Præsentation Tid +/- 25 minutter i praktik

Transkript

1 Præsentation Tid +/- 25 minutter i praktik # # God grund Ikke luske/rode # Ansvarlig & troværdig # Samtykke Interesseafvej. Legitimt # Dokumentation # Træning # Databeskyttelsesrådgiver # Det komplekse er efter 25. maj min. Tavle: GDPR projektet for alle virksomheder og de få virksomheder min. Tavle: Definitioner 7 2 min. Tavle: Nye opgaver 8 4 min. Tavle: Principper 9 2 min. Tavle: Sikkerhed min Tavle:Grænse overskridende databehandlinger og samarbejdskonstruktioner min Tavle: Projektets faser " 21 3 min Tavle: Q & A kontaktinfo

2 Forordningen i overskrifter Ordentlighed " " " " God grund Ikke luske eller rode Ansvarligt og troværdigt " Samtykke Interesseafvej. Legitimt Reglerne KRÆVER, at man bruger personoplysninger på en civiliseret måde: Man skal have en god grund Et legitimt formål og altid need to have, ikke nice to have (data) Man må hverken luske eller rode Man skal være åben om, hvad man gør med folks oplysninger og man skal være klar over, hvad man har liggende (gennemsigtighed og dokumentation) Man skal opføre sig ansvarligt og troværdigt Skabe den tillid, der er nødvendig for at skabe det digitale indre marked Sikkerhed og medarbejdertræning

3 JURA ALLE VIRKSOMHEDER FÅ VIRKSOMHEDER

4 Definitioner Artikel 4 " Personoplysninger Religiøs og filosofisk oprindelse Samtykke (skriftligt & mundtligt) Dataansvarlig Databehandler Samtykke Interesseafvejning Legitime forhold Automatiske afgørelser - profilering Den registrerede Fagforening tilhørsforhold Profilering Anonymiserede oplysninger Genetisk data Brud på persondatasikkerhed Pseudonymiserede oplysninger Krypteret oplysninger Almindelige personoplysninger Følsomme oplysninger Race og etniske oplysninger Politiske holdninger Biometrisk data (billeder) Helbredsoplysninger Seksualitet & seksuel orientering Behandling Dataansvarlig Databehandler DPO (Databeskyttelsesmedarbejder/rådgiver)

5 Dataansvarlig Artikel 4, nr. 7 " Bestemmelsesretten Flere dataansvarlige Skifte status En fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formålene og hjælpemidlerne til en sådan behandling er fastlagt i EU-retten eller medlemsstaternes nationale ret, kan den dataansvarlige eller de specifikke kriterier for udpegelse af denne fastsættes i EU-retten eller medlemsstaternes nationale ret Pligtsubjektet, men kan være flere, så dataansvaret deles samh. artikel 26 Retten til at råde over formålet med behandling af oplysningen og har interessen i behandlingen Bestemmelsesretten

6 Databehandler Artikel 4, nr. 8 " Teknikeren Efter instruks Kædeansvar En fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne Ingen bestemmelsesret/ikke eget formål Handler efter instruks Bliver selv dataansvarlig, hvis går uden for instruks, jf. artikel 28, stk. 10 Kan have underdatabehandlere, hvis dataansvarlige godkender det generelt eller konkret, jf. artikel 28, stk. 2, nr. 4.

7 Nyt opgave Det er en rigtig god ide at have en proces for Eget initiativ Kræver anmodning Oplysningspligt (ret til information) Indsigtsret og korrektionsret Indsigelses ret Ret til sletning og databegrænsning Ret til dataportabilitet

8 Princippet om ansvarlighed Artikel 5, nr. 2 " Påvise " Intern " Ekstern # Dokumentation # Risikobaseret

9 Sikkerhed Artikel 5, nr.1, litra f " Foranstaltninger = kontroller Organisationen Processer System (it-) teknisk Fysisk Personoplysninger skal. behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger (»integritet og fortrolighed«). Organisatorisk (adgang til lokaler og systemer) de billige Fysisk (lås, nøglekort, video-overvågning..) Systemteknisk (rettighedsstyring, identitets styring af dokumenter og netværkstrafik)

10 GRÆNSE OVERSKRIDENDE DATABEHANDLINGER

11 SAMARBEJDS- KONSTRUKTIONER

12 Risikoappetit og risikolotto Artikel 35, nr. 9 Risiko - registreredes rettigheder Ledelsen tager en beslutning Rest-risikoen Den dataansvarlige indhenter, hvis det er relevant, de registreredes eller deres repræsentanters synspunkter vedrørende den planlagte behandling, uden at det berører beskyttelse af kommercielle eller samfundsmæssige interesser eller behandlingsaktiviteternes sikkerhed Risiko har fokus på registreredes rettigheder En risikovurdering er en øvelse som aldrig slutter Risiko, det virksomheden tager og farer, det den registrerede bliver udsat for Ledelsen står tilbage med beslutning hvilken rest-risiko vil den leve med?

13 Handlingsplan Artikel 0, virksomheden skal tage en beslutning, om hvor meget risikolotto de vil spille FASE INDHOLD 0 Indledende overblik og planlægning: Hvor omfattende bliver opgaven for netop din virksomhed, og hvilke interne og eksterne ressourcer kræves der? AKTION TILGANG JA Vil selv Assistance Nøgleklar " Målgruppe " Kommunikation 1 Kortlægning af persondatabehandling (art. 30): Hvilke data behandles i virksomheden og hvordan? JA??? 2 Gap-analyse: Hvor overholder virksomheden ikke reglerne på nuværende tidspunkt? 2x klick??? 3 Fastlæg indsatsområder: Eksempler på indsatsområder er udarbejdelse af nødvendig dokumentation, uddannelse af medarbejdere, ændringer i adgangsforhold til IT-systemer m.v. JA??? 4 Implementering: Udarbejdelse af en handlingsplan - beskrivelse af indsatsområder, angivelse af hvem der er ansvarlig for, at opgaven udføres samt en tidsplan for, hvornår opgaven skal være udført. 5 Løbende kontrol: Reglerne kræver løbende dokumentation, udarbejdelse af en konsekvensanalyse ved høj-risikobehandlinger, anmeldelsespligt ved databrud, revision af politikker og retningslinjer samt håndtering af klager JA??? JA???

14 Løbende dokumentation Konkrete regler, som forudsætter dokumentation Artikel 7, nr. 1 Artikel 12, nr. 1 Artikel 28, nr. 3 Artikel 30, nr. 3 i nr. 1 og 2 Artikel 32, nr. 1, litra d Artikel 33, nr. 5 Artikel , nr. 1, litra b Artikel 46, nr. 2, litra c:, Artikel 47 Etc.

15 Fortegnelser Artikel 30, nr. 1, litra g & stk. 2, litra d " Fortegnelsen alle med få undtagelser Hvad er lejlighedsvis? Medfører risiko for den registrerede rettigheder Disse fortegnelser skal omfatte alle af følgende oplysninger hvis det er muligt, en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger omhandlet i artikel 32, stk. 1. Krav til virksomheder > 250 ansatte Medmindre. U: Behandlinger ikke er lejlighedsvis U: Behandlingen medfører en risiko for de registreredes grundlæggende rettigheder og frihedsrettigheder U: Artikel 9 eller 10 oplysninger (straffeattester..) -

16 EN MODEL Fra mikro-, medium- til stor -virksomhed ~ AUDIT NU " Ansvarlighed ~ DRIFT FORTEGN. " Dokumentation NOV DEC JAN FEB ~ DRIFT OKT MAR ~FORTEG. ÅRSHJUL AUDIT SEP AUG MAJ APR IMPLEM. JUL JUN I DRIFT ~IMPLEM. ~TRÆNING TRÆNING

17 MODEL: FORTEGNELSE

18 FORTEGNELSE

19 Rutekortet Sværhedsgrad for virksomhederne

20 12 overskifter til Databeskyttelsesloven 1. Undersøg om virksomheden har hjemmel til at behandle data samtykke, interesseafvejning eller anden lovmæssighjemmel 5. Overvej om virksomheden skal have en proces, der sikre at den kender den registreredes alder. Samtykke kan gives fra 13 år i (DK) 9. Data protection by design Hvordan sikre virksomheden sig, at ændringer i behandlinger, proces og it-systemer vurderes i forhold til databeskyttelseslovens krav? 2. Fortegnelsen få skabt et overblik over hvilke data virksomheden behandler standard og følsomme data hjemmel, formål og tid, sletning 6. Sikrer virksomheden sig, at nuværende databehandlere efterlever Databeskyttelsesloven? Hav processen for hvordan fremtidige databehandlere vælges/kontrolleres 10. Har virksomheden behov for en databeskyttelsesrådgiver (DPO). Tag testen DPO eller ej 3. Kommunikere virksomhedens privatlivspolitik og hav en plan for hvordan anmodninger om fra den registrerede behandles 7. Medarbejdertræning Få lagt en handlingsplan for hvordan medarbejdere involveres 11. Har virksomheden grænse overskridende databehandlinger (EU/EØS/verdenen), datterselskaber, Samarbejdspartnere/databehandlere? 4. Sikrer virksomhedens databehandlinger de registreredes grundlæggende rettigheder og retten til at blive glemt og til dataportabilitet 8. Retningslinjer for brug af itsystemer (computer, mobile-enheder), en itsikkerheds-politik og proces for dokumentation af virksomhedens handlinger 12. (Databrud) Beredskabsplanen? Hvem-gør-hvad-hvornår? Hvem kommunikerer til de registrerede, Datatilsynet, pressen, og forsikringsselskabet?

21 Inspiration fra blandt andre Syddansk Universitet (juridiske institut), Datatilsynene i dk/no/uk/de Jan Berg, Senior konsulent, data og compliance Mobil: Mail: jb@revi-it.dk