Persondatacompliance Ved Thomas Munk Rasmussen 2 Nyt regime på vej GDPR fra maj 2018 Hvorfor egentlig så meget fokus på persondata nu? Selskabslovens 115: I kapitalselskaber, der har en bestyrelse, skal denne ud over at varetage den overordnede og strategiske ledelse og sikre en forsvarlig organisation af kapitalselskabets virksomhed påse, at 2) der er etableret de fornødne procedurer for risikostyring og interne kontroller, Væsentligt skærpet bødeniveau (EUR 20.000.000 eller mere) = som ansvarlig ledelse er man nødsaget til at forholde sig til persondata compliance Fra (formel) registrerings-regime til (materiel) dokumentations-regime Opdagelsesrisiko? Uvarslede kontroller á la konkurrencestyrelsens Dawn Raids beredskabsplan? GDPR Art. 83 mulighed for bortfald eller nedsættelse af bøde hvis man har gennemført compliance 1
3 Databehandleraftaler Databehandlere udgør en særlig problemstilling - også i relation til sikkerhed Krav om skriftlige aftaler med nærmere bestemt indhold (GDPR Art. 28) Også krav om koncerninterne databehandleraftaler Den dataansvarlige bør have stor fokus på risikoplaceringen ved underleverandørens fejl. I kan outsource opgaven men ikke ansvaret! Som udgangspunkt ikke muligt for den dataansvarlige eller databehandleren, at forsikre sig mod bødekrav. Hvis den dataansvarlige kan/skal leve med risiko for at ende med bødekrav for en leverandørs fejl, så er der væsentligt at foretage kontrol af leverandørens sikkerheds- og compliance niveau. 4 Overvejelser inden opgaven gribes an? Hvad er personoplysninger i persondataforordningens forstand? Hvad er en behandling af personoplysninger? Hvordan adskiller man datastrømme fra persondatastrømme? Kan I fastsætte formålene med nogle af de konkrete behandlinger af personoplysninger, som foregår i jeres organisation? Kan I beskrive kategorier af registrerede i jeres organisation? Kan I beskrive kategorierne af personoplysninger i jeres organisation? Kan I beskrive kategorier af modtagere, som personoplysninger er eller vil blive videregivet til (herunder tredjelande eller internationale organisationer) i jeres organisation? Kan I beskrive de forventede tidsfrister for sletning af de forskellige kategorier af oplysninger, hvis muligt, i jeres organisation? Er det muligt generelt at beskrive de tekniske og organisatoriske sikkerhedsforanstaltninger i jeres organisation? 2
Hvor gemmer persondata sig? Persondata indgår i mange forretningsprocesser Hver organisation har egne processer - der bør undersøges, kortlægges og risikovurderes. Processer understøttes af forskellige systemer, der kan indeholde persondata Human Resource Systems Customer Relation Management (CRM) Sales Supplier/Vendor Relation Management Systems (SRM) Enterprise Resource Management (ERM) Content Management Systems (CMS) Marketing/ targeting Travel Management, and ancillary e.g cost reporting Financial reporting Business Intelligence Physical access management Video Surveillance Whistleblower system Shadow IT Analogue processing of personal data (Fillng cabinets, binders) 6 Projektoverblik Fase 1: Foranalyse 2: Planlægning 3: Analyse 4: Risk mitigation 5: Procedurer 6: Forankring 7: Rapportering Resultat GAP-analyse og overblik over aktuelt complianceniveau og identifikation af højrisikoområder Kortlægning af databehandlere, projektplanlægning og etablering af projektorganisation Datastrømsanalyse, privacy risk assessment og evt. itsikkerhed Sikring af det rette juridiske grundlag gennem aftaler, anmeldelser og tilladelser, evt. BCR. Etablering af interne politikker og procedurer, herunder DPOorganisation. Uddannelse af medarbejdere, intern bevidsthed og kommunikation. Kontrol, opfølgning og løbende rapportering, evt. årlig audit. Produkt Projektplan og organisering Datagrundlag og risikoprofil Anmeldelser/ tilladelser Klare retningslinjer Foranalyerapport Træningsprogrammer Årlig revision Beslutning og den fortsatte proces samt estimat på den fremadrettede investering ved næste fase 3
7 GAP-analyse hvilke huller er der? Og hvilke skal lukkes? Afklaring / vurdering af virksomhedens risiko Gennemførelse af interviews af nøglepersoner i fx HR, IT, marketing, finans (påbegyndelse af mapping) Gennemgang og vurdering af relevante firmapolitikker i relation til persondata, fx personalepolitik, IT-politik, mv. Overordnet gennemgang og vurdering af den udveksling af personoplysninger, som sker mellem selskaber i koncernen og med eksterne leverandører Risikoanalyse Udbytte af GAP-analyse En kort rapport som indeholder: Risikoanalyse, der vil klarlægge complianceniveauet, identificere højrisiko-områder i forhold til aktuelle og kommende lovgivningsmæssige krav Angivelse af konkrete actions/anbefalinger på baggrund af risikoanalysen, herunder en prioriteret liste af indsatsområder (ud fra risiko og ressourcer forbundet med reducering af risiko samt opnåelse af acceptabelt complianceniveau) Afsæt for implementering af kravene i persondataforordningen 8 Illustration af afrapporteringsmetoden i en persondataretlig GAP-analyse Alle findings vurderes i forhold til nedenstående parametre: Complianceniveau Forklaring Complianceniveau er i strid med nuværende lovgivning eller retningslinjer fra Datatilsynet og/eller andre relevante myndigheder. Complianceniveau ikke i overensstemmelse med den kommende lovgivning. Manglende overholdelse kan medføre (store) bøder. Complianceniveau er i strid med anbefalinger fra Datatilsynet og/eller andre relevante myndigheder. Manglende overholdelse kan medføre kritik/advarsel. Complianceniveau overholder lovgivning, samt retningslinjer og anbefalinger udstedt af Datatilsynet og/eller andre relevante myndigheder, Complianceniveauet er i overensstemmelse med den kommende lovgivning. I nogle tilfælde kan complianceniveauet med fordel forbedres af hensyn til virksomhedens retsstilling. 4
9 Hvordan kortlægger man sine (person-)datastrømme? Eksempel: Behandling af personoplysninger i en (simpel) global koncern Koncern (Brasilien) M/S (Danmark) Databehandler (CRM-system) (Tyskland) (Spanien) (USA) (Kina) Eksempler på behandlede personoplysninger: Ansatte Kunder Leverandører Agenter Roller: Dataansvarlig Databehandler 5
11 Analyse af persondatastrømme hvordan gør man? Interviews Spørgeskemaer Tænke dynamisk ingen persondatastrømme er statiske Datamodel Konsolidering i database/applikation/ Excel/ other? Pactius privacy modul Vi tilbyder at gennemføre og levere arbejdet i privacy modulet i vores eget kontraksstyringssystem Pactius. Systemet giver organisationen mulighed for nemt, enkelt og billigt at dokumentére og administrere sin behandling af persondata. Vi tilbyder kunder at benytte systemet for en meget konkurrencedygtig pris. Data processer Rapporter Opgaver PRIVACY MODULET Dokumentstyring Hjælp til at samle relevante data Gem organisationens datamapping ét sted Bevar overblikket uagtet datamængden vokser Lav rapporter på databehandlinger Få nøgletal til ledelse og risikovurderinger Print fortegnelser til datatilsyn Følg systematisk op på politikker, kontroller og behandlinger Delegér opgaver til de processansvarlige Tilrettelæg dit privacy management program Alle funktioner fra Pactius kontraktstyringsværktøjet Tilknyt aftaler, politiker, procedurer mv. til konkrete processer Søgning og overblik Høj datasikkerhed I PACTIUS er høj datasikkerhed en topprioritet. Systemet kører på den ISO-certificerede Microsoft Azure-platform, og alle data er sikkert opbevaret inden for EU s grænser i Microsofts datacentre i Dublin og Amsterdam. PACTIUS kan bruges af alle enten af en enkelt person, en afdeling i en virksomhed, et selskab eller en hel koncern. Du kan også tildele segmenteret adgang, så adgangen begrænses til individuelle forretningsenheder. Læs mere på pactius.dk 6
13 Kontakt Thomas Munk Rasmussen Partner København CCI T +45 72 27 33 55 M +45 25 26 33 55 E tmr@bechbruun.com København Danmark Aarhus Danmark Shanghai Kina T +45 72 27 00 00 www.bechbruun.com 7