Persondataforordningen

Relaterede dokumenter
Persondataforordningen...den nye erklæringsstandard

Persondataforordningen. Henrik Aslund Pedersen Partner

Databeskyttelsesdagen

Foreninger i Tønder Kommune GDPR November 2018

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

EU Persondataforordning GDPR

Ecofleet. Persondataforordningen Kort fortalt. Del 1. Peter Dam Nordic Project Manager

Digitaliseringsstyrelsens konference 1. marts 2018

Er du klar til den nye Persondataforordning?


Fysiske personer. Vi ved jo alle, hvad en person er. Det er sådan en som os selv (Peter Blume: Databeskyttelsesret, 4. udg., 2013, s. 30f.

Bliv klar til Persondataforordningen

Overblik over persondataforordningen

Thea Præstmark WW W W W.SKA W UR.SKA EIP UR UR EIP TH UR. TH C. OM C

PERSONDATAFORORDNINGEN. DRF s årsmøde, april 2017

Persondataforordningen Erklæringer - omfang og værdi August 2016

opfylde vores kontraktuelle forpligtelser over for dig, samt at

Privatlivspolitik. Odense LMU

N. Zahles Skole Persondatapolitik

Nexø Frikirke. PRIVATLIVSPOLITIK i NEXØ FRIKIRKE

HJULMANDKAPTAIN PERSONDATA REGLER OG IMPLEMENTERING. OPLÆG TIL DANSKE BUSVOGMÆND DEN 29. NOVEMBER 2017 Advokat Karina Søndergaard

Procedure for håndtering af personoplysninger - GDPR Denne udgave: /TW

Overblik over Justitsministeriets betænkning og de væsentligste ændringer i persondataforordningen

PRIVATLIVSPOLITIK FOR VÆRFTET NEXØ KRISTNE SKATECENTER, LEGELAND OG CAFE

PERSONDATA - HVAD ER DET FOR NOGET OG HVORDAN BRUGES DET?

Velkommen til. Informationsmøde om. Persondataforordningen 2018

IT-Ansvar God skik og ansvarlighed. Persondataforordningen. Jørgen Granborg

1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du giver til os, og

Formålet med denne retningslinje er at sikre, at Ringkjøbing Gymnasium udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.

Skau Reipurth & Partnere Advokatpartnerselskab FORTEGNELSE OVER BEHANDLINGSAKTIVITER. Dataansvarlig: Databehandler: Udarbejdet: Næste revision:

Per Løkken, Partner. CAMPUS November 2018

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Databehandleraftale. Version A. Imellem: Dataansvarlig: Den kunde der har købt/erhvervet retten til at anvende app s fra itn vision aps

Persondatareguleringen. Hvorfor, hvornår, systemet og lidt om maj 2018

Retningslinjer for frivilliggrupper. Persondata

Kim Konstantin Sølbeck Bryder din virksomhed også GDPR-lovgivningen?

Formålet med denne retningslinje er at sikre, at Nykøbing Katedralskole udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.

PERSONDATALOVEN - UDFORDRINGER. Birthe Boisen, Juridisk Konsulent Tlf

DATABEHANDLER AFTALE ADWISE MEDIA APS

Retningslinje om behandlingsgrundlag (hjemmel)

PERSONDATAPOLITIK FOR Dansk forening for Williams Syndrom

GDPR og arkivloven. Poul Olsen, DPO, Rigsarkivet

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

PERSONDATAPOLITIK FOR ORDET OG ISRAEL

Ordliste begreber om håndtering af personoplysninger til patientbehandling og forskningsbrug

Databeskyttelse i den almene sektor en digital fremtid. 30. august 2018

PERSONDATAPOLITIK FOR DANSK TOURETTE FORENING

Behandling af personoplysninger

Persondatapolitik for Ehlers-Danlos Foreningen i Danmark

Standardvilkår. Databehandleraftale

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106.

LOKALFORENINGER OG KLUBBER DATABESKYTTELSESLOVGIVNINGEN

Organisatorisk og teknisk implementering af GDPR i Rigsarkivet. Fagligt forum 3. september 2019 Jan Dalsten Sørensen Rigsarkivet

Den dataansvarlige organisation for behandling af dine personoplysninger er:

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

PERSONDATAPOLITIK FOR AXIS

PERSONDATAPOLITIK FOR BAPTISTERNES BØRNE- OG UNGDOMSFORBUND

Persondatapolitik i Dansk Oplysnings Forbund

Behandling af personoplysninger

Vejledning til. GDPR General Data Protection Regulation. GDPR - General Data Protection Regulation

1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Formålet med denne retningslinje er at sikre, at Nakskov Gymnasium og HF udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.

Retningslinje om dataansvarlig/databehandler

BILAG 14: DATABEHANDLERAFTALE

Behandling af personoplysninger

Behandling af personoplysninger

September Indledning

Retningslinje om ansvarsfordeling - dataansvarlig vs. databehandler

Formålet med denne retningslinje er at sikre, at Midtfyns Gymnasium udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.

ANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2 BEHANDLINGSGRUNDLAG... 3 KONTROL OG DOKUMENTATION... 8

Politik for behandling af oplysninger

Retningslinje om fortegnelser over behandlingsaktiviteter

Behandling af personoplysninger

Persondataforordningen AbMano

Retningslinje om risikovurdering

Privatlivspolitik. for Odense LM

Databehandleraftale

Retningslinje om behandlingsgrundlag

Persondatapolitik for Landsforeningen for Marfan Syndrom i Danmark

Forretningsgang for Kundebehandling

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I. INDHOLDSFORTEGNELSE: 1. Generelt... 2

Forslag til nye felter i OS2-kitos til understøttelse af GDPR-arbejdet

Introduktion til persondataforordning

Behandling af personoplysninger

Gå-hjem-møde Persondataforordning

PERSONDATAPOLITIK FOR HOLMSBORG SOMMERLEJRE

Retningslinje om fortegnelser over behandlingsaktiviteter

Retningslinje om behandlingsgrundlag (hjemmel)

Persondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017

Behandlingsgrundlag Horsens Statsskole

INTRO TIL PERSONDATAFORORDNINGEN. Væsentligste nyskabelser af relevans for IT-leverandører 8. juni 2016

PERSONDATAPOLITIK FOR Slagelse Børneklub

INTERN HR PERSONDATAPOLITIK FOR LIONS MD106. Nærværende gælder for MD 106, dvs. alle ansatte og medlemmer i Lions MD 106.

PERSONDATAPOLITIK FOR SOLRØD LÆRERFORENING. Vedtaget af kontorgruppen 17. april 2018

Persondatapolitik Vordingborg Gymnasium & HF

Forberedelser til implementering af EU forordningen om beskyttelse af personoplysninger

1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du

Ny persondataforordning

Transkript:

www.pwc.dk Persondataforordningen Revision. Skat. Rådgivning.

Agenda Indledning Persondataforordningen udvalgte emner Hvad betyder Persondataforordningen for uddannelsesinstitutioner? Kom godt i gang Spørgsmål Privacy og Cybersikkerhed er ikke længere en it-udfordring men en ledelsesmæssig prioritering! 2

Indledning Der er sket et paradigmeskift i vores brug af teknologi vores generelle tillidsmodel virker ikke. En digital kopi forsvinder principielt aldrig Kriminaliteten vokser i den digitale verden Internet of Things etc. Social Media Sammensmeltning af teknologier Cloud Mobile Analytics 3

GDPR-introduktion Personoplysninger: Personoplysninger": enhver form for information om en identificeret eller identificerbar fysisk person ("den registrerede"); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet. Behandling af personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering er forbudt. 4

Definitioner Personoplysninger Eksisterende persondatalov Definition EU Persondata forordningen (GDPR) Eksempler Almindelige ikke-følsomme oplysninger Identifikationsoplysninger, såsom navn, adresse, fødselsdato og e-mail. Dette er de mest almindelige oplysninger, som virksomheder/organisationer kan behandle i det daglige arbejde, og som skal beskyttes på lige fod med andre interne oplysninger, som ikke videregives til udeforstående. Almindelige personoplysninger Kunde/ forbruger/ medarbejder informationer (e.g. navn og adresse) Følsomme oplysninger Fortrolige oplysninger Private forhold, såsom økonomiske og strafbare forhold, sociale problemer og lignende. Kravene for beskyttelse og behandling skærpes i denne kategori, fx oplysninger om indkomstforhold, familierelaterede oplysninger, medarbejderevalueringer, CPR-oplysninger. Race, religiøs og politisk overbevisning, helbredsmæssige og seksuelle forhold og lignende. Strengeste krav til beskyttelse og behandling, fx behandling af oplysninger om en pensionskundes kritiske sygdom eller behandling af en skades-/ulykkesag. Særlige kategorier af personoplysninger (som udgangspunkt ikke tilladt at indsamle/ behandle og kræver udtrykkeligt samtykke) CPR-nr. kombineret med persondata Oplysninger om lønindkomst Personalesager, fx helbredsoplysninger eller skade/ulykke, skilsmisse, opsigelser mv. Jobansøgninger og CV Profilering af kunder Elevvurderinger Karakterer og standpunkter mv. 5

Eksempel på persondata En oplysning i sig selv, som fx.: en elev har indlæringsvanskeligheder er ikke en følsom personhenførbar information, hvis personen ikke kan identificeres, eller informationen ikke kan henføres til én person. En oplysning, som fx: Magnus fra 1.X har indlæringsvanskeligheder vil omvendt være en følsom personhenførbar information, hvis Magnus kan identificeres af én eller flere personer. Tilsvarende vil kombinationen af en række informationer, som fx fornavn, skoleklasse og tilvalgsfag, tilsammen udgøre almindelige ikke-følsomme informationer, hvis en kreds af mennesker kan identificere eleven. Sættes sådanne informationer i forbindelse med en oplysning om, at eleven fx har en ADHD-diagnose, bliver informationerne følsomme. 6

Persondataforordningen 7

Persondataforordningen General Data Protection Regulation (GDPR) Hvad er nyt? Ingenting og så alligevel lidt det hele! Den registreredes rettigheder Dokumentationskrav Den registreredes rettigheder kommer mere i fokus Forordningen stiller krav om etablering af politikker om den registreredes rettigheder og håndteringen heraf. Anmeldelsesordningen under persondataloven afskaffes Dataansvarlige og databehandlere skal have dokumentation for de behandlingsaktiviteter som de er ansvarlige for eller deltager i. Risikoanalyse og ansvarlighed Forud for en persondatabehandling skal der gennemføres en risikoanalyse Introduktion af Privacy by Design og Privacy by Default. Konsekvensanalyse Hvis risikoanalysen viser, at behandlingen er særlig risikabel, skal der gennemføres en konsekvensanalyse (Data Privacy Impact Assessment/DPIA) Sikkerhedsbrud Nye krav til håndtering af sikkerhedsbrist introduceres, herunder bl.a. underretningskrav til tilsyn og den registrerede. Kontrol Pligt til at udføre kontrol og opfølgning Visse virksomheder skal udpege en Data Protection Officer Introduktion af one-stop-shop kompetenceregler for tilsynsmyndigheder. Sanktioner Mulighed for bødestraf på mellem 2-4 % af en virksomheds globale omsætning, eller op til 10-20 mio. Euro 8

Persondataforordningen General Data Protection Regulation (GDPR) Baggrunden var bl.a.: Bedre samhandelsmuligheder inden for EU Modernisering og standardisering af beskyttelse og behandling af persondata Udfase eksisterende persondatalov, som er > 20 år gammel Styrkelse af individernes ret til databeskyttelse. "Privacy handler dog ikke om at skulle skjule noget. Privacy handler om at blive beskyttet. Ellers kunne man på samme måde påstå, at man er ligeglad med ytringsfrihed, fordi man ikke har noget sige - Edward Snowden Hvad betyder det bl.a. for virksomheder? Skærpede regler for dataansvarlige og databehandlere At der er et overblik over hvilke persondata der indsamles og behandles Dokumentation Retten til at blive glemt Der er et retsligt grundlag for at indsamle og behandle personoplysninger Nye krav til samtykke Nye krav til dataportability. 9

Hvad betyder det i praksis? Udvalgte dele Den dataansvarliges pligter Behandle persondata i overensstemmelse med GDPR Beskyttelse gennem indstillinger dvs. at teknologisk skal løsningen reducere indgriben i privatlivet skal være aktiveret som standard At design skal kunne favne et kontinuerligt overblik over hvad og hvor indsamlede, behandlede og gemte persondata er, og hvordan de er beskyttet At retten til at blive glemt og dataoverførsel er indarbejdet i designet Logning og opfølgning på aktiviteter. Databehandlerens forpligtelser Databehandleren er forpligtet til at hjælpe den dataansvarlige Du skal gøre den dataansvarlige opmærksom på, hvis GDPR ikke overholdes eller er ulovlig. Privacy skal være en naturlig del af udviklingsprocessen og livscyklussen Tænk på privacy som business enabler Den tillid kunden viser os forpligter 10

Hvad betyder Persondataforordningen for uddannelsesinstitutioner? Eksempler 11

Ansvar Hvilke oplysninger behandler skolen? Ansvaret for beskyttelse af data ligger hos ledelsen på skolerne, da de formelt set er dataansvarlige. Dette ansvar kan ikke fraskrives eller outsources. Der skal være styr på fx: Hvordan behandles persondata både af skolen og af skolens ansatte Retningslinjer for datasikkerhed Minimum sikkerhedskrav (MSR) i henhold til forordningen Procedure for udarbejdelse, opbevaring og vedligeholdelse af dokumentation Procedure for udarbejdelse af konsekvensanalyser Kontroller til sikring af efterlevelsen samt effektiviteten af retningslinjer og procedurer Overblik over hvordan behandling foregår fx: Hvordan opbevarer vi elevmapper? Hvilke oplysninger spørger vi til ved indskrivning på skolen? Hvordan behandler og opbevarer vi personaleoplysninger? Hvor længe opbevarer vi oplysningerne? Har vi en procedure for sletning af unødvendige oplysninger? Har vi en procedure ved sikkerhedsbrist? 12

Opmærksomhedspunkter Eksempler på ændringer som skolen skal være opmærksom på Samtykkekrav Der skal gives et udtrykkeligt og formålsbegrænset samtykke til behandling af oplysninger. Hvis der ikke længere er noget formål, eller formålet ændres, mister samtykkeerklæringen sin gyldighed. Hvad med alumni, fx til en fest for gamle elever? Hvad med brug af elevbilleder på internettet mv.? Husk at Samtykkeerklæringen skal være tydeligt adskilt fra den øvrige tekst, og det skal oplyses at samtykket kan tilbagekaldes. Indsigt i egne oplysninger Den registrerede, eksempelvis en elev og dennes forældre, har ret til at blive informeret om hvordan deres oplysninger behandles og hvilke oplysninger skolen har. Egenkontrol Skolen skal løbende vurdere, hvorvidt skolen overholder forordningen. Dette skal ske som en del af dagligdagen Udover egenkontrol skal skolen gribe ind ved uregelmæssigheder, så de forebygger blotlæggelse af persondata. 13

Kom godt igang 14

Kom godt i gang Det skal sikres at der er større kontrol med organisationens behandling og beskyttelse af persondata, således at gældende krav opretholdes. Egenkontrol: Der skal udarbejdes dokumentation for gennemført behandling af persondata Populistisk sagt: Er behandlingen ikke dokumenteret, er den ikke udført! Hvad bør organisationerne gøre nu? 1. Fastlægge et strategisk afsæt 2. Kortlægge omfanget af persondata 3. Udarbejde en plan for efterlevelse af persondataforordningen og igangsætte implementeringen. 15

1. Fastlægge et strategisk afsæt Kravene i forordningen vil påvirke, hvordan organisationen skal organisere persondata- og informationssikkerhedsarbejdet, og der indføres mere egenkontrol, som en løbende proces gennem hele databehandlingslivscyklussen. Det påvirker fx: Afklaring af juridiske områder, fx i forhold til anden lovgivning Tilpasning af risiko- og konsekvensvurdering med sikkerhedsbrud Etabler en Privacy politik/ledestjerne Hvad ønsker vi at opnå udover at efterleve loven Brug fx en scenariebaseret tilgang til hvordan kravene i forordningen kan løses fx en tidligere elev ønsker sine data udleveret/slettet, hvad gør vi? Ønsker vi at arbejde efter en dataklassifikationsmodel? (se også ISO27001) Det anbefales at persondata bliver indarbejdet i den eksisterende strategi. 16

2. Kortlægge omfanget af persondata Skabe overblik over datastrømmene i forretningsgange processer og systemer: Gennemgang af arbejdsprocesser for at identificere hvilke persondata, som indsamles, behandles, opbevares og slettes. Hvad modtages og sendes til samarbejdspartere, kunder mv. Intern behandling, arkivering og bortskaffelse arbejdspraksis og risici Projektstyring og udviklingsprocessen privacy by design skal indarbejdes Gennemgang af adgangsstyring så persondata kan beskyttes i hele livscyklussen (Privacy by design) fx hvordan håndteres persondata i testsystemer? Tages der kopi af produktionsdata til testmiljøet? mv. Systemoversigt: Kan it-systemerne overholde GDPR? Logning, sletning, dataklassifikation og adgangsstyring, anonymisering eller pseudonymisering mv. 17

3. Udarbejde en plan for efterlevelse af persondataforordningen og igangsætte implementeringen En plan kan være meget forskellig i forhold til as-is (situationsbestemt). Uagtet dette skal der udarbejdes en prioriteret og realistisk plan for at blive klar til maj 2018. Hvor er den største risiko for blotlæggelse af persondata? Herunder er eksempler på de områder som bør indgå (er ikke komplet) ud over dem der er nævnt på de foregående sider: Juridisk koncernstruktur (hvis virksomheden består af flere selvstændige enheder) Etablering af en governance- og samarbejdsmodel Gennemgang af eksisterende aftaler (kontrakter, databehandleraftaler mv.) Revidering af eksisterende retningslinjer, forretningsgange, mv. Plan for at forandre og forankre systemændringer (prioritering og ressourcer) Awareness og uddannelse (kompetenceløft) Gennemgang af den fysiske indretning. 18

Kontakt os Claus Bartholin T: 2363 9921 E: cbt@pwc.dk Du er velkommen til at kontakte mig for yderligere information eller assistance PwC Kursus EU persondataforordning PwC Ydelser om persondata Lej en DPO hos PwC Denne publikation er udarbejdet alene som en generel orientering om forhold, som måtte være af interesse, og gør det ikke ud for professionel rådgivning. Du bør ikke disponere på baggrund af de oplysninger, der er indeholdt i denne publikation, uden at indhente specifik professionel rådgivning. Vi afgiver ingen erklæringer eller garantier (udtrykkeligt eller underforstået) hvad angår nøjagtigheden og fuldstændigheden af de oplysninger, der findes i publikationen, og, i det omfang loven tillader, accepterer eller påtager PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, dets aktionærer, medarbejdere og repræsentanter sig ikke nogen forpligtelse, ansvar eller agtpågivenhedspligt for eventuelle konsekvenser, som følger af, at du eller andre handler eller undlader at handle i tillid til de oplysninger, der findes i publikationen, eller for eventuelle beslutninger truffet på baggrund af publikationen. 2016 PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab. Alle rettigheder forbeholdes. I dette dokument refererer PwC til PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, som er et medlemsfirma af PricewaterhouseCoopers International Limited, hvor hver enkelt virksomhed er en særskilt juridisk enhed.

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback