Personoplysninger. Jens Hørlück

Relaterede dokumenter
Introduktion til persondataforordning

Overblik over persondataforordningen

Standardvilkår. Databehandleraftale

Ny persondataforordning

Ny persondataforordning

opfylde vores kontraktuelle forpligtelser over for dig, samt at

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

Persondataforordningen AbMano

PERSONDATA - HVAD ER DET FOR NOGET OG HVORDAN BRUGES DET?

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

Overblik over persondataforordningen

Hvad betyder den nye persondataforordning for udvikling og brug af digitale sundhedsløsninger, og hvem har ansvaret for overholdelse?

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Den nye persondataforordning. 17. maj 2016

Ecofleet. Persondataforordningen Kort fortalt. Del 1. Peter Dam Nordic Project Manager

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Persondataforordningen. Henrik Aslund Pedersen Partner

Den nye persondataforordning. 2. februar 2017

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

EU Persondataforordning GDPR

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Aftale vedrørende fælles dataansvar

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

Det skal du have styr pa inden 2018

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Databehandleraftale

PRIVATLIVSPOLITIK for Advokatfirmaet Gaarn Pedersen. (Opdateret maj 2018)

Per Løkken, Partner. CAMPUS November 2018

Cirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

N. Zahles Skole Persondatapolitik

Ny Persondataforordning mv.

! Databehandleraftale

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

Introduktion til persondataforordningen PSF temadag d , lektor Dorthe Høilund, Metropol

Databeskyttelse i den almene sektor en digital fremtid. 30. august 2018

BILAG 3.2 FÆLLES DATAANSVARSAFTALE

Databehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.

Behandling af personoplysninger

Persondatabeskyttelsespolitik for REFA

PERSONDATAFORORDNINGEN STATUS???? OG ER DER NOGET NYT I DEN?

Bekendtgørelse om opgaver og ansvar for behandlingen af personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse

CIR1H nr 9352 af 23/05/2018 (Gældende) Udskriftsdato: 24. maj Senere ændringer til forskriften Ingen. Journalnummer: Kirkemin., j.nr.

Skau Reipurth & Partnere Advokatpartnerselskab FORTEGNELSE OVER BEHANDLINGSAKTIVITER. Dataansvarlig: Databehandler: Udarbejdet: Næste revision:

DanDomain A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

CVR-nr. og kontaktoplysninger (adresse, hjemmeside, telefonnummer og )

Fysiske personer. Vi ved jo alle, hvad en person er. Det er sådan en som os selv (Peter Blume: Databeskyttelsesret, 4. udg., 2013, s. 30f.

Databeskyttelsespolitik for:

Surftown A/S. Regionsgolf-Danmark DATABEHANDLERAFTALE. Databehandleraftalen foreligger mellem. Regionsgolf-Danmark.

Persondataforordningen

Persondataforordningen

Procedure for håndtering af personoplysninger - GDPR Denne udgave: /TW

Privatlivspolitik for tilmeldte til SocialBar

Privatlivspolitik. Odense LMU

DATABEHANDLERAFTALE

Hvis vi har brug for yderligere oplysninger end angivet ovenfor, vil vi orientere dig herom ved indsamlingen heraf.

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

DATABEHANDLERAFTALE. Conscia A/S. Conscia A/S Kirkebjerg Parkvej 9 DK-2605 Brøndby Tlf

Velkommen til seminar om Persondataforordningen. Den 16. maj 2018.

EN DAG OM PERSONDATAFORORDNINGEN. STU Foreningen. 7. december 2017

WinWinWeb Databehandleraftale. Databehandleraftale. Mellem. Den Dataansvarlige: Kunden. Databehandleren: WinWinWeb CVR:

Workshop om persondataforordningen

PERSONDATAPOLITIK FOR ORDET OG ISRAEL

Nexø Frikirke. PRIVATLIVSPOLITIK i NEXØ FRIKIRKE

Europaudvalget EUU Alm.del EU Note 27 Offentligt

GDPR. Kom i gang med udarbejdelse af dokumentation. GDPR tjekliste til webshopejere

Persondatapolitik i Dansk Oplysnings Forbund

Oplysning om behandling af personoplysninger om dig i medfør af databeskyttelsesforordningen artikel 13.

FORTEGNELSE OVER BEHANDLINGSAKTIVITER. Dataansvarlig: Databehandler: Område: Udarbejdet: Næste revision:

Persondataloven i en Smart City kontekst. Alexander Tureczek, Ph.d. candidate

Persondata politik for GHP Gildhøj Privathospital

Fællesmøde for flis- og brændselspillegruppen samt halmgruppen

Rigsarkivets konference 2. november 2016

Persondataforordningen

Persondataforordningen den 20. februar 2018

Databehandleraftale (v.1.1)

1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?

Persondatapolitik for Aabenraa Statsskole

PERSONDATALOVEN - UDFORDRINGER. Birthe Boisen, Juridisk Konsulent Tlf

Databehandleraftale. (den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )

DATABEHANDLERAFTALE. indgået mellem. Navn: CVR-nr.: Adresse: Postnr. og by: (den Dataansvarlige ) og

PERSONDATAPOLITIK. Indholdsfortegnelse. Kontaktoplysninger ) Generelt om databeskyttelse Gennemsigtighed og samtykke...

Den Dataansvarlige og Databehandleren benævnes herefter samlet "Parter" og hver for sig "Part".

Databehandleraftale. Mellem. Den dataansvarlige: Landbrugsstyrelsen CVR Nyropsgade København V. Danmark. Databehandleren.

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

HAR DIN VIRKSOMHED STYR PÅ GDPR? v/ Advokat Henrik Mansfeldt Witt & Advokatfuldmægtig Majbritt Alemany

PRIVATLIVSPOLITIK FOR VÆRFTET NEXØ KRISTNE SKATECENTER, LEGELAND OG CAFE

Præsentation Tid +/- 25 minutter i praktik

Databehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren.

Persondatapolitik for Tørring Gymnasium 2018

Information om PenSam s behandling af ansøgeres personoplysninger mv.

Er du klar til den nye Persondataforordning?

Bilag 1 Databehandler aftale (v.1.2)

Politik for beskyttelse og behandling af personoplysninger

INTERN HR PERSONDATAPOLITIK FOR LIONS MD106. Nærværende gælder for MD 106, dvs. alle ansatte og medlemmer i Lions MD 106.

Privatlivspolitik. for Odense LM

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

PERSONDATAPOLITIK FOR BAPTISTERNES BØRNE- OG UNGDOMSFORBUND

September Indledning

Transkript:

Personoplysninger Enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede) Vi bør have kontrol over vores personoplysninger. Det er vigtigt at skabe den tillid, der gør det muligt, at den digitale økonomi kan udvikle sig Jens Hørlück Cand. Oecon 1975-82 Landbrugets EDB Center 1982-2009: Adjunkt/lektor ved AU - Institut for Økonomi. 2009: Projektleder ved Aarhus Universitet IT 2014: Pension Undervisning og forskning i IT for økonomer Informationsanalyse IT økonomi Projektledelse især IT projekter IT infrastruktur Persondata har været med siden registerloven (1979) 1

Jens Hørlück mine holdninger Det er samfundets skyld Ledelsens Jens Hørlück mine holdninger Det er ledelsens ansvar Desværre har ledelsen ofte holdninger som: IT er teknik Hvor svært kan det være 2

KMD s pladsanvisningssystem har været utæt i 12 år. Nu: Brud på persondatalovens 41 stk. 3. FY Forordning: Kommunernes ansvar, at persondata behandles korrekt Bødestraf til kommunerne - Måske Kommunerne skal på forhånd dokumentere, at de har sikret sig og har aftalerne på plads Mulighed for regres??? KMD kendte hullet i lang tid Bødestraf til databehandler (op til 2% af omsætning) Skal anmeldes indenfor 72 timer ellers særskilt bøde E-mail En sagsbehandler sender personfølsomme oplysninger via E- mail til en person udenfor kommunens net. Klar overtrædelse, både af nugældende lov og af forordningen Men fremover kan kommunen idømmes bøde. (Måske) Det er kommunens ansvar at ansatte kender reglerne og følger dem. 3

EU persondataforordning gælder fra 25. maj 2018 Erstatter EU s persondatadirektiv fra 1995 Direktiv: omsættes til nationale love Danmark: Persondataloven fra 2000 Stor forskel på national lovgivning og praksis - i EU / EØS Forordning: direkte virkning i alle EU/EØS lande Direktivet fra 1995 forældet Mail, Web, Cloud, mobil teknologi. Alle er på Internationalisering af databehandling Store globale IT virksomheder. General Data Protection Regulation (GDPR) 88 sider Præambel Formål og indledende betragtninger (173 punkter 30 sider) Kapitel III Den registreredes rettigheder Art. 12-23 Kapitel VI Uafhængige tilsynsmyndigheder Art. 51-59 Kapitel IX Bestemmelser vedrørende specifikke behandlingssituationer Art. 85-91 Kapitel I Generelle bestemmelser Art. 1-4 Kapitel IV Dataansvarlig og databehandler Art. 24-43 Kapitel VII Samarbejde og sammenhæng Art. 60-76 Kapitel X Delegerede retsakter Art. 92-93 Kapitel II Principper Art. 5-11 Kapitel V Overførelse af personoplysninger til tredjelande Art. 44-50 Kapitel VIII Retsmidler, ansvar og sanktioner Art. 77-84 Kapitel XI Afsluttende bestemmelser Art. 94-99 4

EU persondataforordning gælder fra 25. maj 2018 Dansk særlovgivning vedr. Undersøgelser i strafferetlige sager Statens sikkerhed Specielle særregler (meget få) Mulighed for bødestraf til offentlige myndigheder Lovforslaget siger nej Flertal i folketinget for et ja CPR nummers specielle stilling fastholdes Stramninger Persondata loven Forordningen Ident Identificerede oplysninger Identificerbare oplysninger Reaktionstid indsigt Reaktionstid - Rettelser - Sletning - snarest - hvis ikke inden 4 uger, skal der gives besked - Ingen absolut grænse - Snarest - God forvaltningsskik - uden unødig forsinkelse. - senest en måned efter - I meget komplekse sager max 2 måneder - uden unødig forsinkelse Gebyr ved indsigt Kan kræves max 200 kr Gratis 5

Persondata - ændringer Almindelige oplysninger Persondata loven Personnavn Adresse E-mail Semi følsomme Følsomme Strafbare forhold Sociale problemer Andre rent private end følsomme oplysninger Race eller etnisk baggrund Politisk, religiøs eller filosofisk overbevisning Fagforeningsmæssige tilhørsforhold Oplysninger om helbred eller seksuelle forhold Cpr nummer Aldrig offentliggørelse uden samtykke Persondata - ændringer Persondataforordning Behandling Almindelige oplysninger Rent private Følsomme Cpr nummer Personnavn Adresse E-mail +oplysninger, der ikke er nedenfor Strafbare forhold Sociale problemer Andre rent private oplysninger Race eller etnisk baggrund Politisk, religiøs eller filosofisk overbevisning Fagforeningsmæssige tilhørsforhold Oplysninger om helbred eller seksuelle forhold Behandling af genetiske eller biometriske data med henblik på unik identifikation Aldrig offentliggørelse uden samtykke Alm. behandlingskrav Forskel på private og offentlig behandling Forbudt medmindre - Led i lovbestemt behandling - Udtrykkeligt samtykke Dansk særlovgivning herom 6

Behandling er kun lovlig, hvis Den registrerede har givet samtykke til et eller flere specifikke formål. Nødvendig af hensyn til udførelse af en opgave, som er i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt. Nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i. Nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige. Nødvendig for at beskytte den registreredes vitale interesser. Nødvendig for, at den dataansvarlige kan forfølge en legitim interesse, med mindre den registreredes interesser går forud Roller i henhold til forordningen 7

Roller i henhold til forordningen Roller i henhold til forordningen Kontrakt Kontrakt 8

Roller i henhold til forordningen Kontrakt Dokumenteret instruks fra den dataansvarlige, Passende - specificerede - sikkerhedsforanstaltninger Fortrolighedsklausul for alle relevante medarbejdere Bistår dataansvarlige med anmodninger, ajourføring af data Sletter alle oplysninger ved ophør af kontrakt Stiller alle nødvendige oplysninger til rådighed for dataansvarlige. Roller i henhold til forordningen Skal godkendes af dataansvarlig som en del af oprindelig kontrakt Skal leve op til samme kontrakt Den oprindelige databehandler forbliver fuldt ansvarlig Kontrakt 9

Roller i henhold til forordningen Skal findes i offentlige institutioner kan være fælles Skal findes i private virksomheder, hvor persondata er en del af kerneaktiviteten og som behandler i stort omfang Skal være fagligt kvalificeret Skal inddrages tilstrækkeligt og rettidigt Skal have tilstrækkeligt med ressourcer til at gennemføre sit arbejde. Roller i henhold til forordningen. 10

Compliance pluk fra forordning Artikel 5.2: Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes (»ansvarlighed«). Artikel 24.1: Under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med denne forordning. Disse foranstaltninger skal om nødvendigt revideres og ajourføres. Compliance Hvilke personoplysninger behandler kommunen? På hvilket retligt grundlag behandler kommunen personoplysninger? Hvis ikke der er et klart lovgrundlag: Hvilken information giver kommunen de registrerede? Hvordan opfylder kommunen de registreredes rettigheder? Hvordan indhenter kommunen samtykke? Hvordan med personoplysninger om børn? Hvad skal kommunen gøre ved brud på persondatasikkerheden? Har kommunen indtænkt databeskyttelse i jeres it-systemer? Hvem er ansvarlig for databeskyttelsesspørgsmål? Overfører kommunen oplysninger til udlandet? 11

Compliance - datamapping Hvem indsamler personoplysninger Hvilke typer PO og hvilke lovkrav er der til behandling Hvor opbevares data? Hvordan indsamles data? Hvorfor indsamles data? Særlige lovkrav? Hvilken information er undergivet særkrav? Hvem håndhæver regulatoriske krav og hvordan - sanktionsniveau? Hvorfor er reglerne der? Den registreredes rettigheder Oplysningspligt fra databehandler Indsigtsret Ret til at korrigere og slette oplysninger Ret til at gøre indsigelse mod behandlingen Ret til at tilbagekalde sit samtykke til enhver tid Ret til at klage til Datatilsynet 12

Samtykke skærpede krav Almindelige oplysninger: Samtykke Følsomme oplysninger: Udtrykkeligt samtykke Samtykke skal være specifikt og formålsbestemt Kan ikke udvides uden nyt samtykke Samtykkeanmodningen skal adskilles tydeligt fra øvrigt indhold Skal kunne frafaldes lige så nemt som det gives Der skal informeres om, hvordan man kan frafalde sit samtykke, få slettet, ajourført sine oplysninger og få indsigt i sine data og gøre indsigelse over behandlingen. Gælder også samarbejdspartnere Samtykke skærpede krav Samtykke kan ikke udgøre lovligt behandlingsgrundlag, hvis der er en klar ubalance mellem datasubjektet og den dataansvarlige Samtykke må ikke kræves som betingelse for tillægsydelser, der ikke er nødvendige i forhold til en kontrakt. I forbindelse med børns (< 16 år) aktiviteter på f.eks. sociale medier skal samtykke indhentes hos den, der har forældremyndigheden Ansvaret for dokumentationen påhviler databehandler 13

Ret til sletning retten til at blive glemt Når oplysningerne er ikke længere nødvendige i forhold til formålet med indsamling og behandling, F.eks. Tilbagekaldelse af samtykke Manglende retligt grundlag Personen modsætter sig databehandlingen og ingen tungtvejende legitime grunde til fortsat behandling Uden unødig forsinkelse. Gælder også samarbejdspartnere. Overførsel af data til udenfor EU/EØS ( tredjelande ) Som udgangspunkt forbudt - dog Dataoverførsel kan ske til tredjelande, hvis modtagerlandet yder et tilstrækkeligt sikkerhedsniveau for de overførte oplysninger, f.eks. EU standard contractual clauses (model contracts) Ikke krav om tilladelse fra Datatilsynet, medmindre ordlyden ændres Yderligere bestemmelser er som udgangspunkt ok, hvis de ikke er i strid med Model Clauses Binding Corporate Rules Skal godkendes af Datatilsynet og evt. et andet EU tilsyn Sikre tredjelande, såsom Israel, Argentina, Canada, Schweiz tilladelse kræves ift. følsomme oplysninger EU US privacy shield Specielle regler Samtykke eller en af de andre undtagelser, f.eks. kontrakt- eller lovgrundlag 14

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback