Rollen som DPO. September 2016

Relaterede dokumenter
Persondataforordningen Data Protection Officer. Advokat, Marie Albæk Jacobsen

Data Protection Officer (DPO): DPO-krav og outsourcing af DPO-rollen

Overblik over persondataforordningen

Data Protection Officer: krav og outsourcing af DPO-rollen. Uddannelsesdagen 2017

Persondataforordningen

Hvorfor er informationssikkerhed et ledelsesansvar?

Persondata og sikkerhedsbrud

Plesner Certifikat i Persondataret

DPO ens rolle i praksis. 13. Juni 2016 Advokat Lars Japp Haslund

WP243 BILAG OFTE STILLEDE SPØRGSMÅL

Grab n Go: Session 2 EU s persondataforordning og hvad så?!? 17. marts 2016

Den nye persondataforordning. 2. februar 2017

General Data Protection Regulation

Persondataforordningen & kommuner. Vejle, 5. maj 2015 Advokat, partner Nis Peter Dall. Baseret på persondatadirektivet (fra 1995)

Overblik over persondataforordningen

EU s persondataforordning. Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse

Til Økonomi- og Indenrigsministeriet 18. september 2017

Plesner Certifikat i Persondataret

Persondataretlig compliance - Hvordan bliver din organisation klar?

Persondataforordningen...den nye erklæringsstandard

SISCON GDPR I revisionsmæssigt perspektiv incl. præcisering vedrørned DPIA

Tjekliste til arbejde med persondata. Branchefælleskab for Intelligent Energi

Birgitte Toxværd Bruun & Hjejle

1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål.

Persondataforordningen. Henrik Aslund Pedersen Partner

BILAG 14: DATABEHANDLERAFTALE

Advokat (H), partner Anders Aagaard. Ledelsesansvar for IT-sikkerhed

6.1 Introduktion. Af Jeppe Høyer Jørgensen, LETT Advokatpartnerselskab Indhold. Denne artikel har følgende

Deloitte, Finansagenda 2015 Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting. Vi skaber muligheder & realiserer potentialet sammen

Praktisk persondatacompliance

Databehandleraftaler. Ved partner Thomas Munk Rasmussen, Bech-Bruun

Er I klar til den nye persondataforordning?

BILAG 5 DATABEHANDLERAFTALE

Databeskyttelsesdagen

Det skal du have styr pa inden 2018

Introduktion til persondataforordning

Den nye persondataforordning. 17. maj 2016

Data Protection Officer Til lægemiddelindustrien og sundhedssektoren

Den nye persondataforordning Indlæg den Ejendomsforeningen Fyn. A focused subheading Date

Persondataforordningen den 20. februar 2018

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

Persondatacompliance

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Persondataretlig compliance i praksis. Uddannelsesdagen 28. maj 2015 v/ partner Thomas Munk Rasmussen og partner Mikkel Friis Rossa

Sikkerhed & Revision 2016 den 2. september B:4 Stream B Governance, Risk & Compliance

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Struktureret compliance. 9 måneder med GDPR-compliance krav hvordan er det gået?

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

Persondata, compliance og datasikkerhed. Ved Charlotte Bagger Tranberg

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

Transkript:

Rollen som September 2016

2 Udpegning af Hvilke organisationer (både dataansvarlige og databehandlere) skal have en (artikel 37)? Offentlige myndigheder (undtagen domstole) Private virksomheder, hvis kerneaktivitet består af omfattende databehandling, som kræver regelmæssig og systematisk overvågning af den registrerede i stort omfang Private virksomheder, hvis kerneaktivitet består af behandling i stort omfang af følsomme personoplysninger eller oplysninger om straffedomme og straffelovsovertrædelser Koncern kan udpege én fælles alle etableringer have let adgang til en Flere offentlige myndigheder/organer kan udpege fælles i overensstemmelse med struktur og størrelse National ret eller EU-ret (specielle områder) kan fastsætte andre krav til udpegning af Øvrige organisationer kan udpege medlemsstaterne kan lave særregler Alle organisationer bør forankre arbejdet med persondata hos en /databeskyttelsesansvarlig

3 Generelle krav vedr. Udpegning på grundlag af faglige kvalifikationer og ekspertise inden for persondatalovgivning og -praksis samt evner til at udføre opgaver oplistet i forordningens artikel 39 Kan både være medarbejder hos den dataansvarlige og ekstern Kontaktoplysninger på en skal offentliggøres og meddeles til tilsynsmyndigheden en skal tilstrækkeligt og rettidigt inddrages i alle spørgsmål vedrørende beskyttelse af personoplysninger en skal støttes i udførelsen af sine opgaver tilvejebringelse af nødvendige ressourcer til gennemførelse af opgaver, opretholdelse af s ekspertise og adgang til personoplysninger og behandlingsaktiviteter en skal være de registreredes point of contact i alle spørgsmål vedr. behandling af deres oplysninger og udøvelse af deres rettigheder i henhold til forordningen

4 Generelle krav vedr. Den dataansvarlige/databehandleren sikre, at en ikke modtager instrukser vedr. udførelsen af sine opgaver Ikke afskediges eller straffes af dataansvarlig/databehandler for at udføre sine opgaver (ikke en egentlig beskyttet stilling) Rapportere direkte til øverste ledelsesniveau (C-level stilling (CPO)) en underlagt tavshedspligt/fortrolighed vedrørende udførelsen af sine opgaver (i overensstemmelse med EU-ret/lovgivningen i en medlemsstat) en kan udføre andre opgaver/pligter sikre mod interessekonflikt

5 Udpegningen Lovkrav i forhold til forretningsbehov Interessekonflikter Organisationens størrelse/sammensætning Skal det været et egentligt -team? Kritisk størrelse? Privacy-koordinatorer? Samarbejde med andre C-level executives (Chief Information Officer CIO, Chief Security Officer CSO, Chief Data Officer CDO Chief Compliance Officer COO CISO (Chief Information Security Officer) En organisation med en er ikke automatisk compliant de materielle krav skal stadig opfyldes

6 Interne kontaktflader (eksempler) R&D Markedsføring Bestyrelse Compliance (CPO) HR Legal IT Direktion Kommunikation

7 Eksterne kontakter (eksempler) Advokater Revisorer Databehandlere (CPO)? Myndig heder Datatilsyn Leverandører Kunder

8 Koncern Lovpligtig udpegning Strategisk udpegning (Global) Lokal/regional Lokal/regional Lokal/regional Lokal/regional Lokal/regional

9 Myndighed Lovpligtig udpegning Strategisk udpegning Lokal Lokal Lokal Lokal Lokal

10 bør have viden om Ledelse og organisation Viden om tekniske krav til privacy og datasikkerhed Konkret viden om den behandling af personoplysninger i den organisation, hvor den pågældende er ansat Evnen til at udføre impact assessments, audits, indgå i drøftelser, udarbejde dokumentation og analyser af fx log filer Even til at kommunikere effektivt med interne (fra øverste ledelse til piccolinen) og eksterne parter

11 Forpligtelser og opgaver Opretholde balance mellem rollen som selskabets trusted advisor og håndhæver Sætte fokus på privacy awareness Udarbejde og implementere privacy politikker Gennemføre Privacy Impact Assessments Overvåge compliance Vedligeholde dokumentation Administrere hændelser, brud på persondatasikkerheden og underretninger af tilsynsmyndigheden Etablere kontakt til tilsynsmyndigheden og interne/interne parter

12 Administration af politikker Implementere politikker og procedurer med henblik på administration af risiko Outsourcing aktiviteter Anvendelse af tredjeparts leverandører (HR, IT, marketing specielt, hvis de behandler personoplysninger udenfor EU eller i cloudløsninger) Opretholde et tæt samarbejde med CISO med henblik på koordinering af compliance og udvikling af information og cyber security politikker og procedurer en bør fokusere på følgende politik-områder: Retningslinjer til direktion, ansatte og ledere Udarbejde retningslinjer til samarbejdsparter og andre tredjeparter som anvender virksomhedens faciliteter og information Samarbejde med HR i forhold til udvikling af politikker, procedurer og processer til behandling af personoplysninger i forbindelse med ansættelse og personaleadministration Samarbejde med IT i forhold til udvikling af politikker, procedurer og processer for informationssikkerhed, håndtering af personoplysninger, outsourcing, BYOD, udvikling af nye løsninger og overvågning af arbejdspladsen Samarbejde med legal og salg/marketing for at sikre compliance med relevant lovgivning og retningslinjer for aftaler, marketing, reklame, profilering og omtale

13 skal være kendt og respekteret i organisationen Regelmæssig ledelsesrapportering på forskellige niveauer Månedligt status på persondata-compliance i organisationen (sammenhæng med evt. CSR-rapportering) Kvartalsvist Årligt: Egentlig årsrapport om rigets tilstand Løbende drøftelse med ledelsen om aktuelle forhold Politik for underretning af ledelsen om hændelser, sikkerhedsbrud eller lign. Single point of contact for nye tiltag i organisationen, som indebærer behandling af personoplysninger

14 Undervisning/træning Vigtig del af persondata og compliance Bøder kan også have grundlag i manglende politikker, procedurer og træning overordnet ansvarlig for at der gennemføres træning og skabes awareness vedr. politikker og procedurer hos nuværende og nye ansatte, ledelsen og bestyrelsen. en skal deltage i tilrettelæggelse og gennemførelse af træning tilpasset organisationens enkelte afdelinger og teams og sikre opdatering af materiale, når der sker ændringer i lovgivning og retningslinjer. Udarbejde en oversigt over undervisningsbehov i forskellige dele af organisationen, fx ud fra en skala fra 0-5 (mulighed for i vis grad at standardisere metoder og materiale) 0: Personalegrupper uden behov for undervisning i persondata (har fx ikke har adgang til personoplysninger i dagligt arbejde). 5: Personalegrupper med stort behov for undervisning i persondata (har fx adgang til store mængder eller meget følsomme personoplysninger i dagligt arbejde)

15 Etiske standarder for Loyalitet Kun nødvendig viden Fortrolighed Interessekonflikter

16 = multi-talent Ændringen i globale privacy frame works og implikationer af brud på persondatasikkerhed medfører, at -rollen får stigende betydning en skal være opmærksom på alle regulatoriske ændringer såvel som ændringer i best practices vedr. informationssikkerhed Indsamle oplysninger fra så mange eksterne kilder som muligt via uddannelse og networking -rollen kræver mange egenskaber: Forstå og fortolke (anvende) den skiftende lovgivning Kommunikere klart med andre - spec. i fht. lovgivningsmæssige krav, planer, undervise og træne Udarbejde og administrere budgetter Gode skriftlige formuleringsevner Analytisk ift. risiko og GAP Dokumentere og kontrollere processer Være kreativ og forretningsorienteret, når der foreslås løsninger Forstå cyber security risiko og kontroller

17 Kontakt Thomas Munk Rasmussen Partner København IP & Technology T +45 72 27 33 55 M +45 25 26 33 55 E tmr@bechbruun.com København Danmark Aarhus Danmark Shanghai Kina T +45 72 27 00 00 www.bechbruun.com

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback