Persondatacompliance Ved Mikkel Friis Rossa 2 Nyt regime på vej GDPR fra maj 2018 Hvorfor egentlig så meget fokus på persondata nu? Selskabslovens 115: I kapitalselskaber, der har en bestyrelse, skal denne ud over at varetage den overordnede og strategiske ledelse og sikre en forsvarlig organisation af kapitalselskabets virksomhed påse, at 2) der er etableret de fornødne procedurer for risikostyring og interne kontroller, Væsentligt skærpet bødeniveau (EUR 20.000.000 eller mere) = som ansvarlig ledelse er man nødsaget til at forholde sig til persondata compliance Fra (formel) registrerings-regime til (materiel) dokumentations-regime Opdagelsesrisiko? Uvarslede kontroller á la konkurrencestyrelsens Dawn Raids beredskabsplan? GDPR Art. 83 mulighed for bortfald eller nedsættelse af bøde hvis man har gennemført compliance 1
3 Overvejelser inden opgaven gribes an? Hvad er person i persondataforordningens forstand? Hvad er en behandling af person? Hvordan adskiller man datastrømme fra persondatastrømme? Kan I fastsætte formålene med nogle af de konkrete behandlinger af person, som foregår i jeres organisation? Kan I beskrive kategorier af registrerede i jeres organisation? Kan I beskrive kategorierne af person i jeres organisation? Kan I beskrive kategorier af modtagere, som person er eller vil blive videregivet til (herunder tredjelande eller internationale organisationer) i jeres organisation? Kan I beskrive de forventede tidsfrister for sletning af de forskellige kategorier af, hvis muligt, i jeres organisation? Er det muligt generelt at beskrive de tekniske og organisatoriske sikkerhedsforanstaltninger i jeres organisation? Hvad er person? Anonyme Pseudonyme Cpr-nr. Køn Navn Race Adresse E-mail-adresse Seksuel overbevisning Fødselsdato Foto Kreditkortnummer Adgangskontrol Helbreds MedarbejderID Telefonnummer Personlighedstest Nummerplade Politisk overbevisning Religion Genetisk information? Interesser Væsentlige sociale problemer Personlige produktionstal Familiemæssige Uddannelse (karakterer) Pasnr. Initialer/Loginnavn Stilling GPS Størrelse på tøj og sko IP-adresse Fagforeningsmæssige tilhørsforhold Elektroniske spor Rejse Biometriske Videoovervågning Logning i IT-systemer Straffeattest MAC-adresse Løn 2
Hvor gemmer persondata sig? Persondata indgår i mange forretningsprocesser Hver organisation har egne processer - der bør undersøges, kortlægges og risikovurderes Processer understøttes af forskellige systemer, der kan indeholde persondata Human Resource Systems Customer Relation Management (CRM) Sales Supplier/Vendor Relation Management Systems (SRM) Enterprise Resource Management (ERM) Content Management Systems (CMS) Marketing/ targeting Travel Management, and ancillary e.g cost reporting Financial reporting Business Intelligence Physical access management Video Surveillance Whistleblower system Shadow IT Analogue processing of personal data (Fillng cabinets, binders) 6 Overblik: Implementering af persondataforordningen Fase 1. Mapping/GAPanalyse 2. DPOorganisation 3. Databehandlere 4. Procedurer/ processer 5. Samtykker 6. Risikovurderinger 7. Persondatapolitikker 8. Evt. høring af Datatilsynet Opgaver Overblik over fysiske og elektroniske processer med behandling af person (interviews/ spørgeskemaer) Analyse af GAP og risikobillede prioritering af de enkelte dele/områder af implementeringen PACTIUS PRIVACY (herunder fortegnelse over behandlingsaktiviteter) Afgrænsning af opgaver i DPOorganisation Udarbejdelse af politik for DPOfunktion Udpegning af DPO Etablering af DPOorganisation Oplistning af eksterne parter hvortil behandling er outsourcet Gennemgang af eksisterende databehandleraftaler Indgåelse af nye/manglende databehandleraftaler Gennemgang og vurdering af mulige overførsler til dataansvarlige og databehandlere udenfor EU Information af den registrerede Indsigtsanmodninger Underretning af tilsynsmyndighederne ved sikkerhedsbrud Data Protection Impact Assessments (DPIA) Dataportabilitet Roller og autorisationer Procedure for opdatering/vedligeholdelse af PACTIUS PRIVACY Tilpasning af eksisterende samtykker til behandlingsformål Etablering af dokumenteret procedure for indhentning af samtykke Risikovurderinger af sikkerhedsforanstaltninger, herunder audits og løbende opdatering Udarbejdelse af generel intern persondatapolitik Udarbejdelse af generel ekstern persondatapolitik Høring af Datatilsynet ved særligt risikable former for behandling Periode 2-4 måneder 1-2 måneder 2-3 måneder 2-4 måneder 1-2 måneder 2+ måneder 1-2 måneder 1 måned 3
7 GAP-analyse hvilke huller er der? Og hvilke skal lukkes? Afklaring / vurdering af virksomhedens risiko Gennemførelse af interviews af nøglepersoner i fx HR, IT, marketing, finans (påbegyndelse af mapping) Gennemgang og vurdering af relevante firmapolitikker i relation til persondata, fx personalepolitik, IT-politik, mv. Overordnet gennemgang og vurdering af den udveksling af person, som sker mellem selskaber i koncernen og med eksterne leverandører Risikoanalyse Udbytte af GAP-analyse En kort rapport som indeholder: Risikoanalyse, der vil klarlægge complianceniveauet, identificere højrisiko-områder i forhold til aktuelle og kommende lovgivningsmæssige krav Angivelse af konkrete actions/anbefalinger på baggrund af risikoanalysen, herunder en prioriteret liste af indsatsområder (ud fra risiko og ressourcer forbundet med reducering af risiko samt opnåelse af acceptabelt complianceniveau) Afsæt for implementering af kravene i persondataforordningen 8 Illustration af afrapporteringsmetoden i en persondataretlig GAP-analyse Alle findings vurderes i forhold til nedenstående parametre: Complianceniveau Forklaring Complianceniveau er i strid med nuværende lovgivning eller retningslinjer fra Datatilsynet og/eller andre relevante myndigheder. Complianceniveau ikke i overensstemmelse med den kommende lovgivning. Manglende overholdelse kan medføre (store) bøder. Complianceniveau er i strid med anbefalinger fra Datatilsynet og/eller andre relevante myndigheder. Manglende overholdelse kan medføre kritik/advarsel. Complianceniveau overholder lovgivning, samt retningslinjer og anbefalinger udstedt af Datatilsynet og/eller andre relevante myndigheder, Complianceniveauet er i overensstemmelse med den kommende lovgivning. I nogle tilfælde kan complianceniveauet med fordel forbedres af hensyn til virksomhedens retsstilling. 4
9 Hvordan kortlægger man sine (person-)datastrømme? Eksempel: Behandling af person i en (simpel) global koncern Koncern (Brasilien) M/S (Danmark) Databehandler (CRM-system) (Tyskland) (Spanien) (USA) (Kina) Eksempler på behandlede person: Ansatte Kunder Leverandører Agenter Roller: Dataansvarlig Databehandler 5
11 Analyse af persondatastrømme hvordan gør man? Interviews Spørgeskemaer Tænke dynamisk ingen persondatastrømme er statiske Datamodel Konsolidering i database/applikation/ excel/andet? Roche DG, Lanfear R, Binning SA, Haff TM, Schwanz LE, Pactius Privacy modul Vi tilbyder at gennemføre og levere arbejdet i privacy modulet i vores eget kontraksstyringssystem Pactius. Systemet giver organisationen mulighed for nemt, enkelt og billigt at dokumentére og administrere sin behandling af persondata. Vi tilbyder kunder at benytte systemet for en meget konkurrencedygtig pris. Data processer Rapporter Opgaver PRIVACY MODULET Dokumentstyring Hjælp til at samle relevante data Gem organisationens datamapping ét sted Bevar overblikket uagtet datamængden vokser Lav rapporter på databehandlinger Få nøgletal til ledelse og risikovurderinger Print fortegnelser til datatilsyn Følg systematisk op på politikker, kontroller og behandlinger Delegér opgaver til de processansvarlige Tilrettelæg dit privacy management program Alle funktioner fra Pactius kontraktstyringsværktøjet Tilknyt aftaler, politikker, procedurer mv. til konkrete processer Søgning og overblik Høj datasikkerhed I PACTIUS er høj datasikkerhed en topprioritet. Systemet kører på den ISO-certificerede Microsoft Azure-platform, og alle data er sikkert opbevaret inden for EU s grænser i Microsofts datacentre i Dublin og Amsterdam. PACTIUS kan bruges af alle enten af en enkelt person, en afdeling i en virksomhed, et selskab eller en hel koncern. Du kan også tildele segmenteret adgang, så adgangen begrænses til individuelle forretningsenheder. Læs mere på pactius.dk 6
13 Kontakt Mikkel Friis Rossa Partner Aarhus IP & Technology T +45 72 27 33 49 M +45 25 26 33 49 E mif@bechbruun.com København Danmark Aarhus Danmark Shanghai Kina T +45 72 27 00 00 www.bechbruun.com 7