bliv compliant med persondataforordningen – københavn, 24. oktober
TRANSCRIPT
GDPR
sådan
Velkommen
8.40: Vi sætter os ned (ikke før)
8.45: Velkommen
8.50: Tim Nielsen, DAHL Advokatfirma: Reglerne og deres praktiske betydning
9.40: Pause - alle strækker ben
10.00: Bo Mikael: Sådan gør du i praksis
10:30: Jens Ebak: Sådan gør vi i Peytz & Co
10.40: Panel: Spørgsmål og svar
11.00: Tak for i dag
OBS: Alle slides bliver delt bagefter
Bliv compliant med persondataforordningen
Peytz & Co. – 24. oktober 2017
Dagens program
1. Introduktion
2. Intro til persondataretten
3. Intro til den nye forordning
4. Hvordan gør man?
5. Eksempel på praktisk compliance
6. Spørgsmål
Introduktion
Introduktion
Hvad er fokus for dagens emne?
• Overblik!
• For mange detaljer til 50 min. alligevel
• Det skal være relevant
• Stil derfor gerne spørgsmål undervejs
• Præsentation udleveres efterfølgende
• Speciale i teknologivirksomheder• Rådgiver bl.a. om • Persondata• IT-anskaffelser & Outsourcing• Licenser• Konflikter• …og andet branchespecifikt
• Certificeret IT-advokat• Medlem af International Association of Privacy Professionals
• DAHL i København siden 2014• Kromann Reumert 2006-2014• 2006-2008 - Selskabsret og finansiel regulering• 2008- Teknologivirksomheder
Advokat
88 91 98 21
61 91 51 05
Tim Nielsen
Hvem er DAHL?
• 6 kontorer
• 200 medarbejdere
• Opdelt i specialer, f.eks.
• Persondata
• IT-forhold
• HR-forhold
• Outsourcing
• Selskabsforhold
• Skatter og afgifter
• …osv.
ESBJERG
AARHUS
RANDERSVIBORG
HERNING
KØBENHAVN
Introduktion til persondataretten
PERSONDATA ER EN TILLIDSSAG
Intro til persondataretten
• “Enhver form for information om en
identificeret eller identificerbar fysisk
person”
• Kan personen findes, er det persondata
• …også selvom det er næsten umuligt
• Særlig regulering!
Intro til persondataretten
Persondata omfatter f.eks.:
Direkte: Navn, adresse, telefonnummer, e-mail osv.
Indirekte: Kundenummer, referencer, billeder, lyd osv.
“Umulige”: IP-adresser, eksternt kundenummer, krypterede data, lokationsdata osv.
Persondata omfatter f.eks. ikke:
Teknisk data
Anonyme data
…forudsat at data ikke er sammensat med persondata
Næsten umuligt ikke at behandle persondata
Intro til persondataretten
• Alle personoplysninger, der ikke er en af de to andre
• Alm. behandlingskravAlm. oplysninger
Følsomme
oplysninger
Rent private
oplysninger
• ”Racemæssig eller etnisk baggrund, politisk, religiøs eller
filosofisk overbevisning, fagforeningsmæssige tilhørsforhold
og oplysninger om helbredsmæssige og seksuelle forhold”
• Skærpede behandlingskrav ud over alm. krav
CPR-nr.
• ”Strafbare forhold, væsentlige sociale problemer og andre
rent private forhold ”
• Skærpede behandlingskrav ud over alm. krav
• Meget begrænset behandling
Intro til persondataretten
• Fysisk person oplysningerne identificerer
• Den hele beskyttelsen omhandlerRegistreret
Dataansvarlig
Databehandler
• Dataejeren
• Bestemmer over oplysningerne om den registrerede
• Fuldt ansvarlig for reglernes overholdelse
• (Under)leverandør
• Behandling af oplysninger om registrerede på vegne af
dataansvarlig
• Begrænset ansvar for behandlingen
Intro til persondataretten
Dataansvarlig
Databehandler
• ”En databehandlers behandling skal være reguleret af
en kontrakt eller et andet retligt dokument…”
• => Hjemmel til databehandlerens lovlige behandling af
data
• Fastsætter vilkårene for behandlingen mellem parterne
• Legale krav
• Kommercielle krav
• Behøver ikke være en selvstændig aftale – kan godt
være del af hovedaftale
Intro til persondataretten
• Videregivelse kræver ikke en databehandleraftale
• Til gengæld kræver det særskilt hjemmel, f.eks. samtykke eller nødvendighed
• Typisk restriktiv adgang hertil
• Normalt ikke ønskeligt – uden nærmere overvejelser
Dataansvarlig Dataansvarlig
Intro til persondataretten
Dataeksport
Indenfor EU/EØS kræver ikke særlig tilladelse
Udenfor EU/EØS kræver (i praksis)
…samtykke
…tilladelse fra datatilsynet
…eller brug af EU standardkontrakter
”Safe harbor” genopstået som ”Privacy Shield” (USA)
Adgang til data er også omfattet
F.eks. Support fra Indien
Introduktion til den nye forordning
Den nye forordning
• Fælles grundlag • Forskellig implementering• I Danmark: Persondataloven
• Fælles grundlag • Fælles implementering• I hele EU: Persondataforordningen• (…evt. tilpasninger lokalt)
Den nye forordning
Hvad er nyt?
• Indeholder reelt kun få helt nye regler
• Materielle behandlingsregler overordnet de samme
• Om end visse præciseringer og skærpelser
• Dog mange nye krav omkring beskyttelse og håndtering af persondata
• Særligt mange regler om proces og dokumentation
• Fokus på egne risikovurdering og dokumentation
• Nu med bøder
• ”Tillidsbrud” – op til mEUR 20 eller 4 % af global omsætning
• ”Procesbrud” – op til mEUR 10 eller 2 % af global omsætning
Den nye forordning
Centralt begreb er ”ansvarlighed”
• Persondatareguleringen har en række generelt formulerede forpligtelser
• Forpligtelserne skal ”oversættes” til praktiske foranstaltninger
• Forpligtelserne skal implementeres i virksomheden
• Implementeringen heraf skal sikres effektivt
• Implementeringen og sikringen skal dokumenteres
Man skal ikke bare gøre det, men vise at man gør det!
Den nye forordning
Den nye forordning
Krav om ansvarlighed i Persondataforordningen
• Art. 5, stk. 2: Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes
(»ansvarlighed«).
• Art. 5, stk. 1 er grundprincipperne (Gennemsigtighed, formålsbegrænsning, dataminimering,
rigtighed, opbevaringsbegrænsning, integritet og fortrolighed.)
Den nye forordning
Krav om ansvarlighed i Persondataforordningen
• Art. 24, stk. 1: ”Under hensyntagen til den pågældende behandlings karakter, omfang,
sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske
personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige passende tekniske
og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling
er i overensstemmelse med denne forordning. Disse foranstaltninger skal om nødvendigt
revideres og ajourføres.”
• Art. 28, stk. 3 (h): ”[databehandleren] stiller alle oplysninger, der er nødvendige for at påvise
overholdelse af kravene i denne artikel, til rådighed for den dataansvarlige og giver mulighed
for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en
anden revisor, som er bemyndiget af den dataansvarlige.”
Hvordan gør man?
Håndtering af ad hoc problemløsning
Kontoller og dokumentation
4) Øvrige / ad hoc
Idriftsættelse af løsning
Prioritering
Scoping af analysetilgang
DAHLs Compliancemodel
Opstart ”Baseline” Løsning Udrulning Kontrol Governance
Kickoff og mobilisering
Undervisning
Interviews og indblik
Kortlæg data
Kortlæg aktiviteter
Kortlæg standarder
GAP-analyse
Scoping af løsning
1) Design af overordnet framwork
2) Processer
3) Governanceværktøjer
Uddannelse og awareness
Metode til at sikre løbende efterlevelse
Styring af framework
Justering af framwork
1 2 3 4 5 6
Ove
rord
ned
e le
vera
nce
r
Opbygning af awareness
A B
Løsning og idriftsættelse Optimering af drift
Hvordan gør man?
STEP 1: Skab overblik over behandling af personoplysninger i processerne
• Hvilke processer involverer behandling af personoplysninger i jeres virksomhed?
• Anbefaler at se på processer – ikke systemer
Med
arb
ejd
ere
Mar
ked
sfø
rin
g
Sam
arb
ejd
spar
tner
e o
g Le
vera
nd
øre
r
Ku
nd
er o
g le
vera
nce
r
IT &
Info
rmat
ion
ssik
kerh
ed
Hvordan gør man?
STEP 2: Vurder hvad risikoen (den persondataretlige) er ved behandlingen
• Risikovurdering er nøglen til at fastsætte niveauet af compliance
• Kig nærmere på de processer I har kortlagt i STEP 1.
• Overvej f.eks. på proces-niveau:
• Om der behandles følsomme personoplysninger
• Hvor mange personoplysninger der behandles
• Om der overføres personoplysninger til lande uden for EU
• Om I fortager profilering eller automatiske afgørelser af registrerede
• Hvis høj risiko skal der fortages en konsekvensanalyse
• Skriv det ned (dokumentation)!
Hvordan gør man?
STEP 3: Vurder om behandlingen sker i overensstemmelse med behandlingsprincipperne
• Kig igen på de forskellige behandlingsprocesser i jeres virksomhed
• Har I hjemmel til at fortage behandlingen?
• Har I fastsat formål for behandlingen, og er formålene saglige?
• Har I kun de personoplysninger der er relevante for formålene?
• Er personoplysningerne ajourførte og korrekte?
• Har I slettet personoplysningerne, der ikke længere er relevante eller nødvendige?
• Opbevares personoplysningerne tilstrækkeligt sikkert (se STEP 4)
• Skriv det ned (dokumentation)!
Hvordan gør man?
STEP 4: Vurder om personoplysningerne behandles sikkert nok
• Ikke kun IT – også organisation
• Jo mere følsom personoplysningerne Jo større krav til sikkerhed
• Opbevares oplysningerne et sikkert sted?
• Opbevares oplysninger hos jer selv eller hos en leverandør?
• Hvis oplysningerne behandles hos en leverandør
• Er der indgået en databehandleraftale?
• Krav til leverandøren?
• Hvilke sikkerhedsforanstaltninger er relevante?
• Følges der op? – revision og audit
• Skriv det ned (dokumentation)!
Hvordan gør man?
STEP 5: Forhold jer konkret til hvad I skal gøre
• I behøver ikke at gøre alt
• Genbesøg jeres opdagelser i STEP 1-4, herunder
• Processer
• Risici
• Behandlingens lovlighed
• Sikkerhed
• Omfanget af krav og pligter afhænger overordnet af risiciene, herunder særligt:
• Typen af data
• Mængden af data
Hvordan gør man?
STEP 5: Lav en intern persondata politik
• Hvad I har fundet ud af i STEP 4?
• Hvilken værdi tillægger I beskyttelsen af personoplysninger i virksomheden?
• Hvordan har I tænkt jer at overholde behandlingsprincipperne og øvrige forpligtigelser?
• Nødvendigt at kende forpligtigelser i forordningen og databeskyttelsesloven
• Eksempel: Skal vi udforme fortegnelse over behandlingsaktiviteter (art. 30)?
Hvis ja – Hvordan gør vi det?
• Eksempel: skal min virksomhed udpege en DPO? (art. 37)
Hvis ja – Hvem er det, og hvornår bruger vi DPO’en?
Hvordan gør man?
STEP 6: Opsæt en række kontroller i et årshjul
• Er behandlingsprocesserne de samme, eller er der sket ændringer?
• Er risici de samme, eller er der sket ændringer?
• Behandles personoplysninger stadig i overensstemmelse med principperne i forordningen?
• Er sikkerhedsforanstaltningerne stadig passende, eller skal der ske ændringer?
• Overholdes politikkens indhold i praksis?
• Skal politikken evt. skal ændres/opdateres?
Eksempel på praktisk compliance
Eksempel på praktisk compliance
1
• Indledende samtale om proces og roller
• Interviews af 2-4 timers varighed baseret på DAHLs spørgeskema og metodeværktøj
• Deltagere:
- direktør/ejerleder
- evt. IT/web-ansvarlig
- evt. personaleansvarlig(e)
- evt. andre
- DAHL-specialist
Step 1
2
• DAHL udarbejder dokument med vurdering
- Viser hvor virksomhed rammes af de nye regler og hvor hårdt den rammes
• DAHL udvikler en TO DO-liste til virksomheden
• Møde af 2-3 timers varighed, hvor anbefalingen gennemgås
- sikre forståelse for særlige problemområder
- drøfte hvordan virksomheden kan lykkes med vigtige TO DO’s
”TO DO”-liste og præsentation
Step 2
3
• Virksomhed kan efter behov tilkøbe adgang til:
- DAHL webinar / videoundervisning, som kan bruges til uddannelse og dokumentation
- diverse standardværktøjer som umiddelbart kan tages i brug
- Databehandleraftale
- Politik
- ”Sundhedstjek” efter 6 eller 12 mdr. ved DAHL-specialist
• Tillægsydelser vurderes fra sag til sag afhængigt af virksomhedens behov
Evt. adgang til standardværktøjer
Efter behov
Interviews og virksomhedsvurdering
Kontakt
Tim Nielsen, Advokat
Mobil: +45 61 91 51 05
Direkte: +45 88 91 98 21
E-mail: [email protected]
Pause
alle strækker ben
Sådan gør I jer klar
Bo Mikael
• Journalist og redaktør siden 1982
• Arbejdet digitalt siden 1996
• Kontaktdirektør hos Peytz & Co
Disclaimer
• Jeg er IKKE jurist
• Forordningen er IKKE trådt i kraft
• Den danske lovgivning er IKKE på plads
Don’tDo
Risk
2017
Don’tDo
Risk
2018 +
Sådan gør I jer klar
Gennemgå dette:
1. Hvor indsamler I data?
2. Hvilke data indsamler I?
3. Hvordan håndterer I data?
4. Hvor ligger jeres data?
Hvor opsamler I data?
Hvor opsamler I data?
•Gennemgå jeres brugergrænseflader og identificér, hvor I opsamler data
Andre steder?
• Live, f.eks. messer, flyers• Statistik•Cookies•Data-mining
Hvilke data indsamler I?
Hvad er persondata?
Fødselsdato
Helbredsoplysninger
Adresse
RaceKøn
Telefonnummer
Sexuel overbevisning
Religion
Sociale issuesStraffeattest
Uddannelse
Genetiske informationer
Familie-informationer
Mine persondata
Stilling
Fødselsdato
Helbredsoplysninger
IP-adresse
Kreditkort Tøj- og sko-størrelser
Billede
Fagforening
Parti
Adresse
RaceKøn
Telefonnummer
Sexuel overbevisning
Pasnummer
Religion
Sociale issues
GPS-info
Straffeattest
Uddannelse
MAC-adresse
Genetiske informationer
Elektroniske spor
Familie-informationer
StillingLogin
Interesser
Mine persondata + alt det andet
Varekøb
Hvad er det, I indsamler?
1. Hvilke data?1. Navn
2. Mail
3. Adresse
4. …..
5. …..
6. Andet
2. Almindelige eller følsomme data?3. Permissions/samtykker?
Hvordan håndterer I data?
Hvornår må man bruge persondata?
• ”Når der er afgivet hjemmel, f.eks. et udtrykkeligt og informeret samtykke”
• ”Når det er nødvendig for opfyldelse af en aftale med den registrerede”
• ”Når det er nødvendig af hensyn til en berettiget interesse – forudsat at den registreredes modstående interesse ikke er større”
Hvad er det, der skal beskyttes?
•Personhenførbare data”Personhenførbare data er infoirmationer, som kan henføres til en given person. Det kan både være enkelte data, som f.eks. navn, men kan også være flere sammensatte datasæt som f.eks. en mail-adresse, interesser og geografi.”
Hvordan bruges jeres data?
• Til kontakt?• Til salgsbudskaber?• Sammen med data fra cookies?• Sammen med data fra data-mining?• Sammen med data fra statistik, f.eks. Analytics eller
SiteImprove?• Hvad dækker jeres permissions/samtykker?• Bruges de efter hensigten?
Hvem arbejder med jeres data?
• Er det jer selv, der behandler data?• Eller er det en ekstern partner?• Sker det i EU, i et sikkert land eller i et usikkert
land?
Hvordan er data-sikkerheden?
• Er det hele beskrevet? Ellers få det gjort!•Har I databehandler-aftaler?
Hvor ligger jeres data?
Hvor ligger jeres data?
•På egne servere?• I et eksternt server-miljø?• I skyen?• I EU, i sikker havn eller i usikkert 3. land?•Ved I det?
Hvordan er data beskyttet?
•Adgang til servere•Organisatoriske retningslinjer•Kan I slette data?•Kan I flytte data?• Er det hele beskrevet? Ellers få det gjort!•Har I databehandler-aftaler?
Sådan gør I jer klar
1. Hvor indsamler I data?
2. Hvilke data indsamler I?
3. Hvordan håndteres data?
4. Hvor ligger data?
• Nyhedsbreve• Events• Live• Cookies• Statistik• Andet
• Bruges alene• Bruges sammen med cookies• … sammen med statistik• Håndteres af underleverandør• Instruks • Andet
• Navn• Mail• Interesser• Adresse• Følsomme?• Andet
• På egne servere• På ekstern servere• I skyen• Databehandleraftale• Andet
Databehandleraftalen i praksisOktober 2017
Jens Ebak
• Økonomidirektør hos Peytz & Co
• Ansvarlig for kontrakter med kunder og
leverandører
Disclaimer
• Jeg er IKKE jurist
• Forordningen er IKKE trådt i kraft
• Den danske lovgivning er IKKE på plads
Hvad gør Peytz & Co
• Arbejdsgruppe etableret i maj 2016
• ISO-27001 compliance
• Procesdokumentation og formalisering af
organisatoriske roller
• Udvikler services og systemer, så de
understøtter krav fra GDPR
• Indgår databehandleraftaler med vores kunder
(IT-Branchens modelkontrakt)
• Indgår underdatabehandleraftaler med vores
leverandører - primært hosting partnere
Databehandleraftalen
IT-Branchens modelkontrakt
Databehandleraftalens anvendelse
• Databehandleraftalen indgås, når Peytz & Co behandler
personoplysninger på vegne af den Dataansvarlige
• Databehandleraftalen har til formål at sikre, at Peytz & Co overholder
den til enhver tid gældende persondataretlige regulering
• Peytz & Co anvender IT-Branchens modelkontrakt for
Databehandleraftaler
• Det er en fordel for begge parter, at det er en branchestandard
• Databehandleraftalen indgås altid i forlængelse af en driftsaftale med
Peytz & Co - ift. hosting og/eller abonnement på Peytz Mail
Databehandleraftalen - indhold1. BAGGRUND OG FORMÅL
2. OMFANG
3. VARIGHED
4. DATABEHANDLERENS FORPLIGTELSER
5. DEN DATAANSVARLIGES FORPLIGTELSER
6. UNDERDATABEHANDLERE
7. OVERFØRSEL TIL TREDJELANDE OG
INTERNATIONALE ORGANISATIONER
8. DATABEHANDLING UDENFOR INSTRUKSEN
9. VEDERLAG OG OMKOSTNINGER
10. ÆNDRING AF INSTRUKSEN
11. MISLIGHOLDELSE
12. ANSVAR OG ANSVARSBEGRÆNSNINGER
13. FORCE MAJEURE
14. FORTROLIGHED
15. OPHØR
16. TVISTLØSNING
17. FORRANG
BILAG 1 Hovedydelsen
BILAG 2 Tekniske og organisatoriske sikkerhedskrav og
garantier
BILAG 3 Dokumentation for overholdelse af forpligtelser
BILAG 4 Konkret bistand
BILAG 5 Den Dataansvarliges forpligtelser
BILAG 6 Underdatabehandlere
BILAG 7 Overførsel til tredjelande og internationale
organisationer
Databehandleraftalen - indhold
1. BAGGRUND OG FORMÅL
2. OMFANG
3. VARIGHED
4. DATABEHANDLERENS FORPLIGTELSER
5. DEN DATAANSVARLIGES FORPLIGTELSER
6. UNDERDATABEHANDLERE
7. OVERFØRSEL TIL TREDJELANDE OG
INTERNATIONALE ORGANISATIONER
8. DATABEHANDLING UDENFOR INSTRUKSEN
9. VEDERLAG OG OMKOSTNINGER
10. ÆNDRING AF INSTRUKSEN
11. MISLIGHOLDELSE
12. ANSVAR OG ANSVARSBEGRÆNSNINGER
13. FORCE MAJEURE
14. FORTROLIGHED
15. OPHØR
16. TVISTLØSNING
17. FORRANG
BILAG 1 Hovedydelsen
BILAG 2 Tekniske og organisatoriske sikkerhedskrav og
garantier
BILAG 3 Dokumentation for overholdelse af forpligtelser
BILAG 4 Konkret bistand
BILAG 5 Den Dataansvarliges forpligtelser
BILAG 6 Underdatabehandlere
BILAG 7 Overførsel til tredjelande og internationale
organisationer
Databehandleraftalen - indhold
1. BAGGRUND OG FORMÅL
2. OMFANG
3. VARIGHED
4. DATABEHANDLERENS FORPLIGTELSER
5. DEN DATAANSVARLIGES FORPLIGTELSER
6. UNDERDATABEHANDLERE
7. OVERFØRSEL TIL TREDJELANDE OG
INTERNATIONALE ORGANISATIONER
8. DATABEHANDLING UDENFOR INSTRUKSEN
9. VEDERLAG OG OMKOSTNINGER
10. ÆNDRING AF INSTRUKSEN
11. MISLIGHOLDELSE
12. ANSVAR OG ANSVARSBEGRÆNSNINGER
13. FORCE MAJEURE
14. FORTROLIGHED
15. OPHØR
16. TVISTLØSNING
17. FORRANG
BILAG 1 Hovedydelsen
BILAG 2 Tekniske og organisatoriske sikkerhedskrav og
garantier
BILAG 3 Dokumentation for overholdelse af forpligtelser
BILAG 4 Konkret bistand
BILAG 5 Den Dataansvarliges forpligtelser
BILAG 6 Underdatabehandlere
BILAG 7 Overførsel til tredjelande og internationale
organisationer
Databehandleraftalen - indhold
1. BAGGRUND OG FORMÅL
2. OMFANG
3. VARIGHED
4. DATABEHANDLERENS FORPLIGTELSER
5. DEN DATAANSVARLIGES FORPLIGTELSER
6. UNDERDATABEHANDLERE
7. OVERFØRSEL TIL TREDJELANDE OG
INTERNATIONALE ORGANISATIONER
8. DATABEHANDLING UDENFOR INSTRUKSEN
9. VEDERLAG OG OMKOSTNINGER
10. ÆNDRING AF INSTRUKSEN
11. MISLIGHOLDELSE
12. ANSVAR OG ANSVARSBEGRÆNSNINGER
13. FORCE MAJEURE
14. FORTROLIGHED
15. OPHØR
16. TVISTLØSNING
17. FORRANG
BILAG 1 Hovedydelsen
BILAG 2 Tekniske og organisatoriske sikkerhedskrav og
garantier
BILAG 3 Dokumentation for overholdelse af forpligtelser
BILAG 4 Konkret bistand
BILAG 5 Den Dataansvarliges forpligtelser
BILAG 6 Underdatabehandlere
BILAG 7 Overførsel til tredjelande og internationale
organisationer
Databehandleraftalen - indhold
1. BAGGRUND OG FORMÅL
2. OMFANG
3. VARIGHED
4. DATABEHANDLERENS FORPLIGTELSER
5. DEN DATAANSVARLIGES FORPLIGTELSER
6. UNDERDATABEHANDLERE
7. OVERFØRSEL TIL TREDJELANDE OG
INTERNATIONALE ORGANISATIONER
8. DATABEHANDLING UDENFOR INSTRUKSEN
9. VEDERLAG OG OMKOSTNINGER
10. ÆNDRING AF INSTRUKSEN
11. MISLIGHOLDELSE
12. ANSVAR OG ANSVARSBEGRÆNSNINGER
13. FORCE MAJEURE
14. FORTROLIGHED
15. OPHØR
16. TVISTLØSNING
17. FORRANG
BILAG 1 Hovedydelsen
BILAG 2 Tekniske og organisatoriske sikkerhedskrav og
garantier
BILAG 3 Dokumentation for overholdelse af forpligtelser
BILAG 4 Konkret bistand
BILAG 5 Den Dataansvarliges forpligtelser
BILAG 6 Underdatabehandlere
BILAG 7 Overførsel til tredjelande og internationale
organisationer
Databehandleraftalen - indhold
1. BAGGRUND OG FORMÅL
2. OMFANG
3. VARIGHED
4. DATABEHANDLERENS FORPLIGTELSER
5. DEN DATAANSVARLIGES FORPLIGTELSER
6. UNDERDATABEHANDLERE
7. OVERFØRSEL TIL TREDJELANDE OG
INTERNATIONALE ORGANISATIONER
8. DATABEHANDLING UDENFOR INSTRUKSEN
9. VEDERLAG OG OMKOSTNINGER
10. ÆNDRING AF INSTRUKSEN
11. MISLIGHOLDELSE
12. ANSVAR OG ANSVARSBEGRÆNSNINGER
13. FORCE MAJEURE
14. FORTROLIGHED
15. OPHØR
16. TVISTLØSNING
17. FORRANG
BILAG 1 Hovedydelsen
BILAG 2 Tekniske og organisatoriske sikkerhedskrav og
garantier
BILAG 3 Dokumentation for overholdelse af forpligtelser
BILAG 4 Konkret bistand
BILAG 5 Den Dataansvarliges forpligtelser
BILAG 6 Underdatabehandlere
BILAG 7 Overførsel til tredjelande og internationale
organisationer
Databehandleraftalen - indhold
1. BAGGRUND OG FORMÅL
2. OMFANG
3. VARIGHED
4. DATABEHANDLERENS FORPLIGTELSER
5. DEN DATAANSVARLIGES FORPLIGTELSER
6. UNDERDATABEHANDLERE
7. OVERFØRSEL TIL TREDJELANDE OG
INTERNATIONALE ORGANISATIONER
8. DATABEHANDLING UDENFOR INSTRUKSEN
9. VEDERLAG OG OMKOSTNINGER
10. ÆNDRING AF INSTRUKSEN
11. MISLIGHOLDELSE
12. ANSVAR OG ANSVARSBEGRÆNSNINGER
13. FORCE MAJEURE
14. FORTROLIGHED
15. OPHØR
16. TVISTLØSNING
17. FORRANG
BILAG 1 Hovedydelsen
BILAG 2 Tekniske og organisatoriske sikkerhedskrav og
garantier
BILAG 3 Dokumentation for overholdelse af forpligtelser
BILAG 4 Konkret bistand
BILAG 5 Den Dataansvarliges forpligtelser
BILAG 6 Underdatabehandlere
BILAG 7 Overførsel til tredjelande og internationale
organisationer
Databehandleraftalen - indhold
1. BAGGRUND OG FORMÅL
2. OMFANG
3. VARIGHED
4. DATABEHANDLERENS FORPLIGTELSER
5. DEN DATAANSVARLIGES FORPLIGTELSER
6. UNDERDATABEHANDLERE
7. OVERFØRSEL TIL TREDJELANDE OG
INTERNATIONALE ORGANISATIONER
8. DATABEHANDLING UDENFOR INSTRUKSEN
9. VEDERLAG OG OMKOSTNINGER
10. ÆNDRING AF INSTRUKSEN
11. MISLIGHOLDELSE
12. ANSVAR OG ANSVARSBEGRÆNSNINGER
13. FORCE MAJEURE
14. FORTROLIGHED
15. OPHØR
16. TVISTLØSNING
17. FORRANG
BILAG 1 Hovedydelsen – INSTRUKSEN!
BILAG 2 Tekniske og organisatoriske sikkerhedskrav og
garantier
BILAG 3 Dokumentation for overholdelse af forpligtelser
BILAG 4 Konkret bistand
BILAG 5 Den Dataansvarliges forpligtelser
BILAG 6 Underdatabehandlere
BILAG 7 Overførsel til tredjelande og internationale
organisationer
Bilag 1 Hovedydelsen - Instruksen
• Beskrivelse af baggrunden for behovet for en
databehandleraftale med henvisning til de
relevante aftaler
• Typer af personoplysninger, der behandles ved
levering af Hovedydelsen
• Kategorier af fysiske personer omfattet af
Databehandleraftalen (fx. kunder, der har givet
tilladelse til at den dataansvarlige må sende
information på e-mail)
Databehandleraftalen - indhold1. BAGGRUND OG FORMÅL
2. OMFANG
3. VARIGHED
4. DATABEHANDLERENS FORPLIGTELSER
5. DEN DATAANSVARLIGES FORPLIGTELSER
6. UNDERDATABEHANDLERE
7. OVERFØRSEL TIL TREDJELANDE OG
INTERNATIONALE ORGANISATIONER
8. DATABEHANDLING UDENFOR INSTRUKSEN
9. VEDERLAG OG OMKOSTNINGER
10. ÆNDRING AF INSTRUKSEN
11. MISLIGHOLDELSE
12. ANSVAR OG ANSVARSBEGRÆNSNINGER
13. FORCE MAJEURE
14. FORTROLIGHED
15. OPHØR
16. TVISTLØSNING
17. FORRANG
BILAG 1 Hovedydelsen
BILAG 2 Tekniske og organisatoriske sikkerhedskrav og
garantier
BILAG 3 Dokumentation for overholdelse af forpligtelser
BILAG 4 Konkret bistand
BILAG 5 Den Dataansvarliges forpligtelser
BILAG 6 Underdatabehandlere
BILAG 7 Overførsel til tredjelande og internationale
organisationer
Q & ABare spørg løs!
Tak for i dag
(navneskilte, tak)
PartnerClaus Sø[email protected] 0101