KONKRET HÅNDTERING AF PERSONDATAFORORDNINGEN

Relaterede dokumenter
Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

INTRO TIL PERSONDATAFORORDNINGEN. Væsentligste nyskabelser af relevans for IT-leverandører 8. juni 2016

Persondataforordningen den 20. februar 2018

GDPR og arkivloven. Poul Olsen, DPO, Rigsarkivet

Hvad betyder den nye persondataforordning for udvikling og brug af digitale sundhedsløsninger, og hvem har ansvaret for overholdelse?

Persondatareguleringen. Hvorfor, hvornår, systemet og lidt om maj 2018

Persondataforordningens betydning for it-leverandører

Databeskyttelsesdagen

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

Persondataforordningen. Henrik Aslund Pedersen Partner

Overblik over persondataforordningen

Introduktion til persondataforordning

September Indledning

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

POLITIK FOR DATABESKYTTELSE

Retningslinje om fortegnelser over behandlingsaktiviteter

Rigsarkivets konference 2. november 2016

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

7. NOVEMBER Side 1. Udbud og persondata. Advokat Jesper Nørøxe samt advokat Rasmus Holm Hansen

Persondataforordningen...den nye erklæringsstandard

BILAG 3.2 FÆLLES DATAANSVARSAFTALE

Ordliste begreber om håndtering af personoplysninger til patientbehandling og forskningsbrug

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

JDM Sikkerhedsaftale. - et vigtigt skridt mod overholdelse af EU Persondataforordningen GDPR

Persondataloven i en Smart City kontekst. Alexander Tureczek, Ph.d. candidate

Persondataforordningen & kommuner. Vejle, 5. maj 2015 Advokat, partner Nis Peter Dall. Baseret på persondatadirektivet (fra 1995)

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

PERSONDATA - INDSAMLING, BEHANDLING OG OPBEVARING AF FORBRUGSDATA I FORSYNINGSSEKTOREN

Persondataforordningen Data Protection Officer. Advokat, Marie Albæk Jacobsen

Transkript:

KONKRET HÅNDTERING AF PERSONDATAFORORDNINGEN Torsdag den 2. februar 2017

PERSONDATARETTEN PÅ 60 SEKUNDER

PERSONDATA PÅ 60 SEKUNDER DATA Persondata Enhver form for data Regulering alt efter type, f.eks. Aftaleret (aftale om brug) Ophavsret (databaser) Erhvervshemmeligheder Normalt ikke så vanskeligt Enhver form for information om en identificeret eller identificerbar fysisk person => Kan personen findes, er det persondata også selvom det er næsten umuligt Særlig regulering!

PERSONDATA PÅ 60 SEKUNDER Persondata omfatter f.eks.: Direkte: Navn, adresse, telefonnummer, e-mail osv. Indirekte: Kundenummer, referencer, billeder, lyd osv. Umulige : IP-adresser, eksterne kundenummere, krypterede data osv. Persondata omfatter f.eks. ikke: Teknisk data Annonyme data forudsat data ikke kan de-annonymiseres, f.eks.: dektyptering af krypteret data

PERSONDATA PÅ 60 SEKUNDER Almindelige oplysninger Udgangspunktet Alle personoplysninger, der ikke er en af de to andre Alm. behandlingskrav Følsomme oplysninger Racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold Skærpede behandlingskrav ud over alm. krav Rent private oplysninger Strafbare forhold, væsentlige sociale problemer og andre rent private forhold Skærpede behandlingskrav ud over alm. krav Forskel på offentlig og privat behandling Personnummer Meget begrænset behandling

PERSONDATA PÅ 60 SEKUNDER Registreret Fysisk person oplysningerne identificerer Den hele beskyttelsen omhandler Dataansvarlig Dataejeren Bestemmer over oplysningerne om den registrerede Fuldt ansvarlig for reglernes overholdelse Databehandler (Under)leverandør Behandling af oplysninger om registrerede på vegne af dataansvarlig Kun ansvar for behandlingen ( indtil videre)

PERSONDATA PÅ 60 SEKUNDER To grundlæggende regeltyper (meget forsimplet) Materielle behandlingsregler Hvornår må og kan man behandle persondata Håndterings- og beskyttelsesregler Hvordan skal behandlingen foregår Hvordan skal behandlingen dokumenteres Sikkerhedskrav Jo mere følsomme personoplysninger, des mindre manøvrerum for behandling.

RETSGRUNDLAG I DAG Direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger. Persondataloven trådte i kraft 1. juli 2000 Ny Persondatoforordning får virkning den 25. maj 2018 Omfattende speciallovgivning, bl.a. sundhedsloven

PERSONDATAFORORDNINGEN Ny forordning om persondata vedtaget i april 2016 og offentliggjort i Official Journal of the European Union den 4. maj 2016. Forordningen trådte i kraft den 25. maj 2016. Forordningen for dog først virkning fra den 25. maj 2018. Officielle titel er General Data Protection Regulation (GDPR) Forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger - Forordning 2016/679 Forordningen gælder direkte og umiddelbart for alle EU medlemsstater. Forordningen erstatter 1995-direktivet og 28 medlemsstaters lovgivning Formål: Harmonisering minimumsregulering

OVERBLIK OVER FORORDNINGEN Kapitel I Generelle bestemmelser Art. 1-4 Kapitel IV Dataansvarlig og databehandler Art. 24-43 Kapitel VII Samarbejde og sammehæng Art. 60-76 Kapitel X Delegerede retsakter Art. 92-93 Kapitel II Principper Art. 5-11 Kapitel V Overførelse af personoplysninger til tredjelande Art. 44-50 Kapitel VIII Retsmidler, ansvar og sanktioner Art. 77-84 Kapitel XI Afsluttende bestemmelser Art. 94-99 Kapitel III Den registreredes rettigheder Art. 12-23 Kapitel VI Uafhængige tilsynsmyndigheder Art. 51-59 Kapitel IX Bestemmelser vedrørende specifikke behandlingssituationer Art. 85-91

OMFANG Personoplysninger er Persondataloven Enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede) Persondataforordningen»personoplysninger«:enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet

OMFANG Persondataloven (indtil 25. maj 2018) behandling af personoplysninger som helt eller delvis foretages ved hjælp af elektronisk databehandling og for ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register anden ikke- elektronisk systematisk behandling, som udføres for private Persondataforordningen (fra 25. maj 2018) Behandling af personoplysninger der helt eller delvis foretages ved hjælp af automatisk databehandling og på anden ikke-automatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register

NU BEGYNDER VI

PRINCIPPER FOR BEHANDLING AF PERSONOPLYSNINGER Personoplysninger skal: GDPR Art. 5(1) a) behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (»lovlighed, rimelighed og gennemsigtighed«) b) indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål; viderebehandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, skal ikke anses for at være uforenelig med de oprindelige formål (»formålsbegrænsning«) c) være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (»dataminimering«) d) være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges (»rigtighed«)

PRINCIPPER FOR BEHANDLING AF PERSONOPLYSNINGER e) opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles; personoplysninger kan opbevares i længere tidsrum, hvis personoplysningerne alene behandles til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, under forudsætning af, at der implementeres passende tekniske og organisatoriske foranstaltninger, som denne forordning kræver for at sikre den registreredes rettigheder og frihedsrettigheder (»opbevaringsbegrænsning«) f) behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger (»integritet og fortrolighed«).

PRINCIPPER FOR BEHANDLING AF PERSONOPLYSNINGER GDPR Art. 5(2) Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes (»ansvarlighed«).

PRINCIPPER FOR BEHANDLING AF PERSONOPLYSNINGER GDPR. Art. 24 - Den dataansvarliges ansvar 1.Under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med denne forordning. Disse foranstaltninger skal om nødvendigt revideres og ajourføres. 2.Hvis det står i rimeligt forhold til behandlingsaktiviteter, skal de foranstaltninger, der er omhandlet i stk. 1, omfatte den dataansvarliges implementering af passende databeskyttelsespolitikker. 3.Overholdelse af godkendte adfærdskodekser som omhandlet i artikel 40 eller godkendte certificeringsmekanismer som omhandlet i artikel 42 kan bruges som et element til at påvise overholdelse af den dataansvarliges forpligtelser.

DATABESKYTTELSE I VIRKSOMHEDEN TEKNISKE SIKKERHEDSFORANSTALTNINGER Hvem har adgang til hvilke data? (arbejdsbetinget behov) Hvad kan der ske med disse persondata? Authorization Hvor sikre er vi på, at alt foregår som det skal? Subject Object Hvordan kan vi følge op på om processen og retningslinjerne efterleves? både så vi ved om autoriserede følger reglerne og at uautoriserede ikke opnår adgang Audit Hvornår må der være adgang til persondata? Der er en tendens til at underkende risici ved den interne arbejdspraksis! fx intern deling, godkendelses processer og adgang til persondata

PERSONDATA OG IT-AFDELINGEN Metoder og kontroller ISO 29100 ISO 29101 ISO 27001 ISO 27002 ISO31000 ISAE3000 SOC2 (Informationsteknologi Sikkerhedsteknikker - Arkitektur for beskyttelse af personfølsomme oplysninger) (Informationsteknologi Sikkerhedsteknikker Rammer for arkitektur for beskyttelse af personfølsomme oplysninger) (Informationsteknologi Sikkerhedsteknikker Ledelsessystemer for informationssikkerhed) (Informationsteknologi Sikkerhedsteknikker Regelsæt for styring af informationssikkerhed) (Risikoledelse - Principper og vejledning) (Assurance Engagements Other than Audits or Reviews of Historical Financial Information) (Report on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality or Privacy)

IT sikkerhed GDPR compliance Men IT-sikkerhed er en del af det at være GDPR complient You can have security without privacy but you cannot have privacy without security Sikkerhed og Pricacy er et linjeansvar og ikke en funktion eller enkel rolle

VEJEN TIL AT PÅVISE COMPLIANCE

ACCOUNTABILITY GDPR Art. 5(2) Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes (»ansvarlighed«). GDPR Art. 24(1) Under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med denne forordning. Disse foranstaltninger skal om nødvendigt revideres og ajourføres

ACCOUNTABILITY Accountability inbefatter bl.a. Implementere de fornødne tekniske og organisatoriske foranstaltninger, der sikrer, og viser, at du overholder reglerne. Dette kan omfatte implementering af interne databeskyttelses politikker, regler og procedurer uddannelse af personale / awareness interne revision af behandlingsaktiviteter Vedligeholde dokumentation for behandlingsaktiviteter Kortlægge repository af persondata Udpege en DPO hvor relevant Implementere Privacy by Design og Privacy by Default Implementere DPIA Systematisere opgaver og dokumentation i et persondataprogram / privacy framework

PRIVACY BY DESIGN GDPR Art. 25 Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, som behandlingen indebærer, gennemfører den dataansvarlige både på tidspunktet for fastlæggelse af midlerne til behandling og på tidspunktet for selve behandlingen passende tekniske og organisatoriske foranstaltninger, såsom pseudonymisering, som er designet med henblik på effektiv implementering af databeskyttelsesprincipper, såsom dataminimering, og med henblik på integrering af de fornødne garantier i behandlingen for at opfylde kravene i denne forordning og beskytte de registreredes rettigheder.

PRIVACY BY DESIGN Persondatabeskyttelse skal indtænkes som et iboende element af produkter, services og processer

PRIVACY IMPACT ASSESSMENT Artikel 35 Konsekvensanalyse vedrørende databeskyttelse 1. Hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, foretager den dataansvarlige forud for behandlingen en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger. En enkelt analyse kan omfatte flere lignende behandlingsaktiviteter, der indebærer lignende høje risici.

PRIVACY IMPACT ASSESSMENT 4.Tilsynsmyndigheden udarbejder og offentliggør en liste over de typer af behandlingsaktiviteter, der er underlagt kravet om en konsekvensanalyse vedrørende databeskyttelse i henhold til stk. 1. Tilsynsmyndigheden indgiver disse lister til det i artikel 68 omhandlede Databeskyttelsesråd. 5.Tilsynsmyndigheden kan også udarbejde og offentliggøre en liste over de typer af behandlingsaktiviteter, for hvilke der ikke kræves nogen konsekvensanalyse vedrørende databeskyttelse. Tilsynsmyndigheden indgiver disse lister til Databeskyttelsesrådet.

PRIVACY IMPACT ASSESSMENT Konsekvensanalyser er fundamentale for forståelsen af ens persondatabehandling og de risici sådan behandling indebærer. Uden konsekvensanalyser er det svært at fastlægge omfanget af passende og tilstrækkelige sikkerhedsforanstaltninger. Kommissionen har varslet høje bøder!

PRIVACY PROGRAM

HVORDAN KOMMER MAN I GANG? Indledende opgaver Definer scope og bevillinger Fastlæg den overordnede politik Etabler en persondata strategi /vælg rammeværk Strukturer teamet!

PRIVACY MANAGEMENT HVAD ER DET? Udform en vision/mission for virksomhedens persondatabehandling: Vision: En ønskværdig, fremtidig tilstand og den ledestjerne, som en virksomhed forfølger. Visionen har en længere horisont end missionen og fortæller om de langsigtede mål for virksomheden. Mission: En nutiden tilstand eller et mål for den kortere tidshorisont end visionen. Missionen sætter rammen for de redskaber, og holdninger, der gør det muligt at udleve missionen for virksomheden.

PRIVACY MANAGEMENT HVAD ER DET? Vision/mission bør forholde sig til i det mindste: Værdien virksomheden lægger i privacy De ønskede mål der tilstræbes Strategi for hvordan mål opnås Klarlægning af roller og ansvar

PRIVACY MANAGEMENT HVAD ER DET? Opbyg rammeværk, som bør forholde sig til i det mindste: Organisationsstruktur og ansvar Kortlægning af data og processer Opbygning af politikker, regler og procedurer Awareness Breach management Kommunikation med de registrerede

TEAMET Privacy framework roller og ansvar Executive privacy program owner Den øverste ansvarlige i direktionen Chief privacy officer Daglig ledelse og ansvar for implementering og vedligeholdelse af privacy framework program Privacy officer/privacy manager Den ansvarlige indenfor en forretningsenhed eller for et produkt Data Protection Officer (DPO) Udpeget uafhængig rådgiver med reference til øverste ledelse ------------------------------------------------------------------------------------------------------------------------------ Security Officer IT-manager HR-manager

DATAMAPNING

DATAMAPNING Hvem indsamler PII Hvilke typer PII og hvilke lovkrav er der til behandling Hvor opbevares data? Hvordan indsamles data? Hvorfor indsamles data? Særlige lovkrav? Hvilken information er undergivet særkrav? Hvem håndhæver regulatoriske krav og hvordan - sanktionsniveau? Hvorfor er reglerne der?

EKSEMPLIFICERING

EKSEMPLIFICERING

KONTROLLER Opstilling af kontroller skal muliggøre at virksomheder kan påvise, at persondata behandles på lovlig vis. Kontroller mapper forpligtelser fra lovgivning, branche-standarder mv. op og opsætter målepunkter. Eksempelvis NYMITY Framework

KONTROLLER Målepunkter /Metrics / KPI Hvis der ikke opstilles målepunkter og måles, kan man ikke forbedre sig. Målepunkter virker derfor også som KPI er, som defineres i forhold til opnåelse af mål og formål. Målepunkter skal være: Målbare Meningsfulde klart definerede indikative for fremskridt/tilbageskridt være i stand til at besvare konkrete spørgsmål

SPØRGSMÅL OG DEBAT

SØREN WOLDER Advokat(L), LL.M, Partner Persondataret specialist Rådgiver bl.a. om Persondata IT-kontrakter Immaterialret Compliance Medlem af International Association of Privacy Professionals og Dansk Forening for Persondataret DAHL siden 2004 45

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback