Persondataforordningen Seneste opdatering og praktiske erfaringer med forberedelse til forordningen
PERSONDATAFORORDNINGEN 25. Oktober: Lovforslag til kommende databeskyttelseslov fremsættes.
Databeskyttelsesloven EU-Persondataforordningen Særlovgivning Databeskyttelsesloven EU-Persondataforordningen
Personoplysninger ”Enhver form for information om en identificeret eller identificerbar fysisk person” Tema/emne ǀ dato
Hvad er behandling? PERSONDATAFORORDNINGEN Enhver aktivitet eller række af aktiviteter – med eller uden brug af automatisk behandling – som personoplysninger eller en samling af personoplysninger gøres til genstand for. F.eks.: Indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller en enhver form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse.
Behandling af personoplysninger Personoplysninger skal: Behandles lovligt, rimeligt og på gennemsigtig måde i forhold til den registrerede Indsamles til udtrykkelige angivne og legitime formål og må ikke viderebehandles på en måde, der er uforeneligt med disse formål Være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles Være korrekte og om nødvendigt ajourførte Opbevares, således at det ikke er muligt at identificere den registrerede længere end nødvendigt Behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende oplysninger Tema/emne ǀ dato
Behandling af personoplysninger Samtykke Nødvendig af hensyn til opfyldelse af en kontrakt den registrerede er part i Overholdelse af en retlig forpligtigelse som påhviler den dataansvarlige Behandlingen er nødvendig for den registreredes eller anden fysisk person vitale interesser Nødvendig af hensyn til udførelsen af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt Nødvendig for at forfølge en legitim interesse, medmindre den registreredes interesse eller rettigheder går forud herfor Tema/emne ǀ dato
Behandling af personoplysninger Særlige kategorier af personoplysninger Behandling af oplysninger er som udgangspunkt forbudt, men….. Tema/emne ǀ dato
Information til de registrerede Skal opfyldes ved indsamling og bl.a. indeholder rettigheder: Indsigt Ajourføring Sletning Trække samtykke tilbage Ret til at klage Tema/emne ǀ dato
Retten til at blive glemt Tema/emne ǀ dato
Databeskyttelsesrådgiver Behandling af personoplysninger skal være virksomhedens kerneaktivitet Der skal behandles personoplysninger i et stort omfang Virksomheder, hvis kerneaktivitet består af behandling af personoplysninger i stort omfang skal desuden enten: 3. Foretage regelmæssig og systematisk overvågning af registrerede personer eller Behandle oplysninger om strafbare forhold/følsomme oplysninger Tema/emne ǀ dato
Profilering og automatiske afgørelser Tema/emne ǀ dato
Dataportabillitet Tema/emne ǀ dato
Databehandleraftaler
Data flow WEB Virksomhed HR data CRM Kunder Hosting Løn
Vi har en skabelon til jer 30-12-201830-12-201830-12-201830-12-201830-12-201830-12-201830-12-201830-12-201830-12-201830-12-2018
Databeskyttelsesloven Tema/emne ǀ dato
Persondatasikkerhed
Persondatasikkerhed Høj risiko Den dataansvarlige og databehandleren skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre – samt være i stand til at påvise – at behandlingen sker i overensstemmelse med forordningen. Der skal gennemføres: Almindelig risikovurderinger Konsekvensanalyse vedr. databeskyttelse (DPIA) Høj risiko Behandling af stort omfang af særlige kategorier af personoplysninger
Datasikkerhed Virksomhed
Oversigt over krav til anmeldelse/orientering ved brud på persondatasikkerheden Tid Undtagelse Databehandleres underretninger til den dataansvarlige Uden ugrundet ophold Ingen Dataansvarliges anmeldelse til datatilsyn Uden ugrundet ophold og senest efter 72 timer Usandsynligt, at der er en risiko for de registrerede rettigheder Dataansvarliges underretning til de registrerede Usandsynligt, at der er høj risiko for de registreredes rettigheder Oplysninger er gjort uforståelige for uautoriserede personer Risikoen er afhjulpet af den dataansvarlige
DATA PROTECTION BY DESIGN DATA PROTECTION BY DEFAULT
Hvordan kommer man i gang? Tema/emne ǀ dato
En måde at komme i gang på Dataoverblik Hvilke personoplysninger behandler virksomheden og til hvilke formål Kortlæg, hvor oplysninger behandles og af hvem + udveksling til andre Klassificer oplysningerne – almindelige eller særlige kategorier Identificer nuværende processer for behandling samt hjemmel (samtykke, interesseafvejning, opfyldelse af en kontrakt mv.) Hvilke sikkerhedsforanstaltninger er der iværksat for at beskytte personoplysninger? Hvilke persondatapolitikker har I – både internt (fx ansatte) og eksternt (fx databehandleraftaler) Foretag en vurdering af risici forbundet med virksomheden behandling af personoplysninger Løsninger Beskriv nye eller ændrede processer Udarbejd kontrolprocedure, der skal sikre fremtidig overholdelse af forordningens krav til behandling af personoplysninger Identificer behovet for at få opdateret eller ny dokumentation om foreningens behandling og beskyttelse af personoplysninger Beskriv behov for tilpasning af it-systemer og/eller gældende it-sikkerhedsprocedure og arbejdsprocesser Beskriv behov for ændringer i skriftligt materiale, herunder privacy-politikker, samtykkeerklæringer, aftaler med medarbejdere, medlemmer, databehandlere og evt. informationer til registrerede LØSNINGSBESKRIVELSE Implementering/ drift Udpeg evt. en databeskyttelsesrådgiver (DPO) [evt. allerede ved opstart] Implementer løsningsbeskrivelsen, herunder beskrivelse af de forskellige behandlinger, der foretages, tilpasning af processer, it-systemer, sikkerhedskrav og aftaler med databehandlere, samtykkeerklæringer, informationer til registrerede, ansættelseskontrakter mv. Træn foreningens medarbejdere i de nye krav til behandling af personoplysninger
Sanktioner Op til € 10 mio. eller 2 % af virksomhedens globale omsætning i det foregående regnskabsår (dataansvarliges og databehandlers forpligtigelser) Op til € 20 mio. eller 4 % af virksomhedens globale omsætning i det foregående regnskabsår (grundlæggende principper for behandling, herunder betingelser for samtykke)
Martin Jørgensen mjo@danskerhverv.dk 33 74 64 28 Tema/emne ǀ dato