Forstå de nye krav til databehandling og lær at afkræfte myter om persondata

Relaterede dokumenter
EU-dataforordningen hvad er formålet og hvad skal du gøre?

Konsekvensanalyser i praksis: hvorfor, hvornår og hvordan

SISCON årskonference 2016 Bella Sky Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting. Vi skaber muligheder & realiserer potentialet sammen

Hvordan er det med datasikkerhed og privacy? Highlights fra persondataloven Århus, d. 14. marts 2017 Erika Wolf, jurist, Sundhedsdatastyrelsen

Per Løkken, Partner. CAMPUS November 2018

Ecofleet. Persondataforordningen Kort fortalt. Del 1. Peter Dam Nordic Project Manager

Rammer og vilkår for brug af data. 25. oktober 2016 Afdelingschef Birgitte Drewes,

Politik for beskyttelse og behandling af personoplysninger

Persondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017

Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den

Procedure for håndtering af personoplysninger - GDPR Denne udgave: /TW

N. Zahles Skole Persondatapolitik

PERSONDATABESKYTTELSESPOLITIK FOR ADVOKATFIRMAET KRARUP

Organisatorisk og teknisk implementering af GDPR i Rigsarkivet. Fagligt forum 3. september 2019 Jan Dalsten Sørensen Rigsarkivet

Persondataforordningen. Hvad kan vi bruge KITOS til?

Behandling af personoplysninger

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

Introduktion til persondataforordning

Standardvilkår. Databehandleraftale

Ny persondataforordning

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

opfylde vores kontraktuelle forpligtelser over for dig, samt at

EU Persondataforordning GDPR

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106.

PERSONDATA - HVAD ER DET FOR NOGET OG HVORDAN BRUGES DET?

EN DAG OM PERSONDATAFORORDNINGEN. STU Foreningen. 7. december 2017

WinWinWeb Databehandleraftale. Databehandleraftale. Mellem. Den Dataansvarlige: Kunden. Databehandleren: WinWinWeb CVR:

Databehandleraftale (v.1.1)

Bilag 1 Databehandler aftale (v.1.2)

Velkommen til seminar om Persondataforordningen. Den 16. maj 2018.

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I. INDHOLDSFORTEGNELSE: 1. Generelt... 2

DATABESKYTTELSESPOLITIK FOR AJAX KØBENHAVN

Privatlivspolitik for Psykologisk Praksis Camilla Schrøder

Privatlivspolitik for Vejle Rejser ApS.

Deloitte, Finansagenda 2015 Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting. Vi skaber muligheder & realiserer potentialet sammen

Databehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.

Privatlivspolitik for Psykolog Stig Jensen

Databehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren.

Persondata Behandlingssikkerhed. v/rami Chr. Sørensen

Struktureret compliance. 9 måneder med GDPR-compliance krav hvordan er det gået?

Privatlivspolitik for LTECH A/S

Databehandleraftale. Mellem. Den dataansvarlige: Navn, adresse og cvr: Databehandleren. Pronavic Business Systems ApS CVR

Persondatapolitik i Dansk Oplysnings Forbund

Privatlivspolitik for Fyns Psykologpraksis

POLITIK FOR DATABESKYTTELSE

Præsentation Tid +/- 25 minutter i praktik

Persondatapolitik for VIAVANA.COM. GO WITH PASSION

Politikken beskrivelser hvordan vi behandler persondata om vores medlemmer og netværk.

September Indledning

Indholdsfortegnelse Fortroligheds- og beskyttelsespolitik... 3

Personoplysninger. Jens Hørlück

Privatlivspolitik. for SUN DESIGN A/S.

PERSONDATAFORORDNING PERSONALEADMINISTRATION. 4. og 9. april 2018 Kolding

Privatlivspolitik for Skalberg Selskaber ApS.

PERSONDATAPOLITIK. Indholdsfortegnelse. Kontaktoplysninger ) Generelt om databeskyttelse Gennemsigtighed og samtykke...

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Ejendomsforeningen Danmark Administratorkonference Status på persondataforordning

Databeskyttelsesforordningen og dansk forskning. v/ chefkonsulent Kim Taasby & jurist Anahita Khatam-Lashgari 24. maj 2018

Persondataforordningen. Henrik Aslund Pedersen Partner

Sådan arbejder. SprogGruppen med. Persondataforordningen. Indholdsfortegnelse

Databehandleraftale. Mellem. Brugere af software fra Datalogisk. Den dataansvarlige: Databehandleren: Datalogisk A/S CVR Stubbekøbingvej 41

! Databehandleraftale

Privatlivspolitik for

PERSONDATAPOLITIK 1. INTRODUKTION

Databehandleraftale. Mellem. Dataansvarlig: Kunden

Privatlivspolitik for Zieglersoft.

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Databeskyttelsespolitik

Privatlivspolitik for

Persondatapolitik for Metropark ApS

Databehandleraftale. Mellem. Den dataansvarlige: Kunde hos Alsbogføring. Databehandleren. Alsbogføring.dk ApS. Møllegade Sønderborg.

1 Indhold. Side 2 af 15

Databehandleraftale. Mellem. Den dataansvarlige: Databehandleren. Ribe Mediehus CVR Industrivej Ribe. Danmark

GML-HR A/S CVR-nr.:

Persondataforordningen...den nye erklæringsstandard

Privatlivspolitik for

Privatlivspolitik for Rationel Service A/S.

Oplysning om behandling af personoplysninger om dig i medfør af databeskyttelsesforordningen artikel 13.

JDM Sikkerhedsaftale. - et vigtigt skridt mod overholdelse af EU Persondataforordningen GDPR

DATABEHANDLERAFTALE. Databahandleraftale # _ Mellem. Navn Adresse Postnr og by CVR: (I det følgende benævnt Kunden )

VELKOMMEN TIL. ERFA-MØDE 14. juni 2016

Databehandleraftale (Skabelon fra Datatilsynet)

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Overblik over persondataforordningen

Databehandleraftale. vedr. brug af WebReq (WBRQ) Version 1.2 af d. 23. maj Dansk Medicinsk Data Distribution A/S

Vi passer på dine persondata

Persondatapolitik vedrørende

En introduktion til de kommende, nye regler om beskyttelse af personoplysninger

GDPR og arkivloven. Poul Olsen, DPO, Rigsarkivet

Privatlivspolitik for Presentiapsykologerne A/S

Databeskyttelsesdagen

Persondata politik for GHP Gildhøj Privathospital


PERSONDATAPOLITIK 1. INTRODUKTION

Bliv klar til Persondataforordningen

BILAG 3.2 FÆLLES DATAANSVARSAFTALE

Privatlivspolitik for tilmeldte til SocialBar

Privatlivspolitik for nef Fiber A/S.

Transkript:

Forstå de nye krav til databehandling og lær at afkræfte myter om persondata Birgitte Kofod Olsen, Partner, Cand.jur., PhD, Carve Consulting Medstifter af DataEthics Vi skaber muligheder & realiserer potentialet sammen

Introduktion Birgitte Kofod Olsen Jurist (1991) med Ph.D.-grad i biometri og privatlivsbeskyttelse (1998) Partner og medejer af Carve Consulting Professionel track-record CSR-chef i Tryg 2009-14 Vicedirektør, afdelingsleder og forsker i Institut for menneskerettigheder 1994-2009 Ekstern lektor, gæsteforelæser, censor og PhD-bedømmer på Københavns Universitet, Roskilde Universitet, Århus Universitet, Ålborg Universitet, Copenhagen Business School, BI Norwegian Business School 1999- Netværk Medlem af repræsentantskabet i Foreningen Nordea Liv og Pension, 2016- Medlem af Ligebehandlingsnævnet 2015- Medstifter af tænke-handle-tanken Dataethics 2015 Formand for Rådet for Digital Sikkerhed 2012-2015 Formand for Ungdomsbyen 2016-, næstformand 2007-15 Formand i teatrene Danskdansk og Teatergrad 2012-16 Modtog prisen som Årets Erhvervskvinde i 2014 Optaget i Kraks Blå Bog i 2013. 2

3

TERMINOLOGI 4

DATAETIK PERSONDATABESKYTTELSE Privatlivsbeskyttelse Privacy 5

Persondatabeskyttelse som grundrettighed EU direktiv om persondatabeskyttelse 1995 EU Charter for grundlæggende rettigheder 2000 EU Traktaten Lissabon 2009 EU forordning om persondatabeskyttelse 2018 Persondataloven 1995 Registerlovene 1978/79 Grundloven 1849 72 FN s Konvention om civile og politiske rettigheder 1966 FN s Verdenserklæring 1948 Europarådets Konvention om databeskyttelse 1981 Europarådets Europæiske Menneskerettighedskonvention 1953 OECD retningslinjer for persondata- Beskyttelse 1980 6

DATAETIK? Mere end compliance Fremme af værdierne bag reguleringen Bæredygtig dataanvendelse Det rigtige at gøre for samfund & individ 7

PRINCIPPER 8

Grundrettighed: Datasubjektet har ret til kontrol med egne data Jeg bestemmer over min krop mine ting mine penge data om mig Retten til respekt for privatliv Derfor skal du spørge mig om lov, hvis du vil bruge mine data fortælle, hvorfor og til hvad, mine data skal bruges til fortælle, hvem der ellers ser dem fortælle, hvis du mister dem - Retten til persondatabeskyttelse 9

Kernen: formålsbestemthed Bestemt og beskrevet formål Samtykke eller andet lovligt grundlag Sletning Data skal være: Nødvendige Proportionale i forhold til formålet Datamængde og datatype skal være minimeret Korrekte og opdaterede Kun opbevares, så længe de er nødvendige i forhold til formålet 10

Konceptet: Grundprincipper for databeskyttelse EU persondataforordningen er baseret på fire grundprincipper: Databeskyttelse som rettighed: Beskyttelsesværnet er givet til individet i form af kunden, forbrugeren og medarbejderen. Den enkelte person skal kunne kontrollere sine egne data og som udgangspunkt bestemme, hvad data om vedkommende kan anvendes til. Livscyklus: Databeskyttelsen skal være effektiv fra indsamling til sletning Individets rettigheder Information Valg og samtykke Adgang til data Retten til at blive glemt Kontrol med informationer Informationssikkerhed Kvalitet Evaluering Kontrol Data livscyklus Indsamling Brug og opbevaring Videregivelse Sletning Ledelse Styring Administration Monitorering Håndhævelse Kontrol: Den dataansvarlige og databehandlere skal sikre dataenes integritet, troværdighed, tilgængelighed og kvalitet Ledelse: Den dataansvarlige og databehandlere skal sørge for organisatorisk og teknisk parathed og robusthed 11

KRAV TIL DATABESKYTTELSEN 12

Dataansvarlighed Databeskyttelsespoliti Adfærdskodeks Retningslinjer Procedurer and processer Anvendte standarder, fx. ISO27001 Dokumentation Databehandleraftale DPO Databehandling Databehandlingsbetingelser Lovligt grundlag: samtykke, lovkrav, kontrakt, tungere vejende interesser Overførsel til tredjeland Oplysning om behandling og videregivelse Adgang til data Berigtigelse og sletning Nej til profilering Dataportabilitet Tilgængelighed Fortrolighed Integritet Robusthed Sikkerhed Dataansvarlighed Datarettigheder

Dataansvarlighed: forordningens krav GDPR artikel 5, 24, 28, 30 og 37 stiller krav til dataansvarlighed: Lovlig, rimelig og transparent databehandling Databeskyttelsespolitik Organisatoriske og tekniske foranstaltninger: Interne retningslinjer, procedure og processer + kontroller Adfærdskodeks og certificeringer Anvendte standarder, fx ISO27001 Databehandleraftaler Dokumentation af databehandlingen Data Protection Officer

Dataansvarlighed: organisatorisk parathed Indsatsen for at sikre dataansvarlighed kræver en ledelsesstruktur og en organisation, der kan løfte disse opgaver: Ledelsesbeslutning om ambitionsniveau, intern regulering, kompetencer og kontrol Politik, der beskriver, hvordan databehandlingen foregår og hvordan behandlingssikkerheden etableres Procedurer og processer for modtagelse og behandling af anmodninger om brug af datarettigheder Opgavebeskrivelse og placering af ansvar Et passende kompetenceniveau hos medarbejdere til at efterleve forordningens krav i dagligdagen Integration af persondatabeskyttelse i daglig drift og planlægning Kontrol med processer og procedurer

Databehandling Databeskyttelsespoliti Adfærdskodeks Retningslinjer Procedurer and processer Anvendte standarder, fx. ISO27001 Dokumentation Databehandleraftale DPO Databehandling Databehandlingsbetingelser Lovligt grundlag: samtykke, lovkrav, kontrakt, tungere vejende interesser Overførsel til tredjeland Oplysning om behandling og videregivelse Adgang til data Berigtigelse og sletning Nej til profilering Dataportabilitet Tilgængelighed Fortrolighed Integritet Robusthed Sikkerhed Dataansvarlighed Datarettigheder

Databehandling: forordningens krav GDPR artikel 5-9 fastlægger forudsætningerne for persondatabehandlingen: Formålsbestemthed Dataminimering: Nødvendighed Tilstrækkelighed og relevans Nøjagtighed Opbevaringsbegrænsning Samtykke til behandling og videregivelse Dokumentation af samtykke Andet lovligt grundlag: lov, kontrakt samfundsmæssig interesse, der vejer tungere end hensynt til datasubjektet forretningsmæssig interesse, der vejer tungere

Databehandling: i praksis Er der tale om personoplysninger Behandles de elektronisk i register eller systematisk? Er de grundlæggende principper overholdt? Hvilken type oplysning? Er der hjemmel til den specifikke behandling? Grundlæggende principper, art. 5: Nødvendige Proportionale i forhold til formålet Datamængde og datatype skal være minimeret Korrekte og opdaterede Kun opbevares, så længe de er nødvendige i forhold til formålet 07-09-2016

Datarettigheder Databeskyttelsespoliti Adfærdskodeks Retningslinjer Procedurer and processer Anvendte standarder, fx. ISO27001 Dokumentation Databehandleraftale DPO Databehandling Databehandlingsbetingelser Lovligt grundlag: samtykke, lovkrav, kontrakt, tungere vejende interesser Overførsel til tredjeland Oplysning om behandling og videregivelse Adgang til data Berigtigelse og sletning Nej til profilering Dataportabilitet Tilgængelighed Fortrolighed Integritet Robusthed Sikkerhed Dataansvarlighed Datarettigheder

Datarettigheder: forordningens krav Dataforordningens artikel 12-22 bestemmer, at datasubjektet har ret til at Blive oplyst om behandlingen af deres persondata og formålet med behandlingen Blive oplyst om videregivelse af data Få adgang til sine data Få berigtiget sine data Få slettet sine data Få begrænset databehandlingen Overflyttet sine data til sig selv eller en anden serviceubyder Gøre indsigelse mod databehandlingen Ikke at blive udsat for profilering i forbindelse med afgørelser, der har betydning for vedkommende

Datarettigheder: i praksis Opfyldelse af datarettighederne i en organisation kræver: Ledelsesbeslutning om ambitionsniveau, intern regulering, kompetencer og kontrol Politik, der beskriver, hvordan rettighederne kan bruges af kunder og medarejdere Procedurer og processer for modtagelse og behandling af anmodninger om brug af rettigheder Opgavebeskrivelse og placering af ansvar Kompetencer hos medarbejdere til at behandle anmodningerne Kontrol med processer og procedurer

Behandlingssikkerhed Databeskyttelsespoliti Adfærdskodeks Retningslinjer Procedurer and processer Anvendte standarder, fx. ISO27001 Dokumentation Databehandleraftale DPO Databehandling Databehandlingsbetingelser Lovligt grundlag: samtykke, lovkrav, kontrakt, tungere vejende interesser Overførsel til tredjeland Oplysning om behandling og videregivelse Adgang til data Berigtigelse og sletning Nej til profilering Dataportabilitet Tilgængelighed Fortrolighed Integritet Robusthed Sikkerhed Dataansvarlighed Datarettigheder

Behandlingssikkerhed: forordningens krav Dataforordningens artikel 32 forpligter den dataansvarlige og databehandleren til at etablere et passende sikkerhedsniveau: Den dataansvarlige og databehandleren skal Gennemføre passende tekniske og organisatoriske foranstaltninger Etablere et sikkerhedsniveau, der er tilpasset organisationens risici Ved vurderingen af et passende sikkerhedsniveau kan der tages hensyn til: Det aktuelle tekniske niveau Implementeringsomkostningerne Den pågældende behandlings karakter, omfang, sammenhæng og formål Risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder Risikoen for navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.

Behandlingssikkerhed: forordningens krav Dataforordningens artikel 32 stiller krav om sikkerhed i forhold til datas fortrolighed, integritet, tilgængelighed og robusthed: Relevante sikkerhedsforanstalninger kan omfatte: pseudonymisering og kryptering af persondata, vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og - tjenester rettidig genoprettelse af tilgængelighed adgang til persondata efter fysisk eller teknisk hændelse procedurer for regelmæssig afprøvning, vurdering og evaluering af sikkerhedsforanstaltningernes effektivitet. Artikel 32 stiller også krav om etablering af adgangrettigheder: Den dataansvarlige og databehandleren sikrer, at enhver fysisk person, der udfører arbejde for dem og får adgang til persondata, kun må behandle disse efter instruks fra den dataansvarlige, med mindre behandlingen kræves i lovgivningen.

Behandlingssikkerhed i praksis Hvad er passende tekniske og organisatoriske foranstaltninger? Beskyttelse Beredskab Selvevaluering Hvilke sikkerhedstiltag er relevante? Hvordan sikrer vi vores behandlingssystemers Hvordan sikrer vi at vores tekniske og organisatoriske EU-GDPR foranstaltninger er effektive? Pseudonymisering Fortrolighed Afprøvning Anonymisering Integritet Vurdering Kryptering Tilgængelighed Evaluering Robusthed

MYTER 26

# vi behandler ikke følsomme persondata - så persondataloven og EU forordningen er ikke relevante for os 27

Datatyper Racemæssig, eller etnisk baggrund politisk, religiøs el. filosofisk overbevisning, fagforening, helbredsmæssige og seksuelle forhold, biometriske og genetiske data art. 9 Udtrykkeligt samtykke Nødvendig ansættelsesretligt formål Offentliggjort af den registrerede Nødvendig af offentlig interesse Evt. yderligere national regulering/overenskomster fsva. biometriske og genetiske data Strafbare forhold Art 10 CPR-nummer Art. 87 Fx: Økonomi, skat, gæld, sygedage, tjenstlige forhold, familieforhold, bolig, bil, geo-location, netadfærd, IP-adresse, eksamen, ansøgning, CV, ansættelsesdato, stilling, arbejdsområde, arbejdstelefon, stamoplysninger: navn, adresse, fødselsdato samt øvrige nummeroplysningsdata NB! Ansættelsesdata kan blive omfattet af særlig national regulering Art. 6 Samtykke Kontraktlig forpligtelse Retlig hjemmel Offentlig interesse Legitim interesseafvejning 28

Datatyper i praksis 29

# vi har indhentet samtykke - så behøver vi ikke bekymre os om mere 30

Bak engang! Er de grundlæggende principper overholdt? Hvilken type data? Almindelige Kumulerede Følsomme Er der hjemmel til den specifikke behandling? Grundlæggende principper, art. 5: Nødvendige Proportionale i forhold til formålet Datamængde og datatype skal være minimeret Korrekte og opdaterede Kun opbevares, så længe de er nødvendige i forhold til formålet 07-09-2016

# vi kan lige så godt bruge data i andre projekter - når nu vi har indhentet dem 32

Fokusér på formålet! Bestemt og beskrevet formål Opdaterede og korrekte data Sletning, når behandlingen ikke længere er nødvendig Data skal være: Nødvendige Proportionale i forhold til formålet Datamængde og datatype skal være minimeret Korrekte og opdaterede Kun opbevares, så længe de er nødvendige i forhold til formålet 33

# vi har helt styr på datasikkerheden 34

- det troede Ashley Madison også 35

INFORMATIONSMATERIALE 36

37

Justitsministeriet mv. Stormøde den 9. februar 2017 Hav styr på de 12 spørgsmål Slides og Q&A på http://dbreform.dk/ Rapport fra projektgruppen begyndelsen af april 2017 38

Datatilsynet Afgørelse fra Datatilsynet af 15. december 2016 om datakvalitet Behandling af personoplysninger skal tilrettelægges således, at der foretages fornøden ajourføring af oplysningerne, jf. PDL 5, stk. 4 (artikel 5, stk. 1 (d)) Dette medfører et krav om fornøden kontrol for at sikre, at der ikke behandles urigtige eller vildledende oplysninger. Disse skal snarest slettes eller berigtiges. Vejledende udtalelse om kontrol af internettrafik og e-mails for medarbejdere og byrådsmedlemmer af 14. Februar 2017 39

Ny litteratur 40

Kontaktinformation Birgitte Kofod Olsen Partner, phd Carve Consulting Nørre Voldgade 11, 2. sal 1358 København K +45 25 26 09 03 bko@carve.dk Carve.dk 41

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback