Persondataforordningen. Fra papir til handling

Relaterede dokumenter
Persondataforordningen. Konsekvenser for virksomheder

Data protection impact assessment

GDPR En praktisk tilgang

EU s persondataforordning. Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse

Nyskabelser I persondataforording - DI's redskaber til compliance

EU Persondataforordning GDPR

Persondataforordningen. Hvad kan vi bruge KITOS til?

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

Databeskyttelsesdagen

Persondatapolitik Vordingborg Gymnasium & HF

Må lrettet årbejde med persondåtåforordningen for Gl. Rye Våndværk

PERSONDATAFORORDNINGEN STATUS???? OG ER DER NOGET NYT I DEN?

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

Ma lrettet arbejde med persondataforordningen for

Persondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017

Målrettet arbejde med persondataforordningen for

Må lrettet årbejde med persondåtåforordningen for

Målrettet arbejde med persondataforordningen for

Persondataforordningen

Målrettet arbejde med persondataforordningen for

Persondatapolitik for Aabenraa Statsskole

Persondataforordningen. Konsekvenser for virksomheder

Persondata politik for GHP Gildhøj Privathospital

Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

Må lrettet årbejde med persondåtåforordningen for Vejby Smidstrup Våndværk

Ma lrettet arbejde med persondataforordningen for Helberskov Vandværk

Persondatapolitik for Tørring Gymnasium 2018

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

Agenda. Præsentation af Thomas Riisager Persondataforordningen de vigtigste punkter. Pause

Avnbøl-Ullerup Våndværk A.m.b.å. CVR-nr

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

Persondataforordningen - set med danske øjne

Persondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.

Forordningen: Data Protection Officer, jura og sikkerhed. Lars Boye, Dubex A/S ESL-efteruddannelsen, den 9. marts 2016

Persondatapolitikken er godkendt på VUC Roskildes bestyrelsesmøde den 7 juni 2018.

Persondataforordningen

Ecofleet. Persondataforordningen Kort fortalt. Del 1. Peter Dam Nordic Project Manager

Persondatapolitik på Gentofte Studenterkursus

Persondataforordningen

BAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4

Ma lrettet arbejde med persondataforordningen for

HAR DIN VIRKSOMHED STYR PÅ GDPR? v/ Advokat Henrik Mansfeldt Witt & Advokatfuldmægtig Majbritt Alemany

Persondataforordningen den 20. februar 2018

Målrettet arbejde med persondataforordningen for Østermarie Vandværk

Persondataforordningen

Persondatareguleringen. Hvorfor, hvornår, systemet og lidt om maj 2018

1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I. INDHOLDSFORTEGNELSE: 1. Generelt... 2

Digital verden post GDPR

N. Zahles Skole Persondatapolitik

Introduktion til persondataforordning


Persondatapolitik for Odense Katedralskole

Persondataforordningen...den nye erklæringsstandard

Orientering om databeskyttelsesforordningen. Sundhedsstrategisk Forum Onsdag den 21. marts 2018

Per Løkken, Partner. CAMPUS November 2018

September Indledning

Workshop om teatrenes arbejde med persondataforordningen

Præsentation Tid +/- 25 minutter i praktik

Persondataforordningen. Henrik Aslund Pedersen Partner

Persondatapolitikken er godkendt på Vesthimmerlands Gymnasium og HF s bestyrelsesmøde den 25. juni 2018

Implementering af persondataforordningen

BILAG 3: PRIVATLIVSFREMMENDE TEKNOLOGIER

UVMs bidrag til GDPR implementering i uddannelsessektoren

Overblik over persondataforordningen

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106.

FORSYNINGSTRÆF 2016 PERSONDATARET HVORFOR NU EGENTLIG DET?

GML-HR A/S CVR-nr.:

Dansk Selskab for GCP. Persondatareglerne

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

Stormøde om databeskyttelsesforordningen - og betænkning nr juni 2017

General Data Protection Regulation

EU S PERSONDATAFORORDNING & CLOUD COMPUTING

Rigsarkivets konference 2. november 2016

Nye regler på vej Status på arbejdet med databeskyttelsesforordningen. 8. november 2017

Konsekvensanalyse vedrørende databeskyttelse

VEJLEDNING Persondataforordningen - Implementering i danske virksomheder

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

Retningslinje om fortegnelser over behandlingsaktiviteter

PERSONDATAFORORDNINGEN APRIL 2018

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

Plesner Certifikat i Persondataret

De registreredes rettigheder

Persondataforordningen & kommuner. Vejle, 5. maj 2015 Advokat, partner Nis Peter Dall. Baseret på persondatadirektivet (fra 1995)

Databeskyttelsesforordningspolitik

Persondatapolitik for. Klippinge Vandværk

EU-Persondataforordningen

Persondataforordningen

EN DAG OM PERSONDATAFORORDNINGEN. STU Foreningen. 7. december 2017

Aftale vedrørende fælles dataansvar

Velkommen til seminar om Persondataforordningen. Den 16. maj 2018.

Tjekliste til arbejde med persondata. Branchefælleskab for Intelligent Energi

DANVA, Dansk Vand- og Spildevandsforening. Godthåbsvej Skanderborg. og

Struktureret compliance. 9 måneder med GDPR-compliance krav hvordan er det gået?

Fysiske personer. Vi ved jo alle, hvad en person er. Det er sådan en som os selv (Peter Blume: Databeskyttelsesret, 4. udg., 2013, s. 30f.

Cirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer

Lector ApS CVR-nr.:

Transkript:

Persondataforordningen Fra papir til handling

Hvad er privacy? Hvad er det egentlig vi vil beskytte? Territorial privacy: Afgrænsning af privatsfæren vs. arbejdspladsen, det offentlige rum - f.eks. i forhold til videoovervågning eller ID-tjek Kropslig privacy: Retten til at beskytte kroppen mod f.eks. genetiske tests og ejerskab til væv Kommunikationsprivacy: Retten til at kommunikere privat: samtale, breve, mails, telefonopkald, internetanvendelse Informationsprivacy: Databeskyttelse. The right to be let alone Louis Brandeis, 1890 No one shall be subjected to arbitrary interference with his privacy, family, home or correspondence Verdenserklæringen om Menneskerettighederne, 1948 Privacy er muligheden for selv (at kunne håndtere risikoen for ikke) at have kontrol over hvilken information man vil dele med hvem hvornår og hvordan. 2

Hvorfor er privacy vigtigt? Individsynspunkt Være i kontrol med sine personoplysninger, selv bestemme hvem vi vil dele med Risiko for anvendelse imod individets interesser Historisk og geografisk betydning Refleksion, ytringsfrihed, demokrati, konstruktion af ego, altid noget galt Kilde: "De overvågede", Henning Mortensen, m.fl. 3

Trusler opsummering Fjender - Fremmede lande - Klassiske it-kriminelle - Idealister - Fejl Motiver - Snyd, afpresning og salg af stjålne aktiver - Nationale, strategiske eller konkurrencemæssige fordele - Uvidenhed, uheld eller dumhed Mere generelt: OCTAVE trusselsterminologi - Menneskelige fejl (interne/eksterne; bevidste/ubevidste) - Systemmæssige fejl - Trusler udenfor virksomhedens kontrol 4

Persondataforordningen - baggrund Formål: Styrke individernes ret til databeskyttelse Understøtte det frie flow af data (inden for EU) Reducere administrative byrder 5

Lovens opbygning Der er nogle principper for god behandlingsskik som skal efterleves Der skal findes et hjemmelsgrundlag til behandling Den registrerede har nogle rettigheder, som vedkommende skal kunne udøve Den dataansvarlige og databehandlere skal efterleve nogle forpligtelser Datatilsynet har ret til at føre tilsyn, komme med påbud, advarsler og bøder 6

Hvad er omfattet Reglerne beskytter fysiske personer Personoplysninger som behandles automatiseret eller anden behandling af personoplysninger som indgår i et arkiv. Personoplysninger er alle informationer relateret til en identificeret eller identificerbar person - herunder inklusiv pseudonymer, eksklusiv anonymisering (pseudonymisering kan til dels sætte den registreredes rettigheder ud af drift, jf. A11) En identificerbar person er en person som kan identificeres (direkte eller indirekte eller udpeges) under henvisning til: en identifier som f.eks. navn, ID-nummer, lokationsdata eller en online identifier af alle slags (f.eks. IP, cookie, RFID) eller andre faktorer som er specifikke for personen (fysisk, genetisk, mental, økonomisk, kulturel eller social identitet) 7

Hvem er omfattet? Alle dataansvarlige og databehandlere, som har etableret sig i EU - uanset om behandlingen finder sted i EU Virksomheder der laver varer eller services rettet mod borgere i EU, defineret ved f.eks. sprog, valuta eller kunder indenfor EU Virksomheder som registrerer adfærd (tracking, profilering, præferencer) for de registrerede der befinder sig i EU Virksomheder, som omfattes af de to sidste bullets, skal udpege en repræsentant i EU (Dataansvarlige uden for EU, men hvor EU lov gælder i medfør af internationale aftaler (ambassader)) 8

Principper for behandling 1 Lovlig (A6+A9) for almindelige og følsomme oplysninger F.eks. samtykke (frit, specifik, informeret og utvetydigt (og eksplicit)), kontrakt eller interesseafvejning Rimelig og gennemsigtig Herunder oplysning (A13+A14) Rimelig i forhold til opfyldelse af de registreredes øvrige rettigheder Formålsbegrænsning Udtrykkeligt angivne og legitime formål (ikke mere end formålet tilsiger) Dataminimering Behandlingen af data skal være tilstrækkelig, relevant og begrænset i henhold til formål Rigtighed Data skal være korrekte og om nødvendigt ajourførte Opbevaringsbegrænsning Ikke lagring i identificerbar form længere tid end nødvendigt 9

Principper for behandling 2 Integritet og fortrolighed Behandlingen må kun ske, hvis der er taget de fornødne sikkerhedsforanstaltninger Ansvarlighed (accountability) Den dataansvarlige er ansvarlig for compliance med principperne og skal kunne påvise compliance med principperne 10

Datasubjektets rettigheder 1 Oplysningspligt (A13+A14) Indsigt (A15) Berigtige (A16) Slette (A17) Sletteret stort set som i dag. Dog gælder at den dataansvarlige der har gjort personoplysninger offentlige, og som om pålægges at slette disse, også skal tage rimelige skridt til at få andre dataansvarlige som behandler de pågældende oplysninger til at slette disse eller links hertil. Begrænse behandling (A18) Underretning (A19) Dataportabilitet (A20) Ny ret, hvor praksis afventes Indsigelse (A21) 11

Datasubjektets rettigheder 2 Profilering (A22) Ret til ikke at blive profileret Profilering: afgørelse alene baseret på automatiseret behandling, som har retsvirkning eller betydelige konsekvenser. Eksempler: kreditvurdering eller e-rekruttering Undtagelser til rettigheder (A23) Skal fastsættes i lov og med krav til detaljer i lov 12

DA og DBs pligter 1 Overordnet ansvarsplacering: Dataansvarlig Data Protection by Design og Default (A25) Særlige pligter til databehandler bl.a. gennem databehandleraftale (A28) Fortegnelse over behandlingsaktiviteter (A30) Risikobaserede tekniske og organisatoriske sikkerhedsforanstaltninger (A32) Anmeldelse og underretning om hændelser (A33-34) Data Protection Impact Assessment (A35) Data Protection Officer (A37-39) Adfærdskodeks og standarder (A40-43) 13

Overførsel til tredje lande Privacy Shield (og andre godkendelser fra EU) SCC BCR Undtagelser (f.eks. samtykke og særlig lovhjemmel) 14

Operationelle anbefalinger til virksomheder (GDPR) 15

DI's aktiviteter Vejledning om forordningen med: Tjekliste Anbefalinger GDPR-krav formuleret som controller Bud på Data Protection by Design DPIA-skabelon opdateret DPO-netværk etableret Politisk overvågning 16

Tjekliste Besvar de overordnede spørgsmål Er virksomheden omfattet af forordningen? Er informationerne, som virksomheden ønsker at behandle, omfattet af forordningen; er informationerne at betragte som personoplysninger? Hvilke kategorier af personoplysninger ønsker virksomheden at behandle? Hvilke behandlinger ønsker virksomheden at foretage? Spiller virksomheden en rolle som dataansvarlig eller databehandler i forhold til de konkrete behandlinger? Har virksomheden et retligt grundlag til at behandle de ønskede kategorier af personoplysninger? Opfylder virksomheden principperne for behandling af oplysningerne? Er behandlingen nødvendig (proportional)? Kan virksomheden behandle oplysningerne på en mindre indgribende måde og stadig opnå formålet? Opfylder virksomheden de registreredes rettigheder ved behandling af oplysningerne? Opfylder virksomheden sine forpligtelser (herunder vedrørende overførsel og sikkerhed) ved at behandle personoplysninger? Er der særlige forhold, der gør sig gældende, for virksomhedens behandling af personoplysninger? 17

Konkrete anbefalinger 1 Topledelsen Det er jeres ansvar: Bøder, image og konsekvenser for de registrerede Udpeg CISO og DPO/CPO og nedsæt projektgruppe Lyt til deres råd Godkendt politikker og procedurer, risikovurderinger og system/dataklassifikation ca. årligt Få korte kvartalsvise statusopdateringer Være rollemodeller i at skabe en sikkerhedskultur (Hvis det ikke betyder noget for chefen, betyder det heller ikke noget for mig) 18

Konkrete anbefalinger 2 CISO / DPO Samarbejd med hinanden (i projektgruppe) Lav politikker og procedurer (inkl. dokumentation jf. A5, stk. 2) og få dem godkendt af topledelsen Lav ikke romaner Lav praktisk anvendelige skabeloner med spørgsmål Spørgsmålene/kontrollerne fra DI s vejledning DI s DPIA skabelon og valg af design Dokumenter, kontroller og vedligehold Gennemgå databehandleraftaler Gennemgå hjemmelsgrundlag for behandling Gennemgå ISO27002-kontrollerne 19

Konkrete anbefalinger 3 System og dataansvarlige Følg vejledninger, politikker og procedurer Lad være med at bøje reglerne Hvis i har spørgsmål, så gå til CISO/DPO og tag altid dem med i et itprojektforløb (allerede når det er på tankeplan) Besvar spørgsmål i de redskaber der stilles til rådighed Det handler ikke bare om compliance eller teknik: Det handler om ikke at save den gren over I sidder på 20

Konkrete anbefalinger 4 Forretningen: Se det som en mulighed! Det er ikke bare udgifter og besvær I kommer til at kende jeres data på en ny måde i forbindelse med kortlægningen => måske nye forretningsmuligheder I kommer til at kunne strømline nogle processer, når I ved hvor data flyder rundt => måske mulighed for at effektivisere I kommer til at kunne give den beskyttelse af data, som I egentlig gerne ville give, men som I bare håber, at ingen opdager, at I ikke giver lige nu => bedre håndtering af organisationens risici 21

Vejledningen, mapning, ex GDPR (15. december 2015 udgaven), Artikel 30, stk. 1, litra c: the controller shall implement appropriate technical and organizational measures, to ensure a level of security appropriate to risk including the ability to restore the availability and access to data in a timely manner in the event of a physical or technical incident ISO/IEC 27002:2013, Control 12.3.1: Backup copies of information, software and system images should be taken and tested regularly in accordance with an agreed policy DI s beskrivelse af kontrollen og mapping af de to kilder: Virksomheden skal sikre, at personoplysninger kan genskabes indenfor rimelig tid. Artikel X, stk. Y A.12.7.1 (kontroller i forbindelse med audit af informationssystemer) A.12.3.1 (backup af information) A.17.1.1 (planlægning af informationssikkerhedskontinuitet) A.17.1.2 (implementering af informationssikkerhedskontinuitet) A.18.2 (gennemgang af informationssikkerhed) Virksomheden skal sikre, at sikkerhedstiltagene bliver testet og at personoplysninger kan genskabes indenfor rimelig tid 22

DI's bud på DPbD DPbD Data Loss Prevention Data Discovery Identity and Access Governance Log management Backup Shadow-it discovery Information Lifecycle Management Pseudonymization Encryption Anonymization Virtual or partial identities 23

DPIA - "definition" Definition En DPIA er en vurdering af risici, set fra et individs synspunkt, ved at en aktør behandler individets personoplysninger. Indhold DPIA'en består af en analyse og af en proces. Analysen sikrer, at de rette spørgsmål bliver stillet og besvaret. Processen sikrer, at spørgsmål stilles og svar gives på dette rette tidspunkt i en teknologis livscyklus. 24

DPIA-proces DPIA-proces Idefase Planlægning og arkitektur Teknologivalg Implementering og test Drift og ændringer Idefase: Er der behov for DPIA? (A) og compliance-betragtning (B) Planlægning og arkitektur: dataflowanalyse (C), de registreredes risici (D) og planlægning af korrigerende foranstaltninger (E) Teknologivalg: Privacy Enhancing Technologies (G) Implementering og test: Information til datasubjekter (F) og anonymisere/slette Drift og ændringer: Følge op på DPIA og implementere kontroller 25

DPIA - dataflowanalyse Hvilke personoplysninger vil blive behandlet? Hvilke typer af teknologier anvendes? Hvordan foregår indsamlingen af personoplysninger? Til hvilket formål behandles personoplysningerne? Andre formål? Ekstra data? På hvilket retligt grundlag foretages behandlingen? Samtykke? Hvilken behandling finder sted? Hvem har adgang til data? Hvem har ansvaret for personoplysningernes sikkerhed? Hvordan ser dataflowet ud efter indsamling? Tegnet flowdiagram? Hvordan organiseres personoplysningerne? Videregives data til andre? 26

DPO-netværk Løbende opdatering af udviklingen - herunder fortolkningsbidrag Invitation til arrangementer 27

Myndighederne EU Virkning fra 25. maj 2018 eprivacy-direktivet under revision Vejledninger fra artikel 29-gruppen og Kommissionen bl.a. ifht. dataportabilitet, DPIA, DPO, certificering, code of conducts og ikoner Justitsministeriets persondatakontor m.fl. Udnyttelse af hvilke af fleksibilitetsbestemmelserne, der skal udnyttes Hvilke særlove og sektorspecifikke love skal ændres/opretholdes Datatilsynets regulering og organisering Hjemmel til staf og administrative bøder Afklare forhold til anden EU ret 100-150 notater og rapport ultimo 1. kvartal 2017 Lovforslag oktober 2017 Al lovgivning på plads i 1. kvartal 2018 28

Links DI's vejledning om forordningen http://di.dk/virksomhed/produktion/it/itsikkerhed/personoplysninger/pages/v ejledningompersondataforordningen.aspx DI's DPIA-skabelon http://di.dk/virksomhed/produktion/it/itsikkerhed/personoplysninger/pages/d IsskabelonforPrivacyImpactAssessment.aspx DI's vejledning om sikkerhed ved cloud computing og outsourcing http://di.dk/virksomhed/produktion/it/itsikkerhed/vejledninger/pages/sikkerh edsmaessigeovervejelservedcloudcomputingogoutsourcing.aspx DI's sikkerhedsside http://di.dk/virksomhed/produktion/it/itsikkerhed/pages/default.aspx DI's arrangementer om persondataforordningen http://digital.di.dk/arrangementer/pages/arrangementer.aspx DI's DPO-netværk Mail til Henning Mortensen, hem@di.dk 29

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback