Persondatacompliance

Relaterede dokumenter
Praktisk persondatacompliance

Persondatacompliance

Marts 2017 Advokat Pernille Nyholm Gaarskjær, Bech-Bruun

Persondataretlig compliance - Hvordan bliver din organisation klar?

Persondataretlig compliance i praksis. Uddannelsesdagen 28. maj 2015 v/ partner Thomas Munk Rasmussen og partner Mikkel Friis Rossa

Overblik over persondataforordningen

Rollen som DPO. September 2016

Persondataforordningen Data Protection Officer. Advokat, Marie Albæk Jacobsen

EU Persondataforordning GDPR

Databehandleraftaler. Ved partner Thomas Munk Rasmussen, Bech-Bruun

Databeskyttelse i den almene sektor en digital fremtid. 30. august 2018

Databeskyttelsesdagen

Persondataforordningens betydning for ejendomsbranchen

Birgitte Toxværd Bruun & Hjejle

Skau Reipurth & Partnere Advokatpartnerselskab FORTEGNELSE OVER BEHANDLINGSAKTIVITER. Dataansvarlig: Databehandler: Udarbejdet: Næste revision:

Data Protection Officer (DPO): DPO-krav og outsourcing af DPO-rollen

Har I styr på reglerne? Forsyningsselskabers behandling af persondata

Lever din myndighed op til persondatalovens krav?

Plesner Certifikat i Persondataret

Hvordan kommer mit selskab i gang med arbejdet vedr. persondata. Dansk Fjernvarme

Struktureret compliance. 9 måneder med GDPR-compliance krav hvordan er det gået?

Undervisningsplan for certifikat i persondataret

FORTEGNELSE OVER BEHANDLINGSAKTIVITER. Dataansvarlig: Databehandler: Område: Udarbejdet: Næste revision:


Databehandleraftale mellem. Heyloyalty ApS Jens Baggesens Vej Aarhus N Cvr: (i det følgende HL eller databehandleren)

Persondata og sikkerhedsbrud

Persondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017

Ilisimatusarfik 11. maj Privatlivsbeskyttelse og Informationssikkerhed i Grønland

Er du nu HELT klar til GDPR? Bosted Temadag Rune Andersen, Manager, Product Management, EG

Er I klar til den nye persondataforordning?

Persondataforordningen...den nye erklæringsstandard

EU Persondataforordningen, skærpet krav til sikkerheden om data

Hvorfor er informationssikkerhed et ledelsesansvar?

EU Persondataforordning. One year with GDPR - one year to come

INTRO TIL PERSONDATAFORORDNINGEN. Væsentligste nyskabelser af relevans for IT-leverandører 8. juni 2016

Persondatalovens dokumentationskrav

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

Formålet med denne retningslinje er at sikre, at Midtfyns Gymnasium foretager den fornødne risikovurdering ved behandling af personoplysninger.

Plesner Certifikat i Persondataret

Retningslinje om risikovurdering

Kontraktbilag 3. Databehandleraftale

OPTION TIL RM OG RN BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE

Den nye persondataforordning Indlæg den Ejendomsforeningen Fyn. A focused subheading Date

I vores privatlivspolitik kan du læse om, hvordan vi behandler dine personoplysninger.

Bliv klar til Persondataforordningen

Må lrettet årbejde med persondåtåforordningen for Gl. Rye Våndværk

Persondatapolitik. - Gæst - Skallerup Seaside Resort A/S

Persondataforordningen

Persondata på Københavns Universitet

1.1. Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden.

DPO-uddannelsen 2018

Databehandler aftale Bilag til Aftale om MemberLink

EU-persondataforordningen AWARENESS Oplæg til DAK-møde den 22. marts 2018

Agenda. Præsentation af Thomas Riisager Persondataforordningen de vigtigste punkter. Pause

DATABEHANDLERAFTALE. Omsorgsbemanding

Workshop om persondataforordningen

Ma lrettet arbejde med persondataforordningen for Helberskov Vandværk

Persondataforordningen. Nye regler om persondata

Persondataforordningen den 20. februar 2018

NOTAT. Styr på persondata

Thea Præstmark WW W W W.SKA W UR.SKA EIP UR UR EIP TH UR. TH C. OM C

EU-GDPR i ControlManager

GDPR - Bryder verden sammen efter den 25. maj?

Survey-rapport: Persondata og it-sikkerhed 1. Bech-Bruun Intelligence. Persondata og it-sikkerhed

Tjekliste til arbejde med persondata. Branchefælleskab for Intelligent Energi

6.1 Introduktion. Af Jeppe Høyer Jørgensen, LETT Advokatpartnerselskab Indhold. Denne artikel har følgende

1.1 Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden.

Compliance (GDPR) 1.0 Terms and conditions

Hvor er virksomhederne i forhold til kontraktstyring? Ved partner Ole Nørgaard, Bech-Bruun

Persondata, compliance og datasikkerhed. Ved Charlotte Bagger Tranberg

Retningslinje om fortegnelser over behandlingsaktiviteter

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Databeskyttelse og cyber risk-forsikringer

Målrettet arbejde med persondataforordningen for

Kort om Hjerteforeningen

PERSONDATAPOLITIK (EKSTERN)

Seminar om databehandleraftalen IT-Branchen 28. februar 2018

BPO og IT-outsourcing. Ved persondataspecialist Charlotte Bagger Tranberg

Retningslinje om dataansvarlig/databehandler

Databehandleraftale INDHOLDSFORTEGNELSE

Ma lrettet arbejde med persondataforordningen for

DPO-uddannelsen 2018

UVMs bidrag til GDPR implementering i uddannelsessektoren

Må lrettet årbejde med persondåtåforordningen for Vejby Smidstrup Våndværk

BILAG 14: DATABEHANDLERAFTALE

Procedure for tilsyn af databehandleraftale

Retningslinje om fortegnelser over behandlingsaktiviteter

Denne persondatapolitik forklarer, hvordan Verdensarv Stevns ( vi eller os ) behandler og sikrer dine personoplysninger. Hvor lagres data?

Målrettet arbejde med persondataforordningen for

Målrettet arbejde med persondataforordningen for

Data Protection Officer: krav og outsourcing af DPO-rollen. Uddannelsesdagen 2017

Rigsrevisionen, digitalisering og dokumentation Statens Arkiver den 5. november 2014 v/rigsrevisor Lone Strøm

I det følgende kan du læse hvordan vi håndterer dine personoplysninger.

Databehandleraftale. Mellem. Webdomain CVR (herefter "Databehandleren")

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

Ny persondataforordning

Regler om persondata Koordinatormøde den 28. nov. 2017

Persondataforordningen

Transkript:

Persondatacompliance Ved Thomas Munk Rasmussen 2 Nyt regime på vej GDPR fra maj 2018 Hvorfor egentlig så meget fokus på persondata nu? Selskabslovens 115: I kapitalselskaber, der har en bestyrelse, skal denne ud over at varetage den overordnede og strategiske ledelse og sikre en forsvarlig organisation af kapitalselskabets virksomhed påse, at 2) der er etableret de fornødne procedurer for risikostyring og interne kontroller, Væsentligt skærpet bødeniveau (EUR 20.000.000 eller mere) = som ansvarlig ledelse er man nødsaget til at forholde sig til persondata compliance Fra (formel) registrerings-regime til (materiel) dokumentations-regime Opdagelsesrisiko? Uvarslede kontroller á la konkurrencestyrelsens Dawn Raids beredskabsplan? GDPR Art. 83 mulighed for bortfald eller nedsættelse af bøde hvis man har gennemført compliance 1

3 Databehandleraftaler Databehandlere udgør en særlig problemstilling - også i relation til sikkerhed Krav om skriftlige aftaler med nærmere bestemt indhold (GDPR Art. 28) Også krav om koncerninterne databehandleraftaler Den dataansvarlige bør have stor fokus på risikoplaceringen ved underleverandørens fejl. I kan outsource opgaven men ikke ansvaret! Som udgangspunkt ikke muligt for den dataansvarlige eller databehandleren, at forsikre sig mod bødekrav. Hvis den dataansvarlige kan/skal leve med risiko for at ende med bødekrav for en leverandørs fejl, så er der væsentligt at foretage kontrol af leverandørens sikkerheds- og compliance niveau. 4 Overvejelser inden opgaven gribes an? Hvad er personoplysninger i persondataforordningens forstand? Hvad er en behandling af personoplysninger? Hvordan adskiller man datastrømme fra persondatastrømme? Kan I fastsætte formålene med nogle af de konkrete behandlinger af personoplysninger, som foregår i jeres organisation? Kan I beskrive kategorier af registrerede i jeres organisation? Kan I beskrive kategorierne af personoplysninger i jeres organisation? Kan I beskrive kategorier af modtagere, som personoplysninger er eller vil blive videregivet til (herunder tredjelande eller internationale organisationer) i jeres organisation? Kan I beskrive de forventede tidsfrister for sletning af de forskellige kategorier af oplysninger, hvis muligt, i jeres organisation? Er det muligt generelt at beskrive de tekniske og organisatoriske sikkerhedsforanstaltninger i jeres organisation? 2

Hvor gemmer persondata sig? Persondata indgår i mange forretningsprocesser Hver organisation har egne processer - der bør undersøges, kortlægges og risikovurderes. Processer understøttes af forskellige systemer, der kan indeholde persondata Human Resource Systems Customer Relation Management (CRM) Sales Supplier/Vendor Relation Management Systems (SRM) Enterprise Resource Management (ERM) Content Management Systems (CMS) Marketing/ targeting Travel Management, and ancillary e.g cost reporting Financial reporting Business Intelligence Physical access management Video Surveillance Whistleblower system Shadow IT Analogue processing of personal data (Fillng cabinets, binders) 6 Projektoverblik Fase 1: Foranalyse 2: Planlægning 3: Analyse 4: Risk mitigation 5: Procedurer 6: Forankring 7: Rapportering Resultat GAP-analyse og overblik over aktuelt complianceniveau og identifikation af højrisikoområder Kortlægning af databehandlere, projektplanlægning og etablering af projektorganisation Datastrømsanalyse, privacy risk assessment og evt. itsikkerhed Sikring af det rette juridiske grundlag gennem aftaler, anmeldelser og tilladelser, evt. BCR. Etablering af interne politikker og procedurer, herunder DPOorganisation. Uddannelse af medarbejdere, intern bevidsthed og kommunikation. Kontrol, opfølgning og løbende rapportering, evt. årlig audit. Produkt Projektplan og organisering Datagrundlag og risikoprofil Anmeldelser/ tilladelser Klare retningslinjer Foranalyerapport Træningsprogrammer Årlig revision Beslutning og den fortsatte proces samt estimat på den fremadrettede investering ved næste fase 3

7 GAP-analyse hvilke huller er der? Og hvilke skal lukkes? Afklaring / vurdering af virksomhedens risiko Gennemførelse af interviews af nøglepersoner i fx HR, IT, marketing, finans (påbegyndelse af mapping) Gennemgang og vurdering af relevante firmapolitikker i relation til persondata, fx personalepolitik, IT-politik, mv. Overordnet gennemgang og vurdering af den udveksling af personoplysninger, som sker mellem selskaber i koncernen og med eksterne leverandører Risikoanalyse Udbytte af GAP-analyse En kort rapport som indeholder: Risikoanalyse, der vil klarlægge complianceniveauet, identificere højrisiko-områder i forhold til aktuelle og kommende lovgivningsmæssige krav Angivelse af konkrete actions/anbefalinger på baggrund af risikoanalysen, herunder en prioriteret liste af indsatsområder (ud fra risiko og ressourcer forbundet med reducering af risiko samt opnåelse af acceptabelt complianceniveau) Afsæt for implementering af kravene i persondataforordningen 8 Illustration af afrapporteringsmetoden i en persondataretlig GAP-analyse Alle findings vurderes i forhold til nedenstående parametre: Complianceniveau Forklaring Complianceniveau er i strid med nuværende lovgivning eller retningslinjer fra Datatilsynet og/eller andre relevante myndigheder. Complianceniveau ikke i overensstemmelse med den kommende lovgivning. Manglende overholdelse kan medføre (store) bøder. Complianceniveau er i strid med anbefalinger fra Datatilsynet og/eller andre relevante myndigheder. Manglende overholdelse kan medføre kritik/advarsel. Complianceniveau overholder lovgivning, samt retningslinjer og anbefalinger udstedt af Datatilsynet og/eller andre relevante myndigheder, Complianceniveauet er i overensstemmelse med den kommende lovgivning. I nogle tilfælde kan complianceniveauet med fordel forbedres af hensyn til virksomhedens retsstilling. 4

9 Hvordan kortlægger man sine (person-)datastrømme? Eksempel: Behandling af personoplysninger i en (simpel) global koncern Koncern (Brasilien) M/S (Danmark) Databehandler (CRM-system) (Tyskland) (Spanien) (USA) (Kina) Eksempler på behandlede personoplysninger: Ansatte Kunder Leverandører Agenter Roller: Dataansvarlig Databehandler 5

11 Analyse af persondatastrømme hvordan gør man? Interviews Spørgeskemaer Tænke dynamisk ingen persondatastrømme er statiske Datamodel Konsolidering i database/applikation/ Excel/ other? Pactius privacy modul Vi tilbyder at gennemføre og levere arbejdet i privacy modulet i vores eget kontraksstyringssystem Pactius. Systemet giver organisationen mulighed for nemt, enkelt og billigt at dokumentére og administrere sin behandling af persondata. Vi tilbyder kunder at benytte systemet for en meget konkurrencedygtig pris. Data processer Rapporter Opgaver PRIVACY MODULET Dokumentstyring Hjælp til at samle relevante data Gem organisationens datamapping ét sted Bevar overblikket uagtet datamængden vokser Lav rapporter på databehandlinger Få nøgletal til ledelse og risikovurderinger Print fortegnelser til datatilsyn Følg systematisk op på politikker, kontroller og behandlinger Delegér opgaver til de processansvarlige Tilrettelæg dit privacy management program Alle funktioner fra Pactius kontraktstyringsværktøjet Tilknyt aftaler, politiker, procedurer mv. til konkrete processer Søgning og overblik Høj datasikkerhed I PACTIUS er høj datasikkerhed en topprioritet. Systemet kører på den ISO-certificerede Microsoft Azure-platform, og alle data er sikkert opbevaret inden for EU s grænser i Microsofts datacentre i Dublin og Amsterdam. PACTIUS kan bruges af alle enten af en enkelt person, en afdeling i en virksomhed, et selskab eller en hel koncern. Du kan også tildele segmenteret adgang, så adgangen begrænses til individuelle forretningsenheder. Læs mere på pactius.dk 6

13 Kontakt Thomas Munk Rasmussen Partner København CCI T +45 72 27 33 55 M +45 25 26 33 55 E tmr@bechbruun.com København Danmark Aarhus Danmark Shanghai Kina T +45 72 27 00 00 www.bechbruun.com 7

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback