bliv compliant med persondataforordningen – københavn, 24. oktober

sådan

Velkommen

8.40: Vi sætter os ned (ikke før)

8.45: Velkommen

8.50: Tim Nielsen, DAHL Advokatfirma: Reglerne og deres praktiske betydning

9.40: Pause - alle strækker ben

10.00: Bo Mikael: Sådan gør du i praksis

10:30: Jens Ebak: Sådan gør vi i Peytz & Co

10.40: Panel: Spørgsmål og svar

11.00: Tak for i dag

OBS: Alle slides bliver delt bagefter

Bliv compliant med persondataforordningen

Peytz & Co. – 24. oktober 2017

Dagens program

1. Introduktion

2. Intro til persondataretten

3. Intro til den nye forordning

4. Hvordan gør man?

5. Eksempel på praktisk compliance

6. Spørgsmål

Introduktion

Hvad er fokus for dagens emne?

• Overblik!

• For mange detaljer til 50 min. alligevel

• Det skal være relevant

• Stil derfor gerne spørgsmål undervejs

• Præsentation udleveres efterfølgende

• Speciale i teknologivirksomheder• Rådgiver bl.a. om • Persondata• IT-anskaffelser & Outsourcing• Licenser• Konflikter• …og andet branchespecifikt

• Certificeret IT-advokat• Medlem af International Association of Privacy Professionals

• DAHL i København siden 2014• Kromann Reumert 2006-2014• 2006-2008 - Selskabsret og finansiel regulering• 2008- Teknologivirksomheder

Advokat

tim@dahllaw.dk

88 91 98 21

61 91 51 05

Tim Nielsen

Hvem er DAHL?

• 6 kontorer

• 200 medarbejdere

• Opdelt i specialer, f.eks.

• Persondata

• IT-forhold

• HR-forhold

• Outsourcing

• Selskabsforhold

• Skatter og afgifter

• …osv.

ESBJERG

AARHUS

RANDERSVIBORG

HERNING

KØBENHAVN

Introduktion til persondataretten

PERSONDATA ER EN TILLIDSSAG

Intro til persondataretten

• “Enhver form for information om en

identificeret eller identificerbar fysisk

person”

• Kan personen findes, er det persondata

• …også selvom det er næsten umuligt

• Særlig regulering!

Persondata omfatter f.eks.:

Direkte: Navn, adresse, telefonnummer, e-mail osv.

Indirekte: Kundenummer, referencer, billeder, lyd osv.

“Umulige”: IP-adresser, eksternt kundenummer, krypterede data, lokationsdata osv.

Persondata omfatter f.eks. ikke:

Teknisk data

Anonyme data

…forudsat at data ikke er sammensat med persondata

Næsten umuligt ikke at behandle persondata

• Alle personoplysninger, der ikke er en af de to andre

• Alm. behandlingskravAlm. oplysninger

Følsomme

oplysninger

Rent private

oplysninger

• ”Racemæssig eller etnisk baggrund, politisk, religiøs eller

filosofisk overbevisning, fagforeningsmæssige tilhørsforhold

og oplysninger om helbredsmæssige og seksuelle forhold”

• Skærpede behandlingskrav ud over alm. krav

CPR-nr.

• ”Strafbare forhold, væsentlige sociale problemer og andre

rent private forhold ”

• Skærpede behandlingskrav ud over alm. krav

• Meget begrænset behandling

• Fysisk person oplysningerne identificerer

• Den hele beskyttelsen omhandlerRegistreret

Dataansvarlig

Databehandler

• Dataejeren

• Bestemmer over oplysningerne om den registrerede

• Fuldt ansvarlig for reglernes overholdelse

• (Under)leverandør

• Behandling af oplysninger om registrerede på vegne af

dataansvarlig

• Begrænset ansvar for behandlingen

Dataansvarlig

Databehandler

• ”En databehandlers behandling skal være reguleret af

en kontrakt eller et andet retligt dokument…”

• => Hjemmel til databehandlerens lovlige behandling af

• Fastsætter vilkårene for behandlingen mellem parterne

• Legale krav

• Kommercielle krav

• Behøver ikke være en selvstændig aftale – kan godt

være del af hovedaftale

• Videregivelse kræver ikke en databehandleraftale

• Til gengæld kræver det særskilt hjemmel, f.eks. samtykke eller nødvendighed

• Typisk restriktiv adgang hertil

• Normalt ikke ønskeligt – uden nærmere overvejelser

Dataansvarlig Dataansvarlig

Dataeksport

Indenfor EU/EØS kræver ikke særlig tilladelse

Udenfor EU/EØS kræver (i praksis)

…samtykke

…tilladelse fra datatilsynet

…eller brug af EU standardkontrakter

”Safe harbor” genopstået som ”Privacy Shield” (USA)

Adgang til data er også omfattet

F.eks. Support fra Indien

Introduktion til den nye forordning

Den nye forordning

• Fælles grundlag • Forskellig implementering• I Danmark: Persondataloven

• Fælles grundlag • Fælles implementering• I hele EU: Persondataforordningen• (…evt. tilpasninger lokalt)

Den nye forordning

Hvad er nyt?

• Indeholder reelt kun få helt nye regler

• Materielle behandlingsregler overordnet de samme

• Om end visse præciseringer og skærpelser

• Dog mange nye krav omkring beskyttelse og håndtering af persondata

• Særligt mange regler om proces og dokumentation

• Fokus på egne risikovurdering og dokumentation

• Nu med bøder

• ”Tillidsbrud” – op til mEUR 20 eller 4 % af global omsætning

• ”Procesbrud” – op til mEUR 10 eller 2 % af global omsætning

Den nye forordning

Centralt begreb er ”ansvarlighed”

• Persondatareguleringen har en række generelt formulerede forpligtelser

• Forpligtelserne skal ”oversættes” til praktiske foranstaltninger

• Forpligtelserne skal implementeres i virksomheden

• Implementeringen heraf skal sikres effektivt

• Implementeringen og sikringen skal dokumenteres

Man skal ikke bare gøre det, men vise at man gør det!

Den nye forordning

Krav om ansvarlighed i Persondataforordningen

• Art. 5, stk. 2: Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes

(»ansvarlighed«).

• Art. 5, stk. 1 er grundprincipperne (Gennemsigtighed, formålsbegrænsning, dataminimering,

rigtighed, opbevaringsbegrænsning, integritet og fortrolighed.)

Den nye forordning

Krav om ansvarlighed i Persondataforordningen

• Art. 24, stk. 1: ”Under hensyntagen til den pågældende behandlings karakter, omfang,

sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske

personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige passende tekniske

og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling

er i overensstemmelse med denne forordning. Disse foranstaltninger skal om nødvendigt

revideres og ajourføres.”

• Art. 28, stk. 3 (h): ”[databehandleren] stiller alle oplysninger, der er nødvendige for at påvise

overholdelse af kravene i denne artikel, til rådighed for den dataansvarlige og giver mulighed

for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en

anden revisor, som er bemyndiget af den dataansvarlige.”

Hvordan gør man?

Håndtering af ad hoc problemløsning

Kontoller og dokumentation

4) Øvrige / ad hoc

Idriftsættelse af løsning

Prioritering

Scoping af analysetilgang

DAHLs Compliancemodel

Opstart ”Baseline” Løsning Udrulning Kontrol Governance

Kickoff og mobilisering

Undervisning

Interviews og indblik

Kortlæg data

Kortlæg aktiviteter

Kortlæg standarder

GAP-analyse

Scoping af løsning

1) Design af overordnet framwork

2) Processer

3) Governanceværktøjer

Uddannelse og awareness

Metode til at sikre løbende efterlevelse

Styring af framework

Justering af framwork

1 2 3 4 5 6

Opbygning af awareness

Løsning og idriftsættelse Optimering af drift

Hvordan gør man?

STEP 1: Skab overblik over behandling af personoplysninger i processerne

• Hvilke processer involverer behandling af personoplysninger i jeres virksomhed?

• Anbefaler at se på processer – ikke systemer

Hvordan gør man?

STEP 2: Vurder hvad risikoen (den persondataretlige) er ved behandlingen

• Risikovurdering er nøglen til at fastsætte niveauet af compliance

• Kig nærmere på de processer I har kortlagt i STEP 1.

• Overvej f.eks. på proces-niveau:

• Om der behandles følsomme personoplysninger

• Hvor mange personoplysninger der behandles

• Om der overføres personoplysninger til lande uden for EU

• Om I fortager profilering eller automatiske afgørelser af registrerede

• Hvis høj risiko skal der fortages en konsekvensanalyse

• Skriv det ned (dokumentation)!

Hvordan gør man?

STEP 3: Vurder om behandlingen sker i overensstemmelse med behandlingsprincipperne

• Kig igen på de forskellige behandlingsprocesser i jeres virksomhed

• Har I hjemmel til at fortage behandlingen?

• Har I fastsat formål for behandlingen, og er formålene saglige?

• Har I kun de personoplysninger der er relevante for formålene?

• Er personoplysningerne ajourførte og korrekte?

• Har I slettet personoplysningerne, der ikke længere er relevante eller nødvendige?

• Opbevares personoplysningerne tilstrækkeligt sikkert (se STEP 4)

Hvordan gør man?

STEP 4: Vurder om personoplysningerne behandles sikkert nok

• Ikke kun IT – også organisation

• Jo mere følsom personoplysningerne Jo større krav til sikkerhed

• Opbevares oplysningerne et sikkert sted?

• Opbevares oplysninger hos jer selv eller hos en leverandør?

• Hvis oplysningerne behandles hos en leverandør

• Er der indgået en databehandleraftale?

• Krav til leverandøren?

• Hvilke sikkerhedsforanstaltninger er relevante?

• Følges der op? – revision og audit

Hvordan gør man?

STEP 5: Forhold jer konkret til hvad I skal gøre

• I behøver ikke at gøre alt

• Genbesøg jeres opdagelser i STEP 1-4, herunder

• Processer

• Risici

• Behandlingens lovlighed

• Sikkerhed

• Omfanget af krav og pligter afhænger overordnet af risiciene, herunder særligt:

• Typen af data

• Mængden af data

Hvordan gør man?

STEP 5: Lav en intern persondata politik

• Hvad I har fundet ud af i STEP 4?

• Hvilken værdi tillægger I beskyttelsen af personoplysninger i virksomheden?

• Hvordan har I tænkt jer at overholde behandlingsprincipperne og øvrige forpligtigelser?

• Nødvendigt at kende forpligtigelser i forordningen og databeskyttelsesloven

• Eksempel: Skal vi udforme fortegnelse over behandlingsaktiviteter (art. 30)?

Hvis ja – Hvordan gør vi det?

• Eksempel: skal min virksomhed udpege en DPO? (art. 37)

Hvis ja – Hvem er det, og hvornår bruger vi DPO’en?

Hvordan gør man?

STEP 6: Opsæt en række kontroller i et årshjul

• Er behandlingsprocesserne de samme, eller er der sket ændringer?

• Er risici de samme, eller er der sket ændringer?

• Behandles personoplysninger stadig i overensstemmelse med principperne i forordningen?

• Er sikkerhedsforanstaltningerne stadig passende, eller skal der ske ændringer?

• Overholdes politikkens indhold i praksis?

• Skal politikken evt. skal ændres/opdateres?

Eksempel på praktisk compliance

• Indledende samtale om proces og roller

• Interviews af 2-4 timers varighed baseret på DAHLs spørgeskema og metodeværktøj

• Deltagere:

- direktør/ejerleder

- evt. IT/web-ansvarlig

- evt. personaleansvarlig(e)

- evt. andre

- DAHL-specialist

Step 1

• DAHL udarbejder dokument med vurdering

- Viser hvor virksomhed rammes af de nye regler og hvor hårdt den rammes

• DAHL udvikler en TO DO-liste til virksomheden

• Møde af 2-3 timers varighed, hvor anbefalingen gennemgås

- sikre forståelse for særlige problemområder

- drøfte hvordan virksomheden kan lykkes med vigtige TO DO’s

”TO DO”-liste og præsentation

Step 2

• Virksomhed kan efter behov tilkøbe adgang til:

- DAHL webinar / videoundervisning, som kan bruges til uddannelse og dokumentation

- diverse standardværktøjer som umiddelbart kan tages i brug

- Databehandleraftale

- Politik

- ”Sundhedstjek” efter 6 eller 12 mdr. ved DAHL-specialist

• Tillægsydelser vurderes fra sag til sag afhængigt af virksomhedens behov

Evt. adgang til standardværktøjer

Efter behov

Interviews og virksomhedsvurdering

Kontakt

Tim Nielsen, Advokat

Mobil: +45 61 91 51 05

Direkte: +45 88 91 98 21

E-mail: tim@dahllaw.dk

alle strækker ben

Sådan gør I jer klar

Bo Mikael

• Journalist og redaktør siden 1982

• Arbejdet digitalt siden 1996

• Kontaktdirektør hos Peytz & Co

Disclaimer

• Jeg er IKKE jurist

• Forordningen er IKKE trådt i kraft

• Den danske lovgivning er IKKE på plads

Don’tDo

2018 +

Gennemgå dette:

1. Hvor indsamler I data?

2. Hvilke data indsamler I?

3. Hvordan håndterer I data?

4. Hvor ligger jeres data?

Hvor opsamler I data?

•Gennemgå jeres brugergrænseflader og identificér, hvor I opsamler data

Andre steder?

• Live, f.eks. messer, flyers• Statistik•Cookies•Data-mining

Hvilke data indsamler I?

Hvad er persondata?

Fødselsdato

Helbredsoplysninger

Adresse

RaceKøn

Telefonnummer

Sexuel overbevisning

Religion

Sociale issuesStraffeattest

Uddannelse

Genetiske informationer

Familie-informationer

Mine persondata

Stilling

Fødselsdato

Helbredsoplysninger

IP-adresse

Kreditkort Tøj- og sko-størrelser

Billede

Fagforening

Adresse

RaceKøn

Telefonnummer

Sexuel overbevisning

Pasnummer

Religion

Sociale issues

GPS-info

Straffeattest

Uddannelse

MAC-adresse

Genetiske informationer

Elektroniske spor

Familie-informationer

StillingLogin

Interesser

Mine persondata + alt det andet

Varekøb

Hvad er det, I indsamler?

1. Hvilke data?1. Navn

2. Mail

3. Adresse

4. …..

5. …..

6. Andet

2. Almindelige eller følsomme data?3. Permissions/samtykker?

Hvordan håndterer I data?

Hvornår må man bruge persondata?

• ”Når der er afgivet hjemmel, f.eks. et udtrykkeligt og informeret samtykke”

• ”Når det er nødvendig for opfyldelse af en aftale med den registrerede”

• ”Når det er nødvendig af hensyn til en berettiget interesse – forudsat at den registreredes modstående interesse ikke er større”

Hvad er det, der skal beskyttes?

•Personhenførbare data”Personhenførbare data er infoirmationer, som kan henføres til en given person. Det kan både være enkelte data, som f.eks. navn, men kan også være flere sammensatte datasæt som f.eks. en mail-adresse, interesser og geografi.”

Hvordan bruges jeres data?

• Til kontakt?• Til salgsbudskaber?• Sammen med data fra cookies?• Sammen med data fra data-mining?• Sammen med data fra statistik, f.eks. Analytics eller

SiteImprove?• Hvad dækker jeres permissions/samtykker?• Bruges de efter hensigten?

Hvem arbejder med jeres data?

• Er det jer selv, der behandler data?• Eller er det en ekstern partner?• Sker det i EU, i et sikkert land eller i et usikkert

Hvordan er data-sikkerheden?

• Er det hele beskrevet? Ellers få det gjort!•Har I databehandler-aftaler?

Hvor ligger jeres data?

•På egne servere?• I et eksternt server-miljø?• I skyen?• I EU, i sikker havn eller i usikkert 3. land?•Ved I det?

Hvordan er data beskyttet?

•Adgang til servere•Organisatoriske retningslinjer•Kan I slette data?•Kan I flytte data?• Er det hele beskrevet? Ellers få det gjort!•Har I databehandler-aftaler?

1. Hvor indsamler I data?

2. Hvilke data indsamler I?

3. Hvordan håndteres data?

4. Hvor ligger data?

• Nyhedsbreve• Events• Live• Cookies• Statistik• Andet

• Bruges alene• Bruges sammen med cookies• … sammen med statistik• Håndteres af underleverandør• Instruks • Andet

• Navn• Mail• Interesser• Adresse• Følsomme?• Andet

• På egne servere• På ekstern servere• I skyen• Databehandleraftale• Andet

Databehandleraftalen i praksisOktober 2017

Jens Ebak

• Økonomidirektør hos Peytz & Co

• Ansvarlig for kontrakter med kunder og

leverandører

Disclaimer

• Jeg er IKKE jurist

• Forordningen er IKKE trådt i kraft

• Den danske lovgivning er IKKE på plads

Hvad gør Peytz & Co

• Arbejdsgruppe etableret i maj 2016

• ISO-27001 compliance

• Procesdokumentation og formalisering af

organisatoriske roller

• Udvikler services og systemer, så de

understøtter krav fra GDPR

• Indgår databehandleraftaler med vores kunder

(IT-Branchens modelkontrakt)

• Indgår underdatabehandleraftaler med vores

leverandører - primært hosting partnere

Databehandleraftalen

IT-Branchens modelkontrakt

Databehandleraftalens anvendelse

• Databehandleraftalen indgås, når Peytz & Co behandler

personoplysninger på vegne af den Dataansvarlige

• Databehandleraftalen har til formål at sikre, at Peytz & Co overholder

den til enhver tid gældende persondataretlige regulering

• Peytz & Co anvender IT-Branchens modelkontrakt for

Databehandleraftaler

• Det er en fordel for begge parter, at det er en branchestandard

• Databehandleraftalen indgås altid i forlængelse af en driftsaftale med

Peytz & Co - ift. hosting og/eller abonnement på Peytz Mail

Databehandleraftalen - indhold1. BAGGRUND OG FORMÅL

2. OMFANG

3. VARIGHED

4. DATABEHANDLERENS FORPLIGTELSER

5. DEN DATAANSVARLIGES FORPLIGTELSER

6. UNDERDATABEHANDLERE

7. OVERFØRSEL TIL TREDJELANDE OG

INTERNATIONALE ORGANISATIONER

8. DATABEHANDLING UDENFOR INSTRUKSEN

9. VEDERLAG OG OMKOSTNINGER

10. ÆNDRING AF INSTRUKSEN

11. MISLIGHOLDELSE

12. ANSVAR OG ANSVARSBEGRÆNSNINGER

13. FORCE MAJEURE

14. FORTROLIGHED

15. OPHØR

16. TVISTLØSNING

17. FORRANG

BILAG 1 Hovedydelsen

BILAG 2 Tekniske og organisatoriske sikkerhedskrav og

garantier

BILAG 3 Dokumentation for overholdelse af forpligtelser

BILAG 4 Konkret bistand

BILAG 5 Den Dataansvarliges forpligtelser

BILAG 6 Underdatabehandlere

BILAG 7 Overførsel til tredjelande og internationale

organisationer

Databehandleraftalen - indhold

1. BAGGRUND OG FORMÅL

2. OMFANG

3. VARIGHED

11. MISLIGHOLDELSE

13. FORCE MAJEURE

14. FORTROLIGHED

15. OPHØR

16. TVISTLØSNING

17. FORRANG

garantier

organisationer

2. OMFANG

3. VARIGHED

11. MISLIGHOLDELSE

13. FORCE MAJEURE

14. FORTROLIGHED

15. OPHØR

16. TVISTLØSNING

17. FORRANG

garantier

organisationer

2. OMFANG

3. VARIGHED

11. MISLIGHOLDELSE

13. FORCE MAJEURE

14. FORTROLIGHED

15. OPHØR

16. TVISTLØSNING

17. FORRANG

garantier

organisationer

2. OMFANG

3. VARIGHED

11. MISLIGHOLDELSE

13. FORCE MAJEURE

14. FORTROLIGHED

15. OPHØR

16. TVISTLØSNING

17. FORRANG

garantier

organisationer

2. OMFANG

3. VARIGHED

11. MISLIGHOLDELSE

13. FORCE MAJEURE

14. FORTROLIGHED

15. OPHØR

16. TVISTLØSNING

17. FORRANG

garantier

organisationer

2. OMFANG

3. VARIGHED

11. MISLIGHOLDELSE

13. FORCE MAJEURE

14. FORTROLIGHED

15. OPHØR

16. TVISTLØSNING

17. FORRANG

garantier

organisationer

2. OMFANG

3. VARIGHED

11. MISLIGHOLDELSE

13. FORCE MAJEURE

14. FORTROLIGHED

15. OPHØR

16. TVISTLØSNING

17. FORRANG

BILAG 1 Hovedydelsen – INSTRUKSEN!

garantier

organisationer

Bilag 1 Hovedydelsen - Instruksen

• Beskrivelse af baggrunden for behovet for en

databehandleraftale med henvisning til de

relevante aftaler

• Typer af personoplysninger, der behandles ved

levering af Hovedydelsen

• Kategorier af fysiske personer omfattet af

Databehandleraftalen (fx. kunder, der har givet

tilladelse til at den dataansvarlige må sende

information på e-mail)

Databehandleraftalen - indhold1. BAGGRUND OG FORMÅL

2. OMFANG

3. VARIGHED

11. MISLIGHOLDELSE

13. FORCE MAJEURE

14. FORTROLIGHED

15. OPHØR

16. TVISTLØSNING

17. FORRANG

garantier

organisationer

Q & ABare spørg løs!

Tak for i dag

(navneskilte, tak)

PartnerClaus Sølvsteencs@peytz.dk7220 0101

bliv compliant med persondataforordningen – københavn, 24. oktober

Internet

bliv bedre til selv at læse

rohs compliant list 20171030 eu vietnam - elecom.co.jp...

bliv social media manager

webinar om persondataforordningen 10. april 2018 9:30-10...

bliv ekspert i sociale medier

velkommen til seminar om persondataforordningen...velkommen...

bliv sikker på dit studievalg!

bliv spejder - ulvespejder 2.-3. klasse

bliv brandmand nu

bliv kreativ igangsætter!

bliv set på internettet

bliv inklusionsspydspids

seminar om persondataforordningen

bliv professionel thai yoga behandler

bliv ambassadoer i energimetropol - esbjerg kommune

bliv klar til en gymnasial uddannelse

bliv officer

compliant a 1

bliv frivillig i dfs

content: bliv buzzworthy nu