Persondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017

Relaterede dokumenter
Persondataforordningen de vigtigste nyskabelser set med elbranchens øjne

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Persondatapolitik Vordingborg Gymnasium & HF

Persondata politik for GHP Gildhøj Privathospital

Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den

N. Zahles Skole Persondatapolitik

Persondatapolitik for Tørring Gymnasium 2018

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

Persondatapolitik for Aabenraa Statsskole

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

Ecofleet. Persondataforordningen Kort fortalt. Del 1. Peter Dam Nordic Project Manager

Persondatapolitikken er godkendt på VUC Roskildes bestyrelsesmøde den 7 juni 2018.

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

PERSONDATAPOLITIK FOR DANSK TOURETTE FORENING

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

Persondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.

Persondataforordningen. Hvad kan vi bruge KITOS til?

BAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4

Persondatapolitik på Gentofte Studenterkursus

GML-HR A/S CVR-nr.:

Persondatapolitik for Odense Katedralskole

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106.

FORSYNINGSTRÆF 2016 PERSONDATARET HVORFOR NU EGENTLIG DET?

1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du

PERSONDATA - HVAD ER DET FOR NOGET OG HVORDAN BRUGES DET?

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

EU Persondataforordning GDPR

Persondatapolitikken er godkendt på Vesthimmerlands Gymnasium og HF s bestyrelsesmøde den 25. juni 2018

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I. INDHOLDSFORTEGNELSE: 1. Generelt... 2

PERSONDATAPOLITIK FOR ORDET OG ISRAEL

PERSONDATAPOLITIK FOR AXIS

Introduktion til persondataforordning

Persondataforordningen

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Retningslinje om fortegnelser over behandlingsaktiviteter

Retningslinje om fortegnelser over behandlingsaktiviteter

Må lrettet årbejde med persondåtåforordningen for Gl. Rye Våndværk

Organisatorisk og teknisk implementering af GDPR i Rigsarkivet. Fagligt forum 3. september 2019 Jan Dalsten Sørensen Rigsarkivet

Databeskyttelsesdagen

Retningslinje om fortegnelser over behandlingsaktiviteter

Persondatapolitik for Ehlers-Danlos Foreningen i Danmark

Målrettet arbejde med persondataforordningen for

Retningslinje om ansvarsfordeling - dataansvarlig vs. databehandler

EN DAG OM PERSONDATAFORORDNINGEN. STU Foreningen. 7. december 2017

PERSONDATAPOLITIK FOR Slagelse Børneklub

Behandling af personoplysninger

Må lrettet årbejde med persondåtåforordningen for Vejby Smidstrup Våndværk

Målrettet arbejde med persondataforordningen for

Konsekvensanalyse vedrørende databeskyttelse

Vi har udarbejdet en særlig fortegnelse over vores databehandlingsaktiviteter. Denne fortegnelse indeholder:

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du giver til os, og

Ma lrettet arbejde med persondataforordningen for

Velkommen til seminar om Persondataforordningen. Den 16. maj 2018.

PERSONDATAPOLITIK FOR BAPTISTERNES BØRNE- OG UNGDOMSFORBUND

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

Persondataforordningen den 20. februar 2018

Maj 2018 Retningslinje om de registreredes rettigheder på Frederiksberg Gymnasium

Bilag 7. Retningslinje om behandlingssikkerhed. Anvendelsesområde. Formål. Definitioner

PERSONDATAPOLITIK FOR HETAG TAG MATERIALER A/S

Standardvilkår. Databehandleraftale

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

Avnbøl-Ullerup Våndværk A.m.b.å. CVR-nr

Plan og Handling CVR-nr.:

Lector ApS CVR-nr.:

INTERN HR PERSONDATAPOLITIK FOR LIONS MD106. Nærværende gælder for MD 106, dvs. alle ansatte og medlemmer i Lions MD 106.

Retningslinje om fortegnelser over behandlingsaktiviteter

"forordningen" i det følgende) og gælder for alle ansatte på Midtfyns Gymnasium, der behandler personoplysninger.

September Indledning

Databehandleraftale (v.1.1)

Retningslinje om de registreredes rettigheder

Retningslinje om dataansvarlig/databehandler

Komiteen for Sundhedsoplysning CVR-nr.:

Kontraktbilag 3. Databehandleraftale

DATABEHANDLERAFTALE. er dags dato indgået databehandleraftale på følgende vilkår og betingelser:

PERSONDATAFORORDNINGEN APRIL 2018

Persondata Behandlingssikkerhed. v/rami Chr. Sørensen

Hvordan er det med datasikkerhed og privacy? Highlights fra persondataloven Århus, d. 14. marts 2017 Erika Wolf, jurist, Sundhedsdatastyrelsen

PERSONDATAPOLITIK FOR FANCONI ANÆMI DANMARK

Den dataansvarlige organisation for behandling af dine personoplysninger er:

Persondataforordning og IT-sikkerhed - hvordan har vi grebet det an

PERSONDATAPOLITIK FOR BEHANDLING OG BESKYTTELSE AF PERSONOPLYSNINGER I UDENRIGSMISTERIET

Introduktion til persondataforordningen PSF temadag d , lektor Dorthe Høilund, Metropol

Må lrettet årbejde med persondåtåforordningen for

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Cirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer

Bilag 1 Databehandler aftale (v.1.2)

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Retningslinjer om brud på persondatasikkerheden

Ekstern Persondatapolitik - Sankt Lukas Stiftelsen

PERSONDATAPOLITIK FOR Dansk forening for Williams Syndrom

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Regler om persondata Koordinatormøde den 28. nov. 2017

PERSONDATAPOLITIK FOR HOLMSBORG SOMMERLEJRE

DATABEHANDLERAFTALE. Omsorgsbemanding

Målrettet arbejde med persondataforordningen for

Orientering om databeskyttelsesforordningen. Sundhedsstrategisk Forum Onsdag den 21. marts 2018

Præsentation Tid +/- 25 minutter i praktik

Transkript:

Persondataforordningen fra Dansk Energis perspektiv Xellent inspirationsdag, 1. juni 2017

Brancheorganisationen Mathilde Øelund Jensen Konsulent cand. Jur. Direkte: 35 300 422 msj@danskenergi.dk

Agenda Hvad er databeskyttelse? i store træk! Hvilke nye tiltag bringer persondataforordningen med sig? Hvad har Dansk Energi fokus på?

Hvad er databeskyttelse i store træk?

Datasikkerhed er og har altid været vigtigt! - store bøder er én ting....noget andet er mediernes gabestok

Hvad er en personoplysning? En personhenførbar oplysning. Dvs. enhver form for information om en identificeret eller identificerbar fysisk person. Oplysninger, som forefindes i form af billeder, personers stemmer, fingeraftryk eller genetiske kendetegn, hvis det i praksis er muligt at henføre oplysningerne til en bestemt fysisk person. Ved afgørelsen af, om en person er identificerbar, skal samtlige de hjælpemidler, der med rimelighed kan tænkes bragt i anvendelse for at identificere den pågældende, tages i betragtning. Rigtig meget er omfattet: Personaledata, kundedata, leverandørdata

Kundernes personoplysninger, fx Personoplysninger og særlige kategorier af personoplysninger navn adresse Målernumre Personoplysninger installationsnumre forbrug og lign CPR-nr. Helbredsoplysninger? Særlige kategorier af personoplysninger Intern (dårlig) omtale af kunder? Unødvendige/ikke-relevante oplysninger?

Hvad er en behandling af en personoplysning? Søgning Brug/ændring Videregivelse Indsamling Systematisere /organisering Registrering Sletning, blokering, tilintetgørelse Sammenstilling el. samkøring Opbevaring Systematisering

Har vi en hjemmel til behandling af en personoplysning? En behandling af personoplysninger er ulovlig med mindre man har hjemmel hertil fremadrettet i persondataforordningen

Hvilke hjemler har vi? Hjemmelsgrundlag for behandling af almindelige oplysninger (art. 6): 1. Samtykke 2. Nødvendigt for at opfylde en kontrakt med den registrerede 3. Nødvendigt for at overholde en retlig forpligtelse 4. Nødvendigt for at beskytte personers vitale interesser 5. Nødvendigt i samfundets interesse/offentlig myndighedsudøvelse 6. Interesseafvejning: Nødvendig for at forfølge en legitim interesse Hvad med cpr-nummer? Helbredsoplysninger?

Grundprincipper skal altid overholdes! Indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål (formålsbestemthed) Behandlede oplysninger skal være relevante og tilstrækkelige og ikke omfatte mere end påkrævet til opfyldelse af formålet (proportionalitet) Der skal ske fornøden ajourføring og kontrol (datakvalitet) Urigtige/vildledende oplysninger slettes/berigtiges Oplysninger må ikke opbevares længere end nødvendigt (sletning)

Datasikkerhed Teknisk og organisatorisk Passe på, at personoplysningerne ikke falder i de forkerte hænder mens man har ansvaret for dem

Hvilke nye tiltag bringer persondataforordningen med sig?

Gammel vin på nye flasker

Justitsministeriets betænkning er kommet!

Vigtige pointer fra betænkningen Forordningen svarer i et vidt omfang til gældende ret Nyskabelserne er: DPO, DPIA, fortegnelse over behandlingsaktiviteter, dataprotection by design Hvis man i forvejen lever op til gældende ret, vil der ikke være tale om omfattende ændringer Med forordningen skabes større awareness om betydningen af beskyttelse af persondata

Noget af det nye 1. Dokumentation og påvisning af ansvarlighed 2. Konkrete forslag til behandlingssikkerhed 3. Krav om Privacy by design 4. Krav om dataportabilitet 5. Krav om DPO for nogle! 6. Øget krav til databehandleraftaler 7. Krav om konsekvensanalyser for nogle!

1.Dokumentationskrav/påvisningsforpligtelsen/a nsvarlighed/accountability Ansvarlighed er et gennemgående tema i forordningen (art. 5) Dataansvarlig skal kunne påvise ( og dokumentere) ansvarlighed og kunne påvise, at vedkommende overholder alle principper for behandling af personoplysninger Passende tekniske og organisatoriske sikkerhedsforanstaltninger Behandlingssikkerhed (art. 32) Pseudonymisering Kryptering Instruks til medarbejdere skabelon udarbejdet af DE (art. 32) Fortegnelse over behandlingsaktiviteter (art. 30) skal bidrage til dokumentation

2. Behandlingssikkerhed hvad siger forordningen? Pseudonymisering/kryptering Sikre vedvarende fortrolighed og integritet Procedure for regelmæssig afprøvning/vurdering af foranstaltninger til sikring af behandlingssikkerhed JM konkluderer: Forordningen giver forslag (art. 32) Men op til den enkelte databehandler at vælge foranstaltninger Mere risikobaseret tilgang risikoanalyse Måske højere sikkerhedsniveau end sikkerhedsbekg. Måske lavere sikkerhedsniveau end sikkerhedsbekg. Krav om logning hos private?

Behandlingssikkerhed hvad siger forordningen? Justitsministeriet:

3. Databeskyttelse by design (privacy by design) Pseudonymisering Væsentligt råderum Fx Dataminimering/pseudonymisering Design af et IT-system skal fx kunne imødekomme dataportabilitet eller retten til indsigt Ikke krav om re-design af ældre systemer

4. Dataportabilitet Betyder, at kunden har ret til at modtage persondata om sig selv, som vedkommende har givet til den dataansvarlige, og den registrerede har ret til at overføre disse oplysninger til en anden dataansvarlig. Den registrerede har ret til at modtage oplysningerne i et struktureret, almindelig anvendt og maskinlæsbart format. Kunden har ret til at overføre personoplysningerne direkte fra den dataansvarlige til en anden dataansvarlig, hvis det er teknisk muligt. Den enkelte virksomheds it-systemer skal kunne understøtte retten til dataportabilitet.

5. Databeskyttelsesrådgiver (DPO) måske ikke! Alle offentlige myndigheder eller offentlige organer! Dataansvarlige, hvis kerneaktivitet består af behandlingsaktiviteter, der i medfør af deres karakter, omfang og/eller formål kræver regelmæssig og systematisk overvågning af registrerede i stort omfang Er behandling af persondata energibranchens kerneaktivitet? Justitsministeriets betænkning: [samme gør sig gældende for]forsyningsselskaber, idet disse ikke kan anses for at behandle personoplysninger som kerneaktivitet på en sådan måde, der er uløseligt forbundet med selve det at sælge eller distribuere f.eks. fjernvarme eller vandforsyning, selvom forsyningsselskaber i den forbindelse naturligvis behandler kundeoplysninger i et vist omfang.[ ]

6. Databehandleraftaler Databehandler = Fysisk/juridisk person, der behandler persondata på den dataansvarliges vegne ( efter instruks ) Kun anvende databehandlere, der kan give fornødne garantier for sikkerhed Underdatabehandlere må ikke anvendes uden samtykke fra dataansvarlig Skal fremgå, at databehandler alene må handle efter instruks. Instruksen skal være dokumenteret! Databehandler skal være behjælpelig ved indsigtsanmodninger! DE har udarbejdet skabelon 15 r

7. Konsekvensanalyser et krav for de få

Behandling af personoplysninger med henblik på markedsføring Hvis fx navn/adresse er indhentet af virksomhed X og denne ønsker at videregive navn/adresse til virksomhed y til brug for markedsføring? Videregivelsen kan være ok (generelle kundeoplysninger) Husk dog markedsføringslovens 6 om krav om indhentelse af samtykke forud for en henvendelse fx pr. e-mail Persondataforordningens artikel 21 om indsigelsesretten: Hvis personoplysninger behandles med henblik på direkte markedsføring, har den registrerede til enhver tid ret til at gøre indsigelse mod behandling af sine personoplysninger til sådan markedsføring[ ]

Hvad har Dansk Energi fokus på?

Beskyttelse af persondata er ikke noget nyt! Stort fokus på gældende ret! Efterleves gældende ret så er vi langt! Også i tråd med JM s budskab i betænkningen

Dansk Energis øvrige tiltag Skabelon til databehandleraftale Instruks til medarbejdere, der har adgang til persondata Fortegnelse over behandlingsaktiviteter Gratis Hotline for persondataretlige spørgsmål Mapning over krav (ISO, IT-beredskabskrav, persondataforordningen)

Fokus på forsyningskritisk it-systemer - nye krav på vej. Synergier? Modenhedsmåling Tre fluer med ét smæk ENS (210/69) IT-beredskab for forsyningskritiske ITsystemer (net og prod) (95) (15) (31) ISO 27001 (254/111) (17) EU GDPR (130/67) Ledelse af informationssikkerhed Persondataforordning og beskyttelse af persondata 30

Compliance-skridt Overblik over persondata i organisationen Oprydning i unødvendig data Anvendes databehandlere? Er der interne databehandlere? Styr på dokumentation Fortegnelse Typer af data, behandling, formål, hjemmel? It-politikker/fortegnelser/instrukser Risikoanalyser? Uddannelse af medarbejdere (som vi også kender det inden for IO)

Hvilke andre konsekvenser har forordningen for energibranchen? Skaber mere awareness Måske flere indsigtsanmodninger fra kunder? Konkurrenceparameter godt for ry og rygte? Logning? Testmiljøer? Datatilsynet har udtalt sig i 2011 Fjernaflæste målere og hyppig indhentelse af data Lovkrav inden 2020 på elområdet hvad med andre energiarter? Energispareområdet? Samkøring af data?

Datatilsynets 12 spørgsmål brug dem!

Tak for ordet

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback