Pia Conradsen, 25. april 2017
Finder anvendelse pr. d. 25. maj 2018 i Danmark
Baggrund, formål og anvendelse Interessenter Databehandler Persondata Sonlincs aktiviteter og overordnet plan Anbefalinger Spørgsmål
EU lovgivning vedtaget i 2016 Dansk lovgivning efterår 2017 Erstatter i Danmark loven om behandling af personoplysninger (2001) Teknologisk udvikling Modernisering for beskyttelse af personoplysninger Generel Data Protection Regulation (GDPR)
Understøtte det digitale indre marked ved at indføre ensartede regler i hele EU Fjerne anmeldelsesforpligtigelsen til Datatilsynet Styrke de registreredes rettigheder Ret til databeskyttelse Større kontrol over egne data Samtykke Historik Skærpede forpligtigelser for dataansvarlige og databehandlere Introduktion af betydelige bøder for ikke at efterleve lovgivningen
Persondataforordningen gælder for alle, der behandler persondata i Danmark Alle virksomheder, der behandler persondata - uanset om de er dataansvarlige eller databehandlere - er omfattet af forordningen Fælles ansvar hos dataansvarlig og databehandler for overtrædelser af forordningen
Færøerne har deres egen persondatalov der blev vedtaget i 2001 og landet indgår ikke i EØS/EEA samarbejdet. Det betyder, at Færøerne i forhold til persondatadirektivet og formentlig også persondataforordningen, er at betragte som et tredjeland. EU-kommissionen har vedtaget, at Færøerne er at betragte som et "sikkert tredjeland" der har et tilstrækkeligt beskyttelsesniveau af persondata.
Kilde: DI Vejledning om Persondataforordning Data
Virksomheder Kunder Medarbejdere Dataansvarlig Databehandler
Sonlinc skal sikre, at de generelle samarbejdsvilkår og databehandleraftalen med kunderne opfylder følgende: 1. Sikre, at de personer, der er autoriseret til at behandle personoplysninger, har forpligtet sig til fortrolighed 2. Iværksætte alle foranstaltninger, som kræves vedrørende behandlingssikkerhed 3. Ikke gør brug af en anden databehandler uden kundens forudgående samtykke 4. Bistå den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger
Sonlinc skal sikre, at de generelle samarbejdsvilkår og databehandleraftalen med kunderne opfylder følgende: 5. Bistå den dataansvarlige med at sikre overholdelse af forpligtelserne i medfør af artikel 32-36 omkring databehandlers behandlingssikkerhed (fortrolighed, tilgængelighed, anonymisering etc.) 6. Efter den dataansvarliges valg slette eller tilbagelevere alle personoplysninger til den dataansvarlige, efter at tjenesterne vedrørende behandling er ophørt, og slette eksisterende kopier, 7. Stille alle oplysninger, der er nødvendige for at påvise overholdelse af kravene, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige.
Succeskriterier: Sonlinc behandler personlige oplysninger fortroligt Sonlinc skaber værdi for deres kunder ved at persondatabeskyttelse er indarbejdet i Sonlinc s digitale løsninger, hvor det er relevant Sonlinc gør det som databehandler nemt for sine kunder at beskytte persondata og har klare retningslinjer og grænseflader i samarbejdet med kunderne.
Persondata er ALLE oplysninger om en identificeret eller identificerbar fysisk person! Persondata omfatter: både fortrolige og følsomme oplysninger (f.eks. religiøse og politiske tilhørsforhold) oplysninger om andre rent private forhold (f.eks. sociale problemer) almindelige ikke-følsomme oplysninger (f.eks. navn, adresse, telefonnummer) OBS: Enkeltmandsvirksomheder med kun én person ansat Eksempler på persondata: Navn Køn Cpr-.nr. Adresse Telefonnummer IP-adresse E-mail adresse Medarbejder ID Logning i IT-systemer Løn Straffeattest Personlighedstest Videoovervågning Adgangskontrol Optagelse af telefonsamtaler til læringsbrug Xx Xx xx ikke udtømmende
Intern projektgruppe Samarbejde med revisionsfirmaet PwC Fokusområder - Databehandlingsaktiviteter: Hvilke persondata håndteres i SonWin Hvorledes persondata opbevares i SonWin Hvordan behandles persondata i SonWin Hvilke persondata sendes videre til andre systemer
Emneområder vurdering af nuværende opfyldelsesgrad Uddannelse af Sonlinc medarbejdere Beskrivelse af processer mellem dataansvarlige og Sonlinc Opdatering udviklingsproces - design Dokumentation, forebyggelse og overvågning af datasikkerhed Sikre opfyldelse af krav for håndtering af persondata i SonWin
Lovpligtigt vedligehold ERFA tilbud Konsulentpakker
Gennemgang af SonWin for at tydeliggøre, hvad der hører ind under lovpligtig vedligeholdelse Tilbyde konsulentpakker - differentieret i indhold efter behov Eksempelvist: System og integrationer Datastrømme Procesbeskrivelser
Q1 2018 Q2 2017 Projektscope Samarbejde med PwC Kundegrupper Intern dataanalyse Q3 2017 Overblik over databehandlingsaktiviteter Persondata Kortlægning af udvalgte datastrømme Udvalgte procesbeskrivelser Opstilling af Use Cases Opfyldelse af rollen som databehandler (artikel 32-36) Parathedsvurdering Q4 2017 Udvælgelse og beskrivelse af emner relateret til udviklingsopgaver Udvælgelse og beskrivelse af emner relateret til nonfunktionelle krav Fastlæggelse af indhold: - Lovpligtigt vedligehold - ERFA tilbud - Konsulentpakker Uddannelse af Sonlinc Medarbejdere Udviklingsager Implementering Leverancer: - Lovpligtig vedligehold - ERFA tilbud - Konsulentpakker Uddannelse af Sonlinc medarbejdere PWC erklæring
Datatilsynet har lanceret en tjekliste om persondataforordningen, som virksomheder og myndigheder mv. bør forholde sig til Tjekspørgsmål 12 stk.
Kortlægning datastrømme Overblik over historiske data Overblik over hvilke data opbevares og hvordan Muligheder for sletning af data hvis krævet Overblik over behov for særlige adgang til data (log) Udarbejdelse af interne retningslinier og politikker Opbevaring af samtykkeerklæringer Uddannelse af medarbejderne Databehandleraftaler