EU s persondataforordning. Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse

Relaterede dokumenter
Den nye persondataforordning

Persondataforordningen - set med danske øjne

Workshop om persondataforordningen

Overblik over persondataforordningen

UVMs bidrag til GDPR implementering i uddannelsessektoren

Er I klar til den nye persondataforordning?

PERSONDATAFORORDNING - at blive klar til. Kirkeministeriets syn på den nye Persondataforordning FDK temadag i Vejle - 19.

Persondataforordningen...den nye erklæringsstandard

Fællesmøde for flis- og brændselspillegruppen samt halmgruppen

Orientering om databeskyttelsesforordningen. Sundhedsstrategisk Forum Onsdag den 21. marts 2018

Persondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017

Persondataforordningen & kommuner. Vejle, 5. maj 2015 Advokat, partner Nis Peter Dall. Baseret på persondatadirektivet (fra 1995)

Databeskyttelsesdagen

Den nye persondataforordning. 2. februar 2017

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

Cirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer

Persondataforordningen. Konsekvenser for virksomheder

Databeskyttelse i den almene sektor en digital fremtid. 30. august 2018

7. NOVEMBER Side 1. Udbud og persondata. Advokat Jesper Nørøxe samt advokat Rasmus Holm Hansen

Persondataforordningen Data Protection Officer. Advokat, Marie Albæk Jacobsen

Rigsarkivets konference 2. november 2016

CIR1H nr 9352 af 23/05/2018 (Gældende) Udskriftsdato: 24. maj Senere ændringer til forskriften Ingen. Journalnummer: Kirkemin., j.nr.

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

Tjekliste til arbejde med persondata. Branchefælleskab for Intelligent Energi

Stormøde om databeskyttelsesforordningen - og betænkning nr juni 2017

Til Økonomi- og Indenrigsministeriet 18. september 2017

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

Persondataforordningen den 20. februar 2018

Sikkerhedsprogrammet - Agenda

Persondataforordningen. Henrik Aslund Pedersen Partner

Regler om persondata Koordinatormøde den 28. nov. 2017

Plesner Certifikat i Persondataret

Den nye persondataforordning Indlæg den Ejendomsforeningen Fyn. A focused subheading Date

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Relationen dataansvarlig/ databehandler. v/rami Chr. Sørensen

Persondatapolitik Vordingborg Gymnasium & HF

Europaudvalget EUU Alm.del EU Note 27 Offentligt

Målrettet arbejde med persondataforordningen for

PERSONDATALOVEN - UDFORDRINGER. Birthe Boisen, Juridisk Konsulent Tlf

Rigsrevisionen, digitalisering og dokumentation Statens Arkiver den 5. november 2014 v/rigsrevisor Lone Strøm

PERSONDATAFORORDNINGEN STATUS???? OG ER DER NOGET NYT I DEN?

PERSONDATA - HVAD ER DET FOR NOGET OG HVORDAN BRUGES DET?

Vejledende tekst om tilsyn med databehandlere og underdatabehandlere

General Data Protection Regulation

Vejledning om informationssikkerhed

Databeskyttelsesrådgiver/DPO. artikel 37-39

KOMBIT OG SIKKERHED NU, OM LIDT OG FREMTIDEN

Aftale vedrørende fælles dataansvar

Rollen som DPO. September 2016

Hvilke forberedelser kræver EUpersondataforordningen? Klaus Kongsted, Dubex A/S, 11. juni 2015

Retningslinje om databeskyttelsesrådgivere

Persondataforordningen

Persondatareguleringen. Hvorfor, hvornår, systemet og lidt om maj 2018

Persondataforordningen

Nye regler på vej Status på arbejdet med databeskyttelsesforordningen. 8. november 2017

Overblik over persondataforordningen

INFORMATIONSSIKKERHED - OG AKTUELLE NEDSLAGSPUNKTER FRA DEN KOMMENDE DATABESKYTTELSESFORORDNING

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Adfærdskodekser. v/rami Chr. Sørensen

Forberedelser til implementering af EU forordningen om beskyttelse af personoplysninger

Præsentation Tid +/- 25 minutter i praktik

Introduktion til persondataforordning

Lever din myndighed op til persondatalovens krav?

Ma lrettet arbejde med persondataforordningen for

BILAG 5 DATABEHANDLERAFTALE

Målrettet arbejde med persondataforordningen for

Retningslinje om databeskyttelsesrådgivere

Ma lrettet arbejde med persondataforordningen for

Notat. Databeskyttelsesrådgiver. Anvendelsesområde. Formål. Definitioner. Retningslinje om databeskyttelsesrådgivere. Danske Gymnasiers medlemsskoler

Plesner Certifikat i Persondataret

Justitsministeriet Slotsholmsgade København K Danmark

Den nye persondataforordning. 17. maj 2016

Data Protection Officer (DPO): DPO-krav og outsourcing af DPO-rollen

Persondata politik for GHP Gildhøj Privathospital

Dansk Selskab for GCP. Persondatareglerne

Overblik over Justitsministeriets betænkning og de væsentligste ændringer i persondataforordningen

Ma lrettet arbejde med persondataforordningen for Helberskov Vandværk

Bilag A Databehandleraftale pr

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

Sletteregler. v/rami Chr. Sørensen

Må lrettet årbejde med persondåtåforordningen for

EU S PERSONDATAFORORDNING & CLOUD COMPUTING

ertifikat i ersondataret

Persondatapolitik for Aabenraa Statsskole

Persondatapolitik for Tørring Gymnasium 2018

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

Struktureret compliance. 9 måneder med GDPR-compliance krav hvordan er det gået?

Jesper Andersen / Lone Forsberg Databeskyttelsesrådgiveren September 2018

Må lrettet årbejde med persondåtåforordningen for Gl. Rye Våndværk

EU Persondataforordning GDPR

Birgitte Toxværd Bruun & Hjejle

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

Målrettet arbejde med persondataforordningen for

Er du nu HELT klar til GDPR? Bosted Temadag Rune Andersen, Manager, Product Management, EG

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

Konsekvensanalyse vedrørende databeskyttelse


Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

Transkript:

EU s persondataforordning Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse

Disposition Kort om forordningen Implementering - Processen i Justitsministeriet og UVM i forhold til institutionerne Tre nedslag i forordningen set i et institutionsperspektiv Compliance, Forberedelse og Databeskyttelsesrådgiver Hvor kan I læse mere og er der behov for at læse mere? DEG konference d. 29. november 2016 2

Formål Databeskyttelsesforordningen Persondataforordningen Styrke individernes (fysiske personers) ret til databeskyttelse Understøtte det frie flow af data [Reducere administrative byrder] 50 siders forordning og 30 siders præambel! DEG konference d. 29. november 2016 3

Databeskyttelsesforordningen Persondataforordningen Forordningen (DBF) En række principper for god behandlingsskik, som skal efterleves. Krav om et hjemmelsgrundlag til behandling af persondata. Fastlægger rettigheder for den registrerede, som vedkommende skal kunne udøve. Et sæt af forpligtelser, som den dataansvarlige og databehandlere skal efterleve. Datatilsynet har ret til at føre tilsyn, komme med påbud, advarsler og bøder. DEG konference d. 29. november 2016 4

Nye og allerede kendte databeskyttelseselementer Rigtig meget fra Persondataloven går igen i DBF Væsentlige ændringer med DBF er: 1. Ansvarlighed/Accountability man skal kunne dokumentere, at man overholder reglerne at man er Compliant 2. Databeskyttelsesrådgiver (DPO) krav for off. og visse private virk. 3. Risikobaseret pligt til at udarbejde konsekvensanalyser Dataprotection Impact Assessments (DPIA) / Privacy Impact Assessments (PIA) 4. Risikobaseret krav om indbygget databeskyttelse ved udvikling af nye løsninger Privacy by Design og by Default 5. Notifikationspligt til tilsynet og i visse tilfælde de registrerede 6. Strengere sanktioner (bøder) DEG konference d. 29. november 2016 5

Nye og allerede kendte databeskyttelseselementer Rigtig meget fra Persondataloven går igen i DBF Væsentlige ændringer med DBF er: 1. Ansvarlighed/Accountability Fokus her og nu man skal kunne dokumentere, at man overholder reglerne at man er Compliant 2. Databeskyttelsesrådgiver (DPO) krav for off. og visse private virk. 3. Risikobaseret pligt til at udarbejde konsekvensanalyser Dataprotection Impact Assessments (DPIA) / Privacy Impact Assessments (PIA) 4. Risikobaseret krav om indbygget databeskyttelse ved udvikling af nye løsninger Privacy by Design og by Default 5. Notifikationspligt til tilsynet og i visse tilfælde de registrerede 6. Strengere sanktioner (bøder) DEG konference d. 29. november 2016 6

Implementering af DBF EU-forordning = Lov i Danmark Gælder fra 25. maj 2018 Skal primært fortolkes.. den kan/skal på visse områder suppleres med dansk særlovgivning PDL og Sikkerhedsbekendtgørelse ophæves.. PDL 2.0? Anden lovgivning tjek og rette ind eller rette til UVM har 43 love med tilhørende bekendtgørelser m.v. Tilpasning af procedurer hos myndigheder mv. DEG konference d. 29. november 2016 7

Justitsministeriets arbejde Analyse af forordningens bestemmelser og rammer for nationale særregler. Analyse af konsekvenserne for gældende dansk lovgivning 1. kvartal 2017 JM s anbefalinger og udkast til lovgivningsmæssige tilpasninger. Okt. 2017 lovforslag fremsættes. 25. maj 2018 ikrafttrædelse. UVM deltager ved Juridisk Kontor i DEPT og STILs kontor for It-sikkerhed og Databeskyttelse DEG konference d. 29. november 2016 8

UVM og databeskyttelsesforordningen Roller og opgaver DEPT har ansvaret for lovsporet. STUK har ansvaret for implementering af ændringer i de administrative regelsæt (bekendtgørelser og vejledninger m.fl.) og for de udadrettede aktiviteter i forhold til institutionerne. STIL har som dataansvarlig for koncernens it-systemer ansvaret for kortlægning, analyse og praktiske tiltag til sikring af forordningens efterlevelse. STIL etablerer en DPO funktion, der dækker hele UVM (DEPT, STUK, STIL). DEG konference d. 29. november 2016 9

Aktiviteter ift. institutionerne STUK og STIL afventer JM s anbefalinger, analyser og udkast til ændring i lovgivning, som forventes klar i første kvartal 2017. STUK og STIL vil derefter vurdere behovet for ændringer i bekendtgørelser, instrukser og vejledninger. Evt. regelændringer vil blive sendt i høring hos relevante interessenter. STUK vil vurdere om der er behov for en særlig institutionsrettet vejledningsindsats på ministeriets område. Vejledningsindsatsen vil ske i samarbejde med skoleforeningerne og vil som udgangspunkt vedrøre håndtering af personretslige emner, der generelt giver anledning til spørgsmål i sektoren. DEG konference d. 29. november 2016 10

KID Kontor for It-sikkerhed og Databeskyttelse STIL er ansvarlig for ministeriets IT-systemer, og dermed som udgangspunkt dataansvarlig og ansvarlig for it-sikkerheden. KID er etableret for at samle ressourcerne, så en stadig øget anvendelse af data og it-systemer håndteres professionelt ift. nye krav og trusler. Databeskyttelsesforordningen er ikke alene om at stille krav ISO 25001/2, God databehandlingsskik, Rigsrevisionen KID har i alt 7 medarbejdere rekrutteret internt/eksternt med kompetencer indenfor it-sikkerhed, dataanvendelse, digitalisering, itrevision og jura. DEG konference d. 29. november 2016 11

Tre nedslag i forordningen set fra et institutionsperspektiv Mens vi venter på JM betænkningen 1. Compliance - lever vi op til gældende regelsæt? 2. Forberedelse af selve forordningen 3. Databeskyttelsesrådgiver DEG konference d. 29. november 2016 12

Compliance Lever I op til Persondataloven i dag og kan I dokumentere det? Så er I rigtig godt på vej. Sanity-check ift. Persondatalov og Sikkerhedsbekendtgørelsen Bevidsthed om ansvar og risici Sikre dokumentation og procedurer DEG konference d. 29. november 2016 13

Forberedelse Datatilsynets 12 spørgsmål Hvilke personoplysninger behandler I? lav en dataflow-analyse se KA slide 16-17 Hvilke informationer giver I de registrerede? Hvordan opfylder I de registreredes rettigheder? Hvordan indhenter I samtykke? Hvem er ansvarlig for databeskyttelse hos jer? I rollen som dataansvarlig: Er jeres behandlinger forbundet med særlige risici? Her I indtænkt databeskyttelse i jeres design? DEG konference d. 29. november 2016 14

Databeskyttelsesrådgiver (DPO) Jurist eller sikkerhedsperson Juristerne: Det her er en opgave for jurister og der står meget lidt i reglerne om, hvordan man skal beskytte data. Der skal fokus på compliance med loven. Sikkerhedsfolk kender ikke den komplicerede retspraksis. Sikkerhedsfolk kan ikke foretage en vurdering af hvilke problematikker, som er relevante. Sikkerhedsfolk: Grundlæggende handler det om at beskytte personoplysningers fortrolighed og til dels deres integritet. Der er fokus på risikovurderinger, privatlivsimplikationsanalyser, dataklassifikation, sikringstiltag, design af it-arkitektur og det er en sikkerhedsbrist i sig selv at overlade det til en jurist. Kilde: DI Digital, Henning Mortensen DEG konference d. 29. november 2016 15

Er der særlige krav til en DPO? Nej, ikke for så vidt angår uddannelse Der er heller ikke et krav om certificering Men forordningen stiller en række andre krav DPO udpegning (artikel 37) DPO ens stilling (artikel 38) DPO opgaver (artikel 39) DEG konference d. 29. november 2016 16

Skal institutionerne have en DPO? Alle offentlige myndigheder skal have en DPO. - som dataansvarlig og/eller databehandler Visse private virksomheder skal have en DPO. - Hvis behandling af persondata er en kerneaktivitet, i stort omfang, ikke biaktivitet (Art 37, stk1, litra b). DPO opgaven kan løses som en tjenesteydelse, dvs. af en ekstern Offentlig myndighed følger forvaltningslovens definitioner. - Dermed er I ikke alle en offentlig myndighed nogle af jer er private. Hvis I er dataansvarlig/databehandler og skal have en DPO, løser I DPO opgaven. Hvis UVM er dataansvarlig/ løser STIL/KID DPO opgaven. Offentlige myndigheder kan udpege en fælles DPO i overensstemmelse med deres organisatoriske struktur og størrelse. - Fx én DPO i UVM, jf. ovenfor. Vi har aftalt med Justitsministeriet, at problematikken vil blive tydeliggjort i materialet om offentlige myndigheders forpligtelser, hvilket UVM afventer ift. videre tiltag. DEG konference d. 29. november 2016 17

Læs mere Datatilsynet: www.dbreform.dk www.datatilsynet.dk Kammeradvokaten (DEG): www.deg.dk/medlem/it/it-og-data/#panelc8752 Diverse advokat-, revisions -og konsulentfirmaer It-brancheforeningen DEG konference d. 29. november 2016 18

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback