bliv compliant med persondataforordningen – københavn, 24. oktober

79
GDPR sådan

Upload: peytz-co

Post on 22-Jan-2018

186 views

Category:

Internet


1 download

TRANSCRIPT

Page 1: Bliv compliant med persondataforordningen – København, 24. oktober

GDPR

sådan

Page 2: Bliv compliant med persondataforordningen – København, 24. oktober

Velkommen

8.40: Vi sætter os ned (ikke før)

8.45: Velkommen

8.50: Tim Nielsen, DAHL Advokatfirma: Reglerne og deres praktiske betydning

9.40: Pause - alle strækker ben

10.00: Bo Mikael: Sådan gør du i praksis

10:30: Jens Ebak: Sådan gør vi i Peytz & Co

10.40: Panel: Spørgsmål og svar

11.00: Tak for i dag

OBS: Alle slides bliver delt bagefter

Page 3: Bliv compliant med persondataforordningen – København, 24. oktober

Bliv compliant med persondataforordningen

Peytz & Co. – 24. oktober 2017

Page 4: Bliv compliant med persondataforordningen – København, 24. oktober

Dagens program

1. Introduktion

2. Intro til persondataretten

3. Intro til den nye forordning

4. Hvordan gør man?

5. Eksempel på praktisk compliance

6. Spørgsmål

Page 5: Bliv compliant med persondataforordningen – København, 24. oktober

Introduktion

Page 6: Bliv compliant med persondataforordningen – København, 24. oktober

Introduktion

Hvad er fokus for dagens emne?

• Overblik!

• For mange detaljer til 50 min. alligevel

• Det skal være relevant

• Stil derfor gerne spørgsmål undervejs

• Præsentation udleveres efterfølgende

Page 7: Bliv compliant med persondataforordningen – København, 24. oktober

• Speciale i teknologivirksomheder• Rådgiver bl.a. om • Persondata• IT-anskaffelser & Outsourcing• Licenser• Konflikter• …og andet branchespecifikt

• Certificeret IT-advokat• Medlem af International Association of Privacy Professionals

• DAHL i København siden 2014• Kromann Reumert 2006-2014• 2006-2008 - Selskabsret og finansiel regulering• 2008- Teknologivirksomheder

Advokat

[email protected]

88 91 98 21

61 91 51 05

Tim Nielsen

Page 8: Bliv compliant med persondataforordningen – København, 24. oktober

Hvem er DAHL?

• 6 kontorer

• 200 medarbejdere

• Opdelt i specialer, f.eks.

• Persondata

• IT-forhold

• HR-forhold

• Outsourcing

• Selskabsforhold

• Skatter og afgifter

• …osv.

ESBJERG

AARHUS

RANDERSVIBORG

HERNING

KØBENHAVN

Page 9: Bliv compliant med persondataforordningen – København, 24. oktober

Introduktion til persondataretten

Page 10: Bliv compliant med persondataforordningen – København, 24. oktober

PERSONDATA ER EN TILLIDSSAG

Page 11: Bliv compliant med persondataforordningen – København, 24. oktober

Intro til persondataretten

• “Enhver form for information om en

identificeret eller identificerbar fysisk

person”

• Kan personen findes, er det persondata

• …også selvom det er næsten umuligt

• Særlig regulering!

Page 12: Bliv compliant med persondataforordningen – København, 24. oktober

Intro til persondataretten

Persondata omfatter f.eks.:

Direkte: Navn, adresse, telefonnummer, e-mail osv.

Indirekte: Kundenummer, referencer, billeder, lyd osv.

“Umulige”: IP-adresser, eksternt kundenummer, krypterede data, lokationsdata osv.

Persondata omfatter f.eks. ikke:

Teknisk data

Anonyme data

…forudsat at data ikke er sammensat med persondata

Næsten umuligt ikke at behandle persondata

Page 13: Bliv compliant med persondataforordningen – København, 24. oktober

Intro til persondataretten

• Alle personoplysninger, der ikke er en af de to andre

• Alm. behandlingskravAlm. oplysninger

Følsomme

oplysninger

Rent private

oplysninger

• ”Racemæssig eller etnisk baggrund, politisk, religiøs eller

filosofisk overbevisning, fagforeningsmæssige tilhørsforhold

og oplysninger om helbredsmæssige og seksuelle forhold”

• Skærpede behandlingskrav ud over alm. krav

CPR-nr.

• ”Strafbare forhold, væsentlige sociale problemer og andre

rent private forhold ”

• Skærpede behandlingskrav ud over alm. krav

• Meget begrænset behandling

Page 14: Bliv compliant med persondataforordningen – København, 24. oktober

Intro til persondataretten

• Fysisk person oplysningerne identificerer

• Den hele beskyttelsen omhandlerRegistreret

Dataansvarlig

Databehandler

• Dataejeren

• Bestemmer over oplysningerne om den registrerede

• Fuldt ansvarlig for reglernes overholdelse

• (Under)leverandør

• Behandling af oplysninger om registrerede på vegne af

dataansvarlig

• Begrænset ansvar for behandlingen

Page 15: Bliv compliant med persondataforordningen – København, 24. oktober

Intro til persondataretten

Dataansvarlig

Databehandler

• ”En databehandlers behandling skal være reguleret af

en kontrakt eller et andet retligt dokument…”

• => Hjemmel til databehandlerens lovlige behandling af

data

• Fastsætter vilkårene for behandlingen mellem parterne

• Legale krav

• Kommercielle krav

• Behøver ikke være en selvstændig aftale – kan godt

være del af hovedaftale

Page 16: Bliv compliant med persondataforordningen – København, 24. oktober

Intro til persondataretten

• Videregivelse kræver ikke en databehandleraftale

• Til gengæld kræver det særskilt hjemmel, f.eks. samtykke eller nødvendighed

• Typisk restriktiv adgang hertil

• Normalt ikke ønskeligt – uden nærmere overvejelser

Dataansvarlig Dataansvarlig

Page 17: Bliv compliant med persondataforordningen – København, 24. oktober

Intro til persondataretten

Dataeksport

Indenfor EU/EØS kræver ikke særlig tilladelse

Udenfor EU/EØS kræver (i praksis)

…samtykke

…tilladelse fra datatilsynet

…eller brug af EU standardkontrakter

”Safe harbor” genopstået som ”Privacy Shield” (USA)

Adgang til data er også omfattet

F.eks. Support fra Indien

Page 18: Bliv compliant med persondataforordningen – København, 24. oktober

Introduktion til den nye forordning

Page 19: Bliv compliant med persondataforordningen – København, 24. oktober

Den nye forordning

• Fælles grundlag • Forskellig implementering• I Danmark: Persondataloven

• Fælles grundlag • Fælles implementering• I hele EU: Persondataforordningen• (…evt. tilpasninger lokalt)

Page 20: Bliv compliant med persondataforordningen – København, 24. oktober

Den nye forordning

Hvad er nyt?

• Indeholder reelt kun få helt nye regler

• Materielle behandlingsregler overordnet de samme

• Om end visse præciseringer og skærpelser

• Dog mange nye krav omkring beskyttelse og håndtering af persondata

• Særligt mange regler om proces og dokumentation

• Fokus på egne risikovurdering og dokumentation

• Nu med bøder

• ”Tillidsbrud” – op til mEUR 20 eller 4 % af global omsætning

• ”Procesbrud” – op til mEUR 10 eller 2 % af global omsætning

Page 21: Bliv compliant med persondataforordningen – København, 24. oktober

Den nye forordning

Centralt begreb er ”ansvarlighed”

• Persondatareguleringen har en række generelt formulerede forpligtelser

• Forpligtelserne skal ”oversættes” til praktiske foranstaltninger

• Forpligtelserne skal implementeres i virksomheden

• Implementeringen heraf skal sikres effektivt

• Implementeringen og sikringen skal dokumenteres

Man skal ikke bare gøre det, men vise at man gør det!

Page 22: Bliv compliant med persondataforordningen – København, 24. oktober

Den nye forordning

Page 23: Bliv compliant med persondataforordningen – København, 24. oktober

Den nye forordning

Krav om ansvarlighed i Persondataforordningen

• Art. 5, stk. 2: Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes

(»ansvarlighed«).

• Art. 5, stk. 1 er grundprincipperne (Gennemsigtighed, formålsbegrænsning, dataminimering,

rigtighed, opbevaringsbegrænsning, integritet og fortrolighed.)

Page 24: Bliv compliant med persondataforordningen – København, 24. oktober

Den nye forordning

Krav om ansvarlighed i Persondataforordningen

• Art. 24, stk. 1: ”Under hensyntagen til den pågældende behandlings karakter, omfang,

sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske

personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige passende tekniske

og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling

er i overensstemmelse med denne forordning. Disse foranstaltninger skal om nødvendigt

revideres og ajourføres.”

• Art. 28, stk. 3 (h): ”[databehandleren] stiller alle oplysninger, der er nødvendige for at påvise

overholdelse af kravene i denne artikel, til rådighed for den dataansvarlige og giver mulighed

for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en

anden revisor, som er bemyndiget af den dataansvarlige.”

Page 25: Bliv compliant med persondataforordningen – København, 24. oktober

Hvordan gør man?

Page 26: Bliv compliant med persondataforordningen – København, 24. oktober

Håndtering af ad hoc problemløsning

Kontoller og dokumentation

4) Øvrige / ad hoc

Idriftsættelse af løsning

Prioritering

Scoping af analysetilgang

DAHLs Compliancemodel

Opstart ”Baseline” Løsning Udrulning Kontrol Governance

Kickoff og mobilisering

Undervisning

Interviews og indblik

Kortlæg data

Kortlæg aktiviteter

Kortlæg standarder

GAP-analyse

Scoping af løsning

1) Design af overordnet framwork

2) Processer

3) Governanceværktøjer

Uddannelse og awareness

Metode til at sikre løbende efterlevelse

Styring af framework

Justering af framwork

1 2 3 4 5 6

Ove

rord

ned

e le

vera

nce

r

Opbygning af awareness

A B

Løsning og idriftsættelse Optimering af drift

Page 27: Bliv compliant med persondataforordningen – København, 24. oktober

Hvordan gør man?

STEP 1: Skab overblik over behandling af personoplysninger i processerne

• Hvilke processer involverer behandling af personoplysninger i jeres virksomhed?

• Anbefaler at se på processer – ikke systemer

Med

arb

ejd

ere

Mar

ked

sfø

rin

g

Sam

arb

ejd

spar

tner

e o

g Le

vera

nd

øre

r

Ku

nd

er o

g le

vera

nce

r

IT &

Info

rmat

ion

ssik

kerh

ed

Page 28: Bliv compliant med persondataforordningen – København, 24. oktober

Hvordan gør man?

STEP 2: Vurder hvad risikoen (den persondataretlige) er ved behandlingen

• Risikovurdering er nøglen til at fastsætte niveauet af compliance

• Kig nærmere på de processer I har kortlagt i STEP 1.

• Overvej f.eks. på proces-niveau:

• Om der behandles følsomme personoplysninger

• Hvor mange personoplysninger der behandles

• Om der overføres personoplysninger til lande uden for EU

• Om I fortager profilering eller automatiske afgørelser af registrerede

• Hvis høj risiko skal der fortages en konsekvensanalyse

• Skriv det ned (dokumentation)!

Page 29: Bliv compliant med persondataforordningen – København, 24. oktober

Hvordan gør man?

STEP 3: Vurder om behandlingen sker i overensstemmelse med behandlingsprincipperne

• Kig igen på de forskellige behandlingsprocesser i jeres virksomhed

• Har I hjemmel til at fortage behandlingen?

• Har I fastsat formål for behandlingen, og er formålene saglige?

• Har I kun de personoplysninger der er relevante for formålene?

• Er personoplysningerne ajourførte og korrekte?

• Har I slettet personoplysningerne, der ikke længere er relevante eller nødvendige?

• Opbevares personoplysningerne tilstrækkeligt sikkert (se STEP 4)

• Skriv det ned (dokumentation)!

Page 30: Bliv compliant med persondataforordningen – København, 24. oktober

Hvordan gør man?

STEP 4: Vurder om personoplysningerne behandles sikkert nok

• Ikke kun IT – også organisation

• Jo mere følsom personoplysningerne Jo større krav til sikkerhed

• Opbevares oplysningerne et sikkert sted?

• Opbevares oplysninger hos jer selv eller hos en leverandør?

• Hvis oplysningerne behandles hos en leverandør

• Er der indgået en databehandleraftale?

• Krav til leverandøren?

• Hvilke sikkerhedsforanstaltninger er relevante?

• Følges der op? – revision og audit

• Skriv det ned (dokumentation)!

Page 31: Bliv compliant med persondataforordningen – København, 24. oktober

Hvordan gør man?

STEP 5: Forhold jer konkret til hvad I skal gøre

• I behøver ikke at gøre alt

• Genbesøg jeres opdagelser i STEP 1-4, herunder

• Processer

• Risici

• Behandlingens lovlighed

• Sikkerhed

• Omfanget af krav og pligter afhænger overordnet af risiciene, herunder særligt:

• Typen af data

• Mængden af data

Page 32: Bliv compliant med persondataforordningen – København, 24. oktober

Hvordan gør man?

STEP 5: Lav en intern persondata politik

• Hvad I har fundet ud af i STEP 4?

• Hvilken værdi tillægger I beskyttelsen af personoplysninger i virksomheden?

• Hvordan har I tænkt jer at overholde behandlingsprincipperne og øvrige forpligtigelser?

• Nødvendigt at kende forpligtigelser i forordningen og databeskyttelsesloven

• Eksempel: Skal vi udforme fortegnelse over behandlingsaktiviteter (art. 30)?

Hvis ja – Hvordan gør vi det?

• Eksempel: skal min virksomhed udpege en DPO? (art. 37)

Hvis ja – Hvem er det, og hvornår bruger vi DPO’en?

Page 33: Bliv compliant med persondataforordningen – København, 24. oktober

Hvordan gør man?

STEP 6: Opsæt en række kontroller i et årshjul

• Er behandlingsprocesserne de samme, eller er der sket ændringer?

• Er risici de samme, eller er der sket ændringer?

• Behandles personoplysninger stadig i overensstemmelse med principperne i forordningen?

• Er sikkerhedsforanstaltningerne stadig passende, eller skal der ske ændringer?

• Overholdes politikkens indhold i praksis?

• Skal politikken evt. skal ændres/opdateres?

Page 34: Bliv compliant med persondataforordningen – København, 24. oktober

Eksempel på praktisk compliance

Page 35: Bliv compliant med persondataforordningen – København, 24. oktober

Eksempel på praktisk compliance

1

• Indledende samtale om proces og roller

• Interviews af 2-4 timers varighed baseret på DAHLs spørgeskema og metodeværktøj

• Deltagere:

- direktør/ejerleder

- evt. IT/web-ansvarlig

- evt. personaleansvarlig(e)

- evt. andre

- DAHL-specialist

Step 1

2

• DAHL udarbejder dokument med vurdering

- Viser hvor virksomhed rammes af de nye regler og hvor hårdt den rammes

• DAHL udvikler en TO DO-liste til virksomheden

• Møde af 2-3 timers varighed, hvor anbefalingen gennemgås

- sikre forståelse for særlige problemområder

- drøfte hvordan virksomheden kan lykkes med vigtige TO DO’s

”TO DO”-liste og præsentation

Step 2

3

• Virksomhed kan efter behov tilkøbe adgang til:

- DAHL webinar / videoundervisning, som kan bruges til uddannelse og dokumentation

- diverse standardværktøjer som umiddelbart kan tages i brug

- Databehandleraftale

- Politik

- ”Sundhedstjek” efter 6 eller 12 mdr. ved DAHL-specialist

• Tillægsydelser vurderes fra sag til sag afhængigt af virksomhedens behov

Evt. adgang til standardværktøjer

Efter behov

Interviews og virksomhedsvurdering

Page 36: Bliv compliant med persondataforordningen – København, 24. oktober
Page 37: Bliv compliant med persondataforordningen – København, 24. oktober

Kontakt

Tim Nielsen, Advokat

Mobil: +45 61 91 51 05

Direkte: +45 88 91 98 21

E-mail: [email protected]

Page 38: Bliv compliant med persondataforordningen – København, 24. oktober

Pause

alle strækker ben

Page 39: Bliv compliant med persondataforordningen – København, 24. oktober

Sådan gør I jer klar

Page 40: Bliv compliant med persondataforordningen – København, 24. oktober

Bo Mikael

• Journalist og redaktør siden 1982

• Arbejdet digitalt siden 1996

• Kontaktdirektør hos Peytz & Co

Disclaimer

• Jeg er IKKE jurist

• Forordningen er IKKE trådt i kraft

• Den danske lovgivning er IKKE på plads

Page 41: Bliv compliant med persondataforordningen – København, 24. oktober

Don’tDo

Risk

2017

Page 42: Bliv compliant med persondataforordningen – København, 24. oktober

Don’tDo

Risk

2018 +

Page 43: Bliv compliant med persondataforordningen – København, 24. oktober

Sådan gør I jer klar

Gennemgå dette:

1. Hvor indsamler I data?

2. Hvilke data indsamler I?

3. Hvordan håndterer I data?

4. Hvor ligger jeres data?

Page 44: Bliv compliant med persondataforordningen – København, 24. oktober

Hvor opsamler I data?

Page 45: Bliv compliant med persondataforordningen – København, 24. oktober

Hvor opsamler I data?

•Gennemgå jeres brugergrænseflader og identificér, hvor I opsamler data

Page 46: Bliv compliant med persondataforordningen – København, 24. oktober

Andre steder?

• Live, f.eks. messer, flyers• Statistik•Cookies•Data-mining

Page 47: Bliv compliant med persondataforordningen – København, 24. oktober

Hvilke data indsamler I?

Page 48: Bliv compliant med persondataforordningen – København, 24. oktober

Hvad er persondata?

Page 49: Bliv compliant med persondataforordningen – København, 24. oktober

Fødselsdato

Helbredsoplysninger

Adresse

RaceKøn

Telefonnummer

Mail

Sexuel overbevisning

Religion

Sociale issuesStraffeattest

Uddannelse

Genetiske informationer

Familie-informationer

Mine persondata

Stilling

Page 50: Bliv compliant med persondataforordningen – København, 24. oktober

Fødselsdato

Helbredsoplysninger

IP-adresse

Kreditkort Tøj- og sko-størrelser

Billede

Fagforening

Parti

Adresse

RaceKøn

Telefonnummer

Mail

Sexuel overbevisning

Pasnummer

Religion

Sociale issues

GPS-info

Straffeattest

Uddannelse

MAC-adresse

Genetiske informationer

Elektroniske spor

Familie-informationer

StillingLogin

Interesser

Mine persondata + alt det andet

Varekøb

Page 51: Bliv compliant med persondataforordningen – København, 24. oktober

Hvad er det, I indsamler?

1. Hvilke data?1. Navn

2. Mail

3. Adresse

4. …..

5. …..

6. Andet

2. Almindelige eller følsomme data?3. Permissions/samtykker?

Page 52: Bliv compliant med persondataforordningen – København, 24. oktober

Hvordan håndterer I data?

Page 53: Bliv compliant med persondataforordningen – København, 24. oktober

Hvornår må man bruge persondata?

• ”Når der er afgivet hjemmel, f.eks. et udtrykkeligt og informeret samtykke”

• ”Når det er nødvendig for opfyldelse af en aftale med den registrerede”

• ”Når det er nødvendig af hensyn til en berettiget interesse – forudsat at den registreredes modstående interesse ikke er større”

Page 54: Bliv compliant med persondataforordningen – København, 24. oktober

Hvad er det, der skal beskyttes?

•Personhenførbare data”Personhenførbare data er infoirmationer, som kan henføres til en given person. Det kan både være enkelte data, som f.eks. navn, men kan også være flere sammensatte datasæt som f.eks. en mail-adresse, interesser og geografi.”

Page 55: Bliv compliant med persondataforordningen – København, 24. oktober

Hvordan bruges jeres data?

• Til kontakt?• Til salgsbudskaber?• Sammen med data fra cookies?• Sammen med data fra data-mining?• Sammen med data fra statistik, f.eks. Analytics eller

SiteImprove?• Hvad dækker jeres permissions/samtykker?• Bruges de efter hensigten?

Page 56: Bliv compliant med persondataforordningen – København, 24. oktober

Hvem arbejder med jeres data?

• Er det jer selv, der behandler data?• Eller er det en ekstern partner?• Sker det i EU, i et sikkert land eller i et usikkert

land?

Page 57: Bliv compliant med persondataforordningen – København, 24. oktober

Hvordan er data-sikkerheden?

• Er det hele beskrevet? Ellers få det gjort!•Har I databehandler-aftaler?

Page 58: Bliv compliant med persondataforordningen – København, 24. oktober

Hvor ligger jeres data?

Page 59: Bliv compliant med persondataforordningen – København, 24. oktober

Hvor ligger jeres data?

•På egne servere?• I et eksternt server-miljø?• I skyen?• I EU, i sikker havn eller i usikkert 3. land?•Ved I det?

Page 60: Bliv compliant med persondataforordningen – København, 24. oktober

Hvordan er data beskyttet?

•Adgang til servere•Organisatoriske retningslinjer•Kan I slette data?•Kan I flytte data?• Er det hele beskrevet? Ellers få det gjort!•Har I databehandler-aftaler?

Page 61: Bliv compliant med persondataforordningen – København, 24. oktober

Sådan gør I jer klar

1. Hvor indsamler I data?

2. Hvilke data indsamler I?

3. Hvordan håndteres data?

4. Hvor ligger data?

• Nyhedsbreve• Events• Live• Cookies• Statistik• Andet

• Bruges alene• Bruges sammen med cookies• … sammen med statistik• Håndteres af underleverandør• Instruks • Andet

• Navn• Mail• Interesser• Adresse• Følsomme?• Andet

• På egne servere• På ekstern servere• I skyen• Databehandleraftale• Andet

Page 62: Bliv compliant med persondataforordningen – København, 24. oktober

Databehandleraftalen i praksisOktober 2017

Page 63: Bliv compliant med persondataforordningen – København, 24. oktober

Jens Ebak

• Økonomidirektør hos Peytz & Co

• Ansvarlig for kontrakter med kunder og

leverandører

Disclaimer

• Jeg er IKKE jurist

• Forordningen er IKKE trådt i kraft

• Den danske lovgivning er IKKE på plads

Page 64: Bliv compliant med persondataforordningen – København, 24. oktober

Hvad gør Peytz & Co

• Arbejdsgruppe etableret i maj 2016

• ISO-27001 compliance

• Procesdokumentation og formalisering af

organisatoriske roller

• Udvikler services og systemer, så de

understøtter krav fra GDPR

• Indgår databehandleraftaler med vores kunder

(IT-Branchens modelkontrakt)

• Indgår underdatabehandleraftaler med vores

leverandører - primært hosting partnere

Page 65: Bliv compliant med persondataforordningen – København, 24. oktober

Databehandleraftalen

IT-Branchens modelkontrakt

Page 66: Bliv compliant med persondataforordningen – København, 24. oktober

Databehandleraftalens anvendelse

• Databehandleraftalen indgås, når Peytz & Co behandler

personoplysninger på vegne af den Dataansvarlige

• Databehandleraftalen har til formål at sikre, at Peytz & Co overholder

den til enhver tid gældende persondataretlige regulering

• Peytz & Co anvender IT-Branchens modelkontrakt for

Databehandleraftaler

• Det er en fordel for begge parter, at det er en branchestandard

• Databehandleraftalen indgås altid i forlængelse af en driftsaftale med

Peytz & Co - ift. hosting og/eller abonnement på Peytz Mail

Page 67: Bliv compliant med persondataforordningen – København, 24. oktober

Databehandleraftalen - indhold1. BAGGRUND OG FORMÅL

2. OMFANG

3. VARIGHED

4. DATABEHANDLERENS FORPLIGTELSER

5. DEN DATAANSVARLIGES FORPLIGTELSER

6. UNDERDATABEHANDLERE

7. OVERFØRSEL TIL TREDJELANDE OG

INTERNATIONALE ORGANISATIONER

8. DATABEHANDLING UDENFOR INSTRUKSEN

9. VEDERLAG OG OMKOSTNINGER

10. ÆNDRING AF INSTRUKSEN

11. MISLIGHOLDELSE

12. ANSVAR OG ANSVARSBEGRÆNSNINGER

13. FORCE MAJEURE

14. FORTROLIGHED

15. OPHØR

16. TVISTLØSNING

17. FORRANG

BILAG 1 Hovedydelsen

BILAG 2 Tekniske og organisatoriske sikkerhedskrav og

garantier

BILAG 3 Dokumentation for overholdelse af forpligtelser

BILAG 4 Konkret bistand

BILAG 5 Den Dataansvarliges forpligtelser

BILAG 6 Underdatabehandlere

BILAG 7 Overførsel til tredjelande og internationale

organisationer

Page 68: Bliv compliant med persondataforordningen – København, 24. oktober

Databehandleraftalen - indhold

1. BAGGRUND OG FORMÅL

2. OMFANG

3. VARIGHED

4. DATABEHANDLERENS FORPLIGTELSER

5. DEN DATAANSVARLIGES FORPLIGTELSER

6. UNDERDATABEHANDLERE

7. OVERFØRSEL TIL TREDJELANDE OG

INTERNATIONALE ORGANISATIONER

8. DATABEHANDLING UDENFOR INSTRUKSEN

9. VEDERLAG OG OMKOSTNINGER

10. ÆNDRING AF INSTRUKSEN

11. MISLIGHOLDELSE

12. ANSVAR OG ANSVARSBEGRÆNSNINGER

13. FORCE MAJEURE

14. FORTROLIGHED

15. OPHØR

16. TVISTLØSNING

17. FORRANG

BILAG 1 Hovedydelsen

BILAG 2 Tekniske og organisatoriske sikkerhedskrav og

garantier

BILAG 3 Dokumentation for overholdelse af forpligtelser

BILAG 4 Konkret bistand

BILAG 5 Den Dataansvarliges forpligtelser

BILAG 6 Underdatabehandlere

BILAG 7 Overførsel til tredjelande og internationale

organisationer

Page 69: Bliv compliant med persondataforordningen – København, 24. oktober

Databehandleraftalen - indhold

1. BAGGRUND OG FORMÅL

2. OMFANG

3. VARIGHED

4. DATABEHANDLERENS FORPLIGTELSER

5. DEN DATAANSVARLIGES FORPLIGTELSER

6. UNDERDATABEHANDLERE

7. OVERFØRSEL TIL TREDJELANDE OG

INTERNATIONALE ORGANISATIONER

8. DATABEHANDLING UDENFOR INSTRUKSEN

9. VEDERLAG OG OMKOSTNINGER

10. ÆNDRING AF INSTRUKSEN

11. MISLIGHOLDELSE

12. ANSVAR OG ANSVARSBEGRÆNSNINGER

13. FORCE MAJEURE

14. FORTROLIGHED

15. OPHØR

16. TVISTLØSNING

17. FORRANG

BILAG 1 Hovedydelsen

BILAG 2 Tekniske og organisatoriske sikkerhedskrav og

garantier

BILAG 3 Dokumentation for overholdelse af forpligtelser

BILAG 4 Konkret bistand

BILAG 5 Den Dataansvarliges forpligtelser

BILAG 6 Underdatabehandlere

BILAG 7 Overførsel til tredjelande og internationale

organisationer

Page 70: Bliv compliant med persondataforordningen – København, 24. oktober

Databehandleraftalen - indhold

1. BAGGRUND OG FORMÅL

2. OMFANG

3. VARIGHED

4. DATABEHANDLERENS FORPLIGTELSER

5. DEN DATAANSVARLIGES FORPLIGTELSER

6. UNDERDATABEHANDLERE

7. OVERFØRSEL TIL TREDJELANDE OG

INTERNATIONALE ORGANISATIONER

8. DATABEHANDLING UDENFOR INSTRUKSEN

9. VEDERLAG OG OMKOSTNINGER

10. ÆNDRING AF INSTRUKSEN

11. MISLIGHOLDELSE

12. ANSVAR OG ANSVARSBEGRÆNSNINGER

13. FORCE MAJEURE

14. FORTROLIGHED

15. OPHØR

16. TVISTLØSNING

17. FORRANG

BILAG 1 Hovedydelsen

BILAG 2 Tekniske og organisatoriske sikkerhedskrav og

garantier

BILAG 3 Dokumentation for overholdelse af forpligtelser

BILAG 4 Konkret bistand

BILAG 5 Den Dataansvarliges forpligtelser

BILAG 6 Underdatabehandlere

BILAG 7 Overførsel til tredjelande og internationale

organisationer

Page 71: Bliv compliant med persondataforordningen – København, 24. oktober

Databehandleraftalen - indhold

1. BAGGRUND OG FORMÅL

2. OMFANG

3. VARIGHED

4. DATABEHANDLERENS FORPLIGTELSER

5. DEN DATAANSVARLIGES FORPLIGTELSER

6. UNDERDATABEHANDLERE

7. OVERFØRSEL TIL TREDJELANDE OG

INTERNATIONALE ORGANISATIONER

8. DATABEHANDLING UDENFOR INSTRUKSEN

9. VEDERLAG OG OMKOSTNINGER

10. ÆNDRING AF INSTRUKSEN

11. MISLIGHOLDELSE

12. ANSVAR OG ANSVARSBEGRÆNSNINGER

13. FORCE MAJEURE

14. FORTROLIGHED

15. OPHØR

16. TVISTLØSNING

17. FORRANG

BILAG 1 Hovedydelsen

BILAG 2 Tekniske og organisatoriske sikkerhedskrav og

garantier

BILAG 3 Dokumentation for overholdelse af forpligtelser

BILAG 4 Konkret bistand

BILAG 5 Den Dataansvarliges forpligtelser

BILAG 6 Underdatabehandlere

BILAG 7 Overførsel til tredjelande og internationale

organisationer

Page 72: Bliv compliant med persondataforordningen – København, 24. oktober

Databehandleraftalen - indhold

1. BAGGRUND OG FORMÅL

2. OMFANG

3. VARIGHED

4. DATABEHANDLERENS FORPLIGTELSER

5. DEN DATAANSVARLIGES FORPLIGTELSER

6. UNDERDATABEHANDLERE

7. OVERFØRSEL TIL TREDJELANDE OG

INTERNATIONALE ORGANISATIONER

8. DATABEHANDLING UDENFOR INSTRUKSEN

9. VEDERLAG OG OMKOSTNINGER

10. ÆNDRING AF INSTRUKSEN

11. MISLIGHOLDELSE

12. ANSVAR OG ANSVARSBEGRÆNSNINGER

13. FORCE MAJEURE

14. FORTROLIGHED

15. OPHØR

16. TVISTLØSNING

17. FORRANG

BILAG 1 Hovedydelsen

BILAG 2 Tekniske og organisatoriske sikkerhedskrav og

garantier

BILAG 3 Dokumentation for overholdelse af forpligtelser

BILAG 4 Konkret bistand

BILAG 5 Den Dataansvarliges forpligtelser

BILAG 6 Underdatabehandlere

BILAG 7 Overførsel til tredjelande og internationale

organisationer

Page 73: Bliv compliant med persondataforordningen – København, 24. oktober

Databehandleraftalen - indhold

1. BAGGRUND OG FORMÅL

2. OMFANG

3. VARIGHED

4. DATABEHANDLERENS FORPLIGTELSER

5. DEN DATAANSVARLIGES FORPLIGTELSER

6. UNDERDATABEHANDLERE

7. OVERFØRSEL TIL TREDJELANDE OG

INTERNATIONALE ORGANISATIONER

8. DATABEHANDLING UDENFOR INSTRUKSEN

9. VEDERLAG OG OMKOSTNINGER

10. ÆNDRING AF INSTRUKSEN

11. MISLIGHOLDELSE

12. ANSVAR OG ANSVARSBEGRÆNSNINGER

13. FORCE MAJEURE

14. FORTROLIGHED

15. OPHØR

16. TVISTLØSNING

17. FORRANG

BILAG 1 Hovedydelsen

BILAG 2 Tekniske og organisatoriske sikkerhedskrav og

garantier

BILAG 3 Dokumentation for overholdelse af forpligtelser

BILAG 4 Konkret bistand

BILAG 5 Den Dataansvarliges forpligtelser

BILAG 6 Underdatabehandlere

BILAG 7 Overførsel til tredjelande og internationale

organisationer

Page 74: Bliv compliant med persondataforordningen – København, 24. oktober

Databehandleraftalen - indhold

1. BAGGRUND OG FORMÅL

2. OMFANG

3. VARIGHED

4. DATABEHANDLERENS FORPLIGTELSER

5. DEN DATAANSVARLIGES FORPLIGTELSER

6. UNDERDATABEHANDLERE

7. OVERFØRSEL TIL TREDJELANDE OG

INTERNATIONALE ORGANISATIONER

8. DATABEHANDLING UDENFOR INSTRUKSEN

9. VEDERLAG OG OMKOSTNINGER

10. ÆNDRING AF INSTRUKSEN

11. MISLIGHOLDELSE

12. ANSVAR OG ANSVARSBEGRÆNSNINGER

13. FORCE MAJEURE

14. FORTROLIGHED

15. OPHØR

16. TVISTLØSNING

17. FORRANG

BILAG 1 Hovedydelsen – INSTRUKSEN!

BILAG 2 Tekniske og organisatoriske sikkerhedskrav og

garantier

BILAG 3 Dokumentation for overholdelse af forpligtelser

BILAG 4 Konkret bistand

BILAG 5 Den Dataansvarliges forpligtelser

BILAG 6 Underdatabehandlere

BILAG 7 Overførsel til tredjelande og internationale

organisationer

Page 75: Bliv compliant med persondataforordningen – København, 24. oktober

Bilag 1 Hovedydelsen - Instruksen

• Beskrivelse af baggrunden for behovet for en

databehandleraftale med henvisning til de

relevante aftaler

• Typer af personoplysninger, der behandles ved

levering af Hovedydelsen

• Kategorier af fysiske personer omfattet af

Databehandleraftalen (fx. kunder, der har givet

tilladelse til at den dataansvarlige må sende

information på e-mail)

Page 76: Bliv compliant med persondataforordningen – København, 24. oktober

Databehandleraftalen - indhold1. BAGGRUND OG FORMÅL

2. OMFANG

3. VARIGHED

4. DATABEHANDLERENS FORPLIGTELSER

5. DEN DATAANSVARLIGES FORPLIGTELSER

6. UNDERDATABEHANDLERE

7. OVERFØRSEL TIL TREDJELANDE OG

INTERNATIONALE ORGANISATIONER

8. DATABEHANDLING UDENFOR INSTRUKSEN

9. VEDERLAG OG OMKOSTNINGER

10. ÆNDRING AF INSTRUKSEN

11. MISLIGHOLDELSE

12. ANSVAR OG ANSVARSBEGRÆNSNINGER

13. FORCE MAJEURE

14. FORTROLIGHED

15. OPHØR

16. TVISTLØSNING

17. FORRANG

BILAG 1 Hovedydelsen

BILAG 2 Tekniske og organisatoriske sikkerhedskrav og

garantier

BILAG 3 Dokumentation for overholdelse af forpligtelser

BILAG 4 Konkret bistand

BILAG 5 Den Dataansvarliges forpligtelser

BILAG 6 Underdatabehandlere

BILAG 7 Overførsel til tredjelande og internationale

organisationer

Page 77: Bliv compliant med persondataforordningen – København, 24. oktober

Q & ABare spørg løs!

Page 78: Bliv compliant med persondataforordningen – København, 24. oktober

Tak for i dag

(navneskilte, tak)

Page 79: Bliv compliant med persondataforordningen – København, 24. oktober

PartnerClaus Sø[email protected] 0101