Direktionsmøde den 11. oktober 2017 Bilag 3.1 Persondataforordningen Betydning for DGI (minus foreninger disse vejledes særskilt og i samarbejde med DIF) Navn Navnesen
Persondataforordning = Databeskyttelsesforordning = GDPR (General Data Protection Regulation)
Status Forordningen (GDPR General Data Protection Regulation) er vedtaget (feb. 2016) Retspraksis (udmøntelse af loven i praksis) pr. 25. maj 2018 Datatilsynet bliver den myndighed som gives tilsynspligt og vejledningsfunktion i Danmark Forordningen erstatter den danske nuværende lovgivning Persondataloven
Formål Persondataforordningen er vedtaget med to primære formål: Harmonisering af reguleringen af behandlingen af personoplysninger inden for EU Sikring af en bedre retsstilling for datasubjektet (den registrerede person)
Væsentligste forskelle til DK persondataloven Skærpelser kravene til indholdet af databehandleraftaler, oplysningsforpligtelsen over for datasubjektet, notifikationsforpligtelse i tilfælde af sikkerhedsbrud mv. Sanktioner - bøder Offentlige myndigheder op til 20 mio. Private virksomheder op til 20 mio. eller 4% af global omsætning Ved Apps der behandler persondata 10 mio. eller 2% af omsætning Ved overtrædelse af: Grundlæggende principper for behandling af persondata Grundlag for behandling (både alm. og følsomme opl.) Betingelser for samtykke Datasubjektets rettigheder Sikkerhedsforanstaltninger Erstatningssager fra enkeltpersoner hvis data er blevet krænket må forventes Nyskabelser Accountability, Data Protection by Design/by Default og Data Protection Officer (DPO).
Nye forpligtigelser Bliver en virksomhed udsat for et datalæk, der kan skade enkeltpersoner, har den 72 timer til at rapportere lækket til de nationale myndigheder - i Danmark er dette Datatilsynet Omvendt bevisbyrde DGI skal bevise at vi ikke har gjort noget forkert.
Den dataansvarlige eller Data Protection Officer (DPO) Forordningen opererer med, at vi skal have ét centralt sted, hvor der er overblik over alle de databehandlinger, vi foretager. Der kan derfor udpeges en Data Protection Officer (DPO). Det er en nyskabelse i forhold til den nuværende persondatalov. Der bliver stillet krav til faglige kvalifikationer og ekspertise for en DPO. Vedkommende skal også være uafhængig (organisatorisk placering). DPO en får ansvaret for specifikke opgaver i forbindelse med databeskyttelse (se faktaboks om DPO) Alle offentlige instanser skal have en DPO DGI behøver ikke en DPO, men bør vælge én overordnet dataansvarlig og måske et antal lokale
Den dataansvarlige eller DPO har ansvar for: Sikre at der forefindes nødvendige databehandleraftaler. Sikre gennemførelse af awareness-træning ved ledelse og blandt de medarbejdere der arbejder med persondata Udføre kontrol og revision af behandlinger og processer der sikrer overholdelse af Persondataforordningen Sikre dokumentation af politikker, regler og procedurer. Sikre at der forefindes et årshjul for arbejdet. Ansvarlig for underretning (til Datatilsyn m.fl.) ved brud på reglerne.
Datatilsynets anbefaling for at komme 360 grader rundt om GDPR Har jeres organisation kendskab til den nye Persondataforordning? Hvilke personoplysninger behandler I? Hvilken information giver I de registrerede? Hvordan opfylder I de registreredes rettigheder? På hvilket retligt grundlag behandler I personoplysninger? Hvordan indhenter I samtykke? Behandler I personoplysninger om børn?
Datatilsynets anbefaling for at komme 360 grader rundt om GDPR Hvad skal I gøre ved brud på persondatasikkerheden? Er jeres behandlinger forbundet med særlige risici? Har I indtænkt databeskyttelse i jeres it-systemer? Hvem er ansvarlig for databeskyttelsesspørgsmål i jeres organisation? Driver I virksomhed i flere lande? På sliden med link til baggrundsmaterialer kan Datatilsynets Vejledning findes
Persondataforordningen er baseret på fire grundprincipper 1. Databeskyttelse som rettighed: Beskyttelsesværnet er givet til individet i form af kunden, forbrugeren og medarbejderen. Den enkelte person skal kunne kontrollere sine egne data og som udgangspunkt bestemme, hvad data om vedkommende kan anvendes til. 1. Retten til at modtage oplysning om en behandling af sine personoplysninger (oplysningspligt) 2. Retten til at indsigt i sine personoplysninger 3. Retten til at få urigtige personoplysninger berigtiget 4. Retten til at få sine personoplysninger slettet 5. Retten til at gøre indsigelse mod at personoplysninger anvendes til direkte markedsføring 6. Retten til at gøre indsigelse mod automatiske individuelle afgørelser, herunder profilering 7. Retten til at flytte sine personoplysninger (dataportabilitet) 2. Livscyklus: Databeskyttelsen skal være effektiv fra indsamling til sletning 3. Kontrol: Den dataansvarlige og databehandleren skal sikre dataenes integritet, troværdighed, tilgængelighed og kvalitet 4. Ledelse: Den dataansvarlige og databehandlere skal sørge for organisatorisk og teknisk parathed og robusthed
Scenarier som vi skal kunne agere på og derfor have metode/ arbejdsprocesser for 1. En person vil have oplyst (berigtiget), hvilke data DGI har om ham/hende 2. En person henvender sig og vil have sine data udleveret (OBP: ikke slettet men i kopi for portabilitet) 3. En person henvender sig og vil have slette sine data 4. En person henvender sig og trækker sit samtykke tilbage 5. En medarbejder henvender sig og vil have oplyst/udleveret/slettet sine data 6. Vi opdager at der sket et persondata-sikkerhedsbrud 1. Eksempler (Medarbejder i landsdel har videregivet data til 3. part) 7. Datatilsynet henvender sig, og DGI skal dokumentere hvordan vi efterlever persondataforordningens regler 8. DGI fungerer som databehandler for et andet selskab/organisation. Initiativ til indgåelse af databehandleraftale er hos den dataansvarlige i selskabet/organisationen som vi er databehandler for. 9. Vore processer omkring Persondataforordningen skal løbende evalueres, kontroleres og revideres
Undersøges i processen Hvilken betydning og hvilke lempelser giver Interesseafvejningsreglen (IAR) DGI? Et medlem i en lokalforeningsbestyrelse opretter en instruktør i Foreningsservice (= Mimer CRM person). Hvis IAR er gældende behøver personen ikke at give sit samtykke hertil. Vedkommendes øvrige rettigheder (indsigt, sletning, forældelse etc.) bortfalder disse? Andre eksempler Vi skal overvejer at om en sondring af personer omfattet af IAR øger kompleksitet mere end den gavner. Måske er det nemmere at behandle alle persondata som om de ikke er omfattet af IAR Dækker vores nuværende vilkår og betingelser for samtykke? Hvad med de privacy policies IT bruger mht. Apps? Kan foreninger betragtes som B2B og dermed ikke i kategori som skal gentegne. Hvordan sikre vi at børn (Def: under 16) ikke giver samtykke? Databehandleraftale med DGI IT s kunder (OBP: DGI har ikke initiativpligt på disse, det har dataansvarlig altså vore IT-kunder) Gennemgang af databehandleraftaler med de leverandører som DGI lader foretage behandling af persondata som DGI har ansvar for Er vi offentlig hvis ja så skal vi have en DPO Svar fra OBP: DGI er ikke offentlig og vores kerneaktivitet er ikke behandling af personfølsomme oplysninger i stort omfang. Således skal vi ikke have en DPO Der findes ikke formalia til hvordan dokumentation udformes. (OBP: Korrekt vi har valgt at samle relevant i dokumentation i Mimer Grupperummet Persondataforordningen. I dette er regnearket (Persondataforordningen_i_ DGI_dokumentation) centralt for den samlede dokumentation Hvordan deler vi data i Bevæg dig for livet og overholder Persondataforordningen? Må vi stadig få data ind via andre systemer som fx Conventus? Må vi stadig udleverer data til DGI foreninger vedrørende andre foreninger? Hvornår er data personhenførbare og dermed omfattet af GDPR? Er systemer hvor f.eks. kun adgangsoplysninger (Brugernavn (kan være personhenførbar), password) omfattet af GDPR?
Undersøges i processen Beskytter vi og håndterer vi persondata korrekt? Sikrer vi at persondata kun behandles af de medarbejdere for hvem det arbejdsmæssigt er relevant? Sikrer vi at alle i DGI ikke udleverer persondata til 3. part? Hvad med når en kommunikationsmedarbejder i landsdelene uploader e-mail adresser til Facebook i forbindelse med målretning af annoncering? ( GT: Det må de kun hvis de har samtykke men det overholder de ikke pt. ) Hvor længe må vi opbevare personers persondata, når de ikke længere er aktive i DGI sammenhæng? ( GT: Så vidt jeg ved er der ikke nogen forældelsesfrist, men vi må ikke bruge forkerte data så vi har pligt til at holde vore data opdaterede, og det er de ikke i dag) (OBP: Vi skal vurdere retten til at blive glemt ) Anonymisering af persondata Hvis data er anonymiserede, gælder kravene om persondata ikke længere (artikler: Plesner.com, datatilsynet) Hvornår og i hvor høj grad kan vi anonymisere data i vores systemer og stadig få værdi af dem? Hvordan kan det automatiseres? Sikkerhed ifm. DGI API erne api.dgi.dk og services.dgi.dk justeres Pr. 21/9-2017 vedligeholdes alle opgaver der hidrører implementering af Persondataforordningen i DGI i Team Foundation Server (TFS) her
Handleplan Orientering direktion om Persondataforordningens implementering i DGI Nedsættelse af styregruppegruppe der gives ansvar for at sikre at DGI følger persondataforordningen pr. 25/5-2018 Forslag: Steen F. Andersen og Ole B. Poulsen Beslutning om hvem der er overordnet persondataansvarlig i DGI Forslag: fungerende IT- og økonomidirektør Etablering af lokale dataansvarlig i Landsdelsforeninger, HR, DM Beslutninger undervejs som direktionen involveres i Interesseafvejningsreglen og dennes tolkning/praksis anvendelse ift. Persondataforordningen i DGI Udarbejdelse af dokumentation Hvor og hvordan anvendes persondata i DGI, klassifikation etc. Afdelinger der involveres: HR, Digital Marketing, Salg og Idræt og Motion vil skulle involveres Indarbejdelse at persondataprocesser via politikker awarenes Kommunikation internt Systemudvikling Opsamling af samtykke i alle applikationer hvor nødvendigt Datasubjektets rettigheder: Indsigt i reg. data, sletning, portabiltet m.fl. indbygges i MitDGI, så en person kan selvbetjene sig mest muligt og vi undgår at behandle persondatarettigheder manuelt) Automatisk forældelse, retten til at blive glemt, anonymisering Indgåelse af databehandleraftaler ClickDimension (herunder flytning af data til EU), Papirfly, SKV (NB Solution), LAPIO, Microsoft (O365), EPOS, Emply.net..
Tidsplan Tolkninger af Persondataforordningen med betydelig konsekvens for DGI s implementering af samme Steen, Ole Oktober 2017 Orientering DGI s ledelse Direktion, HB og Chefforum Oktober, november 2017 Dokumentations opbygning og indsamling IT, HR, DM og salg September-maj 2018 Systemudviklingsopgaver DGI IT. og underlev. 1. Kvartal 2018 Implementering af ITpolitik for persondata Præsentation Chefforum, Skype møder for lokaledataansvarlige Marts-april 2018 Klar parat start 25/5-2018
Baggrundsinformationer DKCERT Trendrapport 2016 Dorte Toft Datatilsynet møde med erhvervslivet Sikkerhedstjekket.dk og privacykompasset.dk DI https://di.dk/virksomhed/produktion/it/itsikkerhed/personoplysninger/pages/vejled ningompersondataforordningen.aspx LinkedIn Tjekliste fra datatilsynet