ER DIN VIRKSOMHED KLÆDT PÅ TIL DEN NYE PERSONDATAFORORDNING?

Relaterede dokumenter
Introduktion til persondataforordning

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Overblik over persondataforordningen

PERSONDATA KUNDER OG LEVERANDØRER

EU Persondataforordning GDPR

N. Zahles Skole Persondatapolitik

Ecofleet. Persondataforordningen Kort fortalt. Del 1. Peter Dam Nordic Project Manager

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

Persondatapolitik Vordingborg Gymnasium & HF

Persondatapolitik for Tørring Gymnasium 2018

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

Persondatapolitik for Aabenraa Statsskole

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

Thea Præstmark WW W W W.SKA W UR.SKA EIP UR UR EIP TH UR. TH C. OM C

Persondata politik for GHP Gildhøj Privathospital

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106.

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

EN DAG OM PERSONDATAFORORDNINGEN. STU Foreningen. 7. december 2017

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

PERSONDATAFORORDNINGEN STATUS???? OG ER DER NOGET NYT I DEN?

Velkommen til seminar om Persondataforordningen. Den 16. maj 2018.

Bilag 3 Personoplysninger Den registrerede Behandling af personoplysninger Dataansvarlig Databehandler Brud på persondatasikkerheden

Persondatapolitik på Gentofte Studenterkursus

Persondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.

BAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I. INDHOLDSFORTEGNELSE: 1. Generelt... 2

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

PERSONDATA - HVAD ER DET FOR NOGET OG HVORDAN BRUGES DET?

opfylde vores kontraktuelle forpligtelser over for dig, samt at

Persondatapolitikken er godkendt på VUC Roskildes bestyrelsesmøde den 7 juni 2018.

Personoplysninger. Jens Hørlück

Persondataforordningen

Cirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer

Persondatapolitik for Odense Katedralskole

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

BILAG 14: DATABEHANDLERAFTALE

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

DANVA, Dansk Vand- og Spildevandsforening. Godthåbsvej Skanderborg. og

Per Løkken, Partner. CAMPUS November 2018

FORSYNINGSTRÆF 2016 PERSONDATARET HVORFOR NU EGENTLIG DET?

Aftale vedrørende fælles dataansvar

Retningslinje om overførsel til tredjelande

Standardvilkår. Databehandleraftale

Databeskyttelse i den almene sektor en digital fremtid. 30. august 2018

Persondatapolitikken er godkendt på Vesthimmerlands Gymnasium og HF s bestyrelsesmøde den 25. juni 2018

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Retningslinje om dataansvarlig/databehandler

Persondataloven i en Smart City kontekst. Alexander Tureczek, Ph.d. candidate

Introduktion til persondataforordningen PSF temadag d , lektor Dorthe Høilund, Metropol

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Rigsarkivets konference 2. november 2016

Bilag 8. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

Workshop om persondataforordningen

Formål. Definitioner. ø Retningslinjer om brud på datasikkerheden Anvendelsesområde

Persondatareguleringen. Hvorfor, hvornår, systemet og lidt om maj 2018

Retningslinjer om brud på persondatasikkerheden

Forsvarsministeriets Materiel- og Indkøbsstyrelse

POLITIK FOR DATABESKYTTELSE

CIR1H nr 9352 af 23/05/2018 (Gældende) Udskriftsdato: 24. maj Senere ændringer til forskriften Ingen. Journalnummer: Kirkemin., j.nr.

September Indledning

Retningslinje om fortegnelser over behandlingsaktiviteter

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

Ny persondataforordning

Velkommen til. Informationsmøde om. Persondataforordningen 2018

DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde

Brud på datasikkerheden

Retningslinje om ansvarsfordeling - dataansvarlig vs. databehandler

Bilag A Databehandleraftale pr

Ny Persondataforordning mv.

Retningslinjer om brud på persondatasikkerheden

Forsikring & Pension Philip Heymans Allé Hellerup

Persondataforordningen. Henrik Aslund Pedersen Partner

Midtfyns. Gymnasium. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

INTERN HR PERSONDATAPOLITIK FOR LIONS MD106. Nærværende gælder for MD 106, dvs. alle ansatte og medlemmer i Lions MD 106.

Retningslinje om fortegnelser over behandlingsaktiviteter

GML-HR A/S CVR-nr.:

Rammer og vilkår for brug af data. 25. oktober 2016 Afdelingschef Birgitte Drewes,

Præsentation Tid +/- 25 minutter i praktik

Orientering om databeskyttelsesforordningen. Sundhedsstrategisk Forum Onsdag den 21. marts 2018

HJULMANDKAPTAIN PERSONDATA REGLER OG IMPLEMENTERING. OPLÆG TIL DANSKE BUSVOGMÆND DEN 29. NOVEMBER 2017 Advokat Karina Søndergaard

DATABEHANDLERAFTALE Databehandleren skal overholde Persondataloven og Persondataforordningen, samt heraf afledt national lovgivning.

Retningslinjer om brud på persondata

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Kontraktbilag 3. Databehandleraftale

Persondataforordningen AbMano

Databehandleraftale

DATABEHANDLERAFTALE. Conscia A/S. Conscia A/S Kirkebjerg Parkvej 9 DK-2605 Brøndby Tlf

Formålet med denne retningslinje er at sikre, at Ringkjøbing Gymnasium udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.

Retningslinje om brud på persondatasikkerhed Skanderborg Gymnasium ANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2

Europaudvalget EUU Alm.del EU Note 27 Offentligt

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1

Databeskyttelsesforordningen og dansk forskning. v/ chefkonsulent Kim Taasby & jurist Anahita Khatam-Lashgari 24. maj 2018

Databeskyttelsespolitik for:

PERSONDATA - INDSAMLING, BEHANDLING OG OPBEVARING AF FORBRUGSDATA I FORSYNINGSSEKTOREN

Transkript:

ER DIN VIRKSOMHED KLÆDT PÅ TIL DEN NYE PERSONDATAFORORDNING? Udvalgsmøde hos Den Danske Fondsmæglerforening 14. november 2016 Tina Brøgger Sørensen, partner, advokat SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø

AGENDA Velkomst og introduktion Den juridiske baggrund for complianceprogrammet Kort introduktion til den gældende persondatalov Persondataforordningen - nyskabelser Persondataretlig compliance hos din virksomhed Hvilke (overordnede) aktiviteter skal der gennemføres? Hvordan organiseres arbejdet? Hvilke ressourcer kræver det i virksomheden? SIDE 2

DEN JURIDISKE BAGGRUND FOR COMPLIANCEPROGRAMMET Hvad handler det om? SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø CVR. NR: DK 62 60 67 11

PERSONOPLYSNINGER: ENHVER FORM FOR INFORMATION OM EN IDENTIFICERET ELLER IDENTIFICERBAR FYSISK PERSON (DEN REGISTREREDE) - Persondatalovens 3, nr. 1 SIDE 4

[ ] VED IDENTIFICERBAR FYSISK PERSON FORSTÅS EN FYSISK PERSON, DER DIREKTE ELLER INDIREKTE KAN IDENTIFICERES, NAVNLIG VED EN IDENTIFIKATOR SOM F.EKS. ET NAVN, ET IDENTIFIKATIONSNUMMER, LOKALISERINGSDATA, EN ONLINEIDENTIFIKATOR ELLER ET ELLER FLERE ELEMENTER, DER ER SÆRLIGE FOR DENNE FYSISKE PERSONS FYSISKE, FYSIOLOGISKE, GENETISKE, PSYKISKE, ØKONOMISKE, KULTURELLE ELLER SOCIALE IDENTITET - Persondataforordningens art. 4, nr. 1 SIDE 5

BEHANDLING: ENHVER OPERATION ELLER RÆKKE AF OPERATIONER MED ELLER UDEN BRUG AF ELEKTRONISK DATABEHANDLING, SOM OPLYSNINGER GØRES TIL GENSTAND FOR - Persondatalovens 3, nr. 2 SIDE 6

BEHANDLING: [ ] F.EKS. INDSAMLING, REGISTRERING, ORGANISERING, SYSTEMATISERING, OPBEVARING, TILPASNING ELLER ÆNDRING, GENFINDING, SØGNING, BRUG, VIDEREGIVELSE VED TRANSMISSION, FORMIDLING ELLER ENHVER ANDEN FORM FOR OVERLADELSE, SAMMENSTILLING ELLER SAMKØRING, BEGRÆNSNING, SLETNING ELLER TILINTETGØRELSE - Persondataforordningens art. 4, nr. 2 SIDE 7

GRUNDLÆGGENDE PERSONDATARET SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø CVR. NR: DK 62 60 67 11

INTRODUKTION TIL PERSONDATALOVEN PDL 5 artikel 6 i forordningen God databehandlingsskik lovlighed, rimelighed og gennemsigtighed Udtrykkelige og saglige formål Proportionalitet Ajourføring, kontrol for at sikre, at der ikke behandles urigtige eller vildledende oplysninger, slettepligt og berigtige Opbevaringsperioden Behandlingshjemmel i 6, 7 eller 8 artikel 6 og 9 i forordningen Registreredes rettigheder artikel 12 ff. i forordningen Oplysningspligt ved indsamling, indsigtsret, indsigelse, tilbagekaldelse af samtykke mv. Anmeldelse af behandlinger til Datatilsynet afskaffelse? SIDE 9

GRUNDLÆGGENDE BEHANDLINGSREGLER God databehandlingskik - 5 Saglige og legitime formål - skal angives udtrykkeligt Senere behandling må ikke være uforenelig med de oprindelige formål Kun relevante og tilstrækkelige oplysninger Kun hvis behandlingen er nødvendig Blot fordi den registrerede har offentliggjort sine oplysninger, f.eks. på Facebook, betyder det ikke, at de godt må behandles! Proportionalitetsprincippet Slettepligt Forældelsesloven, bogføringsloven, løbende aftaleforhold, rimelighed m.v. SIDE 10

PERSONDATA KATEGORIER 6 7 8 11 Almindelige oplysninger Navn, journal nr. mv. Kontaktoplysninger Køn, alder mv. Interesser Kundeprofil, købshistorik Kreditoplysninger mv. IP adresser Muligheder for behandling: bl.a. samtykke, kontrakt, interesseafvejningsreglen kan ofte behandles uden samtykke Følsomme oplysninger Oplysninger af rent privat karakter Race og etnisk baggrund (ikke nationalitet) Religion Politisk overbevisning Fagforeningsforhold Helbredsforhold Seksuelle forhold (ikke registreret partnerskab) Muligheder for behandling: som UP altid samtykke Strafbare forhold Væsentlige sociale problemer Andre rent private forhold: personlighedstests, skilsmisse, adoptionsforhold, positive alkohol- eller narkotikatest mv. Muligheder for behandling: som UP altid samtykke evt. en meget streng interesseafvejning CPR-numre Gælder kun for CPRnumre Muligheder for behandling: samtykke eller bestemt ved lov, afgrænsede muligheder for videregivelse til brug for identifikation SIDE 11

SAMTYKKE: ENHVER FRIVILLIG, SPECIFIK OG INFORMERET VILJESTILKENDEGIVELSE, HVORVED DEN REGISTREREDE INDVILGER I, AT OPLYSNINGER, DER VEDRØRER DEN PÅGÆLDENDE SELV, GØRES TIL GENSTAND FOR BEHANDLING - Persondatalovens 3, nr. 8 - NB! Skærpede krav efter forordningens artikel 7 SIDE 12

BEHANDLINGSREGLERNE ALMINDELIGE OPLYSNINGER F.eks.: navn, adresse, skattemæssige oplysninger, bankoplysninger, beskæftigelse, købehistorik, kreditoplysninger mv. Hjemmel for behandling PDL 6 Som udgangspunkt ikke krav om samtykke fra den registrerede Behandling er nødvendig til opfyldelse af aftale, som den registrerede er part i => aftalen udgør hjemmelsgrundlaget Behandlingen kræver IKKE anmeldelse og tilladelse fra Datatilsynet NB! Særlige regler om behandling af personnumre PDL 11, stk. 2 SIDE 13

BEHANDLINGSREGLERNE FØLSOMME OPLYSNINGER Oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold Hovedregel: forbud mod behandling Undtagelse: hjemmel for behandling PDL 7, stk. 2. F.eks.: Udtrykkeligt samtykke Nødvendigt for, at retskrav kan fastlægges, gøres gældende eller forsvares Behandlingen kræver i dag forudgående anmeldelse og tilladelse fra Datatilsynet Art. 9: genetiske data, biometriske data for entydigt at identificere en person SIDE 14

BEHANDLINGSREGLERNE PRIVATE OPLYSNINGER Oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold, f.eks. oplysning om bortvisning, medlemskab af foreninger, alvorlige ulykkestilfælde, skilsmisse og personlighedstests Hjemmel for behandling PDL 8, stk. 4 Hovedregel: krav om udtrykkeligt samtykke Undtagelse f.eks.: Nødvendigt for at varetage berettiget interesse og denne interesse klart overstiger hensynet til den registrerede Nødvendigt ift. retskrav Behandlingen kræver forudgående anmeldelse og tilladelse fra Datatilsynet Art. 9: opregner IKKE disse private oplysninger almindelige oplysninger SIDE 15

KONCERNFORHOLD - TREDJELANDSOVERFØRSLER Videregivelse i koncernforhold betragtes som videregivelse til tredjemand krav om sagligt formål, hjemmel til videregivelse (f.eks. samtykke eller interesseafvejningsreglen) mv. Særlige krav ved videregivelse til tredjelande, dvs. lande uden for EU, lande, der ikke er omfattet af EØS-samarbejdet, og lande, der ikke er særligt godkendt som et tredjeland med tilstrækkeligt beskyttelsesniveau Eksempler på særligt godkendte lande: Israel, Schweiz og Argentina forordningen opretholder sådanne godkendelser, indtil de bliver ændret, erstattet eller ophævet videregivelse kræver stadig ikke specifik godkendelse SIDE 16

BRUG AF DATABEHANDLERE Særlige krav Skriftlig aftale Krav til indholdet: kun efter instruks fra den dataansvarlige databehandleren skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven mv. hvis databehandleren er etableret i et andet EU-land, skal de lokale krav om datasikkerhed også være gældende Den dataansvarlige skal sikre sig, at databehandleren kan træffe de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker Behandlingen er altid den dataansvarliges ansvar! Brug af cloud-baserede løsninger særlige sikkerhedskrav Offentlig forvaltning - sikkerhedsbekendtgørelsen SIDE 17

DEN REGISTREREDES RETTIGHEDER Oplysningspligt ( 28-29) Indsigtsret ( 31) Hver 6. måned Skal på begæring gives skriftligt Kan opkræve 10 kr. pr. påbegyndt side Ret til at korrigere og slette oplysninger ( 37) 3-mand skal underrettes Ret til at gøre indsigelse mod behandlingen ( 35) Ret til at tilbagekalde sit samtykke til enhver tid ( 38) Ret til at klage til Datatilsynet ( 40) SIDE 18

ANMELDELSESPLIGT Lovens UP er anmeldelsespligt, men der er mange undtagelser Anmeldelsespligten er tilknyttet bestemte typer behandling Personaleadministration, whistleblowerordninger Følsomme oplysninger Ingen pligt til at anmelde kontrakter Forpligtelsen er pålagt den dataansvarlige databehandlere skal ikke (og kan ikke) anmelde Dog en særlig undtagelse for edb-servicevirksomheder ( 53-anmeldelse) driftsafvikling af databehandling for andre udbydes på almindelige markedsvilkår og er virksomhedens egentlige formål Datatilsynets tilladelse afventes, før behandlingen må påbegyndes SIDE 19

PERSONDATA- FORORDNINGEN - NYHEDER OG IMPLIKATIONER SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø CVR. NR: DK 62 60 67 11

EU-FORORDNING OM DATABESKYTTELSE Vedtaget i Europa-Parlamentet den 14. april 2016 Anvendelsesfrist den 25. maj 2018 Overordnede ønsker er bl.a. Ensartede regler i EU Skærpet beskyttelse af fysiske personer Hårdere sanktioner Administrative bøder på op til EUR 10 mio. / 20 mio. eller for en virksomhed med op til 2 % / 4% af den samlede globale årlige omsætning i det foregående regnskabsår, såfremt dette beløb er højere SIDE 21

EU-FORORDNING OM DATABESKYTTELSE Udeståender Hvilke specifikke bestemmelser fastsættes i Danmark? Se f.eks. artikel 37, stk. 4: I andre tilfælde end de i stk. 1 omhandlede, kan eller, når det kræves i henhold til EU-retten eller medlemsstaternes nationale ret, skal den dataansvarlige eller databehandleren.., udpege en databeskyttelsesrådgiver. Kommissionen kan vedtage delegerede retsakter Fortolkningsbidrag fra Det Europæiske Databeskyttelsesråd Justitsministeriet Datatilsynet SIDE 22

EU-FORORDNING OM DATABESKYTTELSE EKSEMPLER PÅ NYSKABELSER: 1. Udvidelse af det territoriale anvendelsesområde (art. 3) Gælder for etablerede i EU, uanset om behandlingen finder sted i EU eller ej Gælder uanset om dataansvarlig/databehandler er etableret i EU, hvis registrerede er i EU F.eks. online salg af produkter eller web-baserede ydelser, eller online eller mobil tracking af fysiske personer, der er i EU 2. Dokumentationskrav og DPOs (art. 24, art. 30 og art. 37 ff.) Skifte fra anmeldelsessystem til krav om at påvise compliance og evt. tillige føre interne fortegnelser over behandlingsaktiviteter Visse dataansvarlige/databehandlere har pligt til udpegelse af DPO SIDE 23

EU-FORORDNING OM DATABESKYTTELSE 3. Privacy by design og privacy by default (art. 25) Pligt til at indtænke databeskyttelsesprincipper allerede ved design af nye teknologier, produkter og ydelser Standardindstillinger skal sikre, at kun nødvendige oplysninger behandles 4. Konsekvensanalyse (art. 35) Pligt hvis en type behandling sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder Er f.eks. navnlig påkrævet ved vurderinger baseret på automatisk behandling, herunder profilering 5. Øget krav om transparens (art. 13-14) Oplysningspligten ved indsamlingen af personoplysninger SIDE 24

EU-FORORDNING OM DATABESKYTTELSE 6. Strengere betingelser for samtykke (art. 7), f.eks. Inden der gives samtykke, skal den registrerede oplyses om, at samtykket kan trækkes tilbage Opfyldelse af kontrakt må ikke være gjort betinget af samtykke til behandling af personoplysninger, der ikke er nødvendig for opfyldelse af kontrakten 7. Øgede rettigheder for de registrerede (art. 15 ff.) Indsigsret, ret til berigtigelse, sletning, begrænsning af og indsigelse mod behandling, dataportabilitet mv. 8. Pligt til anmeldelse af brud på persondatasikkerheden (art. 33) SIDE 25

EU-FORORDNING OM DATABESKYTTELSE 9. One-stop shop (art. 56) Én ledende tilsynsmyndigheds kompetence ved grænseoverskridende behandling 10. Databehandlere Strengere krav til indholdet af den pligtige databehandleraftale (art. 28) Erstatningsansvar over for skadelidte for skade forvoldt af denne (art. 82) Kan pålægges bøde for overtrædelse af forordningen (art. 83) SIDE 26

PERSONDATARETLIG COMPLIANCE - HVAD SKAL DIN VIRKSOMHED GØRE? SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø CVR. NR: DK 62 60 67 11

12 SPØRGSMÅL INSPIRATION FRA DATATILSYNET Har I kendskab til den nye databeskyttelsesforordning? Hvilke personoplysninger behandler I? Hvilken information giver I de registrerede? Hvordan opfylder I de registreredes rettigheder? På hvilket retligt grundlag behandler I personoplysninger? Hvordan indhenter I samtykke? Behandler I personoplysninger om børn? Hvad skal I gøre ved brud på persondatasikkerheden? Er jeres behandlinger forbundet med særlige risici? Har I indtænkt databeskyttelse i jeres it-systemer? Hvem er ansvarlige for databeskyttelsesspørgsmål hos virksomheden? Driver I virksomhed i flere lande (eller overfører I oplysninger til udlandet)? SIDE 28

KROMANN REUMERTS COMPLIANCE-MODEL Fase 1 Afgrænsning og forberedelse Fase 3 Complianceanalyse Fase 5 Implementering Vedligeholdelse og opfølgning på handlingsplanen Fase 2 Analyse af datastrømme Fase 4 Handlingsplan SIDE 29

FASE 1 AFGRÆNSNING OG FORBEREDELSE SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø CVR. NR: DK 62 60 67 11

FASE 1 - AFGRÆNSNING OG FORBEREDELSE (1) Fase 1 skal sætte scenen for compliance-projektet og sikre organisatorisk forankring Indledende fase Projektoverblikket Formålet med fase 1 er at sikre, at organisationen og projektet bliver klar til at gennemføre de øvrige aktiviteter Forberedelse er afgørende for et velgennemført compliance-program Awareness og forankring i ledelsen Forberedelse af projektet Organisering Fastlæggelse af regler SIDE 31

A1 A2 FASE 1 - AFGRÆNSNING OG FORBEREDELSE (2) Awareness og forankring i ledelsen Skab awareness om persondataret og compliance i organisationen særligt på relevante ledelsesniveauer Den brændende platform - Hvad er persondata, og hvorfor er det vigtigt? Sørg for forankring i ledelsen Opbakning og prioritering Budget både penge og timer Placering af det organisatoriske ansvar hvem har det overordnede ansvar? Skab en vision og et mål for projektet hvad vil I opnå? Organisering Etabler en hensigtsmæssig organisation til gennemførsel af compliance-projektet Sørg for at have de nødvendige ressourcer og kompetencer til projektet: Jura men det er ikke (kun) et juridisk projekt IT / IT-sikkerhed Forretningen Ledelseskontakt (evt. i form af styregruppe el.lign.) Andre? (HR, compliance, marketing mv.) Den konkrete organisering afhænger af virksomhedens størrelse, art og organisation Afklaring af ressourcer og budget SIDE 32

Slide nummer 32 A1 Author; 18-09-2016 A2 Author; 18-09-2016

FASE 1 - AFGRÆNSNING OG FORBEREDELSE (3) Forberedelse af projektet Overordnet koordinering af projektet Realistisk tidsplan for hele projektet og de enkelte faser Forventninger til output af de forskellige faser? Afgrænsning Afgrænsning af de relevante juridiske enheder og de relevante databehandlingsaktiviteter Afgrænsning af relevante personer til interviews Afklaring af antal IT systemer, der indeholder persondata Afklaring af eksisterende dokumentation Hvor langt er I allerede? Beskrevne processer, politikker mv. Fastlæggelse af regler Fastlæggelse af regler mv., der skal efterleves Afklaring af relevante særregler Internationale aspekter Er der grænseoverskridende aktiviteter og hvordan håndterer I dem? SIDE 33

FASE 2 ANALYSE AF DATASTRØMME SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø CVR. NR: DK 62 60 67 11

FASE 2 - ANALYSE AF DATASTRØMME (1) Datastrømsanalysen skal danne grundlaget for compliance-arbejdet og kan anvendes til dokumentation iht. forordningen Hvilke data? Hvem anvender dataene? Til hvilke formål? Hvem har adgang? Videregives data? Mv. Tilgang til analysen Procesorienteret Tager udgangspunkt i, hvordan data flyder i forbindelse med forretningens processer -> typisk ved interviews, workshops, beskrevne processer Systemorienteret Tager udgangspunkt i, hvilke IT-systemer virksomheden anvender, og hvorledes persondata lagres, anvendes og stilles til rådighed i disse SIDE 35

FASE 2 - ANALYSE AF DATASTRØMME (2) Dataindsamling Interviews/workshops med relevante interessenter HR IT - økonomi/finans - legal/compliance ledelse/bestyrelse salg indkøb eftermarked mv. Husk grundig spørgeguide og kritisk tilgang Analyse af IT-systemer Hvilket indhold har systemerne? Almindelige og/eller følsomme oplysninger Hvor er data placeret? Internt/eksternt/geografisk Stemmer det overens med informationer indsamlet gennem interviews? Husk også eksterne parter og deres systemer ift. jeres data flows Dokumentation Indsamling og gennemgang af materiale til fastlæggelse af datastrømme Udarbejdelse af en illustrativ rapport om datastrømme Overblik til brug for compliance-analyse Kan også efterfølgende bruges til at dokumentere compliance med persondataloven og persondataforordningen Sørg for, at dokumentationen er nem at opdatere Verifikation få de interviewede m.v. til at gennemgå dokumentationen for at rette evt. fejl og misforståelser SIDE 36

FASE 3 COMPLIANCE-ANALYSE SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø

FASE 3 - COMPLIANCE- ANALYSE (1) Formålet med compliance-analysen er at vurdere virksomhedens anvendelse af data i forhold til de relevante regler Afklaring af, hvilke oplysninger behandles til hvilke formål Vurdering af, om persondatabehandlingen er lovlig i forhold til persondataforordningens regler og eventuelle andre relevante regelsæt Grundlæggende en gap-analyse, der skal identificere de gaps (huller), der skal lukkes, for at virksomheden efterlever gældende regler SIDE 38

FASE 3 - COMPLIANCE- ANALYSE (2) 1) Grundlæggende behandlingsregler Overholdelse af principperne om: Lovlighed, rimelighed og gennemsigtighed; Formålsbegrænsning; Dataminimering; Rigtighed (ajourføring); Opbevaringsbegrænsning (slettepligt); Integritet og fortrolighed; Ansvarlighed (accountability) SIDE 39

FASE 3 - COMPLIANCE-ANALYSE (3) 2) Behandlingshjemmel Almindelige oplysninger Samtykke? Kontrakt? Interesseafvejning? Følsomme oplysninger Samtykke? Retskrav? Hvis samtykkebaseret behandling er samtykket gyldigt? 3) Håndtering af de registreredes rettigheder Oplysningspligt Indsigtsret og ret til berigtigelse Håndtering af klager Kan virksomheden håndtere ret til dataportabilitet og retten til at blive glemt? Automatiske afgørelser, herunder profilering SIDE 40

FASE 3 - COMPLIANCE-ANALYSE (4) 4) Brug af databehandlere Overblik over databehandleraftaler Tilpasning af aftalerne ift. forordningens krav om indholdet, herunder (i) genstand for og varighed af behandlingen, (ii) behandlingens karakter og formål, (iii) typer af personoplysninger, (iv) kategorierne af registrerede, og (v) den dataansvarliges forpligtelser og rettigheder 5) Datasikkerhed Gennemgang af sikkerhedstiltag - i dialog med IT F.eks. afsæt i sikkerhedskrav for anmeldte behandlinger hos Datatilsynet, ISO 2700x, branchestandarder mv. Data protection by design og data protection by default Konsekvensanalyse Risikobaseret tilgang med udgangspunkt i risiko for de registrerede SIDE 41

FASE 3 - COMPLIANCE-ANALYSE (5) 6) Overførsler til udlandet Inden for EU/EØS Uden for EU/EØS Sikre tredjelande EU Standardbestemmelser Binding Corporate Rules EU-US Privacy Shield Ad hoc kontrakter Evt. samtykke eller kontrakt I visse tilfælde er en forudgående tilladelse fra Datatilsynet påkrævet 7) Anmeldelse og tilladelse Har virksomheden de fornødne tilladelser og anmeldelser hos Datatilsynet? SIDE 42

FASE 3 - COMPLIANCE- ANALYSE (6) Dokumentation Resultat af compliance-analysen gap-analyse, der beskriver de områder, hvor virksomheden ikke lever op til reglerne Det endelige produkt: en compliance-rapport baseret på gap-analysen med angivelse af konkrete konklusioner og anbefalinger SIDE 43

FASE 4 HANDLINGSPLAN SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø CVR. NR: DK 62 60 67 11

FASE 4 - HANDLINGSPLAN (1) Formålet med handlingsplanen er at fastlægge og prioritere de indsatser, der skal til for at udfylde hullerne fra gap-analysen i rette tid og med rette prioritet Anbefalingerne fra compliance-rapporten danner grundlaget for udarbejdelse af en handlingsplan Handlingsplanen bør indeholde anbefalinger og planer for relevante tiltag Handlingsplanen bør indeholde prioritering, deadlines og ansvarsfordeling SIDE 45

FASE 4 - HANDLINGSPLAN (2) Udarbejdelse af behandlingsoversigter og konsekvensanalyse (hvor relevant) Udarbejdelse af nye politikker, guidelines, instrukser mv. (eller tilpasning af de eksisterende) Eksempler: IT politik, politik/guidelines for håndtering af persondata/hr data/kundedata, instrukser for håndtering af klager, interne retningslinjer for whistleblowerordning, intern Code of Conduct, procedurer for tilfælde, hvor DPO/juridisk afdeling/it skal involveres osv. Træning af medarbejdere Workshops, webinarer, krav om beståelse af en persondata test mv. Udarbejdelse eller tilpasning af databehandleraftaler Procedurer og/eller tjeklister til at sikre, at databehandleren er i stand til at give tilstrækkelige garantier for lovlig behandling Revisorerklæringer, certificeringer mv. Retningslinjer/procedurer for at indgå aftaler med databehandlere Håndtering af eksisterende aftaler ændring mv. Tilpasning af de øvrige dokumenter, såsom samtykketekster, privacy policies/notices, Binding Corporate Rules mv. SIDE 46

FASE 4 - HANDLINGSPLAN (3) Tilpasning af IT systemer til at håndtere sletning, blokering, begrænsning, indsigtsret, de nødvendige sikkerhedstiltag mv. Opfølgning hos tredjepartsleverandører Sikring af persondatabeskyttelse i igangværende udviklingsprojekter Data protection by design Data protection by default Indførelse af slettefrister mv. Implementering af procedurer til håndtering af sikkerhedsbrud, herunder konkrete instrukser til medarbejderne om: Hvad der forstås ved et sikkerhedsbrud Hvordan man skal agere mv. Procedurer for, hvordan man boarder en ny medarbejder/kunde mv. efter 25. maj 2018 for at sikre compliance Nødvendig for enhver proces, hvor persondata er involveret Udarbejdelse af kontrolprocedurer og retningslinjer for håndtering af inspektioner/kontrolbesøg SIDE 47

FASE 5 IMPLEMENTERING SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø CVR. NR: DK 62 60 67 11

FASE 5 - IMPLEMENTERING Eksekvering af handlingsplanen Udarbejdelse af dokumenterne nævnt i handlingsplanen Og der skal skabes kendskab til indholdet! Implementering af nye processer Uddannelse af medarbejdere Udpegning af en DPO, hvis lovkrav eller vurderes at være nødvendigt/hensigtsmæssigt Test af de tekniske løsninger og ændrede processer de skal jo fungere den 25. maj 2018 Evt. udeståender hvis tidsplanen skrider Hvordan og hvornår håndteres disse bedst? SIDE 49

VEDLIGEHOLDELSE SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø

VEDLIGEHOLDELSE Opfølgning på projektet Eks. årlig/halvårlig evaluering Håndtering af ændringer Tilpasning af processer, som ikke fungerer hensigtsmæssigt Hold øje med ny lovgivning og praksis på området En afgørelse hos CNIL i Frankrig kan lige pludselig få en meget større betydning end før! Awareness og træning Sørg for at persondata er et kendt og accepteret fokusområde Governance En governance-struktur, der sikrer, at nye systemer og processer ikke kan etableres uden fornøden tanke på persondata Efterleves reglerne? Løbende audit og intern afprøvning SIDE 51

KONTAKT Tina Brøgger Sørensen Partner Direkte: +45 38 77 44 08 Mobil: +45 61 20 35 33 tib@kromannreumert.com SIDE 52

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback