Data Protection Officer (DPO): DPO-krav og outsourcing af DPO-rollen

Relaterede dokumenter
Data Protection Officer: krav og outsourcing af DPO-rollen. Uddannelsesdagen 2017

Persondataforordningen Data Protection Officer. Advokat, Marie Albæk Jacobsen

Rollen som DPO. September 2016

Databeskyttelsesrådgiver/DPO. artikel 37-39

Persondataforordningen

Overblik over persondataforordningen

WP243 BILAG OFTE STILLEDE SPØRGSMÅL

Stormøde om databeskyttelsesforordningen 9. februar 2017

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Til Økonomi- og Indenrigsministeriet 18. september 2017

Databeskyttelse i den almene sektor en digital fremtid. 30. august 2018

Hvorfor er informationssikkerhed et ledelsesansvar?

Persondata og sikkerhedsbrud

DATABEHANDLERAFTALE. Omsorgsbemanding

EU s persondataforordning. Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse

DATABEHANDLERAFTALE Databehandleren skal overholde Persondataloven og Persondataforordningen, samt heraf afledt national lovgivning.

Data Protection Officer Til lægemiddelindustrien og sundhedssektoren

Overblik over persondataforordningen

Den nye persondataforordning. 2. februar 2017

Overblik over Justitsministeriets betænkning og de væsentligste ændringer i persondataforordningen

Plesner Certifikat i Persondataret

Persondataforordningen. Henrik Aslund Pedersen Partner

Retningslinje om databeskyttelsesrådgivere

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

Persondata fra en it-vinkel. Dansk Fjernvarme

Retningslinje om databeskyttelsesrådgivere

Persondataforordningen & kommuner. Vejle, 5. maj 2015 Advokat, partner Nis Peter Dall. Baseret på persondatadirektivet (fra 1995)

Notat. Databeskyttelsesrådgiver. Anvendelsesområde. Formål. Definitioner. Retningslinje om databeskyttelsesrådgivere. Danske Gymnasiers medlemsskoler

Whistleblowerordninger i offentlige myndigheder

Introduktion til persondataforordning

Persondataretlig compliance - Hvordan bliver din organisation klar?

Databehandleraftaler. Ved partner Thomas Munk Rasmussen, Bech-Bruun

DPO-uddannelsen 2018

Per Løkken, Partner. CAMPUS November 2018

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Praktisk databeskyttelse. Praktisk databeskyttelse. Forordningen møder virkeligheden

Persondataforordningen den 20. februar 2018

Præsentation Tid +/- 25 minutter i praktik

Databehandlere. Marts 2019

Bank & Finans IP & Technology

Persondataforordningen - set med danske øjne

DATABEHANDLERAFTALE. [Dataansvarlig: F.eks. Hansen Håndværk ApS] [Adresse] ( Selskabet )

DPO-uddannelsen 2018

DPO ens rolle i praksis. 13. Juni 2016 Advokat Lars Japp Haslund

Persondatapolitik Vordingborg Gymnasium & HF

Er I klar til den nye persondataforordning?

! Databehandleraftale

Den nye persondataforordning. 17. maj 2016

Den Dataansvarlige og Databehandleren benævnes herefter samlet "Parter" og hver for sig "Part".

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Gå-hjem-møde Persondataforordning

Tjekliste til arbejde med persondata. Branchefælleskab for Intelligent Energi

Tønder Kommune BILAG 10

Persondatapolitik for Aabenraa Statsskole

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

Vejledning og tjekliste til indgåelse af databehandleraftaler

Persondataretlig compliance i praksis. Uddannelsesdagen 28. maj 2015 v/ partner Thomas Munk Rasmussen og partner Mikkel Friis Rossa

Persondatapolitik for Tørring Gymnasium 2018

SISCON GDPR I revisionsmæssigt perspektiv incl. præcisering vedrørned DPIA

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

Rigsarkivets konference 2. november 2016

Gå-hjem-møde Persondataforordning

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

Databehandleraftale Om Valeurs behandling af oplysninger på vegne af kunden

Få en globalt anerkendt persondatacertificering

IT-Ansvar God skik og ansvarlighed. Persondataforordningen. Jørgen Granborg

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

Grab n Go: Session 2 EU s persondataforordning og hvad så?!? 17. marts 2016

Persondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017

Persondataforordningen: Første danske fortolkningsbidrag

Tjekliste til databehandleraftaler

Den nye persondataforordning. Advokat Marie Albæk Jacobsen DEIC-konference, den 6. oktober 2015

Persondataforordningen...den nye erklæringsstandard

Databehandlingsaftale

Databeskyttelsesdagen

Orientering om databeskyttelsesforordningen. Sundhedsstrategisk Forum Onsdag den 21. marts 2018

Persondataforordningen: Første danske fortolkningsbidrag

DATABEHANDLERAFTALE. Conscia A/S. Conscia A/S Kirkebjerg Parkvej 9 DK-2605 Brøndby Tlf

PERSONDATAPOLITIK FOR DANSK TOURETTE FORENING

Persondata politik for GHP Gildhøj Privathospital

Stormøde om databeskyttelsesforordningen - og betænkning nr juni 2017

[Firma navn] [Adresse] [Postnummer] [Land] [CVR-nr.] [Navn på kontaktperson] [ ] [Phone number] PSUPPORT.DK ApS. Plantagevej 51, 3460 Birkerød.

Er du klar til den nye Persondataforordning?

Behandling af personoplysninger

ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE

Retningslinje om fortegnelser over behandlingsaktiviteter

GML-HR A/S CVR-nr.:

Databehandleraftale. Mellem. Webdomain CVR (herefter "Databehandleren")

DATABEHANDLERAFTALE Bilag til Aftale om Danløn

DEN KOMMENDE EU-FORORDNING

Persondataloven (lov nr. 429 med senere ændringer)

Retningslinje om fortegnelser over behandlingsaktiviteter

(Kunden og Databehandleren herefter hver for sig kaldet en Part eller Parten og tilsammen Parter eller Parterne )

1.1 Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden.

Birgitte Toxværd Bruun & Hjejle

Persondata, compliance og datasikkerhed. Ved Charlotte Bagger Tranberg

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Databehandleraftale. (den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )

Transkript:

Data Protection Officer (DPO): DPO-krav og outsourcing af DPO-rollen Thomas Munk Rasmussen og Charlotte Bagger Tranberg 2 DPO-krav 1

3 DPO-rollen GDPR art. 37-39 Hvem har pligt til at udpege en DPO? Offentlige myndigheder (undtagen domstole) opgave i samfundets interesse eller i forbindelse med offentlig myndighedsudøvelse Forvaltningslovens 1, stk. 1-2 Private virksomheder, hvis kerneaktivitet består af databehandling, der i medfør af deres karakter, omfang og/eller formål kræver regelmæssig og systematisk overvågning af registrerede i stort omfang Private virksomheder, hvis kerneaktivitet består af databehandling i stort omfang af særlige kategorier af personoplysninger eller oplysninger om straffedomme og straffelovsovertrædelser DPO en udpeges på baggrund af sine faglige kvalifikationer, herunder persondataretlig ekspertise påser, at GDPR overholdes og rådgiver ledelsen i den forbindelse inddrages tilstrækkeligt og rettidigt i alle spørgsmål vedrørende beskyttelse af personoplysninger skal være uafhængig og må ikke modtage instrukser vedrørende udførelsen af sine opgaver kan udføre andre opgaver og have andre pligter, så længe det ikke medfører en interessekonflikt 4 Obligatorisk DPO Dataansvarliges pligt til at udpege en DPO ctr. databehandleres pligt til at udpege en DPO Medfører DPO-pligt hos den dataansvarlige automatisk DPO-pligt hos dennes databehandlere og vice versa? Offentlige myndigheder Offentlige opgaver der varetages af private (fx forsyningsselskaber, public service broadcasting mv.) Brug af private databehandlere 2

5 DPO ens kvalifikationer hvor meget skal DPO en vide? DPO en skal udpeges på grundlag af sine faglige kvalifikationer, navnlig ekspertise inden for persondataret og -praksis samt evne til at udføre de opgaver, der er fastlagt i GDPR. Præamblen, pkt. 97: Den nødvendige ekspertise bør navnlig fastlægges i henhold til de databehandlingsaktiviteter, der foretages, og den beskyttelse de personoplysninger, som den dataansvarlige eller databehandleren behandler, kræver. Faglige kvalifikationer og ekspertise DPO en udpeges under hensyntagen til følsomheden, kompleksiteten og mængden af data, som virksomheden/myndigheden behandler Kendskab til national og europæisk databeskyttelseslovgivning og praksis og en indgående forståelse af GDPR Branchekendskab og kendskab til organisationen Evne til at udføre opgaver. Dækker både personlige kvalifikationer (viden) og position i organisationen Én eller flere personer (DPO-team/goveranace)? 6 Generelle krav i forordningen vedrørende DPO Den dataansvarlige/databehandleren skal sikre, at DPO en ikke modtager instrukser vedr. udførelsen af sine opgaver Rapporterer direkte til øverste ledelsesniveau (C-level stilling) DPO en skal underlægges tavshedspligt/fortrolighed vedrørende udførelsen af sine opgaver (i overensstemmelse med EU-ret/lovgivningen i en medlemsstat) DPO en kan udføre andre opgaver/pligter Vær opmærksom på interessekonflikt! BCR-politik skal indeholde beskrivelse af DPO ens opgaver 3

7 Hvornår skal DPO en på banen? Så tidligt som muligt involvering af DPO en fra et tidligt stadie sikrer, at aktiviteter gennemføres med compliance for øje, en privacy by design-tilgang i overensstemmelse med GDPR Tidlig involvering af DPO en bør være en standardprocedure DPO en bør anskues som en sparrings- og samarbejdspartner partner i organisationen i forbindelse med nye tiltag og projekter DPO en skal involveres, når der gennemføres en DPIA DPO en skal samarbejde med og være kontaktpunkt for de relevante tilsynsmyndigheder (bl.a. høre tilsynsmyndigheden, når det er nødvendigt) 8 Hvordan sikres det, at DPO en involveres på det rigtige tidspunkt? Anbefalinger fra Artikel 29-gruppen: DPO en bør inviteres til regelmæssigt at deltage i ledelsesmøder DPO en bør være til stede, når der skal træffes beslutninger, der har berøring med databeskyttelse DPO en skal have relevant information tilsendt i god tid, så vedkommende har mulighed for at give den korrekte rådgivning DPO ens råd bør altid tillægges betydelig vægt Hvis DPO ens råd ikke følges, bør årsagen hertil kunne dokumenteres DPO en bør inddrages straks I tilfælde af sikkerhedsbrud eller lignende Der kan udfærdiges en vejledning for, hvornår DPO en skal konsulteres 4

9 At vælge den rette DPO Kravet om uafhængighed DPO en må ikke modtage instrukser vedrørende udførelsen af sine opgaver Dette krav gælder uanset om der er tale om en intern eller en ekstern DPO DPO en kan ikke træffe beslutninger udover hvad der er fastsat i GDPR (art. 39) Deltids-DPO interessekonflikter DPO en kan varetage andre opgaver men disse må ikke resultere i en interessekonflikt DPO en må ikke i forbindelse med andre opgaver agere dataansvarlig, herunder træffe beslutning om formålet med og midlerne til en given behandling Stillinger i direktionen vil ofte resultere i en interessekonflikt Intern / ekstern DPO Ekstern DPO skal også opfylde kravet om uafhængighed Hvad passer bedst til organisationen SME ctr. store globale koncerner? Komplekse datastrømme Kompleks organisation Kan advokater, revisorer mv. varetage DPO-rollen for klienter/kunder? 10 Sanktioner over for DPO en DPO en må ikke afskediges eller straffes for at udføre sine opgaver Gælder både direkte og indirekte straffe Fx fravær af eller forsinkelse af forfremmelse eller nægtelse af at modtage personalegoder, som andre ansatte modtager En trussel om en straf er også omfattet af forbuddet DPO en kan afskediges på baggrund af almindelige ansættelsesretlige regler funktionærloven eller overenskomst Lovforslag: tavshedspligt for DPO er i private virksomheder bødebelagt 5

11 12 Outsourcing af DPO-rollen 6

13 Indeholdte ydelser i DPO-service Information Bech-Bruun DPO Lab : Interaktiv platform med adgang til vejledninger, nyheder og seneste praksis Krypteret transmission, begrænset adgang og log Uddannelse Juridisk opdatering på to årlige netværksmøder E-learning platform (indhold skal skræddersyes) Årlig audit og rapporteringsmøde med organisationens ledelse Kontrol af, om regler, politikker og konsekvensanalyser efterleves Rapport indeholdende risikovurdering og anbefalinger. 14 Indeholdte ydelser i DPO-service Kontaktpunkt og bindeled over for borgere/kunder Visitering af indsigtsanmodninger og klager m.m. Administration af korrespondance med borgere/kunder og tilsynsmyndighed (Sagsbehandling ud over ekspedition afregnes efter medgået tid) Kontaktpunkt og bindeled over for tilsynsmyndigheder 24-timers emergency-assistance i forbindelse med sikkerhedsbrud, der involverer personoplysninger Deltagelse i fysiske kontrolbesøg fra tilsynsmyndighed Juridisk hotline service Telefonisk sparring med specialister efter behov 7

15 Indeholdte ydelser i DPO-service Rådgivning i forbindelse med konsekvensanalyser, sikkerhed og registreredes rettigheder Løbende dialog med fast tilknyttet specialist Deltagelse i månedligt møde i fx sikkerhedsudvalg Ansvar og fortrolighed Ansvarsforsikring, advokatetiske regler og lovbestemt tavshedspligt Tjenesteydelseskontrakt Der indgås en tjenesteydelseskontrakt for ét år af gangen Abonnementsbetaling kvartalsmæssigt forud 16 Kontakt Thomas Munk Rasmussen Charlotte Bagger Tranberg Partner København Persondataspecialist Aarhus CCI IP & Technology T +45 72 27 33 55 M +45 25 26 33 55 E tmr@bechbruun.com T +45 72 27 34 76 M +45 25 26 34 76 E cbt@bechbruun.com København Danmark Aarhus Danmark Shanghai Kina T +45 72 27 00 00 www.bechbruun.com 8

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback