Persondata fra en it-vinkel. Dansk Fjernvarme

Relaterede dokumenter
Hvordan kommer mit selskab i gang med arbejdet vedr. persondata. Dansk Fjernvarme

Persondata Behandlingssikkerhed. v/rami Chr. Sørensen

Forberedelse til persondataforordningen. Plesners projektmodel

Plesner Certifikat i Persondataret

Overblik over persondataforordningen

Organisatorisk og teknisk implementering af GDPR i Rigsarkivet. Fagligt forum 3. september 2019 Jan Dalsten Sørensen Rigsarkivet

Introduktion til persondataforordning

Plesner Certifikat i Persondataret

Konsekvensanalyse vedrørende databeskyttelse

Behandling af personoplysninger

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

N. Zahles Skole Persondatapolitik

Persondata politik for GHP Gildhøj Privathospital

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

Persondataforordningen. Nye regler om persondata

Persondatapolitik for Tørring Gymnasium 2018

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Persondatapolitik Vordingborg Gymnasium & HF

Persondatapolitik for Aabenraa Statsskole

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

Persondataforordningen. Henrik Aslund Pedersen Partner

Persondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.

September Indledning

BAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4

Persondatapolitik på Gentofte Studenterkursus

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Persondataforordningen den 20. februar 2018

Persondatapolitik for Odense Katedralskole

Standardvilkår. Databehandleraftale

Hvad betyder den nye persondataforordning for udvikling og brug af digitale sundhedsløsninger, og hvem har ansvaret for overholdelse?

Data Protection Officer (DPO): DPO-krav og outsourcing af DPO-rollen

Persondatareguleringen. Hvorfor, hvornår, systemet og lidt om maj 2018

Surftown A/S. Regionsgolf-Danmark DATABEHANDLERAFTALE. Databehandleraftalen foreligger mellem. Regionsgolf-Danmark.

Persondatapolitikken er godkendt på VUC Roskildes bestyrelsesmøde den 7 juni 2018.

Bilag 8. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

Formål. Definitioner. ø Retningslinjer om brud på datasikkerheden Anvendelsesområde

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

DanDomain A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

Databehandleraftale

Persondataforordningen Data Protection Officer. Advokat, Marie Albæk Jacobsen

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

Brud på datasikkerheden

Retningslinje om brud på persondatasikkerhed Skanderborg Gymnasium ANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2

Retningslinjer om brud på persondata

BILAG 5 DATABEHANDLERAFTALE

Persondatapolitikken er godkendt på Vesthimmerlands Gymnasium og HF s bestyrelsesmøde den 25. juni 2018

Databehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.

Databeskyttelse i den almene sektor en digital fremtid. 30. august 2018

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

DATABEHANDLERAFTALE

Den nye persondataforordning. 2. februar 2017

Per Løkken, Partner. CAMPUS November 2018

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Aftale vedrørende fælles dataansvar

Retningslinjer om brud på persondatasikkerheden

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Databeskyttelsesrådgiver/DPO. artikel 37-39

Derudover må personoplysninger i fysiske mapper kun tilgås af personer, der har et formål med at kunne tilgå de pågældende personoplysninger.

Midtfyns. Gymnasium. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

Cirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer

Retningslinjer om brud på persondatasikkerheden

CIR1H nr 9352 af 23/05/2018 (Gældende) Udskriftsdato: 24. maj Senere ændringer til forskriften Ingen. Journalnummer: Kirkemin., j.nr.

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

Databehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren.

WinWinWeb Databehandleraftale. Databehandleraftale. Mellem. Den Dataansvarlige: Kunden. Databehandleren: WinWinWeb CVR:

Overblik over persondataforordningen

Bilag 1 Databehandler aftale (v.1.2)

Databeskyttelsesdagen

Databehandleraftale (v.1.1)

GDPR og arkivloven. Poul Olsen, DPO, Rigsarkivet

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106.

Den Dataansvarlige og Databehandleren benævnes herefter samlet "Parter" og hver for sig "Part".

Den nye persondataforordning. 17. maj 2016

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

EU Persondataforordning GDPR

Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den

DATABEHANDLERAFTALE. Omsorgsbemanding

Bilag A Databehandleraftale pr

DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I. INDHOLDSFORTEGNELSE: 1. Generelt... 2

GML-HR A/S CVR-nr.:

7. NOVEMBER Side 1. Udbud og persondata. Advokat Jesper Nørøxe samt advokat Rasmus Holm Hansen

PERSONDATAFORORDNINGEN STATUS???? OG ER DER NOGET NYT I DEN?

Databehandleraftale. Mellem. Brugere af software fra Datalogisk. Den dataansvarlige: Databehandleren: Datalogisk A/S CVR Stubbekøbingvej 41

Persondataforordningen...den nye erklæringsstandard

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1

Fysiske personer. Vi ved jo alle, hvad en person er. Det er sådan en som os selv (Peter Blume: Databeskyttelsesret, 4. udg., 2013, s. 30f.

Databehandleraftale. Mellem. Den dataansvarlige: Navn, adresse og cvr: Databehandleren. Pronavic Business Systems ApS CVR

Persondataforordningen & kommuner. Vejle, 5. maj 2015 Advokat, partner Nis Peter Dall. Baseret på persondatadirektivet (fra 1995)

Retningslinje om fortegnelser over behandlingsaktiviteter

DATABEHANDLERAFTALE [LEVERANDØR]

Tønder Kommune BILAG 10

Transkript:

Persondata fra en it-vinkel Dansk Fjernvarme

Indarbejdelse i it-systemer Forordningen stiller ikke konkrete krav til it-systemer men it kan understøtte efterlevelsen af forordningens krav på nogle områder Behandlingssikkerhed (artikel 32 og 5(1)(f)) Sletning (artikel 5(1)(e)) og mange andre It-løsninger kan være forudsætninger for opfyldelse af andre krav eksempelvis besvarelse af indsigtsbegæringer Forordningen stiller krav til behandlingen ikke til systemet 2 31. maj 2017 Dansk Fjernvarme

Data protection by design og by default Artikel 25(1) - design Under hensyntagen til [ ], gennemfører den dataansvarlige både på tidspunktet for fastlæggelse af midlerne til behandling og på tidspunktet for selve behandlingen passende tekniske og organisatoriske foranstaltninger, såsom pseudonymisering, som er designet med henblik på effektiv implementering af databeskyttelsesprincipper, såsom dataminimering, og med henblik på integrering af de fornødne garantier i behandlingen for at opfylde kravene i denne forordning og beskytte de registreredes rettigheder. Artikel 25(2) default (standardindstillinger) Den dataansvarlige gennemfører passende tekniske og organisatoriske foranstaltninger med henblik på gennem standardindstillinger at sikre, at kun personoplysninger, der er nødvendige til hvert specifikt formål med behandlingen, behandles. 3 31. maj 2017 Dansk Fjernvarme

Data protection by design og by default Ikke en absolut størrelse Det afgørende er, at man tænker sig om og kan dokumentere det Bemærk at bestemmelserne handler om behandlingsaktiviteterne It (tekniske foranstaltninger) kan være en vigtig del af løsningen Eksempler Systemet efterspørger kun nødvendige oplysninger Oplysninger slettes (automatisk), når de ikke længere er nødvendige Særligt risikofyldte behandlinger kræver aktivt tilvalg (eventuel ekstra godkendelse) Man skal kunne dokumentere, at man har taget stilling allerede på tidspunktet for planlægning af behandlingen 4 31. maj 2017 Dansk Fjernvarme

Data Protection Officer (DPO)

Hvem skal have en DPO Art. 37 Offentlige myndigheder/institutioner Undtagen domstole Virksomheder, hvis kerneaktivitet (core activity) omfatter behandling af persondata, som efter sin natur medfører en omfattende, regelmæssig og systematisk overvågning af registrerede Virksomheder, hvis kerneaktivitet (core activity) omfatter behandling af betydelige mængder følsomme (artikel 9) data og/eller information om strafbare forhold (artikel 10) Omfatter både dataansvarlige og databehandlere 6 31. maj 2017 Dansk Fjernvarme

Er der andre, der bør have en DPO Appearance (signalværdi) Virksomheder med omfattende/kompleks behandling af persondata (uden at behandlingen medfører decideret krav om DPO) Virksomheder, hvor behandlingen af persondata er behæftet med betydelig kommerciel risiko 7 31. maj 2017 Dansk Fjernvarme

Dele-DPO Grupper af virksomheder kan udpege en fælles DPO forudsat at den pågældende vil være "let tilgængelig" for alle enheder Offentlige myndigheder/institutioner kan hvor deres størrelse og organisatoriske struktur tilsiger det udpege en fælles DPO En DPO kan være ekstern En DPO kan varetage andre opgaver og pligter, så længe varetagelsen af disse ikke medfører en interessekonflikt En DPO skal have de nødvendige ressourcer til at varetage sine opgaver 8 31. maj 2017 Dansk Fjernvarme

DPO'ens ansvar og opgaver Art. 39 Oplyse og rådgive den dataansvarlige eller databehandleren samt medarbejdere, der deltager i behandling af personoplysninger om deres forpligtelser i henhold til forordningen og anden relevant lovgivning Overvåge efterlevelsen af Forordningen Anden relevant lovgivning Den dataansvarliges/databehandlerens politikker for behandling af persondata Rådgive i forbindelse med data protection impact assessments (DPIA) og overvåge udarbejdelsen af disse Være kontaktpunkt for og samarbejde med Datatilsynet 9 31. maj 2017 Dansk Fjernvarme

Hvem kan varetage rollen som DPO En DPO skal udpeges på grundlag af vedkommendes faglige kompetencer; særligt ekspertviden om databeskyttelsesret og praksis, samt evnen til at varetage de opgaver, der påhviler en DPO i henhold til art. 39 "Ekspertviden" er relativ kravene afhænger af den behandling af persondata, der foretages af den dataansvarlige eller databehandleren, og den beskyttelse af de behandlede persondata, der (som følge heraf) er nødvendig 10 31. maj 2017 Dansk Fjernvarme

DPO-rollen De registreredes repræsentant overfor den dataansvarlige Beskyttet stilling En DPO kan ikke afskediges eller gøres til genstand for andre sanktioner på grund af konflikter, der følger af DPO'ens saglige varetagelse af sin funktion Uafhængig En DPO er ikke underlagt arbejdsgiverens instruktionsbeføjelser, for så vidt angår varetagelse af hvervet som DPO Underlagt tavshedspligt 11 31. maj 2017 Dansk Fjernvarme

Uafhængighed hvad må en DPO (og hvad må en DPO ikke) Rådgive og vejlede om forpligtelser Rådgive om konsekvensanalyser Rådgive og vejlede om løsninger og efterlevelse Design og drift af løsninger Udførelse af processer og kontroller Kontrollere og overvåge efterlevelse af regler og politikker Overvåge efterlevelse af konsekvensanalyser 12 31. maj 2017 Dansk Fjernvarme

Den dataansvarliges forpligtelser Den dataansvarlige skal Sikre at DPO'en har de nødvendige ressourcer til at varetage rollen Sikre at DPO'en inddrages rettidigt og i tilstrækkeligt omfang i alle spørgsmål i relation til persondatabeskyttelse Sikre at DPO'en konsulteres i forbindelse med udarbejdelse af Data Protection Impact Assessments Støtte DPO'en i udførelsen af dennes opgaver ved at sikre Nødvendige ressourcer Adgang til systemer og data Vedligeholdelse af DPO'ens kompetenceniveau 13 31. maj 2017 Dansk Fjernvarme

Data Protection Impact Assessment (Konsekvensanalyser)

Data Protection Impact Assessment (DPIA) Hvad er en "Data Protection Impact Assessment"? Identifikation og mitigering af risici Redskab til at fastslå relevante foranstaltninger i forhold til såvel compliance som sikkerhed Kan ske i forbindelse med indførelsen af lovregler, og i så fald er der ikke pligt til at gennemføre en DPIA Formål Sikre datasubjektets rettigheder Sikre at dataansvarlige iværksætter tilstrækkelige sikkerhedsmæssige foranstaltninger ud fra en risikovurdering Erstatter anmeldelsesordningen 15 31. maj 2017 Dansk Fjernvarme

DPIA i kontekst Art. 30 Dokumentationspligt Art. 24 + art. 5(2) Accountability Art. 35 DPIA Art. 25 Privacy by Design/Privacy by Default Art. 32 Sikkerhed 16 31. maj 2017 Dansk Fjernvarme

Hvornår er en DPIA påkrævet? Art. 35(1) Hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, kontekst og formål, sandsynligvis vil føre til høj risiko for fysiske personers rettigheder og frihedsrettigheder, foretager den dataansvarlige forud for behandlingen en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger Dog ikke, hvis der er taget stilling til risikoen i en retsakt 35(10) - Hvis behandling i henhold til art. 6, stk. 1, litra c) eller e), har et retsgrundlag i EU-retten eller i den medlemsstatsret, som den dataansvarlige er underlagt, og denne ret regulerer den pågældende behandling eller de pågældende behandlingsaktiviteter, og der allerede er foretaget en konsekvensanalyse vedr. databeskyttelse som led i en generel konsekvensanalyse i forbindelse med vedtagelsen af dette retsgrundlag, finder stk. 1-7 ikke anvendelse, medmindre medlemsstaterne anser det for nødvendigt at foretage en sådan analyse inden behandlingsaktiviteterne 17 31. maj 2017 Dansk Fjernvarme

Hvornår er en DPIA påkrævet? Art. 35(3) En konsekvensanalyse vedr. databeskyttelse som omhandlet i stk. 1 er navnlig påkrævet i følgende tilfælde: a) En systematisk og omfattende vurdering af personlige forhold vedrørende fysiske personer, der er baseret på automatisk behandling, herunder profilering (art. 4, (4)), og som er grundlag for afgørelser, der har retsvirkning for den enkelte eller på tilsvarende vis har betydelige konsekvenser for den enkelte (se art. 22) b) Behandling i stort omfang af særlige kategorier af oplysninger, jf. art. 9, stk. 1, eller af oplysninger vedr. straffedomme og straffelovsovertrædelser, jf. art. 10 c) Systematisk overvågning af et offentligt tilgængeligt område i stort omfang Se betragtning 84, 89, 90, 91-96 Dog - "Behandling af personoplysninger bør ikke betragtes som omfattende, hvis der er tale om en læges, sundhedspersonales eller en advokats behandling af personoplysninger om patienter eller klienter. I disse tilfælde bør en konsekvensanalyse vedrørende databeskyttelse ikke være obligatorisk" 18 31. maj 2017 Dansk Fjernvarme

Hvad er (høj) risiko? Betragtning 75 og 76 (til art. 24) (75) Sådanne risici af varierende sandsynlighed og alvor kan opstå som følge af behandling af oplysninger, der kan føre til fysisk, materiel eller immateriel skade, navnlig hvis behandlingen kan give anledning til forskelsbehandling, identitetstyveri eller -svig, finansielle tab, skade på omdømme, tab af fortrolighed for oplysninger, der er omfattet af tavshedspligt, uautoriseret ophævelse af pseudonymisering eller andre betydelige økonomiske eller sociale konsekvenser, hvis de registrerede kan blive berøvet deres rettigheder og frihedsrettigheder eller muligheden for at udøve kontrol med deres personoplysninger, hvis der behandles personoplysninger, der viser race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold, genetiske data, helbredsoplysninger eller oplysninger om seksuelle forhold eller straffedomme og strafbare handlinger eller tilknyttede sikkerhedsforanstaltninger, hvis personlige forhold evalueres, navnlig analyse eller forudsigelse af forhold vedrørende indsats på arbejdspladsen, økonomisk situation, helbred, personlige præferencer eller interesser, pålidelighed eller adfærd eller opholdssted eller bevægelser med henblik på at oprette eller anvende personlige profiler, hvis der behandles personoplysninger om sårbare fysiske personer, navnlig børn, eller hvis behandlingen omfatter en stor mængde personoplysninger og berører mange registrerede 19 31. maj 2017 Dansk Fjernvarme

Hvad er (høj) risiko? Betragtning 75 og 76 (til art. 24) (76) - Risikoens sandsynlighed og alvor, for så vidt angår den registreredes rettigheder og frihedsrettigheder, bør bestemmes ud fra en databehandlings karakter, omfang, kontekst og formål. Risikoen bør evalueres på grundlag af en objektiv vurdering, hvorved det fastslås, om databehandlingsaktiviteter indebærer en risiko eller en høj risiko. 20 31. maj 2017 Dansk Fjernvarme

Hvornår er en DPIA påkrævet? Art. 35(4) - Positiv afgrænsning Datatilsynet udarbejder og offentliggør en liste over de former for behandlingsaktiviteter, der er underlagt kravet om en konsekvensanalyse vedrørende databeskyttelse Indgives til EDPB Art. 35(5) - Negativ afgrænsning Datatilsynet kan udarbejde og offentliggøre en liste over de former for behandlingsaktiviteter, der ikke er underlagt kravet om en konsekvensanalyse vedrørende databeskyttelse Indgives til EDPB Art. 35(6) Datatilsynet er forpligtet til at anvende samarbejdsmekanismen (art. 63), når listerne omfatter aktiviteter i flere medlemsstater, eller i væsentlig grad kan påvirke den frie udveksling af personoplysninger i Unionen 21 31. maj 2017 Dansk Fjernvarme

Vurdering om der skal laves DPIA DPIA er IKKE udgangspunktet Kræves kun i tilfælde med høj iboende risiko IKKE DPIA DPIA Vurderingen Vurderes konkret Datatilsynet skal udarbejde og offentliggøre en liste over aktiviteter, som kræver en DPIA Datatilsynet kan udarbejde og offentliggøre en liste over aktiviteter, som ikke kræver en DPIA 22 31. maj 2017 Dansk Fjernvarme

Data Protection Impact Assessment (DPIA) Eventuel konsultationspligt som følge af DPIA Case 1: Mulig total risiko før foranstaltninger iht. DPIA er høj Risiko mitigeret ved foranstaltninger Tilbageværende risiko (IKKE høj) Ikke konsultationspligt Case 2: Mulig total risiko før foranstaltninger iht. DPIA er høj Risiko mitigeret ved foranstaltninger Tilbageværende risiko (høj) Konsultationspligt 23 31. maj 2017 Dansk Fjernvarme

Data breach notification Art. 33 og 34

Hvad er en datasikkerhedsbrist? Defineret i art. 4 (12) "en brist i sikkerheden der fører til en hændelig eller uretmæssig tilintetgørelse, tab, ændring, utilsigtet offentliggørelse eller adgang til personoplysninger i forbindelse med en overførsel, en opbevaring eller en øvrig behandling" Ens for private og offentlige dataansvarlige 25 31. maj 2017 Dansk Fjernvarme

Hvornår udløses pligten til at notificere? Persondataloven Datatilsynets praksis: Ingen pligt til at orientere Datatilsynet God databehandlingsskik ( 5) kan medføre en pligt til at orientere de berørte datasubjekter om en sikkerhedsbrist, f.eks. Hvis nødvendigt for at de kan varetage deres interesser Hvis karakteren af de mistede oplysninger tilsiger dette 26 31. maj 2017 Dansk Fjernvarme

Hvornår udløses pligten til at notificere? Notifikation til Datatilsynet Art. 33 Pligt for den dataansvarlige til at anmelde datasikkerhedsbrist til Datatilsynet Undtagelse: "med mindre bristen sandsynligvis ikke vil føre til en risiko for fysiske personers rettigheder og frihedsrettigheder" Den dataansvarlige har bevisbyrden for, at undtagelsen er til stede i overensstemmelse med princippet om "accountability" Hvornår: "Uden unødig forsinkelse og om muligt seneste 72 timer efter at være blevet bekendt med datasikkerhedsbristen." "uden unødig forsinkelse" vurderes særligt ud fra karakteren og alvoren af bristen, og ud fra konsekvenser og skadevirkninger for den registrerede (B87) Pligt til at begrunde, hvis man går ud over 72 timer Men oplysninger kan gives i faser 27 31. maj 2017 Dansk Fjernvarme

Notifikation til Datatilsynet Art. 33 Hvad skal notifikationen indeholde (art. 33(3)) Beskrivelse af karakteren af bristen, herunder, om muligt; Kategorierne og det omtrentlige antal af berørte registrerede Kategorierne og det omtrentlige antal af berørte registreringer Navn på DPO eller kontaktperson for yderligere oplysninger Beskrivelse af de sandsynlige konsekvenser af bristen Beskrivelse af de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for behandle bristen, herunder, hvor det er passende, foranstaltninger til at mitigere mulige skadevirkninger 28 Dansk Fjernvarme 31. maj 2017

Andre forpligtelser under art. 33 Risikobaseret krav om data breach handling policy, som del af accountability program, af hensyn til orientering af myndighed og datasubjekt, jf. art. 24 (B85) Selvstændig pligt til at dokumentere en sikkerhedsbrist art. 33(4) Dokumentationen skal omfatte omstændighederne i forbindelse med bristen, dens virkninger og de iværksatte afhjælpende foranstaltninger Dokumentationen skal være tilstrækkeligt detaljeret til at sætte Datatilsynet i stand til at kontrollere, at art. 33 er overholdt Databehandlere skal orientere den dataansvarlige uden unødig forsinkelse (art. 33(2)) 29 31. maj 2017 Dansk Fjernvarme

Hvornår udløses pligten til at notificere? Notifikation til datasubjekter Art. 34 Pligt for den dataansvarlige til at anmelde datasikkerhedsbrist til datasubjekterne Betingelse: Kun hvis "bristen sandsynligvis vil føre til en høj risiko for fysiske personers rettigheder og frihedsrettigheder" Men den dataansvarlige har bevisbyrden for, at betingelsen ikke er opfyldt, i overensstemmelse med princippet om "accountability" Hvornår: "Uden unødig forsinkelse" efter at være blevet bekendt med datasikkerhedsbristen men ikke en frist på 72 timer "Uden unødig forsinkelse" fastlægges bl.a. ud fra behovet for datasubjektet for at kende til sikkerhedsbristen, sådan at personen kan reagere. Umiddelbar fare kræver øjeblikkelig notifikation (B86) "Uden unødig forsinkelse" vurderes særligt ud fra karakteren og alvoren af bristen, og ud fra konsekvenser og skadevirkninger for den datasubjektet (B87) 30 31. maj 2017 Dansk Fjernvarme

Notifikation til datasubjekter Art. 34 Hvad skal notifikationen indeholde (art. 34(3)) Beskrivelse af karakteren af bristen Navn på DPO eller kontaktperson for yderligere oplysninger Beskrivelse af de sandsynlige konsekvenser af bristen Beskrivelse af de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for behandle bristen, herunder, hvor det er passende, foranstaltninger til at mitigere mulige skadevirkninger. Beskrivelse af de tiltag datasubjektet bør foretage for at mitigere mulige skadevirkninger Notifikationen skal være i "clear and plain language" 31 31. maj 2017 Dansk Fjernvarme

Undtagelser Notifikation til datasubjekter kan undlades, hvis: a) Den dataansvarlige har implementeret passende tekniske og organisatoriske sikkerhedsforanstaltninger i forhold til de berørte persondata, herunder særligt foranstaltninger der gør, at de personer, der får persondata i hænde, ikke kan tilgå oplysningerne, f.eks. kryptering b) Den dataansvarlige har taget efterfølgende skridt, som sikrer, at den høje risiko for fysiske personers rettigheder og frihedsrettigheder sandsynligvis ikke vil materialisere sig c) Det vil være disproportionalt at orientere datasubjekter direkte. I stedet kan der gives offentlig meddelelse mv. med samme virkning Datatilsynet kan pålægge den dataansvarlige at orientere de berørte datasubjekter ud fra en vurdering af de almindelige krav 32 31. maj 2017 Dansk Fjernvarme

Plesner Persondata Team Michael Hopp Advokat, partner Sara Reeh Lynge Advokat Kamilla Enevoldsen Advokat Martin Hjørlund Nielsen Advokat Har opbygget og er ansvarlig for Plesners persondatateam Langvarig og dyb erfaring med teoretisk og praktisk persondataret oparbejdet ved fokusering på området i mere end 15 år Specialist i persondata- og markedsføringsret Praktisk erfaring inden for persondatacompliance fra Tryg Forsikring. Har ud over persondataret særlig erfaring med IT-ret Tidligere udstationeret hos Nordea i forb. persondatacomplianceprojekt Specialist i persondataret og med 25 års erfaring med rådgivning om compliance fra stort konsulenthus Erfaring som ansvarlig for "information security compliance" i finansiel virksomhed Christian Nielsen Advokat Peter Østerby Mønsted Advokat Martin Nybye-Petersen Advokatfuldmægtig Mads Toftgaard Nielsen Advokatfuldmægtig Specialist i persondata- og markedsføringsret Tidligere udstationeret hos hos Københavns Lufthavne og senest Nordea i forb. med persondatacomplianceprojekt Specialist i persondataret har tidligere beskæftiget sig med kontraktsret Frem til marts 2017 udstationeret til A.P. Møller Mærsk i forbindelse med global udrulning af BCR Specialist i persondataret 3 års erfaring som fuldmægtig ved Datatilsynet særlig erfaring den finansielle sektor og inden for markedsføringsret Specialist i persondataret 3 års erfaring som fuldmægtig ved Datatilsynet særlig erfaring med reglerne om overførsel til tredjelande Phillip Giede Bøving Advokatfuldmægtig Mille Selbach Rasmussen Legal Intern Mads Ehlers Falch Legal Intern Michella Buss Sørensen Advokatsekretær Hos Plesner siden september 2016 Hos Plesner siden februar 2016 Hos Plesner siden marts 2016 Hos Plesner siden oktober 2004 33 31. maj 2017 Dansk Fjernvarme

Plesner Plesner Advokatfirma Amerika Plads 37 2100 København Ø Denmark T: +45 33 12 11 33 Fax: +45 33 12 00 14 CVR: 42 93 85 13 www.plesner.com Informationerne i denne præsentation er af generel karakter og er ikke at forveksle med juridisk rådgivning. Anvendelse af præsentationens informationer sker på eget ansvar. Du er velkommen til at kontakte Plesner ved behov for rådgivning.

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback