Persondataforordningen

Relaterede dokumenter
1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?

Databeskyttelses - forordningen (GDPR) Baglandsmøde opsamling april 2018

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

Den nye persondataforordning Indlæg den Ejendomsforeningen Fyn. A focused subheading Date

Introduktion til persondataforordning

EU Persondataforordning GDPR

Europaudvalget EUU Alm.del EU Note 27 Offentligt

GML-HR A/S CVR-nr.:

Persondataforordningen. Henrik Aslund Pedersen Partner

Er du nu HELT klar til GDPR? Bosted Temadag Rune Andersen, Manager, Product Management, EG

Må lrettet årbejde med persondåtåforordningen for Gl. Rye Våndværk

Tjekliste til arbejde med persondata. Branchefælleskab for Intelligent Energi

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

Databeskyttelse i den almene sektor en digital fremtid. 30. august 2018

PERSONDATA - HVAD ER DET FOR NOGET OG HVORDAN BRUGES DET?

Ma lrettet arbejde med persondataforordningen for Helberskov Vandværk

EU s persondataforordning. Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse

Persondataforordningen...den nye erklæringsstandard

Overblik over persondataforordningen

IT-Ansvar God skik og ansvarlighed. Persondataforordningen. Jørgen Granborg

VEJLEDNING. om specialklubbernes håndtering af medlemmernes personoplysninger

Ma lrettet arbejde med persondataforordningen for

Ecofleet. Persondataforordningen Kort fortalt. Del 1. Peter Dam Nordic Project Manager

Målrettet arbejde med persondataforordningen for

PERSONDATA & PERSONDATAORDBOG

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)


DEN NYE PERSONDATAFORORDNING. er din virksomhed klar?

Målrettet arbejde med persondataforordningen for

Målrettet arbejde med persondataforordningen for

Procedure for håndtering af personoplysninger - GDPR Denne udgave: /TW

Må lrettet årbejde med persondåtåforordningen for

Overblik i forbindelse med den nye Persondataforordning Skema til dokumentation

District or. Vejledning til Zonta klubber Sådan behandler vi persondata

Persondatapolitik for TAGARNO A/S

Må lrettet årbejde med persondåtåforordningen for Vejby Smidstrup Våndværk

Avnbøl-Ullerup Våndværk A.m.b.å. CVR-nr

Introduktion til persondataforordningen PSF temadag d , lektor Dorthe Høilund, Metropol

Agenda. Præsentation af Thomas Riisager Persondataforordningen de vigtigste punkter. Pause

Persondataforordningen

Persondataforordningen AbMano

PERSONDATAFORORDNINGEN STATUS???? OG ER DER NOGET NYT I DEN?

Databeskyttelsesdagen

EN DAG OM PERSONDATAFORORDNINGEN. STU Foreningen. 7. december 2017

Det skal du have styr pa inden 2018

I, Privatlivspolitik for Kunder, kan du læse om vores politikker, principper og procedure for håndtering af personoplysninger.

UVMs bidrag til GDPR implementering i uddannelsessektoren

NY PERSONDATALOV (GDPR) HVAD BETYDER DET FOR DIN VIRKSOMHED?

Persondatapolitik for. Klippinge Vandværk

Præsentation Tid +/- 25 minutter i praktik

Persondatapolitik Vordingborg Gymnasium & HF

Som bekendt træder EU s nye databeskyttelsesforordning (GDPR) i kraft d. 25. maj 2018.

Orientering om databeskyttelsesforordningen. Sundhedsstrategisk Forum Onsdag den 21. marts 2018

Overblik over Justitsministeriets betænkning og de væsentligste ændringer i persondataforordningen

Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den

General Data Protection Regulation

Persondataforordningen

Persondataforordningen & kommuner. Vejle, 5. maj 2015 Advokat, partner Nis Peter Dall. Baseret på persondatadirektivet (fra 1995)

BIG DATA OG PERSONDATABESKYTTELSE

Persondata forordning i praksis

Ma lrettet arbejde med persondataforordningen for

Lector ApS CVR-nr.:

Vi har udarbejdet en særlig fortegnelse over vores databehandlingsaktiviteter. Denne fortegnelse indeholder:

PERSONDATAPOLITIK FOR ÅRHUS LÆRERFORENING Revideret 17. januar 2019

Kong Frederik den Syvendes Stiftelse paa Jægerspris

Per Løkken, Partner. CAMPUS November 2018

FORSYNINGSTRÆF 2016 PERSONDATARET HVORFOR NU EGENTLIG DET?

Bliv klar til Persondataloven og Databeskyttelseslovens krav pr. 1. december! Online miniseminar 18. juni 2019 kl

HAR DIN VIRKSOMHED STYR PÅ GDPR? v/ Advokat Henrik Mansfeldt Witt & Advokatfuldmægtig Majbritt Alemany

Regler om persondata Koordinatormøde den 28. nov. 2017

NYE REGLER FOR HÅNDTERING AF PERSONDATA

Persondataforordning og IT-sikkerhed - hvordan har vi grebet det an

Målrettet arbejde med persondataforordningen for. Jyderup Østre Vandværk a.m.b.a.

Persondata politik for GHP Gildhøj Privathospital

Vi passer på dine persondata

Persondataforordningen Data Protection Officer. Advokat, Marie Albæk Jacobsen

Målrettet arbejde med persondataforordningen for Østermarie Vandværk

Persondataforordningen og lokalforeningen

Datapolitik/databehandlingsrapport

Indholdsfortegnelse Fortroligheds- og beskyttelsespolitik... 3

Som bekendt træder EU s nye databeskyttelsesforordning (GDPR) i kraft den 25. maj 2018.

Persondatapolitik i Dansk Oplysnings Forbund

Persondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017

De første 350 dage med den nye databeskyttelsesforordning

PERSONDATAPOLITIK FOR DANMARKS LÆRERFORENING. Vedtaget af styregruppen 21. februar 2018

PERSONDATAPOLITIK FOR SOLRØD LÆRERFORENING. Vedtaget af kontorgruppen 17. april 2018

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Er du klar til den nye Persondataforordning?

opfylde vores kontraktuelle forpligtelser over for dig, samt at

Sådan arbejder. SprogGruppen med. Persondataforordningen. Indholdsfortegnelse

Plan og Handling CVR-nr.:

District or. Persondatapolitik

Grab n Go: Session 2 EU s persondataforordning og hvad så?!? 17. marts 2016

Komiteen for Sundhedsoplysning CVR-nr.:

Adgang til mikrodata på Danmarks Statistik set i lyset af Persondataforordningen (GDPR)

Q&A om GDPR IT-Branchen 30. april 2018

Personoplysninger. Jens Hørlück

Er I klar til den nye persondataforordning?

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

Rigsarkivets konference 2. november 2016

Transkript:

Direktionsmøde den 11. oktober 2017 Bilag 3.1 Persondataforordningen Betydning for DGI (minus foreninger disse vejledes særskilt og i samarbejde med DIF) Navn Navnesen

Persondataforordning = Databeskyttelsesforordning = GDPR (General Data Protection Regulation)

Status Forordningen (GDPR General Data Protection Regulation) er vedtaget (feb. 2016) Retspraksis (udmøntelse af loven i praksis) pr. 25. maj 2018 Datatilsynet bliver den myndighed som gives tilsynspligt og vejledningsfunktion i Danmark Forordningen erstatter den danske nuværende lovgivning Persondataloven

Formål Persondataforordningen er vedtaget med to primære formål: Harmonisering af reguleringen af behandlingen af personoplysninger inden for EU Sikring af en bedre retsstilling for datasubjektet (den registrerede person)

Væsentligste forskelle til DK persondataloven Skærpelser kravene til indholdet af databehandleraftaler, oplysningsforpligtelsen over for datasubjektet, notifikationsforpligtelse i tilfælde af sikkerhedsbrud mv. Sanktioner - bøder Offentlige myndigheder op til 20 mio. Private virksomheder op til 20 mio. eller 4% af global omsætning Ved Apps der behandler persondata 10 mio. eller 2% af omsætning Ved overtrædelse af: Grundlæggende principper for behandling af persondata Grundlag for behandling (både alm. og følsomme opl.) Betingelser for samtykke Datasubjektets rettigheder Sikkerhedsforanstaltninger Erstatningssager fra enkeltpersoner hvis data er blevet krænket må forventes Nyskabelser Accountability, Data Protection by Design/by Default og Data Protection Officer (DPO).

Nye forpligtigelser Bliver en virksomhed udsat for et datalæk, der kan skade enkeltpersoner, har den 72 timer til at rapportere lækket til de nationale myndigheder - i Danmark er dette Datatilsynet Omvendt bevisbyrde DGI skal bevise at vi ikke har gjort noget forkert.

Den dataansvarlige eller Data Protection Officer (DPO) Forordningen opererer med, at vi skal have ét centralt sted, hvor der er overblik over alle de databehandlinger, vi foretager. Der kan derfor udpeges en Data Protection Officer (DPO). Det er en nyskabelse i forhold til den nuværende persondatalov. Der bliver stillet krav til faglige kvalifikationer og ekspertise for en DPO. Vedkommende skal også være uafhængig (organisatorisk placering). DPO en får ansvaret for specifikke opgaver i forbindelse med databeskyttelse (se faktaboks om DPO) Alle offentlige instanser skal have en DPO DGI behøver ikke en DPO, men bør vælge én overordnet dataansvarlig og måske et antal lokale

Den dataansvarlige eller DPO har ansvar for: Sikre at der forefindes nødvendige databehandleraftaler. Sikre gennemførelse af awareness-træning ved ledelse og blandt de medarbejdere der arbejder med persondata Udføre kontrol og revision af behandlinger og processer der sikrer overholdelse af Persondataforordningen Sikre dokumentation af politikker, regler og procedurer. Sikre at der forefindes et årshjul for arbejdet. Ansvarlig for underretning (til Datatilsyn m.fl.) ved brud på reglerne.

Datatilsynets anbefaling for at komme 360 grader rundt om GDPR Har jeres organisation kendskab til den nye Persondataforordning? Hvilke personoplysninger behandler I? Hvilken information giver I de registrerede? Hvordan opfylder I de registreredes rettigheder? På hvilket retligt grundlag behandler I personoplysninger? Hvordan indhenter I samtykke? Behandler I personoplysninger om børn?

Datatilsynets anbefaling for at komme 360 grader rundt om GDPR Hvad skal I gøre ved brud på persondatasikkerheden? Er jeres behandlinger forbundet med særlige risici? Har I indtænkt databeskyttelse i jeres it-systemer? Hvem er ansvarlig for databeskyttelsesspørgsmål i jeres organisation? Driver I virksomhed i flere lande? På sliden med link til baggrundsmaterialer kan Datatilsynets Vejledning findes

Persondataforordningen er baseret på fire grundprincipper 1. Databeskyttelse som rettighed: Beskyttelsesværnet er givet til individet i form af kunden, forbrugeren og medarbejderen. Den enkelte person skal kunne kontrollere sine egne data og som udgangspunkt bestemme, hvad data om vedkommende kan anvendes til. 1. Retten til at modtage oplysning om en behandling af sine personoplysninger (oplysningspligt) 2. Retten til at indsigt i sine personoplysninger 3. Retten til at få urigtige personoplysninger berigtiget 4. Retten til at få sine personoplysninger slettet 5. Retten til at gøre indsigelse mod at personoplysninger anvendes til direkte markedsføring 6. Retten til at gøre indsigelse mod automatiske individuelle afgørelser, herunder profilering 7. Retten til at flytte sine personoplysninger (dataportabilitet) 2. Livscyklus: Databeskyttelsen skal være effektiv fra indsamling til sletning 3. Kontrol: Den dataansvarlige og databehandleren skal sikre dataenes integritet, troværdighed, tilgængelighed og kvalitet 4. Ledelse: Den dataansvarlige og databehandlere skal sørge for organisatorisk og teknisk parathed og robusthed

Scenarier som vi skal kunne agere på og derfor have metode/ arbejdsprocesser for 1. En person vil have oplyst (berigtiget), hvilke data DGI har om ham/hende 2. En person henvender sig og vil have sine data udleveret (OBP: ikke slettet men i kopi for portabilitet) 3. En person henvender sig og vil have slette sine data 4. En person henvender sig og trækker sit samtykke tilbage 5. En medarbejder henvender sig og vil have oplyst/udleveret/slettet sine data 6. Vi opdager at der sket et persondata-sikkerhedsbrud 1. Eksempler (Medarbejder i landsdel har videregivet data til 3. part) 7. Datatilsynet henvender sig, og DGI skal dokumentere hvordan vi efterlever persondataforordningens regler 8. DGI fungerer som databehandler for et andet selskab/organisation. Initiativ til indgåelse af databehandleraftale er hos den dataansvarlige i selskabet/organisationen som vi er databehandler for. 9. Vore processer omkring Persondataforordningen skal løbende evalueres, kontroleres og revideres

Undersøges i processen Hvilken betydning og hvilke lempelser giver Interesseafvejningsreglen (IAR) DGI? Et medlem i en lokalforeningsbestyrelse opretter en instruktør i Foreningsservice (= Mimer CRM person). Hvis IAR er gældende behøver personen ikke at give sit samtykke hertil. Vedkommendes øvrige rettigheder (indsigt, sletning, forældelse etc.) bortfalder disse? Andre eksempler Vi skal overvejer at om en sondring af personer omfattet af IAR øger kompleksitet mere end den gavner. Måske er det nemmere at behandle alle persondata som om de ikke er omfattet af IAR Dækker vores nuværende vilkår og betingelser for samtykke? Hvad med de privacy policies IT bruger mht. Apps? Kan foreninger betragtes som B2B og dermed ikke i kategori som skal gentegne. Hvordan sikre vi at børn (Def: under 16) ikke giver samtykke? Databehandleraftale med DGI IT s kunder (OBP: DGI har ikke initiativpligt på disse, det har dataansvarlig altså vore IT-kunder) Gennemgang af databehandleraftaler med de leverandører som DGI lader foretage behandling af persondata som DGI har ansvar for Er vi offentlig hvis ja så skal vi have en DPO Svar fra OBP: DGI er ikke offentlig og vores kerneaktivitet er ikke behandling af personfølsomme oplysninger i stort omfang. Således skal vi ikke have en DPO Der findes ikke formalia til hvordan dokumentation udformes. (OBP: Korrekt vi har valgt at samle relevant i dokumentation i Mimer Grupperummet Persondataforordningen. I dette er regnearket (Persondataforordningen_i_ DGI_dokumentation) centralt for den samlede dokumentation Hvordan deler vi data i Bevæg dig for livet og overholder Persondataforordningen? Må vi stadig få data ind via andre systemer som fx Conventus? Må vi stadig udleverer data til DGI foreninger vedrørende andre foreninger? Hvornår er data personhenførbare og dermed omfattet af GDPR? Er systemer hvor f.eks. kun adgangsoplysninger (Brugernavn (kan være personhenførbar), password) omfattet af GDPR?

Undersøges i processen Beskytter vi og håndterer vi persondata korrekt? Sikrer vi at persondata kun behandles af de medarbejdere for hvem det arbejdsmæssigt er relevant? Sikrer vi at alle i DGI ikke udleverer persondata til 3. part? Hvad med når en kommunikationsmedarbejder i landsdelene uploader e-mail adresser til Facebook i forbindelse med målretning af annoncering? ( GT: Det må de kun hvis de har samtykke men det overholder de ikke pt. ) Hvor længe må vi opbevare personers persondata, når de ikke længere er aktive i DGI sammenhæng? ( GT: Så vidt jeg ved er der ikke nogen forældelsesfrist, men vi må ikke bruge forkerte data så vi har pligt til at holde vore data opdaterede, og det er de ikke i dag) (OBP: Vi skal vurdere retten til at blive glemt ) Anonymisering af persondata Hvis data er anonymiserede, gælder kravene om persondata ikke længere (artikler: Plesner.com, datatilsynet) Hvornår og i hvor høj grad kan vi anonymisere data i vores systemer og stadig få værdi af dem? Hvordan kan det automatiseres? Sikkerhed ifm. DGI API erne api.dgi.dk og services.dgi.dk justeres Pr. 21/9-2017 vedligeholdes alle opgaver der hidrører implementering af Persondataforordningen i DGI i Team Foundation Server (TFS) her

Handleplan Orientering direktion om Persondataforordningens implementering i DGI Nedsættelse af styregruppegruppe der gives ansvar for at sikre at DGI følger persondataforordningen pr. 25/5-2018 Forslag: Steen F. Andersen og Ole B. Poulsen Beslutning om hvem der er overordnet persondataansvarlig i DGI Forslag: fungerende IT- og økonomidirektør Etablering af lokale dataansvarlig i Landsdelsforeninger, HR, DM Beslutninger undervejs som direktionen involveres i Interesseafvejningsreglen og dennes tolkning/praksis anvendelse ift. Persondataforordningen i DGI Udarbejdelse af dokumentation Hvor og hvordan anvendes persondata i DGI, klassifikation etc. Afdelinger der involveres: HR, Digital Marketing, Salg og Idræt og Motion vil skulle involveres Indarbejdelse at persondataprocesser via politikker awarenes Kommunikation internt Systemudvikling Opsamling af samtykke i alle applikationer hvor nødvendigt Datasubjektets rettigheder: Indsigt i reg. data, sletning, portabiltet m.fl. indbygges i MitDGI, så en person kan selvbetjene sig mest muligt og vi undgår at behandle persondatarettigheder manuelt) Automatisk forældelse, retten til at blive glemt, anonymisering Indgåelse af databehandleraftaler ClickDimension (herunder flytning af data til EU), Papirfly, SKV (NB Solution), LAPIO, Microsoft (O365), EPOS, Emply.net..

Tidsplan Tolkninger af Persondataforordningen med betydelig konsekvens for DGI s implementering af samme Steen, Ole Oktober 2017 Orientering DGI s ledelse Direktion, HB og Chefforum Oktober, november 2017 Dokumentations opbygning og indsamling IT, HR, DM og salg September-maj 2018 Systemudviklingsopgaver DGI IT. og underlev. 1. Kvartal 2018 Implementering af ITpolitik for persondata Præsentation Chefforum, Skype møder for lokaledataansvarlige Marts-april 2018 Klar parat start 25/5-2018

Baggrundsinformationer DKCERT Trendrapport 2016 Dorte Toft Datatilsynet møde med erhvervslivet Sikkerhedstjekket.dk og privacykompasset.dk DI https://di.dk/virksomhed/produktion/it/itsikkerhed/personoplysninger/pages/vejled ningompersondataforordningen.aspx LinkedIn Tjekliste fra datatilsynet

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback