Persondatareguleringen. Hvorfor, hvornår, systemet og lidt om maj 2018

Relaterede dokumenter
Aftale vedrørende fælles dataansvar

Fysiske personer. Vi ved jo alle, hvad en person er. Det er sådan en som os selv (Peter Blume: Databeskyttelsesret, 4. udg., 2013, s. 30f.

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

Cirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer

CIR1H nr 9352 af 23/05/2018 (Gældende) Udskriftsdato: 24. maj Senere ændringer til forskriften Ingen. Journalnummer: Kirkemin., j.nr.

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

Retningslinje om ansvarsfordeling - dataansvarlig vs. databehandler

Introduktion til persondataforordning

Retningslinje om dataansvarlig/databehandler

N. Zahles Skole Persondatapolitik

Persondatapolitik Vordingborg Gymnasium & HF

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Retningslinje om fortegnelser over behandlingsaktiviteter

Persondataforordningen den 20. februar 2018

1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?

Retningslinje om fortegnelser over behandlingsaktiviteter

Persondata politik for GHP Gildhøj Privathospital

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

Behandling af personoplysninger

Retningslinje om fortegnelser over behandlingsaktiviteter

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

Persondatapolitik for Tørring Gymnasium 2018

Retningslinje om fortegnelser over behandlingsaktiviteter

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

Persondatapolitik på Gentofte Studenterkursus

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

Persondatapolitik for Aabenraa Statsskole

Den Dataansvarlige og Databehandleren benævnes herefter samlet "Parter" og hver for sig "Part".

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

Persondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.

PERSONDATAFORORDNINGEN STATUS???? OG ER DER NOGET NYT I DEN?

! Databehandleraftale

PERSONDATA - HVAD ER DET FOR NOGET OG HVORDAN BRUGES DET?

Retningslinjer om brud på persondata

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

DATABEHANDLERAFTALE. Conscia A/S. Conscia A/S Kirkebjerg Parkvej 9 DK-2605 Brøndby Tlf

Persondatapolitikken er godkendt på VUC Roskildes bestyrelsesmøde den 7 juni 2018.

Retningslinjer om brud på persondatasikkerheden

BAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4

EN DAG OM PERSONDATAFORORDNINGEN. STU Foreningen. 7. december 2017

GDPR og arkivloven. Poul Olsen, DPO, Rigsarkivet

Overblik over persondataforordningen

Persondatapolitik for Odense Katedralskole

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

DANVA, Dansk Vand- og Spildevandsforening. Godthåbsvej Skanderborg. og

Organisatorisk og teknisk implementering af GDPR i Rigsarkivet. Fagligt forum 3. september 2019 Jan Dalsten Sørensen Rigsarkivet

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Standardvilkår. Databehandleraftale

Bilag 8. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

Persondatapolitikken er godkendt på Vesthimmerlands Gymnasium og HF s bestyrelsesmøde den 25. juni 2018

Europaudvalget EUU Alm.del EU Note 27 Offentligt

September Indledning

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

DATABEHANDLERAFTALE. Omsorgsbemanding

Databehandleraftale (v.1.1)

Databeskyttelsesforordningspolitik

Retningslinje om risikovurdering

PERSONDATAFORORDNING - at blive klar til. Kirkeministeriets syn på den nye Persondataforordning FDK temadag i Vejle - 19.

Formål. Definitioner. ø Retningslinjer om brud på datasikkerheden Anvendelsesområde

Formålet med denne retningslinje er at sikre, at Ringkjøbing Gymnasium udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.

Databehandlervilkår. 1: Baggrund, formål og definitioner

Databehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.

Bilag 1 Databehandler aftale (v.1.2)

Brud på datasikkerheden

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Retsudvalget, Retsudvalget L 68 endeligt svar på spørgsmål 4, L 69 endeligt svar på spørgsmål 4 Offentligt

Backup, sletning og genskabelse af personoplysninger

Formålet med denne retningslinje er at sikre, at Nykøbing Katedralskole udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.

B EUROPA-PARLAMENTETS

Retningslinje om brud på persondatasikkerhed Skanderborg Gymnasium ANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2

Databehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren.

Retningslinjer om brud på persondatasikkerheden

Persondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017

Bilag 7. Retningslinje om behandlingssikkerhed. Anvendelsesområde. Formål. Definitioner

Midtfyns. Gymnasium. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

WinWinWeb Databehandleraftale. Databehandleraftale. Mellem. Den Dataansvarlige: Kunden. Databehandleren: WinWinWeb CVR:

Hvad betyder den nye persondataforordning for udvikling og brug af digitale sundhedsløsninger, og hvem har ansvaret for overholdelse?

Retningslinje om behandlingsgrundlag (hjemmel)

Databeskyttelsesdagen

BILAG 3.2 FÆLLES DATAANSVARSAFTALE

Retsudvalget, Retsudvalget L 68 endeligt svar på spørgsmål 6, L 69 endeligt svar på spørgsmål 6 Offentligt

ANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2 BEHANDLINGSGRUNDLAG... 3 KONTROL OG DOKUMENTATION... 8

Formålet med denne retningslinje er at sikre, at Midtfyns Gymnasium udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.

D A T A B E H A N D L E R A F T A L E

DATABEHANDLERAFTALE Bilag til handelsaftale mellem Shopstart ApS (Databehandleren) og køber af webhotel tjeneste (Dataansvarlig)

FORSYNINGSTRÆF 2016 PERSONDATARET HVORFOR NU EGENTLIG DET?

Databehandleraftale. Dataansvarlig. Databehandler. Navn: CVR nr.: Adresse:

Cirkulæreskrivelse om Styrelsen for It og Lærings opgaver som databehandler i visse administrative systemer på undervisningsområdet

Formålet med denne retningslinje er at sikre, at Nykøbing Katedralskole foretager den fornødne risikovurdering ved behandling af personoplysninger.

Databehandleraftale INDHOLDSFORTEGNELSE

Formålet med denne retningslinje er at sikre, at Midtfyns Gymnasium foretager den fornødne risikovurdering ved behandling af personoplysninger.

Bilag 3 Personoplysninger Den registrerede Behandling af personoplysninger Dataansvarlig Databehandler Brud på persondatasikkerheden

7. NOVEMBER Side 1. Udbud og persondata. Advokat Jesper Nørøxe samt advokat Rasmus Holm Hansen

TDC ERHVERV MAILFILTER

Transkript:

Persondatareguleringen Hvorfor, hvornår, systemet og lidt om maj 2018

Hvorfor? I er så meget i et brændpunkt for persondataretten, at vi er nødt til at stige op i helikopteren.

Hvad tænker EU?

Hvad tænker EU også?

Drøft med sidemanden: Hvad er det bagvedliggende og grundlæggende formål med den regulering, som vi taler om her? Overvej hvorfor jeg ofte bruger følgende vendinger: Den samlede sum af alle EU-borgers holdning til indsamling og brug af persondata, især massebehandling Balancepunkt

Ja, tak, det var jo spændende nok men er det brugbart i praksis? Satakunnan, Sag C-73/07 Markus Schecke, forenede sager C-92/09 og C 93/09 Digital Rights / logningsdommen, forenede sager C- 293/12 og 594/12 Google Spain, Sag C-131/12 Maximillian Schrems, Sag C-362/14 Og mange, mange flere. Tjaaa.

Hvornår? Artikel 2, stk. 1: Denne forordning finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikke-automatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register

Definitionen af personoplysninger Artikel 4, nr. 1:»personoplysninger«:enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet

Reguleringens grundlæggende systematik Principper Retligt grundlag (oftest forpligtelse eller samtykke) Fairness Formålsbestemthed Proportionalitet (incl. dataminiering) Datakvalitet Tidsbegrænsning Sikkerhed, herunder adgangsbegrænsninger og databehandleraftale Data Protection By Design (By Default samt Impact Assesment) Særlige regler for børn Administrative bestemmelser Anmeldelse, tilladelse og høring af Datatilsynet afløses formentlig af fortegnelse over egne behandlinger, dokumentation og indberetning af sikkerhedsbrister. Rettigheder Information, indsigt, indsigelse, korrektion mv. (Sanktioner og tilsyn)

Drøft med sidemanden: Mht. apps er det så ok, at vi bare registrerer hvor brugeren færdes eller skal vi som minimum lade brugeren acceptere dette? Hvilken betydning har samtykke?

Systematik: Forholdet til andre regler: Generelt: Bestemmes det i national ret, at en oplysning skal behandles, så er det retlige grundlag til stede Men: Medmindre det fremgår af den danske lov, er forordningens (øvrige)regler ikke fraveget! Er andre dele af forordningen faktisk fraveget, skal der opstilles garantier for databeskyttelsen på anden måde! Lad os tage et eksempel:

Artikel 9, stk. 2, litra h: Behandling er nødvendig med henblik på ( ) ydelse af social- og sundhedsomsorg eller - behandling eller forvaltning af social-og sundhedsomsorg og -tjenester på grundlag af EU-retten eller medlemsstaternes nationale ret ( ) og underlagt de betingelser og garantier, der er omhandlet i stk. 3 (Stk. 3: Behandles af person med tavshedspligt eller på vegne af en person med tavshedspligt)

Drøft med sidemanden: Lovbestemt at kommunerne skal opspore sårbare borgere i gruppen på 65-79 år Sagsbehandlerne vil gerne have en mulighed for at finde disse borgere på et fælles kort. Parametrene er: Køn, enlig, anden etnisk baggrund, barnløs (derudfra en liste med disse borgere og deres cpr-nummer) Er det retlige grundlag til stede? Hvilke elementer skal projektet (så) være opmærksom på (se slide 9)?

Forordningen maj 2018 En del nyt, men vigtigst: 1. Muligvis nye aspekter ift. organisering 2. Data Protection by Design and by Default 3. Data Protection Impact Assesment 4. DPO og klarere krav til dataansvarsfordeling

Ad 1: Aspekter ift. organisering Artikel 83, stk. 7: Uden at det berører tilsynsmyndighedernes korrigerende beføjelser i henhold til artikel 58, stk. 2, kan hver medlemsstat fastsætte regler om, hvorvidt og i hvilket omfang administrative bøder må pålægges offentlige myndigheder og organer, der er etableret i den pågældende medlemsstat.

Drøft med sidemanden Hvorfor mener jeg, at det er en vigtig nyskabelse? Læs artikel 83, stk. 4 og 5 i: http://eur-lex.europa.eu/legalcontent/da/txt/pdf/?uri=oj:l:2016:119:full&from=en Hvordan har I hidtil organiseret jeres arbejde? Hvilken betydning har det efter den 25. maj 2018, hvorvidt jeres organisation regnes som myndighed eller som privat?

Ad 2: Data Protection by Design Artikel 25, stk. 1: Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlingskarakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, som behandlingen indebærer, gennemfører den dataansvarlige både på tidspunktet for fastlæggelse af midlerne til behandling og på tidspunktet for selve behandlingen passende tekniske og organisatoriske foranstaltninger, såsom pseudonymisering, som er designet med henblik på effektiv implementering af databeskyttelsesprincipper, såsom dataminimering, og med henblik på integrering af de fornødne garantier i behandlingen for at opfylde kravene i denne forordning og beskytte de registreredes rettigheder.

Data Protection by Default Artikel 25, stk. 2: Den dataansvarlige gennemfører passende tekniske og organisatoriske foranstaltninger med henblik på gennem standardindstillinger at sikre, at kun personoplysninger, der er nødvendige til hvert specifikt formål med behandlingen, behandles. Denne forpligtelse gælder den mængde personoplysninger, der indsamles, og omfanget af deres behandling samt deres opbevaringsperiode og tilgængelighed. Sådanne foranstaltninger skal navnlig gennem standardindstillinger sikre, at personoplysninger ikke uden den pågældende fysiske persons indgriben stilles til rådighed for et ubegrænset antal fysiske personer.

Ad 3: Data Protection Impact Assesment Artikel 35, stk. 1: 1.Hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, foretager den dataansvarlige forud for behandlingen en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger. ( ) Artikel 35, stk. 3: En konsekvensanalyse vedrørende databeskyttelse som omhandlet i stk. 1 er navnlig påkrævet i følgende tilfælde: ( ) b) behandling i stort omfang af særlige kategorier af oplysninger, jf. artikel 9, stk. 1, eller af personoplysninger vedrørende straffedomme og lovovertrædelser, jf. artikel 10, eller c) systematisk overvågning af et offentligt tilgængeligt område i stort omfang

Drøft med sidemanden En af jer beskriver et projekt, der aktuelt planlægges i jeres organisation Hvordan vil I lave en PiA, sikre Data Protection By Design og By Default? Jeg er enig: http://www.digst.dk/arkitektur-og- standarder/videnscenter-for-implementering-af- ISO27001/Konsekvensvurdering-for-privatlivet

Ad 4: DPO hhv. fælles dataansvar Artikel 37: Krav om DPO Artikel 26: Klarlæg jeres roller

I er velkommen til:.. at kontakte os på SDU: Hanne Marie Motzfeldt, hama@sam.sdu.dk Sten Schaumburg-Müller, stsm@sam.sdu.dk Kristina Siig, kms@sam.sdu.dk https://www.waset.org/conference/2017/01/durban/icegscds

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback