Praktisk persondatacompliance November 2016 2 Praktisk compliance med forordningen Særregler - regulering af særlige forhold Rettigheder - den registreredes rettighedskatalog Grundprincipper - berører alle behandlinger af persondata Behandlingsregler - knyttet til konkrete behandlinger Forretningsprocesser 1
Persondataretligt complianceprojekt Complianceprojektet tilpasses den enkelte virksomheds behov, fokusområder og kultur, fx HR (ansatte) Virksomhedskunder/forbrugere Andre afdelinger Udvalgte selskaber/hele koncernen Projektets formål, scope og resultat beskrives i compliance oplæg Foranalyse/GAP-analyse Udpegning af compliance team/arbejdsgruppe/styregruppe DPO eller anden persondataansvarlig? Afgørende med grundigt benarbejde i relation til: Interne ressourcer Eksterne ressourcer Tidshorisont Aktiv projektstyring og løbende sejre er vigtige i et langstrakt projekt! Overordnet tidsplan - eksempel 25. maj 2018 Q4-2016 Q1-2017 Q2-2017 Q3-2017 Q4-2017 Q1-2018 Q2-2018 1. Projekt/ GAP-analyse / Mapping 2. Governance Databehandlere Procedurer/ processer 5. 7. Persondatapolitikker Risikovurderinger Samtykker Forankring og opfølgning 2
5 Hvordan kortlægger man sine persondata? 6 Effekten af en god analyse af persondatastrømme Overblik over væsentligste behandlinger af persondata i organisation Grundlag for compliance med kravene i persondataforordningen Mulighed for at optimere processer med behandling af personoplysninger Analyse af persondatastrømme hvordan gør man? Interviews Spørgeskemaer Tænke dynamisk ingen persondatastrømme er statiske Datamodel hvordan struktureres mængden af input? Konsolidering i database/applikation/ Excel/andet? 3
Eksempel: Behandling af personoplysninger i en (simpel) global koncern Koncern (Brasilien) M/S (Danmark) Databehandler (CRM-system) (Tyskland) (Spanien) (USA) (Kina) Eksempler på behandlede personoplysninger: Ansatte Kunder Leverandører Agenter Roller: Dataansvarlig Databehandler Hvor gemmer persondata sig? Persondata indgår i mange forretningsprocesser Hver organisation har egne processer - der bør undersøges, kortlægges og risikovurderes. Processer understøttes af forskellige systemer, der kan indeholde persondata Human Resource Systems Customer Relation Management (CRM) Sales Supplier/Vendor Relation Management Systems (SRM) Enterprise Resource Management (ERM) Content Management Systems (CMS) Marketing/ targeting Travel Management, and ancillary e.g cost reporting Financial reporting Business Intelligence Physical access management Video Surveillance Whistleblower system Shadow IT Analogue processing of personal data (Fillng cabinets, binders) 4
Data mapping model - få styr på processer og dataflows med persondatastrømme Datakilde Datakilde Datakilde 3 Eksterne Eksterne 5 Proces 1 Registrerede Intra Group Intra Group 6 IT Tools IT Tools IT Tools Andre systemer 4A 4B Registreredes rettigheder + Data Protection management 7 8 Registrerede 2 6. Pactius privacy modul PRIVACY MODULET Data processer Rapporter Opgaver Dokumentstyring Hjælp til at samle relevante data Gem organisationens datamapping ét sted Bevar overblikket uagtet datamængden vokser Lav rapporter på databehandlinger Få nøgletal til ledelse og risikovurderinger Print fortegnelser til datatilsyn Følg systematisk op på politikker, kontroller og behandlinger Delegér opgaver til de processansvarlige Tilrettelæg dit privacy management program Alle funktioner fra Pactius kontraktstyringsværktøjet Tilknyt aftaler, politiker, procedurer mv. til konkrete processer Søgning og overblik Høj datasikkerhed I PACTIUS er høj datasikkerhed en topprioritet. Systemet kører på den ISO-certificerede Microsoft Azure-platform, og alle data er sikkert opbevaret inden for EU s grænser i Microsofts datacentre i Dublin og Amsterdam. PACTIUS kan bruges af alle enten af en enkelt person, en afdeling i en virksomhed, et selskab eller en hel koncern. Du kan også tildele segmenteret adgang, så adgangen begrænses til individuelle forretningsenheder. Læs mere på pactius.dk 10 5
11 Kontakt Lars Japp Haslund Advokat København CCI T +45 72 27 34 52 M +45 25 26 34 52 E lajh@bechbruun.com København Danmark Aarhus Danmark Shanghai Kina T +45 72 27 00 00 www.bechbruun.com 6