Data Protection Officer: krav og outsourcing af DPO-rollen. Uddannelsesdagen 2017

Relaterede dokumenter
Data Protection Officer (DPO): DPO-krav og outsourcing af DPO-rollen

Databeskyttelsesrådgiver/DPO. artikel 37-39

Rollen som DPO. September 2016

Persondataforordningen Data Protection Officer. Advokat, Marie Albæk Jacobsen

Overblik over persondataforordningen

WP243 BILAG OFTE STILLEDE SPØRGSMÅL

Databeskyttelse i den almene sektor en digital fremtid. 30. august 2018

Persondataforordningen

Stormøde om databeskyttelsesforordningen 9. februar 2017

Plesner Certifikat i Persondataret

Persondata og sikkerhedsbrud

Persondataretlig compliance - Hvordan bliver din organisation klar?

DPO-uddannelsen 2018

Den nye persondataforordning. 2. februar 2017

Plesner Certifikat i Persondataret

Til Økonomi- og Indenrigsministeriet 18. september 2017

DPO-uddannelsen 2018

Persondataforordningen & kommuner. Vejle, 5. maj 2015 Advokat, partner Nis Peter Dall. Baseret på persondatadirektivet (fra 1995)

Persondataforordningen: Første danske fortolkningsbidrag

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

Persondataforordningen: Første danske fortolkningsbidrag

General Data Protection Regulation

Gå-hjem-møde Persondataforordning

Overblik over persondataforordningen

Antikorruption og hvidvask

Hvorfor er informationssikkerhed et ledelsesansvar?

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Data Protection Officer Til lægemiddelindustrien og sundhedssektoren

Persondataretlig compliance i praksis. Uddannelsesdagen 28. maj 2015 v/ partner Thomas Munk Rasmussen og partner Mikkel Friis Rossa

Gå-hjem-møde Persondataforordning

Vejledning om databeskyttelsesrådgivere

Persondata fra en it-vinkel. Dansk Fjernvarme

Overblik over Justitsministeriets betænkning og de væsentligste ændringer i persondataforordningen

Whistleblowerordninger i offentlige myndigheder

Persondataforordningen den 20. februar 2018

Er I klar til den nye persondataforordning?

Persondataforordningens betydning for ejendomsbranchen

EU s persondataforordning. Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse

UDBYDES BÅDE FORÅR OG EFTERÅR DPO-uddannelsen

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

Den nye persondataforordning. 17. maj 2016

Grab n Go: Session 2 EU s persondataforordning og hvad så?!? 17. marts 2016

Er du klar til den nye Persondataforordning?

Vejledning om databeskyttelsesrådgivere

6.1 Introduktion. Af Jeppe Høyer Jørgensen, LETT Advokatpartnerselskab Indhold. Denne artikel har følgende

Persondataforordningen...den nye erklæringsstandard

Praktisk databeskyttelse. Praktisk databeskyttelse. Forordningen møder virkeligheden

Persondataforordningen - set med danske øjne

DPO ens rolle i praksis. 13. Juni 2016 Advokat Lars Japp Haslund

Dansk Selskab for GCP. Persondatareglerne

Advokat (H), partner Anders Aagaard. Ledelsesansvar for IT-sikkerhed

Vi har udarbejdet en særlig fortegnelse over vores databehandlingsaktiviteter. Denne fortegnelse indeholder:

SISCON GDPR I revisionsmæssigt perspektiv incl. præcisering vedrørned DPIA

Vi passer på dine persondata

Data Protection Officer Til lægemiddelindustrien og sundhedssektoren

PERSONDATAFORORDNINGEN STATUS???? OG ER DER NOGET NYT I DEN?

Introduktion til persondataforordning

Tjekliste til arbejde med persondata. Branchefælleskab for Intelligent Energi

Forberedelse til persondataforordningen. Plesners projektmodel

Personoplysninger. Jens Hørlück

EU-FORORDNING OM PERSONDATA I UDKAST

Dispensation fra lov om kommunernes styrelse

Praktisk persondatacompliance

Indhold. Fremtidens Data Protection Officer 3. Uddannelsens opbygning 4. MODUL 1 Din rolle som DPO 5. MODUL 2 Grundlæggende persondataret 6

Persondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017

Per Løkken, Partner. CAMPUS November 2018

Persondatapolitik Vordingborg Gymnasium & HF

Undervisningsplan for certifikat i persondataret

Sikkerhed & Revision 2016 den 2. september B:4 Stream B Governance, Risk & Compliance

NY PERSONDATALOV (GDPR) HVAD BETYDER DET FOR DIN VIRKSOMHED?

DEN NYE PERSONDATAFORORDNING. er din virksomhed klar?

Persondataforordningen. Henrik Aslund Pedersen Partner

Europaudvalget EUU Alm.del EU Note 27 Offentligt

Rapport. Anbefaling. Sikkerhedstjekket 2016 Rådet for Digital Sikkerhed

ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE

Uddannelsesdagen Mette Klingsten og Morten Hove Tang-Jensen Den 28. maj 2015

Få en globalt anerkendt persondatacertificering


Privatlivspolitik for LTECH A/S

PERSONDATA - INDSAMLING, BEHANDLING OG OPBEVARING AF FORBRUGSDATA I FORSYNINGSSEKTOREN

PERSONDATAKONFERENCEN - FORORDNINGENS DOKUMENTATIONSKRAV. Advokat Pia Kirstine Voldmester

DATABEHANDLERAFTALE Databehandleren skal overholde Persondataloven og Persondataforordningen, samt heraf afledt national lovgivning.

Persondatapolitik for Aabenraa Statsskole

Persondata politik for GHP Gildhøj Privathospital

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

Databehandleraftaler. Ved partner Thomas Munk Rasmussen, Bech-Bruun

Persondatacompliance

Persondataforordningen

Persondatapolitik for Tørring Gymnasium 2018

Få en globalt anerkendt persondata-certificering

Retningslinje om databeskyttelsesrådgivere

Er du nu HELT klar til GDPR? Bosted Temadag Rune Andersen, Manager, Product Management, EG

Retsudvalget L 68 Bilag 4 Offentligt

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?

Erklæring om beskyttelse af persondata i henhold til persondataforordningen (GDPR)

Privatlivspolitik og databehandling i Klinikken Psykolog Allan Blaabjerg

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

Indhold. Fremtidens Data Protection Officer 3. Uddannelsens opbygning 4. MODUL 1 Din rolle som DPO 5. MODUL 2 Grundlæggende persondataret 6

Transkript:

Data Protection Officer: krav og outsourcing af DPO-rollen Uddannelsesdagen 2017

Corporate Compliance & Investigations Vi er eksperter indenfor Compliance & interne undersøgelser Vi laver risikoanalyser, leverandørtjek, udarbejdelse og implementering af complianceprogrammer og politikker. Derudover leverer vi uddannelse af medarbejdere og ledere enten som en standardløsning eller skræddersyet til den enkelte organisation. Antikorruption & bestikkelse Vi hjælper virksomheder, organisationer og offentlige myndigheder, der ønsker at forebygge sager om korruption og bestikkelse inden for deres eget område, og som ønsker eller har behov for at kunne dokumentere deres indsats. Hvidvask Vi udarbejder complianceprogrammer i forhold til hvidvaskloven og kan hjælpe med at skræddersy det complianceprogram, der er det rigtige, nødvendige og tilstrækkelige for jer. Erhvervsstrafferet Vi yder bistand til virksomheder og organisationer, der bliver udsat for kriminelle forhold, enten fra ansatte eller fra udenforstående. Vi assisterer med undersøgelse af de mistænkelige forhold og sikring af beviser, krisestyring, kontakt til de relevante myndigheder, udarbejdelse af eventuel politianmeldelse, opgørelse af erstatningskrav mv. Persondata Persondataforordningen, sikkerhedsbrud, whistleblower-programmer, indsamling og beskyttelse af følsomme personoplysninger og sektorspecifik lovgivning. Der er stort fokus på det persondataretlige område, og det kan have stor og kritisk betydning for både virksomheder og offentlige organisationer, hvis lovgivningen ikke overholdes.

3 Lidt historie Persondatadirektivet gav flere muligheder Danmark valgte en anmeldelsesordning over en DPOordning I Tyskland har udpegelsen af en DPO været lovpligtig i mange år (flere end 9 medarbejdere) USA: Ikke lovkrav at udpege DPO Chief Privacy Officer (ansvarsområder dikteret af forretningsmæssige behov i stedet for lovkrav)

DPO-rollen GDPR art. 37-39 Hvem har pligt til at udpege en DPO? Offentlige myndigheder (undtagen domstole) Private virksomheder, hvis kerneaktivitet består af databehandling, der i medfør af deres karakter, omfang og/eller formål kræver regelmæssig og systematisk overvågning af registrerede i stort omfang Virksomheder, hvis kerneaktivitet består af databehandling i stort omfang af særlige kategorier af personoplysninger eller oplysninger om straffedomme og straffelovsovertrædelser DPO en udpeges på baggrund af sine faglige kvalifikationer herunder persondataretlig ekspertise påser, at GDPR overholdes og rådgiver ledelsen i den forbindelse inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger skal være uafhængig og må ikke modtage instrukser vedrørende udførelsen af sine opgaver kan udføre andre opgaver og have andre pligter, så længe det ikke medfører en interessekonflikt

Obligatorisk DPO Dataansvarliges pligt til at udpege en DPO ctr. databehandleres pligt til at udpege en DPO Medfører DPO-pligt hos den dataansvarlige automatisk DPO-pligt hos dennes databehandlere og vice versa? Offentlige myndigheder. Offentlige opgaver der varetages af private (fx forsyningsselskaber, public service broadcasting mv.) Brug af private databehandlere

Kerneaktiviteter, regelmæssig og systematisk overvågning i stort omfang kerneaktiviteter Behandling der en nødvendig følge af den dataansvarliges eller databehandlerens hovedaktivitet ikke behandling af personoplysninger som biaktivitet Fx hosting og/eller lagring af personoplysninger, herunder cloud-løsninger, marketingsundersøger. Privat hospitaler, forsikringsselskaber og banker. Ikke fx persondaleadministration eller almindelig kundekontakt/support som biaktivitet. Ikke forsyningsselskaber eller private skoler og daginstitutioner. regelmæssig og systematisk overvågning Løbende, vedvarende, organiseret overvågning i stort omfang Fx sporing, tracking og profilering via internettet, kreditvurderinger og lokalitetstracking via apps. Antallet af datasubjekter (specifikt antal eller andel af en relevant del af befolkningen) Mængden af data Hvor varig eller permanent behandlingen er Den geografiske udstrækning af behandling. Ikke fx tandlægeklinik, lægepraksis, advokatkontor (behandling af patienters eller klienters personoplysninger)

Hvad skal barnet hedde? En DPO skal opfylde kravene i GDPR! Obligatorisk DPO Frivillig DPO Ønsker man ikke at være bundet af kravene i forordningen, skal man kalde DPO en noget andet Man bør under alle omstændigheder allokere en person til at påse, at kravene i GDPR opfyldes DPO eller ej Sender et signal om seriøsitet til omverden Sikrer beskyttelse af registreredes grundlæggende rettigheder Sikrer effektiv datasikkerhed Hjælper til at sikre tilstrækkelige ressourcer til databeskyttelse internt i virksomheden/koncernen

DPO ens kvalifikationer hvor meget skal DPO en vide? DPO en skal udpeges på grundlag af sine faglige kvalifikationer, navnlig ekspertise inden for persondataret og -praksis samt evne til at udføre de opgaver, der er fastlagt i GDPR. Præamblen, pkt. 97: Den nødvendige ekspertise bør navnlig fastlægges i henhold til de databehandlingsaktiviteter, der foretages, og den beskyttelse de personoplysninger, som den dataansvarlige eller databehandleren behandler, kræver. Faglige kvalifikationer og ekspertise DPO en udpeges under hensyntagen til følsomheden, kompleksiteten og mængden af data, som virksomheden/myndigheden behandler Kendskab til national og europæisk databeskyttelseslovgivning og praksis og en indgående forståelse af GDPR Branchekendskab og kendskab til organisationen Evne til at udføre opgaver Dækker både personlige kvalifikationer (viden) og position i organisationen Én eller flere personer (DPO-team)?

9 Generelle krav vedrørende DPO Den dataansvarlige/databehandleren skal sikre, at DPO en ikke modtager instrukser vedr. udførelsen af sine opgaver Rapporterer direkte til øverste ledelsesniveau (C-level stilling) DPO en skal underlægges tavshedspligt/fortrolighed vedrørende udførelsen af sine opgaver (i overensstemmelse med EU-ret/lovgivningen i en medlemsstat) DPO en kan udføre andre opgaver/pligter Vær opmærksom på interessekonflikt! BCR-politik skal indeholde beskrivelse af DPO ens opgaver

Hvornår skal DPO en på banen? Så tidligt som muligt involvering af DPO en fra et tidligt stadie sikrer, at aktiviteter gennemføres med compliance for øje, en privacy by design-tilgang i overensstemmelse med GDPR Tidlig involvering af DPO en bør være en standardprocedure DPO en bør anskues som en sparrings- og samarbejdspartner partner i organisationen i forbindelse med nye tiltag og projekter DPO en skal involveres, når der gennemføres en DPIA DPO en skal samarbejde med og være kontaktpunkt for de relevante tilsynsmyndigheder (bl.a. høre tilsynsmyndigheden, når det er nødvendigt) samt for kunder/borgere.

Hvordan sikres det, at DPO en involveres på det rigtige tidspunkt? Anbefalinger fra Artikel 29-gruppen: DPO en bør inviteres til regelmæssigt at deltage i ledelsesmøder DPO en bør være til stede, når der skal træffes beslutninger, der har berøring med databeskyttelse DPO en skal have relevant information tilsendt i god tid, så vedkommende har mulighed for at give den korrekte rådgivning DPO ens råd bør altid tillægges betydelig vægt Hvis DPO ens råd ikke følges, bør årsagen hertil kunne dokumenteres DPO en bør inddrages straks I tilfælde af sikkerhedsbrud eller lignende Der kan udfærdiges en vejledning for, hvornår DPO en skal konsulteres

At vælge den rette DPO Kravet om uafhængighed DPO en må ikke modtage instrukser vedrørende udførelsen af sine opgaver Dette krav gælder uanset om der er tale om en intern eller en ekstern DPO DPO en kan ikke træffe beslutninger udover hvad der er fastsat i GDPR (art. 39) Deltids-DPO interessekonflikter DPO en kan varetage andre opgaver men disse må ikke resultere i en interessekonflikt DPO en må ikke i forbindelse med andre opgaver agere dataansvarlig, herunder træffe beslutning om formålet med og midlerne til en given behandling Stillinger i direktionen vil ofte resultere i en interessekonflikt Intern / ekstern DPO Ekstern DPO skal også opfylde kravet om uafhængighed Hvad passer bedst til organisationen SME ctr. store globale koncerner? Komplekse datastrømme Kompleks organisation Kan advokater, revisorer mv. varetage DPO-rollen for klienter/kunder?

Sanktioner over for DPO en DPO en må ikke afskediges eller straffes for at udføre sine opgaver Gælder både direkte og indirekte straffe Fx fravær af eller forsinkelse af forfremmelse eller nægtelse af at modtage personalegoder, som andre ansatte modtager En trussel om en straf er også omfattet af forbuddet DPO en kan afskediges på baggrund af almindelige ansættelsesretlige regler

14 Outsourcing af DPO-rollen Fordele og ulemper ved outsourcing: Fordele slipper for vanskelig rekrutteringsproces sparer en dyr jobfunktion får en specialist med erfaring - løbende efteruddannelse Ulemper Ikke samme kendskab til virksomheden som en intern Ikke synlig

15 Contact persons Thomas Munk Rasmussen Partner København CCI T +45 72 27 33 55 M +45 25 26 33 55 E tmr@bechbruun.com Susanne Stougaard Senioradvokat København CCI T +45 72 27 33 08 M +45 25 26 33 08 E sus@bechbruun.com Copenhagen Denmark Aarhus Denmark Shanghai China T +45 72 27 00 00 www.bechbruun.com 15

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback