Overblik over persondataforordningen

Relaterede dokumenter
Overblik over persondataforordningen

Den nye persondataforordning. 17. maj 2016

Den nye persondataforordning. 2. februar 2017

Persondataforordningen

Persondata, compliance og datasikkerhed. Ved Charlotte Bagger Tranberg

PERSONDATAFORORDNINGEN STATUS???? OG ER DER NOGET NYT I DEN?

Persondataforordningen. Henrik Aslund Pedersen Partner

Databeskyttelse i den almene sektor en digital fremtid. 30. august 2018

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Persondata og sikkerhedsbrud

Persondataforordningen Data Protection Officer. Advokat, Marie Albæk Jacobsen

Standardvilkår. Databehandleraftale

Introduktion til persondataforordning

Persondataforordningen AbMano

Surftown A/S. Regionsgolf-Danmark DATABEHANDLERAFTALE. Databehandleraftalen foreligger mellem. Regionsgolf-Danmark.

Rollen som DPO. September 2016

DanDomain A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

Ecofleet. Persondataforordningen Kort fortalt. Del 1. Peter Dam Nordic Project Manager

Databehandleraftale

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

DATABEHANDLERAFTALE

DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde

Workshop om persondataforordningen

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

Personoplysninger. Jens Hørlück

Fællesmøde for flis- og brændselspillegruppen samt halmgruppen

DATABEHANDLERAFTALE Version 1.1a

Den nye persondataforordning. Advokat Marie Albæk Jacobsen DEIC-konference, den 6. oktober 2015

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

BILAG 14: DATABEHANDLERAFTALE

Det skal du have styr pa inden 2018

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx

EU Persondataforordning GDPR

DATABEHANDLERAFTALE. Conscia A/S. Conscia A/S Kirkebjerg Parkvej 9 DK-2605 Brøndby Tlf

Persondataforordning din dig din

September Indledning

N. Zahles Skole Persondatapolitik

Persondataforordningen og offentlige organisationer

BILAG 5 DATABEHANDLERAFTALE

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

Europaudvalget EUU Alm.del EU Note 27 Offentligt

PERSONDATAPOLITIK 1. INTRODUKTION

Tønder Kommune BILAG 10

Hvad betyder den nye persondataforordning for udvikling og brug af digitale sundhedsløsninger, og hvem har ansvaret for overholdelse?

Vi har udarbejdet en særlig fortegnelse over vores databehandlingsaktiviteter. Denne fortegnelse indeholder:

DATABEHANDLERAFTALE. indgået mellem. Kunden (den Dataansvarlige ) og

Persondataworkshop. Vandhuset 14. november 2016 D

Bilag A Databehandleraftale pr

PERSONDATAPOLITIK 1. INTRODUKTION

PERSONDATALOVEN - UDFORDRINGER. Birthe Boisen, Juridisk Konsulent Tlf

Persondataforordningen & kommuner. Vejle, 5. maj 2015 Advokat, partner Nis Peter Dall. Baseret på persondatadirektivet (fra 1995)

HJULMANDKAPTAIN PERSONDATA REGLER OG IMPLEMENTERING. OPLÆG TIL DANSKE BUSVOGMÆND DEN 29. NOVEMBER 2017 Advokat Karina Søndergaard

DATABEHANDLERAFTALE. Mellem. [indsæt systemejer] adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Databehandleraftale mellem. Heyloyalty ApS Jens Baggesens Vej Aarhus N Cvr: (i det følgende HL eller databehandleren)

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

DATABEHANDLERAFTALE Mellem Randers kommune Laksetorvet 8900 Randers C CVR.nr

Driftskontrakt. Databehandleraftale. Bilag 14

Skau Reipurth & Partnere Advokatpartnerselskab FORTEGNELSE OVER BEHANDLINGSAKTIVITER. Dataansvarlig: Databehandler: Udarbejdet: Næste revision:

Databehandleraftaler. Ved partner Thomas Munk Rasmussen, Bech-Bruun

Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007)

DATABEHANDLERAFTALE. General aftale omkring behandling af persondata. Udarbejdet af: ZISPA ApS

Bilag X Databehandleraftale

Persondataforordningen...den nye erklæringsstandard

Bilag B Databehandleraftale pr

SKABELON FOR DATABEHANDLERAFTALER MELLEM KOMMUNER OG IT-LEVERANDØRER - version 2.0 af 30. maj 2018

Den nye persondataforordning. Hvordan kommer du i gang?

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

Forberedelser til implementering af EU forordningen om beskyttelse af personoplysninger

Aftale omkring behandling af persondata.

Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den

DATABEHANDLERAFTALE VEDRØRENDE [AFTALENAVN]

Behandling af personoplysninger

Data Protection Officer (DPO): DPO-krav og outsourcing af DPO-rollen

DATABEHANDLERAFTALE. Omsorgsbemanding

Bilag 8. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

3 Omfattede typer af personoplysninger og kategorier af registrerede

Per Løkken, Partner. CAMPUS November 2018

DATABEHANDLERAFTALE. Mellem KUNDEN ADRESSE POSTNR. BY CVR. nr.: (herefter Kunden DATAANSVARLIG)

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

Cirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer

DATABEHANDLERAFTALE. indgået mellem. Navn: CVR-nr.: Adresse: Postnr. og by: (den Dataansvarlige ) og

Behandling af personoplysninger

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

Databeskyttelsespolitik for:

Persondatabeskyttelsespolitik for REFA

Fysiske personer. Vi ved jo alle, hvad en person er. Det er sådan en som os selv (Peter Blume: Databeskyttelsesret, 4. udg., 2013, s. 30f.

Behandling af personoplysninger

3 Omfattede typer af personoplysninger og kategorier af registrerede

DATABEHANDLERAFTALE. [Dataansvarlig: F.eks. Hansen Håndværk ApS] [Adresse] ( Selskabet )

D A T A B E H A N D L E R A F T A L E

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

Aftale vedrørende fælles dataansvar

Brud på datasikkerheden

Kontraktbilag 3. Databehandleraftale

PERSONDATAFORORDNINGEN. DRF s årsmøde, april 2017

Politik for beskyttelse og behandling af personoplysninger

Transkript:

Overblik over persondataforordningen November 2016 2 Sanktioner Overtrædelsestype: Indhentning af samtykke ift. børn Behandlinger, som ikke kræver identifikation Data protection by Design/Default Delt dataansvar Repræsentanter for dataansvarlige etableret udenfor EU Databehandlere Databehandlerinstruks Dokumentation for datastrømme Samarbejde med tilsynsmyndigheden Sikkerhedsforanstaltninger Notifikation Data Protection Impact Assessment Forudgående underretning af tilsynsmyndighed Udpegning af DPO (herunder krav, stilling og opgaver) Certificering Offentlige myndigheder** Bødeniveau*: Private virksomheder Op til EUR 10.000.000 Op til EUR 10.000.000 eller 2 % af virksomhedens årlige globale omsætning (den højeste af de to) * Danmark har særregler, så bøder bliver strafferetlige i stedet for administrative ** Medlemsstaterne kan selv beslutte om og i hvilken udstrækning administrative bøder kan pålægges offentlige myndigheder 1

3 Sanktioner Overtrædelsestype: Grundlæggende principper for behandling Grundlag for behandling (både almindeligeog følsomme oplysninger) Betingelser for samtykke Registreredes rettigheder Sikkerhedsforanstaltninger Offentlige myndigheder** Bødeniveau*: Private virksomheder Op til EUR 20.000.000 Op til EUR 20.000.000 eller 4 % af virksomhedens årlige globale omsætning (den højeste af de to) * Danmark har særregler, så bøder bliver strafferetlige i stedet for administrative ** Medlemsstaterne kan selv beslutte om og i hvilken udstrækning administrative bøder kan pålægges offentlige myndigheder 4 Status på processen mod forordningens ikrafttrædelse Hvad ligger fast? Teksten i forordningen En dansk version af forordningsteksten Den endelige vedtagelse ikrafttrædelse den 25. maj 2018 Udestående Hvad vælger Danmark (og de andre medlemsstater) at gøre på områder, hvor medlemsstaterne har frihedsgrader? Hvornår begynder Kommissionen at vedtage delegerede retsakter? Hvornår begynder de relevante organer (herunder de store tilsynsmyndigheder) at komme med fortolkningsbidrag? 2

Oplysningskategorier Almindelige oplysninger Semi-følsomme oplysninger Følsomme oplysninger Cpr-nr. Persondataloven Fx Personnavn Adresse E-mail Oplysninger om strafbare forhold Sociale problemer Andre rent private forhold end følsomme oplysninger Racemæssig eller etnisk baggrund Politisk, religiøs eller filosofisk overbevisning Fagforeningsmæssige tilhørsforhold Oplysninger om helbredsmæssige eller seksuelle forhold Offentlige myndigheder: Mhp. entydig identifikation/journalnummer Private virksomheder: Lovbestemmelse/samtykke Aldrig offentliggørelse uden samtykke Persondataforordningen Også Oplysninger om strafbare forhold * Sociale problemer Andre rent private forhold end følsomme oplysninger Racemæssig eller etnisk baggrund Politisk, religiøs eller filosofisk overbevisning Fagforeningsmæssige tilhørsforhold Behandling af genetiske eller biometriske data med henblik på unik identifikation Oplysninger om helbredsmæssige eller seksuelle forhold Medlemsstater kan fastsætte specielle betingelser, dog krav om tilstrækkelige sikkerhedsforanstaltninger 6 Right to be forgotten Ret til sletning Oplysningerne er ikke længere nødvendige i forhold til formålet med indsamling og behandling, bl.a. Tilbagekaldelse af samtykke eller manglende retligt grundlag Den registrerede modsætter sig behandlingen og ingen tungtvejende legitime grunde til fortsat behandling 3

Accountability dokumentationskrav Den dataansvarlige skal kunne dokumentere compliance med forordningen Både dataansvarlige (og databehandlere) skal opbevare dokumentation for enhver behandling af personoplysninger (gælder ikke for virksomheder med under 250 ansatte) Dokumentationen skal mindst omfatte: Navn og kontaktoplysninger på den dataansvarlige eller den fælles dataansvarlige og dennes eventuelle repræsentant samt evt. DPO Formålene med behandlingen Beskrivelse af kategorier af registrerede og kategorier af personoplysninger Kategorier af modtagere af personoplysningerne Evt. overførsel af personoplysninger til et tredjeland, herunder identifikation af dette tredjeland, og dokumentation af fornødne garantier ved overførsel til ikke-sikre tredjelande En generel angivelse af tidsfristerne for sletning af de forskellige kategorier af personoplysninger Hvis muligt, en beskrivelse de tekniske og organisatoriske sikkerhedsforanstaltninger 8 Krav til databehandlere selvstændige krav til dokumentation mv. Databehandlere underlagt langt strengere krav end efter persondataloven, bl.a. Næsten identiske dokumentationskrav som dataansvarlige Den dataansvarlige skal kun bruge databehandlere, der giver tilstrækkelige garantier vedr. implementering af passende tekniske og organisatoriske foranstaltninger, så behandlingen sker i overensstemmelse med forordningens krav og sikrer beskyttelse af registreredes rettigheder Databehandlerens ansvar ift. databehandleraftaler Indhentelse af den dataansvarliges samtykke ved overladelse af oplysninger til andre/nye underdatabehandlere Underdatabehandleraftaler Sikring af, at underdatabehandlere opfylder deres forpligtelser Indgåelse af databehandleraftaler stadig den dataansvarliges ansvar 4

9 Krav til databehandleraftalens indhold Behandlingens varighed Formålet med behandlingen Typer af data der behandles Kategorier af registrerede Databehandlerens pligter og rettigheder, navnlig at databehandlere skal: alene behandle data efter den dataansvarliges dokumenterede instruks sikre at medarbejdere, der behandler data, er underlagt en fortrolighedsforpligtelse efterkomme alle lovpligtige sikkerhedsforanstaltninger overholde krav vedrørende anvendelse af andre databehandlere i muligt omfang bistå den dataansvarlige med at behandle begæringer, udarbejde DPIA, underretning af tilsynsmyndigheden ved sikkerhedsbrud mv. være i stand til over for den dataansvarlige at fremvise alt nødvendig information for at dokumentere compliance med reglerne i forordningen 10 Notifikationspligt Brud på persondatasikkerheden": Brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, ubeføjet udbredelse af eller adgang til personoplysninger, der er videregivet, lagret eller på anden måde behandlet Ved sikkerhedsbrud: Anmeldelse af brud til tilsynsmyndighed inden 72 timer U: usandsynligt at bruddet medfører en risiko for personers rettigheder eller frihedsrettigheder Indholdskrav til anmeldelse: Beskrivelse af karakteren af bruddet på persondatasikkerheden, herunder kategorierne og antallet af berørte registrerede samt kategorierne og antallet af berørte registreringer Angivelse af identitet og kontaktoplysninger for DPO en eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes Anbefaling af foranstaltninger, der kan afhjælpe de mulige skadevirkninger af bruddet på persondatasikkerheden Beskrivelse af konsekvenserne af bruddet på persondatasikkerheden Beskrivelse af de foranstaltninger, som den dataansvarlige foreslår eller har iværksat for at afhjælpe bruddet på persondatasikkerheden Når et sikkerhedsbrud indebærer en høj risiko for registreredes rettigheder og friheder, skal den pågældende underrettes uden ugrundet ophold (ikke ubetinget notifikationspligt) Databehandleren skal underrette den dataansvarlige uden ugrundet ophold 5

11 Data Protection Officer (DPO) Hvilke organisationer (både dataansvarlige og databehandlere) skal have en DPO? Offentlige myndigheder Private virksomheder, hvis kerneaktivitet består af omfattende databehandling, som kræver regelmæssig og systematisk monitorering Private virksomheder, hvis kerneaktivitet består af en omfattende behandling af følsomme personoplysninger Øvrige organisationer kan udpege DPO medlemsstaterne kan lave særregler Alle organisationer bør forankre arbejdet med persondata hos en DPO/databeskyttelsesansvarlig Koncern kan udpege én fælles DPO Udpegning på grundlag af faglige kvalifikationer og ekspertise inden for persondatalovgivning og -praksis 12 Data Protection Officer (DPO) Opgaver (minimumskrav): Underretning og rådgivning af dataansvarlig /databehandler om forpligtelser i henhold til forordningen Overvåge gennemførelsen og anvendelsen af den dataransvarliges/databehandlerens regler om beskyttelse af personoplysninger både fra EU og nationalt, herunder uddanne medarbejdere Kontrollere den dataansvarliges/databehandlerens gennemførelse af PIA og anvendelsen af forudgående godkendelse eller høring af tilsynsmyndigheden i de situationer, hvor der er krav om dette Samarbejde med og være kontaktpunkt for de relevante tilsynsmyndigheder Dataansvarlig/databehandler sikrer, at DPO en inddrages i alle spørgsmål vedr. beskyttelsen af personoplysninger Refererer direkte til øverste ledelse (karakter af stabsfunktion) Kan ikke afskediges eller straffes for udførelse af sine opgaver, men ikke en egentlig beskyttet stilling 6

13 Kontakt Thomas Munk Rasmussen Partner København CCI T +45 72 27 33 55 M +45 25 26 33 55 E tmr@bechbruun.com København Danmark Aarhus Danmark Shanghai Kina T +45 72 27 00 00 www.bechbruun.com 7

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback