO offentlige myndigheder virksomheder, hvis kerneaktivitet består af behandling, som kræver regelmæssig og systematisk overvågning af registrerede i stort omfang hvis kerneaktiviteten består af behandling i stort omfang af særlige kategorier af oplysninger og oplysninger vedr. straffedomme eller overtrædelser gælder både dataansvarlige og databehandlere Skal besidde relevante kompetencer/ekspertise Uafhængighed Ansat eller konsulent Ingen instruktionsbeføjelse/rapportere direkte til executive management En vis ansættelsesretlig beskyttelse Opgaver: skabe opmærksomhed, monitorere, være bindeled, sikre compliance SIDE 13

SANKTIONER Formålet øget og strengere sanktionering og håndhævelse Loft på EUR 20.000.000 eller 4% af den samlede globale årlige omsætning Fastlagt 2-trins trappeskala, afhængigt af overtrædelsen EUR 10.000.000 eller 2% - bl.a. underretning om sikkerhedsbrud og udpegelse af DPO EUR 20.000.000 eller 4% - bl.a. behandlingsregler, samtykke, den registreres rettigheder og tredjelandsoverførsler SIDE 14

SÆRLIGE FOKUSOMRÅDER Accountability Krav om implementering af passende procedurer, forholdsregler osv., Krav om compliance-politikker pligt til at opdatere Krav om træning af medarbejdere i persondatabeskyttelse Krav om vurdering af risici ifm. behandlingsaktiviteter (risikoanalyse) Konsekvensanalyse (Data Protection Impact Assessment) Krav herom, hvis bl.a. behandling af særlige kategorier af oplysninger brug af nye teknologier Bl.a. nødvendige foranstaltninger for at afhjælpe risici og garantier, sikkerhedsforanstaltninger og øvrige mekanismer, som kan sikre beskyttelsen Forudgående høring hos Datatilsynet, hvis konsekvensanalysen viser høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at mindske risikoen SIDE 15

PRIVACY BY DESIGN OG PRIVACY BY DEFAULT Privacy by design indbygget databeskyttelse Tekniske og organisatoriske foranstaltninger, som tilpasset til den pågældende behandlings karakter, omfang, kontekst, formål, risici af varierende sandsynlighed, alvor for fysiske personers rettigheder og frihedsrettigheder Under hensyn til det aktuelle tekniske niveau og gennemførselsomkostningerne F.eks. pseydonymisering og dataminimering Privacy by default databeskyttelse gennem indstillinger Tekniske og organisatoriske foranstaltninger med henblik på at sikre, at kun personoplysninger, der er nødvendige til hvert specifikt formål med behandlingen, behandles Indsamling, herunder omfanget, lagringsperiode og tilgængelighed SIDE 16

Daiga Grunte-Sonne Advokat, København +45 61 20 99 95 +45 387741 18 dso@kromannreumert.com SIDE 17

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback