Persondatacompliance

Relaterede dokumenter
Persondatacompliance

Praktisk persondatacompliance

Marts 2017 Advokat Pernille Nyholm Gaarskjær, Bech-Bruun

Persondataretlig compliance i praksis. Uddannelsesdagen 28. maj 2015 v/ partner Thomas Munk Rasmussen og partner Mikkel Friis Rossa

Databehandleraftaler. Ved partner Thomas Munk Rasmussen, Bech-Bruun

Den nye persondataforordning. Advokat Marie Albæk Jacobsen DEIC-konference, den 6. oktober 2015

Beskyttelse af apps. Mikkel Friis Rossa, partner

Den nye persondataforordning. 2. februar 2017

Overblik over persondataforordningen

Overblik over persondataforordningen

Den nye persondataforordning. 17. maj 2016

GDPR Persondata- forordningen

Thea Præstmark WW W W W.SKA W UR.SKA EIP UR UR EIP TH UR. TH C. OM C

Persondataforordningen Data Protection Officer. Advokat, Marie Albæk Jacobsen

Persondataretlig compliance - Hvordan bliver din organisation klar?

Databeskyttelse i den almene sektor en digital fremtid. 30. august 2018

Persondata, compliance og datasikkerhed. Ved Charlotte Bagger Tranberg

Workshop om teatrenes arbejde med persondataforordningen

Skau Reipurth & Partnere Advokatpartnerselskab FORTEGNELSE OVER BEHANDLINGSAKTIVITER. Dataansvarlig: Databehandler: Udarbejdet: Næste revision:

Ny persondataforordning

Persondataforordningen

FORTEGNELSE OVER BEHANDLINGSAKTIVITER. Dataansvarlig: Databehandler: Område: Udarbejdet: Næste revision:

EU Persondataforordning GDPR

Bliv klar til Persondataforordningen

PERSONDATAFORORDNINGEN. DRF s årsmøde, april 2017

Rollen som DPO. September 2016


HJULMANDKAPTAIN PERSONDATA REGLER OG IMPLEMENTERING. OPLÆG TIL DANSKE BUSVOGMÆND DEN 29. NOVEMBER 2017 Advokat Karina Søndergaard

Thea Præstmark, Sofie Amalie Bangsbo van Hauen og Bo Enevold Uhrenfeldt

opfylde vores kontraktuelle forpligtelser over for dig, samt at

INTERN HR PERSONDATAPOLITIK FOR LIONS MD106. Nærværende gælder for MD 106, dvs. alle ansatte og medlemmer i Lions MD 106.

Målrettet arbejde med persondataforordningen for

Må lrettet årbejde med persondåtåforordningen for

Må lrettet årbejde med persondåtåforordningen for Vejby Smidstrup Våndværk

Persondataforordningen. Henrik Aslund Pedersen Partner

Webinar om Persondataforordningen. 10. april :30-10:15 Advokat Lars Japp Haslund

Målrettet arbejde med persondataforordningen for

Birgitte Toxværd Bruun & Hjejle

Må lrettet årbejde med persondåtåforordningen for Gl. Rye Våndværk

Avnbøl-Ullerup Våndværk A.m.b.å. CVR-nr

Regler om persondata Koordinatormøde den 28. nov. 2017

Persondataforordningen AbMano

PERSONDATAPOLITIK 1. INTRODUKTION

Workshop om persondataforordningen

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106.

Per Løkken, Partner. CAMPUS November 2018

Persondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017

Forslag til nye felter i OS2-kitos til understøttelse af GDPR-arbejdet

Databeskyttelsesdagen

Ny persondataforordning

Persondataforordningen...den nye erklæringsstandard

Målrettet arbejde med persondataforordningen for

1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du

PERSONDATAPOLITIK FOR DANSK TOURETTE FORENING

Hvorfor er informationssikkerhed et ledelsesansvar?

GDPR med den rette partner er din virksomhed sikret! 22. maj 2018 Ballerup 23. maj Århus

Målrettet arbejde med persondataforordningen for Østermarie Vandværk

Persondatapolitik for Ehlers-Danlos Foreningen i Danmark

Fællesmøde for flis- og brændselspillegruppen samt halmgruppen

DATABEHANDLERAFTALE. Conscia A/S. Conscia A/S Kirkebjerg Parkvej 9 DK-2605 Brøndby Tlf

Ma lrettet arbejde med persondataforordningen for Helberskov Vandværk

Persondataforordningen

Sådan arbejder. SprogGruppen med. Persondataforordningen. Indholdsfortegnelse

Konsekvensanalyser i praksis: hvorfor, hvornår og hvordan

Persondatalovens dokumentationskrav

PERSONDATAPOLITIK FOR Slagelse Børneklub

Privatlivspolitik. Odense LMU

Agenda. Præsentation af Thomas Riisager Persondataforordningen de vigtigste punkter. Pause

PERSONDATAPOLITIK FOR BAPTISTERNES BØRNE- OG UNGDOMSFORBUND

Ma lrettet arbejde med persondataforordningen for

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I. INDHOLDSFORTEGNELSE: 1. Generelt... 2

PRIVATLIVSPOLITIK FOR VÆRFTET NEXØ KRISTNE SKATECENTER, LEGELAND OG CAFE

1.1 Denne Persondatapolitik ( Politik ) er gældende for samtlige de oplysninger, som du giver til os, og

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

Velkommen til. Informationsmøde om. Persondataforordningen 2018

Nexø Frikirke. PRIVATLIVSPOLITIK i NEXØ FRIKIRKE

Persondataforordningens betydning for ejendomsbranchen

September Indledning

N. Zahles Skole Persondatapolitik

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

PERSONDATAFORORDNINGEN APRIL 2018

Introduktion til persondataforordning

PERSONDATAPOLITIK FOR ORDET OG ISRAEL

Persondataforordningen

PERSONDATAPOLITIK (EKSTERN)

CVR-nr. og kontaktoplysninger (adresse, hjemmeside, telefonnummer og )

INTERN HR PERSONDATAPOLITIK FOR DANSK FORENING FOR OSTEOGENESIS IMPERFECTA (DFOI) 1 Generelt... 2

Retningslinje om fortegnelser over behandlingsaktiviteter

Er du klar til den nye Persondataforordning?

Organisatorisk og teknisk implementering af GDPR i Rigsarkivet. Fagligt forum 3. september 2019 Jan Dalsten Sørensen Rigsarkivet

PERSONDATAPOLITIK 1. INTRODUKTION

PERSONDATAPOLITIK FOR AXIS

DATABEHANDLERAFTALE. indgået mellem. Kunden (den Dataansvarlige ) og

Kort om Hjerteforeningen

DANSK ERHVERV. EU s nye persondatalov FORCE TECHNOLOGY Sven Petersen Advokat og erhvervsjuridisk fagchef

Ma lrettet arbejde med persondataforordningen for

6.1 Introduktion. Af Jeppe Høyer Jørgensen, LETT Advokatpartnerselskab Indhold. Denne artikel har følgende

FORSYNINGSTRÆF 2016 PERSONDATARET HVORFOR NU EGENTLIG DET?

Håndbog i persondataforordningen

Transkript:

Persondatacompliance Ved Mikkel Friis Rossa 2 Nyt regime på vej GDPR fra maj 2018 Hvorfor egentlig så meget fokus på persondata nu? Selskabslovens 115: I kapitalselskaber, der har en bestyrelse, skal denne ud over at varetage den overordnede og strategiske ledelse og sikre en forsvarlig organisation af kapitalselskabets virksomhed påse, at 2) der er etableret de fornødne procedurer for risikostyring og interne kontroller, Væsentligt skærpet bødeniveau (EUR 20.000.000 eller mere) = som ansvarlig ledelse er man nødsaget til at forholde sig til persondata compliance Fra (formel) registrerings-regime til (materiel) dokumentations-regime Opdagelsesrisiko? Uvarslede kontroller á la konkurrencestyrelsens Dawn Raids beredskabsplan? GDPR Art. 83 mulighed for bortfald eller nedsættelse af bøde hvis man har gennemført compliance 1

3 Overvejelser inden opgaven gribes an? Hvad er person i persondataforordningens forstand? Hvad er en behandling af person? Hvordan adskiller man datastrømme fra persondatastrømme? Kan I fastsætte formålene med nogle af de konkrete behandlinger af person, som foregår i jeres organisation? Kan I beskrive kategorier af registrerede i jeres organisation? Kan I beskrive kategorierne af person i jeres organisation? Kan I beskrive kategorier af modtagere, som person er eller vil blive videregivet til (herunder tredjelande eller internationale organisationer) i jeres organisation? Kan I beskrive de forventede tidsfrister for sletning af de forskellige kategorier af, hvis muligt, i jeres organisation? Er det muligt generelt at beskrive de tekniske og organisatoriske sikkerhedsforanstaltninger i jeres organisation? Hvad er person? Anonyme Pseudonyme Cpr-nr. Køn Navn Race Adresse E-mail-adresse Seksuel overbevisning Fødselsdato Foto Kreditkortnummer Adgangskontrol Helbreds MedarbejderID Telefonnummer Personlighedstest Nummerplade Politisk overbevisning Religion Genetisk information? Interesser Væsentlige sociale problemer Personlige produktionstal Familiemæssige Uddannelse (karakterer) Pasnr. Initialer/Loginnavn Stilling GPS Størrelse på tøj og sko IP-adresse Fagforeningsmæssige tilhørsforhold Elektroniske spor Rejse Biometriske Videoovervågning Logning i IT-systemer Straffeattest MAC-adresse Løn 2

Hvor gemmer persondata sig? Persondata indgår i mange forretningsprocesser Hver organisation har egne processer - der bør undersøges, kortlægges og risikovurderes Processer understøttes af forskellige systemer, der kan indeholde persondata Human Resource Systems Customer Relation Management (CRM) Sales Supplier/Vendor Relation Management Systems (SRM) Enterprise Resource Management (ERM) Content Management Systems (CMS) Marketing/ targeting Travel Management, and ancillary e.g cost reporting Financial reporting Business Intelligence Physical access management Video Surveillance Whistleblower system Shadow IT Analogue processing of personal data (Fillng cabinets, binders) 6 Overblik: Implementering af persondataforordningen Fase 1. Mapping/GAPanalyse 2. DPOorganisation 3. Databehandlere 4. Procedurer/ processer 5. Samtykker 6. Risikovurderinger 7. Persondatapolitikker 8. Evt. høring af Datatilsynet Opgaver Overblik over fysiske og elektroniske processer med behandling af person (interviews/ spørgeskemaer) Analyse af GAP og risikobillede prioritering af de enkelte dele/områder af implementeringen PACTIUS PRIVACY (herunder fortegnelse over behandlingsaktiviteter) Afgrænsning af opgaver i DPOorganisation Udarbejdelse af politik for DPOfunktion Udpegning af DPO Etablering af DPOorganisation Oplistning af eksterne parter hvortil behandling er outsourcet Gennemgang af eksisterende databehandleraftaler Indgåelse af nye/manglende databehandleraftaler Gennemgang og vurdering af mulige overførsler til dataansvarlige og databehandlere udenfor EU Information af den registrerede Indsigtsanmodninger Underretning af tilsynsmyndighederne ved sikkerhedsbrud Data Protection Impact Assessments (DPIA) Dataportabilitet Roller og autorisationer Procedure for opdatering/vedligeholdelse af PACTIUS PRIVACY Tilpasning af eksisterende samtykker til behandlingsformål Etablering af dokumenteret procedure for indhentning af samtykke Risikovurderinger af sikkerhedsforanstaltninger, herunder audits og løbende opdatering Udarbejdelse af generel intern persondatapolitik Udarbejdelse af generel ekstern persondatapolitik Høring af Datatilsynet ved særligt risikable former for behandling Periode 2-4 måneder 1-2 måneder 2-3 måneder 2-4 måneder 1-2 måneder 2+ måneder 1-2 måneder 1 måned 3

7 GAP-analyse hvilke huller er der? Og hvilke skal lukkes? Afklaring / vurdering af virksomhedens risiko Gennemførelse af interviews af nøglepersoner i fx HR, IT, marketing, finans (påbegyndelse af mapping) Gennemgang og vurdering af relevante firmapolitikker i relation til persondata, fx personalepolitik, IT-politik, mv. Overordnet gennemgang og vurdering af den udveksling af person, som sker mellem selskaber i koncernen og med eksterne leverandører Risikoanalyse Udbytte af GAP-analyse En kort rapport som indeholder: Risikoanalyse, der vil klarlægge complianceniveauet, identificere højrisiko-områder i forhold til aktuelle og kommende lovgivningsmæssige krav Angivelse af konkrete actions/anbefalinger på baggrund af risikoanalysen, herunder en prioriteret liste af indsatsområder (ud fra risiko og ressourcer forbundet med reducering af risiko samt opnåelse af acceptabelt complianceniveau) Afsæt for implementering af kravene i persondataforordningen 8 Illustration af afrapporteringsmetoden i en persondataretlig GAP-analyse Alle findings vurderes i forhold til nedenstående parametre: Complianceniveau Forklaring Complianceniveau er i strid med nuværende lovgivning eller retningslinjer fra Datatilsynet og/eller andre relevante myndigheder. Complianceniveau ikke i overensstemmelse med den kommende lovgivning. Manglende overholdelse kan medføre (store) bøder. Complianceniveau er i strid med anbefalinger fra Datatilsynet og/eller andre relevante myndigheder. Manglende overholdelse kan medføre kritik/advarsel. Complianceniveau overholder lovgivning, samt retningslinjer og anbefalinger udstedt af Datatilsynet og/eller andre relevante myndigheder, Complianceniveauet er i overensstemmelse med den kommende lovgivning. I nogle tilfælde kan complianceniveauet med fordel forbedres af hensyn til virksomhedens retsstilling. 4

9 Hvordan kortlægger man sine (person-)datastrømme? Eksempel: Behandling af person i en (simpel) global koncern Koncern (Brasilien) M/S (Danmark) Databehandler (CRM-system) (Tyskland) (Spanien) (USA) (Kina) Eksempler på behandlede person: Ansatte Kunder Leverandører Agenter Roller: Dataansvarlig Databehandler 5

11 Analyse af persondatastrømme hvordan gør man? Interviews Spørgeskemaer Tænke dynamisk ingen persondatastrømme er statiske Datamodel Konsolidering i database/applikation/ excel/andet? Roche DG, Lanfear R, Binning SA, Haff TM, Schwanz LE, Pactius Privacy modul Vi tilbyder at gennemføre og levere arbejdet i privacy modulet i vores eget kontraksstyringssystem Pactius. Systemet giver organisationen mulighed for nemt, enkelt og billigt at dokumentére og administrere sin behandling af persondata. Vi tilbyder kunder at benytte systemet for en meget konkurrencedygtig pris. Data processer Rapporter Opgaver PRIVACY MODULET Dokumentstyring Hjælp til at samle relevante data Gem organisationens datamapping ét sted Bevar overblikket uagtet datamængden vokser Lav rapporter på databehandlinger Få nøgletal til ledelse og risikovurderinger Print fortegnelser til datatilsyn Følg systematisk op på politikker, kontroller og behandlinger Delegér opgaver til de processansvarlige Tilrettelæg dit privacy management program Alle funktioner fra Pactius kontraktstyringsværktøjet Tilknyt aftaler, politikker, procedurer mv. til konkrete processer Søgning og overblik Høj datasikkerhed I PACTIUS er høj datasikkerhed en topprioritet. Systemet kører på den ISO-certificerede Microsoft Azure-platform, og alle data er sikkert opbevaret inden for EU s grænser i Microsofts datacentre i Dublin og Amsterdam. PACTIUS kan bruges af alle enten af en enkelt person, en afdeling i en virksomhed, et selskab eller en hel koncern. Du kan også tildele segmenteret adgang, så adgangen begrænses til individuelle forretningsenheder. Læs mere på pactius.dk 6

13 Kontakt Mikkel Friis Rossa Partner Aarhus IP & Technology T +45 72 27 33 49 M +45 25 26 33 49 E mif@bechbruun.com København Danmark Aarhus Danmark Shanghai Kina T +45 72 27 00 00 www.bechbruun.com 7

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback