Advokat (H), partner Anders Aagaard. Ledelsesansvar for IT-sikkerhed



Relaterede dokumenter
1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?

Høring over EU-Kommissionens forslag til nye EU-databeskyttelsesregler - Justitsministeriets

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Overblik over persondataforordningen

Persondataforordningen og offentlige organisationer

Grab n Go: Session 2 EU s persondataforordning og hvad så?!? 17. marts 2016

Bestyrelsesmedlemmers personlige hæftelse

Persondata og sikkerhedsbrud

EU Persondataforordningen, skærpet krav til sikkerheden om data

Rigsarkivets konference 2. november 2016

Det skal du have styr pa inden 2018

Bestyrelsesmedlemmers rettigheder, pligter og ansvar

Den nye persondataforordning Indlæg den Ejendomsforeningen Fyn. A focused subheading Date

Er det farligt at sidde i bestyrelser?

Persondataforordningen Data Protection Officer. Advokat, Marie Albæk Jacobsen

Persondataforordningen. Henrik Aslund Pedersen Partner

EN DAG OM PERSONDATAFORORDNINGEN. STU Foreningen. 7. december 2017

Vejledning om informationssikkerhed

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

Tilsynsråd. Hvad er tilsynsrådets opgaver? Af advokat (L) Bodil Christiansen og advokat (H), cand. merc. (R) Tommy V. Christiansen.

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

Introduktion til persondataforordning

Persondataforordningen

[Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.]

Rollen som DPO. September 2016

PERSONDATALOVEN - UDFORDRINGER. Birthe Boisen, Juridisk Konsulent Tlf

Er I klar til den nye persondataforordning?

Den nye persondataforordning

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

Databehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.

Persondataforordningen den 20. februar 2018

BILAG 14: DATABEHANDLERAFTALE

BILAG TILSYN OG EGENKONTROL UDFØRT DEN [INDSÆT: DATO]

DEN NYE PERSONDATAFORORDNING. er din virksomhed klar?

Tjekliste til arbejde med persondata. Branchefælleskab for Intelligent Energi

Overblik over Justitsministeriets betænkning og de væsentligste ændringer i persondataforordningen

Bilag A Databehandleraftale pr

Bilag 11 - Databehandleraftale

WinWinWeb Databehandleraftale. Databehandleraftale. Mellem. Den Dataansvarlige: Kunden. Databehandleren: WinWinWeb CVR:

PARSEPORT DATABEHANDLERAFTALE

Transkript:

Advokat (H), partner Anders Aagaard Ledelsesansvar for IT-sikkerhed 1

AGENDA Ledelsens opgaver og ansvar Persondataforordningen Cases 2

Ledelsens opgaver og ansvar Selskabsloven hard law: SL 115: I kapitalselskaber, der har en bestyrelse, skal denne ud over at varetage den overordnede og strategiske ledelse og sikre en forsvarlig organisation af kapitalselskabets virksomhed påse, at... der er etableret de fornødne procedurer for risikostyring og interne kontroller SL 117: I kapitalselskaber, der ledes efter 111, stk. 1 (af en bestyrelse, red) varetager direktionen den daglige ledelse af kapitalselskabet. Direktionen skal følge de retningslinjer og anvisninger, som bestyrelsen har givet. Den daglige ledelse omfatter ikke dispositioner, der efter kapitalselskabets forhold er af usædvanlig art eller stor betydning. 3

Ledelsens opgaver og ansvar Ledelsens ansvarsnorm : SL 361: Stiftere og medlemmer af ledelsen, som under udførelsen af deres hverv forsætligt eller uagtsomt har tilføjet kapitalselskabet skade, er pligtige til at erstatte denne. Det samme gælder, når skaden er tilføjet kapitalejere eller tredjemand 4

Fortolkning af ansvarsnormen Selskabsanbefalingen - Soft Law: Pkt. 5 om risikostyring: Effektiv risikostyring og et effektivt internt kontrolsystem medvirker til at reducere strategiske og forretningsmæssige risici, til at sikre overholdelse af gældende regler og forskrifter samt til at sikre kvaliteten af grundlaget for ledelsens beslutninger og den finansielle rapportering. Det er væsentligt, at risiciene identificeres og kommunikeres, og at risiciene håndteres på en hensigtsmæssig måde. Anbefalingen i Pkt. 5.1.1: Det anbefales, at bestyrelsen tager stilling til og i ledelsesberetningen redegør for de væsentligste strategiske og forretningsmæssige risici, risici i forbindelse med regnskabsaflæggelsen samt for selskabets risikostyring. Direktionen bør løbende identificere de væsentligste risici og rapportere til bestyrelsen om udviklingen inden for de væsentlige risikoområder, herunder bl.a. om tiltag og handlingsplaner. 5

Sammenfatning Bestyrelsens ansvarsområde omfatter: Stillingtagen til strategiske og forretningsmæssige risici, Virksomhedens risikostyring. Direktionens ansvarsområde omfatter: Identifikation og vurdering af væsentlige risici Følge udviklingen inden for væsentlige risikoområder Kommunikationen til bestyrelsen, herunder om tiltag og handlingsplaner 6

Persondataforordningen o EU s databeskyttelsesdirektiv ligger til grund for den danske persondatalov o Kommissionen fremsatte d. 25 januar 2012 forslag om en ny forordning om databeskyttelse, som skal erstatte det nuværende persondatadirektiv o EU-parlamentet har godkendt udkastet, som nu behandles af Rådet o Implementering mulig fra 2017 7

Persondataforordningen o Vedtagelse af den nye forordning vil medføre en ophævelse af den danske persondatalov, da en forordning som udgangspunkt hverken skal eller kan implementeres i national lovgivning, idet forordninger har direkte virkning o Forordningen vil gøre persondataregler til et EU-anliggende i højere grad end hidtil og sikre en mere ensartet anvendelse og håndhævelse af databeskyttelsesreglerne. 8

Forslaget væsentlige ændringer I Retten til at blive glemt Den ikke registrerede skal have ret til at få slettet sine personlige oplysninger, hvis der ikke er legitime grunde til at den registreredes personoplysninger gemmes. Enklere procedure for dataoverførsel Det skal være nemmere for internationale virksomheder at lave aftaler om overførsel af data mellem koncernforbundne selskaber. Ændring af krav til samtykke Øgede krav til samtykke Krav om udtrykkeligt samtykke i form af en frivillig, specifik og informeret viljestilkendegivelse. F.eks. Ved markering af et afkrydsningsfelt ved besøg på et websted Tavshed eller inaktivitet kan ikke indebære samtykke Samtykke kan ikke i alle tilfælde bruges som behandlingshjemmel. Dette gælder bl.a. for ansættelsesforhold, hvor der er en klar skævhed mellem den registrerede (medarbejderen) og den registreringsansvarlige (arbejdsgiveren) Samtykke kan ikke gives af et barn under 13 år, men skal gives af barnets forældre eller værge. 9

Forslagets væsentligste ændringer II Databeskyttelsesansvarlig Alle offentlige myndigheder og selskaber med over 250 ansatte skal udpege en databeskyttelsesansvarlig, som skal sikre at myndigheden/selskabet overholder reglerne i forordningen Den databeskyttelsesansvarlige er en fysisk nøgleperson, som udpeges på baggrund af dennes faglige kvalifikationer, ekspertise indenfor databeskyttelseslovgivning og praksis, samt evne til at udføre de for stillingen nødvendige opgaver. Den databeskyttelsesansvarlige opgaver indebærer: at underrette og rådgive virksomhedens ledelse (som er registeransvarlig) om deres forpligtelser i henhold til forordningen, at overvåge gennemførelsen af anvendelsen af ledelsens regler om beskyttelse af personoplysninger, at kontrollere anmeldelser vedrørende brud på persondatasikkerheden, mv. 10

Forslagets væsentligste ændringer III Styrkelse af nationale datatilsyn strengere sanktioner Nationale datatilsyn vil få ret til at udstede bøder ved forsætlig eller uagtsom overtrædelse af persondataforordningen. Bøder på op til 100.000.000 EURO eller op til 5 % af en virksomheds årlige omsætning 11

Forslaget væsentligste ændringer IV Hurtig underretning i tilfælde af brud på sikkerhed I tilfælde af brud på persondatasikkerheden skal den dataansvarlige uden unødigt ophold underrette både de berørte registrerede og det nationale datatilsyn. 12

Hvad bør vi undgå? God IT-sikkerhed begrænser scenarier som Edward Snowden Nets/Se & Hør Target LGT Bank JPMorgan 13

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback