Persondataforordningen

Relaterede dokumenter
Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106.

Persondataforordningen

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I. INDHOLDSFORTEGNELSE: 1. Generelt... 2

EU Persondataforordning GDPR

GDPR og arkivloven. Poul Olsen, DPO, Rigsarkivet

Ny Persondataforordning mv.

N. Zahles Skole Persondatapolitik

Ecofleet. Persondataforordningen Kort fortalt. Del 1. Peter Dam Nordic Project Manager

opfylde vores kontraktuelle forpligtelser over for dig, samt at

Introduktion til persondataforordning

Persondataforordningen

Velkommen til seminar om Persondataforordningen. Den 16. maj 2018.

INTERN HR PERSONDATAPOLITIK FOR LIONS MD106. Nærværende gælder for MD 106, dvs. alle ansatte og medlemmer i Lions MD 106.

PERSONDATAPOLITIK FOR DANSK TOURETTE FORENING

POLITIK FOR DATABESKYTTELSE

Nye regler på vej Status på arbejdet med databeskyttelsesforordningen. 8. november 2017

Thea Præstmark WW W W W.SKA W UR.SKA EIP UR UR EIP TH UR. TH C. OM C

Persondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017

Privatlivspolitik. Odense LMU

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

September Indledning

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

DANVA, Dansk Vand- og Spildevandsforening. Godthåbsvej Skanderborg. og

PERSONDATAPOLITIK FOR ORDET OG ISRAEL

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

PERSONDATAPOLITIK FOR AXIS

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

Persondatapolitik for Aabenraa Statsskole

Persondata politik for GHP Gildhøj Privathospital

PERSONDATA - HVAD ER DET FOR NOGET OG HVORDAN BRUGES DET?

PERSONDATAPOLITIK FOR Slagelse Børneklub

Per Løkken, Partner. CAMPUS November 2018

Privatlivspolitik. for Odense LM

Persondatapolitik for Tørring Gymnasium 2018

1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du

Persondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.

Persondatapolitik Vordingborg Gymnasium & HF

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

Almindelig viden om persondataforordningen

Persondatapolitik på Gentofte Studenterkursus

Hvad betyder den nye persondataforordning for udvikling og brug af digitale sundhedsløsninger, og hvem har ansvaret for overholdelse?

BAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Fysiske personer. Vi ved jo alle, hvad en person er. Det er sådan en som os selv (Peter Blume: Databeskyttelsesret, 4. udg., 2013, s. 30f.

PERSONDATAFORORDNINGEN APRIL 2018

Dine rettigheder, når regionen behandler oplysninger om dig

Rammer og vilkår for brug af data. 25. oktober 2016 Afdelingschef Birgitte Drewes,

Procedure for håndtering af personoplysninger - GDPR Denne udgave: /TW

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Retningslinje om behandlingsgrundlag (hjemmel)

Persondatapolitik for Odense Katedralskole

Persondatapolitikken er godkendt på VUC Roskildes bestyrelsesmøde den 7 juni 2018.

Standardvilkår. Databehandleraftale

Borgerens rettigheder, når regionen behandler personoplysninger

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

PERSONDATAPOLITIK FOR BAPTISTERNES BØRNE- OG UNGDOMSFORBUND

Formålet med denne retningslinje er at sikre, at Nykøbing Katedralskole udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.

Nexø Frikirke. PRIVATLIVSPOLITIK i NEXØ FRIKIRKE

PRIVATLIVSPOLITIK FOR VÆRFTET NEXØ KRISTNE SKATECENTER, LEGELAND OG CAFE

PERSONDATAPOLITIK FOR HOLMSBORG SOMMERLEJRE

1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du giver til os, og

Persondataforordningen. Hvad kan vi bruge KITOS til?

DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde

Implementering af persondataforordningen

Formålet med denne retningslinje er at sikre, at Ringkjøbing Gymnasium udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.

Databeskyttelse gennem Design

Den dataansvarlige organisation for behandling af dine personoplysninger er:

Persondatapolitik for Ehlers-Danlos Foreningen i Danmark

Persondataforordningen - set med danske øjne

PERSONDATAPOLITIK FOR Dansk forening for Williams Syndrom

PERSONDATAPOLITIK 1. INTRODUKTION

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

ANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2 BEHANDLINGSGRUNDLAG... 3 KONTROL OG DOKUMENTATION... 8

Retningslinje om de registreredes rettigheder

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

Formålet med denne retningslinje er at sikre, at Midtfyns Gymnasium udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.

Behandlingsgrundlag Horsens Statsskole

Formålet med denne retningslinje er at sikre, at Nakskov Gymnasium og HF udelukkende behandler personoplysninger på baggrund af et lovligt grundlag.

Orientering om databeskyttelsesforordningen. Sundhedsstrategisk Forum Onsdag den 21. marts 2018

Persondataforordningen

"forordningen" i det følgende) og gælder for alle ansatte på Midtfyns Gymnasium, der behandler personoplysninger.

PERSONDATAFORORDNING PERSONALEADMINISTRATION. 4. og 9. april 2018 Kolding

Maj 2018 Retningslinje om de registreredes rettigheder på Frederiksberg Gymnasium

DanDomain A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

EN DAG OM PERSONDATAFORORDNINGEN. STU Foreningen. 7. december 2017

Retningslinje om de registreredes rettigheder

PERSONDATABESKYTTELSESPOLITIK FOR ADVOKATFIRMAET KRARUP

Persondatapolitikken er godkendt på Vesthimmerlands Gymnasium og HF s bestyrelsesmøde den 25. juni 2018

Lunderskov Y s Men s Club Dokument: k3. Persondatapolitik. (Privatlivspolitik) for behandling af personoplysninger i Lunderskov Y s Men s Club

Databeskyttelsesforordningen og dansk forskning. v/ chefkonsulent Kim Taasby & jurist Anahita Khatam-Lashgari 24. maj 2018

Overblik over persondataforordningen

Databeskyttelsesforordningspolitik

EU s persondataforordning. Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse

Databeskyttelsespolitik for advokatanpartsselskabet Vibeke Westergaard

2.1 Vi behandler persondata og har derfor vedtaget denne persondatapolitik, der beskriver, hvordan vi behandler persondata.

Persondatapolitik i Dansk Oplysnings Forbund

Retningslinje om ansvarsfordeling - dataansvarlig vs. databehandler

PERSONDATAPOLITIK FOR FANCONI ANÆMI DANMARK

Transkript:

Persondataforordningen - Et overblik

Den politiske baggrund Menneskerettigheder m.v. No one shall be subjected to arbitrary interference with his privacy, family, home or correspondence, Verdenserklæringen om mtighederne, 1948, Ditto EMRK, GRL, OECDs guidelines, Europarådets konvension Privacy er et konstituerende menneskeligt træk, med stor historisk betydning og geografisk betydning. Alternativet er ændring af adfærd, udfordring af det reelle frie valg, hvis uerkendte afslørende præferencer udnyttes Ro til refleksion m.v. Teknologisk udvikling Biometri og væv: Man kan spore DNA og fingeraftryk men også gangart og ansigtsgenkendelse (face detection vs. recognition f.eks. DeepFace med 97,35% succesrate) Søgning, surveys, likeknapper og cookies: alle brugernes aktiviteter kan opsamles i en profil. Man kan spore udstyr: Devicefingerprinting Location based services og trafikanalyser: Vi ved altid hvor brugerne er Forensic linguistics: Man kan fastslå, hvem der har forfattet et stykke tekst af en vis længde (f.eks. J.Krowling og The Cuckoo s Calling) Internet of EveryThing: Alt udstyr kommer online og kan devicefingerprintes (inkl. TV, køleskab, bil, el-vand og gasmålere og børnelegetøj og sexlegetøj) Udviklingen i trusselsbilledet IT-kriminelle: Alle personoplysninger kan sælges (e-mailkonti, brugerkonti, CPR-numre, kontonumre og selvfølgelig informationer om særlige privilegerede brugere (Se&Hør-sagen, CSC-sagen, osv.) Fremmede lande: Angreb på Office of Personel Management, indblanding i valgkampe, det danske forsvars personaleoplysninger (og i øvrigt angreb på kritisk infrastruktur) Idealistiske angreb: Ashley Madison, Anonymous, m.v. Whitehats: Tag godt imod dem! 2

Retskilder Kilder - Forordningen/direktivet - Databeskyttelsesloven (den nationale præcisering af visse bestemmelser i forordningen) - Betænkning 1565 - National lovgivning med bekendtgørelser og vejledninger f.eks. Sundhedsloven og TV-overvågningsloven - EMRK art. 8 (respekt for privatliv), 1950 - EU s charter om grundlæggende rettigheder art. 7 (respekt for privatliv) og art. 8 (beskyttelse af personoplysninger), 2000, retligt bindende med Lissabontraktaten i 2009. - Europarådets konvention 108 og deraf følgende rekommendationer - Praksis fra Datatilsynet (afgørelser) og Datatilsynets vejledninger, evt. som opsamlet i den kommenterede udgave af persondataloven - Udtalelser fra Artikel 29-gruppen - Domme (nationale, EU-domstolen, europæisk menneskerets domstol) - Standarder 3

Persondataforordningen - baggrund Formål: Styrke individernes ret til databeskyttelse Understøtte det frie flow af data Reducere administrative byrder 4

Forordning versus direktiv Direktiv Forordning 72 præambelbetragtninger 173 præambelbetragtninger 34 artikler 99 artikler 8 definitioner 26 definitioner Kompliceret i forvejen; nu betydeligt større regelværk. Forordning versus direktiv Fra præambel 10: Denne forordning indeholder også en manøvremargen, så medlemsstaterne kan præcisere reglerne heri, herunder for behandling af særlige kategorier af personoplysninger (»følsomme oplysninger«). Denne forordning udelukker således ikke, at medlemsstaternes nationale ret fastlægger omstændighederne i forbindelse med specifikke databehandlingssituationer, herunder mere præcis fastlæggelse af de forhold, hvorunder behandling af personoplysninger er lovlig. Hertil 54 muligheder for at fastsætte national lovgivning Summa sumarum: begrænsning af forordningens harmoniserende virkning 5

Loven Principper: Lovlig, rimelig, gennemsigtig, formål, minimeret, korrekte, lagringsbegrænsning, sikkert, dokumenteret Rettigheder: Oplysningspligt, indsigtsret, berigtige, slette, begrænse, underrette, portabilitet, indsigelse, profilering Pligter: DPbDx2, databehandlere, fortegnelse, sikkerhedsforanstaltninger, DBN, DPIA, DPO, overførsel Summa sumarum: ved første øjekast er der ikke mange nyskabelser. 6

Definitioner Personoplysning: informationer relateret til en identificeret eller identificerbar person, herunder hvis personen kan udpeges. Omfattet er bl.a. Navn, adresse, telefonnummer, e-mailadresse Portrætfoto, film Hashværdi af fingeraftryk IP-adresse Løbenummer eller ID-nummer Cookies, RFID-numre, hardwarenumre Behandling: Enhver aktivitet som personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse. Den registrerede: En identificeret eller identificerbar fysisk person. Dataansvarlig: En fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger. Databehandler: En fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne. Mange flere definitioner i forordningen. 7

Lovlig behandling 1 Kategorier af personoplysninger Almindelige Følsomme Strafbare forhold Specifikke behandlingssituationer CPR-nummer Ansættelsesforhold Særligt samtykke for børn 8

Lovlig behandling 2 Lovlig behandling af almindelige oplysninger Samtykke Opfyldelse af kontrakt Retlig forpligtelse hos dataansvarlig Vitale interesser Samfundets interesse eller myndighedsudøvelse Legitim interesse under hensyn til interesseafvejning Offentlige myndigheder må ikke bruge interesseafvejning På arbejdsmarkedet skal man være meget tilbageholdende med at bruge samtykke. Ditto i den offentlige sektor. Der skal være et reelt frit valg. 9

Lovlig behandling 3 Lovlig behandling af følsomme personoplysninger Følsomme personoplysninger: personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering Behandling er som udgangspunkt forbudt Undtagelser (hjemmel i A9): Eksplicit samtykke, med mindre national lovgivning fastslår at borgeren ikke har ret til at give et sådant samtykke Overholde den dataansvarliges eller den registreredes arbejds-, sundheds- og socialretlige forpligtelser og specifikke rettigheder med hjemmel i EU-ret, national ret eller kollektive overenskomster Vitale interesser Stiftelser, foreninger m.v. som led i legitime aktiviteter (bl.a. fagforeninger) Offentliggjort af den registrerede selv Fastlæggelse af retskrav Væsentlige samfundsinteresser på grundlag af lov På sundhedsområdet (til dels med tavshedspligt) Videnskabelig eller historisk forskning og statistik For følsomme personoplysninger skal samtykket være eksplicit 10

Principper for behandling Lovlig, rimelig og gennemsigtig Udtrykkeligt angivne og legitime formål (formålsbegrænsning) Data skal være tilstrækkelig, relevant og begrænset (minimering) Data skal være korrekte og om nødvendigt ajourførte (rigtighed) Data må kun lagres i en form, hvor den registrerede ikke kan identificeres i længere tid end nødvendigt (opbevaringsbegrænsning) Behandlingen må kun ske, hvis der er taget de fornødne sikkerhedsforanstaltninger (Integritet og fortrolighed) Den dataansvarlige er ansvarlig for compliance med principperne og skal kunne påvise compliance (ansvarlighed) 11

Datasubjektets rettigheder Hjælp fra dataansvarlig til udøvelse af rettigheder Letforståeligt og lettilgængelig og evt. med anvendelse af standardiserede ikoner Uden unødig forsinkelse og indenfor en måned Oplysningspligt Indsigtsret Berigtige Slette Begrænse Underrette Dataportabilitet Indsigelse Profilering Undtagelser offentlig forvaltning 12

Dataansvarligs pligter Overordnet ansvar hos den dataansvarlige, men også noget ansvar hos databehandleren Data Protection by Design and Default Dataansvarlige må kun bruge databehandlere, der kan leve op til en række krav, som fastsættes i en detaljeret databehandleraftale Fortegnelse over behandlingsaktiviteter Passende tekniske og organisatoriske sikkerhedsforanstaltninger Data Breach Notofication Data Protection Impact Assessment Data Protection Officer Hjemmel til tredjelandsoverførsler: EU/EØS Lande med tilstrækkeligt beskyttelsesniveau Lande uden tilstrækkeligt beskyttelsesniveau: Privacy Shield, SCC, BCR 13

JM om DPbD PbDx2 Ikke et nyt sikkerhedskrav Overvejelsesforpligtelse og håndteringsforpligtelse Fremtidige systemer f.eks. gennem PET Eksisterende systemer SKAL ikke redesignes Større ændringer kan kræve tilpasninger Hvis standardindstillinger KAN ændres SKAL de ændres inden 25. maj 2018 I betænkning 1565 redegør justitsministeriet for at de anser designtidspunktet, som det eneste delvist nye. Kommentar: Jeg er ikke enig. DPbD har et selvstændigt materielt indhold. 14

Designprincipper Ann Cavoukians designprincipper Proaktiv, ikke reaktiv Foranstaltninger skal altså iværksættes inden en risiko materialiserer sig. Privacy som standardindstilling Den registrerede skal ikke selv foretage sig noget for at beskytte sine oplysninger; beskyttelsen skal være slået til fra starten. Privacy skal være indlejret i systemet Foranstaltningerne skal designes ind i et systems arkitektur og ikke tilføjes efterfølgende. Der skal være fuld funktionalitet Der skal være fuld funktionalitet. Det må ikke være sådan, at man kan få begrænset funktionalitet, der er sikker og fuld funktionalitet, hvis man opgiver sin sikkerhed. Generelt må der ikke være en modstrid mellem sikkerhed og databeskyttelse. Beskyttelse i hele livscyklussen Beskyttelsen skal indbygges i designfasen inden systemet sættes i drift og være aktiv i hele systemets levetid. Transparens Der skal være gennemsigtighed i forretningsmodeller og teknologier og det der signaleres skal kunne verificeres (af en uafhængig tredjepart). Brugeren i centrum De registreres interesser skal være i fokus f.eks. gennem standardindstillinger, notifikation og empowerment af brugerne, så de er i kontrol. Kommentar: Vi kan ikke støtte ret på præcis disse, men de giver en indikation af et materielt indhold i begrebet. 15

Afsluttende bemærkninger One-stop-shop og sammenhængsmekanismen Bøder Erstatning Vejledninger fra DT og JM Vejledninger fra artikel 29-gruppen Uløste problemer, jf. Rådet for Digital Sikkerhed og Alexandra Instituttet 16

Min personlige tilgang Virksomheden skal have udpeget en ansvarlig ekspert med forankring i topledelsen (kompetence og beslutning) Vi fastslår hvilke dele af forordningen m.v., der er relevant for virksomheden Vi kortlægger alle systemer og tjenester og fastslår, om der behandles personoplysninger (meget kort spørgeskema til direktører) Systemer og tjenester får tilknyttet ansvarlig, overordnet ansvarlig og teknisk ansvarlig (ansvar) For hver tjeneste, hvor der behandles personoplysninger, laver vi dokumentation, jf. excel-fil. (juridisk compliance) og sikrer at behandling er lovlig Vi laver risikoanalyse og kortlægning af sikkerhedstiltag for forretningskritiske systemer (sikkerhedsmæssig compliance) Procedurer, rutiner, systemer og tjenester tilpasses (lukke eller redesigne tjenester, slette data og implementere helt nye teknologier) Der vil opstå konflikter mellem lov og forretning. IT-sikkerhedsrådet beslutter hvilken risiko vi i tvivlstilfælde vil leve med. 17

Tools Forordningen på dansk http://eur-lex.europa.eu/legal-content/da/txt/pdf/?uri=celex:32016r0679&from=da Justitsministeriets betænkning om påvirkning af dansk lovgivning http://www.justitsministeriet.dk/nyt-og-presse/pressemeddelelser/2017/nye-regler-styrker-beskyttelsen-af-persondata-ieuropa Udkastet til Databeskyttelsesloven https://hoeringsportalen.dk/hearing/details/60828 Excel-vejledning om dokumentation af forordningen https://www.linkedin.com/pulse/nyt-gratis-v%c3%a6rkt%c3%b8j-kan-lette-arbejdet-med-henning-mortensen Skema til håndtering af personoplysninger på HR-området https://www.linkedin.com/pulse/nyt-gratis-skema-til-h%c3%a5ndtering-af-personoplysninger-p%c3%a5-mortensen DI's vejledning om forordningen med mapping af forordningens krav og ISO27002-kontroller http://di.dk/virksomhed/produktion/it/itsikkerhed/personoplysninger/pages/vejledningompersondataforordningen.aspx DI's DPIA-skabelon http://di.dk/virksomhed/produktion/it/itsikkerhed/personoplysninger/pages/disskabelonforprivacyimpactassessment.as px DI's vejledning om sikkerhed ved cloud computing og outsourcing http://di.dk/virksomhed/produktion/it/itsikkerhed/vejledninger/pages/sikkerhedsmaessigeovervejelservedcloudcomputi ngogoutsourcing.aspx Datatilsynets hjemmeside http://www.datatilsynet.dk Artikel 29-gruppens udtalelser http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/index_en.htm Hennings LinkedIn-profil https://www.linkedin.com/in/henning-mortensen-343b0/ (connect gerne) 18

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback