Databeskyttelsesdagen

Relaterede dokumenter
Persondataforordningen...den nye erklæringsstandard

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

Persondataforordningen den 20. februar 2018

Digitaliseringsstyrelsens konference 1. marts 2018

Persondataforordningen Erklæringer - omfang og værdi August 2016

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

Overblik over Justitsministeriets betænkning og de væsentligste ændringer i persondataforordningen

EU s databeskyttelsesforordning. offentlige sektor PwC s tilgang og erfaringer

Databehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

3 Omfattede typer af personoplysninger og kategorier af registrerede

WinWinWeb Databehandleraftale. Databehandleraftale. Mellem. Den Dataansvarlige: Kunden. Databehandleren: WinWinWeb CVR:

BILAG 14: DATABEHANDLERAFTALE

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Kontraktbilag 3. Databehandleraftale

Bilag 8. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

Cirkulæreskrivelse om Styrelsen for It og Lærings opgaver som databehandler i visse administrative systemer på undervisningsområdet

Afgifter og meget andet Ivan Ibsen 7. oktober 2015

Brud på datasikkerheden

Introduktion til persondataforordning

Forsvarsministeriets Materiel- og Indkøbsstyrelse

2017 Projekt persondataforordningen

Persondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017

Databehandleraftale (Skabelon fra Datatilsynet)

EU-PERSONDATAFORORDNINGEN. Selvejende og Private Daginstitutioner

BILAG TILSYN OG EGENKONTROL UDFØRT DEN [INDSÆT: DATO]

Persondatalovens dokumentationskrav

Fremtidens bank i en digital verden november 2015

1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?

Retningslinje om fortegnelser over behandlingsaktiviteter

Rigsarkivets konference 2. november 2016

Transkript:

www.pwc.dk Databeskyttelsesdagen GDPR: Ping-pong mellem teori og praksis! Revision. Skat. Rådgivning.

Præsentation Claus Bartholin Senior Manager, IT Risk Assurance E: cbt@pwc.dk T: +45 3945 3973 M: +45 2363 9921 Lena Andersen Salin Manager, IT Risk Assurance E: Lxh@pwc.dk T: +45 3945 9800 M: +45 3068 6662 2

Hvad siger forordningen? Grundprincipper Ansvarlighed Krav om databeskyttelsespolitikker? 3

Grundprincipperne i forordningen Artikel 5, stk. 1 a) Lovlighed, rimelighed og gennemsigtighed b) Formålsbegrænsning c) Dataminimering d) Rigtighed e) Opbevaringsbegrænsning f) Integritet og fortrolighed Artikel 5, stk. 2 Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes ( ansvarlighed ) 4

Den dataansvarliges ansvar Artikel 24, stk. 1 Under hensyntagen til den pågældende behandlings: karakter omfang Sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandlingen er i overensstemmelse med denne forordning. Disse foranstaltninger skal om nødvendigt revideres og ajourføres. 5

Krav om databeskyttelsespolitikker? Artikel 24, stk. 2 Hvis det står i rimeligt forhold til behandlingsaktiviteter, skal de foranstaltninger, der er omhandlet i stk. 1, omfatte den dataansvarliges implementering af passende databeskyttelsespolitikker. Artikel 24, stk. 3 Overholdelse af godkendte adfærdskodekser som omhandlet i artikel 40 eller godkendte certificeringsmekanismer som omhandlet i artikel 42 kan bruges som et element til at påvise overholdelse af den dataansvarliges forpligtelser. 6

Hvad gør vi i praksis? Projektplan Udvalgte emner 7

Faser i et GDPR-projekt Strategisk afklaring/dialog Oversigt over behandling Organisering Persondatatjek Persondatapolitik Privacy by design, risici og DPIA Databehandleraftaler Sikkerhedsbrud Awareness program 8

Fase 2 - Oversigt over behandling Spørgsmål Hvilke krav er der til indholdet i fortegnelserne? Svar Forordningen indeholder minimumskrav Data fra alle dele af organisationen Er der formkrav? Ingen formkrav Fx skabeloner Hvor mange fortegnelser skal man have? Afgræns på hovedområder Vi ser et ønske om mange fortegnelser, der dækker specifikke emner 9

Fase 4 - Persondatatjek (Lovlig behandling og registreredes rettigheder) Spørgsmål Hvordan skal man dokumentere lovlig behandling? Hvordan håndterer vi kravet om opbevaringsfrister? Svar Kortlægning af retsgrundlaget Indsæt behandlingshjemmel Byg videre på fortegnelserne Afklar ønsker og behov, fastlæg derefter sletterutinerne Afklar om manuel eller automatisk Dokumentér Hvad gør vi med samtykker? Afklar hvor samtykke er hjemlen Formulér eller opdatér samtykkeerklæringer Dokumentér samtykker 10

Fase 7 - Databehandleraftaler Spørgsmål Hvordan skal vi påse, at behandlingen hos leverandøren sker sikkert nok? Hvad er kravene til en databehandleraftale? Skal vi stille specifikke sikkerhedskrav til vores databehandler? Svar Samarbejde er nødvendigt Risikobaseret tilgang ISAE 3000 databeskyttelseserklæring Artikel 28 s krav skal med i aftalen Sikkerheden: Vurdér om (cloud)-leverandørens standardbetingelser er tilstrækkelige 11

Hvad gør vi i praksis? To-do-liste NB! Vurderingen af, om en given aktivitet skal udføres, eller om en databeskyttelsespolitik eller procedure skal foreligge, vil bl.a. bero på, hvilke behandlingsaktiviteter der er tale om i den pågældende virksomhed 12

1. Strategisk afklaring/dialog Planlægning af arbejdet med at etablere efterlevelse Ledelsesforankring Styregruppe/projektledelse Deltagere Prioriteringer Tidsplaner GDPR-grundlag Afklaring af ambitioner, og dialog om eksisterende praksis fx risikovurdering, mhp. at forstå organisationens forhold. Forretningsfokus Evt. modenhedsvurdering/gap-analyse 13

2. Oversigt over behandling Afklar, hvem er den dataansvarlige virksomhed eller myndighed (fx i koncerner eller i samarbejder, franchiseforhold ol.) Hvis aktiviteter i flere lande: Afklar om flere landes lovgivning finder anvendelse Afklar om der foregår aktiviteter både som dataansvarlig og databehandler Kortlægning af persondata og behandlinger: Artikel 30, stk. 1-fortegnelser som dataansvarlig Artikel 30, stk. 2- fortegnelser som databehandler Overblik over anvendte systemer Overblik over anvendte databehandlere Procedurer vedrørende fortegnelser (ansvar og retningslinjer) 14

3. Organisering Fastlæg, hvor i virksomheden ansvaret for databeskyttelsen skal ligge Beskriv, hvordan efterlevelse af databeskyttelsesreglerne er organiseret i en databeskyttelsespolitik Evt. udpegelse af databeskyttelsesrådgiver (DPO) og organisering heraf Udpeg evt. en eller flere ressourcepersoner, som skal understøtte databeskyttelsen i organisationen 15

4. Persondatatjek Lovlig behandling Procedurer og dokumentation vedrørende behandlingsgrundlaget Behandlingsgrundlag Samtykker, der begrunder behandling Sletterutiner, fastlæggelse og implementering Standardkontrakter for overførsel af persondata til et tredjeland, hvor der ikke er andet grundlag for overførslen Registreredes rettigheder Procedurer og dokumentation vedrørende håndtering af de registreredes rettigheder Generelle procedurer vedrørende registreredes rettigheder Specifikke procedurer vedrørende enkelte rettigheder Hvor og hvor længe dokumenteres håndteringen af rettighederne? 16

5. Persondatapolitik Privatlivs- og persondatapolitikker i forhold til interne og eksterne registrerede, fx: Ansøgere og medarbejdere Borgerhenvendelser Direktion Klagesager Konferenceadministration Kunder Tv-overvågning Plan for implementering af persondatapolitikerne, herunder dokumentation 17

6. Privacy by design, risici og DPIA Procedurer vedrørende behandlingssikkerhed (evt. it-sikkerheds-politikken) Dokumentation Risikovurdering vedr. sikkerhed Beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger der er vurderet som passende til imødegåelse af de identificerede risici Overvejelser og beslutninger vedr. databeskyttelse gennem design og standardindstillinger Implementering af de valgte sikkerhedsforanstaltninger Evt. afprøvning og evaluering af tekniske og organisatoriske sikkerhedsforanstaltninger Kontrol af, at virksomhedens sikkerhedsforanstaltninger mv. efterleves Konsekvensanalyser vedrørende databeskyttelse (DPIA): Afklaring af behov, samt evt. procedurer og dokumentation 18

7. Databehandleraftaler Procedurer vedrørende behandling ved databehandlere Dokumentation Databehandleraftaler Garanti for databehandlers efterlevelse Kontrol med databehandler, fx erklæring (påvise) Godkendelser af underdatabehandlere. Hvis generel skriftlig godkendelse: Dokumentation af underretninger fra den primære databehandler om, hvilke underdatabehandlere der benyttes Håndtering af eventuelle underretninger fra databehandler om strid med lov mv. (art. 28, stk. 3, litra h), sidste led) 19

8. Sikkerhedsbrud Procedurer vedr. håndtering af brud på persondatasikkerheden Dokumentation Registrering af alle brud på persondatasikkerheden Foretagne anmeldelser til Datatilsynet Meddelelser til de berørte registrerede Beslutninger om ikke at sende anmeldelse til Datatilsynet eller ikke at sende meddelelse til registrerede 20

9. Awareness program Instruks til medarbejdere, der behandler personoplysninger (der gælder ingen formkrav, kan evt. følge af en bestemt stilling eller autorisation fra den dataansvarlige) Awareness aktiviteter for medarbejdere Dokumentation af awareness aktiviteter 21

Spørgsmål? Denne publikation er udarbejdet alene som en generel orientering om forhold, som måtte være af interesse, og gør det ikke ud for professionel rådgivning. Du bør ikke disponere på baggrund af de oplysninger, der er indeholdt i denne publikation, uden at indhente specifik professionel rådgivning. Vi afgiver ingen erklæringer eller garantier (udtrykkeligt eller underforstået) hvad angår nøjagtigheden og fuldstændigheden af de oplysninger, der findes i publikationen, og, i det omfang loven tillader, accepterer eller påtager PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, dets aktionærer, medarbejdere og repræsentanter sig ikke nogen forpligtelse, ansvar eller agtpågivenhedspligt for eventuelle konsekvenser, som følger af, at du eller andre handler eller undlader at handle i tillid til de oplysninger, der findes i publikationen, eller for eventuelle beslutninger truffet på baggrund af publikationen. 2018 PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab. Alle rettigheder forbeholdes. I dette dokument refererer til PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, som er et medlemsfirma af PricewaterhouseCoopers International Limited, hvor hver enkelt virksomhed er en særskilt juridisk enhed.

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback