SlideShare a Scribd company logo

General Data Protection Regulation by Bird & Bird

Adapt
Adapt

This presentation is made by the international law firm Bird & Bird and is focusing on the significant changes and important requirements in the General Data Protection Regulation and the importance of these. The purpose is to have greater control over the company's data and to ensure a far better protection of personal data in the digital world. The presentation is aimed at anyone who needs to properly equipped to handle the processing of personal data in your company in relation to your digital solutions.

Business
1 of 34
Download to read offline
Adapt seminar 17. januar 2018 Persondataforordningen
Page 2 Program 1. Indledende bemærkninger 2. Vigtige begreber 3. Overblik over krav og forpligtelser i Persondataforordningen 4. Hvad betyder Persondataforordningen for jer? 5. Konkrete cases 6. Spørgsmål
Page 3 Indledende bemærkninger Vi har haft persondataloven siden 2000 • Baseret på persondatadirektivet (1995) • 15-20 år med voldsom udvikling • Forskelle i implementering af direktiv i 28 lande General Data Protection Regulation (GDPR) • Samme regler i hele EU • Udvidelse af persondataloven på nogle områder • Finder anvendelse fra den 25. maj 2018 Why all the fuzz? • Bøder: op til EUR 20 mio. eller 4% af årlig global omsætning • For at tilskynde overholdelse indføres et markant sanktionsniveau • Effektiv, proportional med overtrædelsen og have afskrækkende virkning • Ikke kun dataansvarlige, men også databehandlere kan ifalde bødestraf • GDPR compliance er blevet et salgs -og konkurrenceparameter • Troværdighed og image
Page 4 Program 1. Indledende bemærkninger 2. Vigtige begreber 3. Overblik over krav og forpligtelser i Persondataforordningen 4. Hvad betyder Persondataforordningen for jer? 5. Konkrete cases 6. Spørgsmål
Page 5 Vigtige begreber Behandling af personoplysninger GDPR Art 2: ”Denne forordning finder anvendelse på behandling af personoplysninger…”
Page 6 Vigtige begreber Personoplysning ”enhver form for information om en identificeret eller identificerbar fysisk person" • Kun fysiske personer – ikke oplysninger om virksomheder eller myndigheder • Identificeret eller identificerbar = Personhenførbar – alle midler tages i betragtning – hvis personen kan identificeres af ‘nogen’. • Uanset kilde : • Oplyst af personen selv • indhentet fra andre kilder • Jeres egne eller andres observationer – også subjektive. • Uanset format: Nedskrevet, billede, video, lydoptagelse, fingeraftryk, biologisk materiale • Pseudonymisering – Kryptering - Anonymisering
Page 7 Vigtige begreber Eksempler på personoplysninger • Peter Hansen, CPR nr. 200687-1233 er ansat i virksomhed A • Kattens stamnavn er Nero den tredje. • IP 145.97.39.155 • Bilen med registreringsnummer AF 22 454 holder ulovligt parkeret • Jordforurening på sommerhusgrund • Et portrætfoto uden tilhørende tekst eller forklaring • Registrering af medarbejderes færden via GPS i bilen • Kontaktoplysninger på ansatte hos en virksomheds leverandører, f.eks. e-mailadresse
Vigtige begreber Page 8 Behandling ”enhver aktivitet eller række af aktiviteter — med eller uden brug af automatisk behandling — som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse” Noget der ikke er en behandling?
Page9 Vigtige begreber Databehandler eller dataansvarlig? Dataansvarlig Den ”der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger” Databehandler Den ”der behandler personoplysninger på den dataansvarliges vegne” Hvorfor er sondringen relevant? Databehandleraftale
Page10 Vigtige begreber Eksempel Ansatte Kunder Leverandører Cloudleverandør Lønadministrator Virksomhed
Page 11 Program 1. Indledende bemærkninger 2. Vigtige begreber 3. Overblik over krav og forpligtelser i Persondataforordningen 4. Hvad betyder Persondataforordningen for jer? 5. Konkrete cases 6. Spørgsmål
Page 12 Overblik over krav og forpligtelser i Persondataforordningen Accountability Behandlings hjemmel Personers rettigheder Generelle forpligtelser (krav til processer) Behandlings -sikkerhed
Page 13 Overblik over krav og forpligtelser Behandlingshjemmel på formel Grundlæggende Principper Alm. oplysninger Særlige kategorier (følsomme oplysninger) Oplysninger om strafbare forhold Cpr.nr. Information Behandling er hjemlet 3. landsoverførsel
Page 14 Overblik over krav og forpligtelser Grundprincipper der altid skal være opfyldt Lovlighed rimelighed og gennemsigtighed • Skal behandles lovligt, rimeligt og på en gennemsigtig måde Formålsbegrænsning • Skal indsamles til udtrykkeligt angivne og legitime formål, og • Senere behandling må ikke være uforenelig med indsamlingsformål Dataminimering • Skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles Rigtighed • Skal være korrekte og om nødvendigt ajourførte; • Skal tage ethvert rimeligt skridt til sletning eller berigtigelse Opbevarings- begrænsning • Opbevares så det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til formålet Integritet og fortrolighed • Sikre tilstrækkelig sikkerhed, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger Ansvarlighed • Skal kunne påvise overholdelse
Page 15 Overblik over krav og forpligtelser Retsgrundlag for behandling GDPR artikel 6 GDPR artikel 9 GDPR artikel 10 National regulering, jf. artikel 87 Almindelige personoplysninger Særlige kategorier af personoplysninger Straffedomme og lovovertrædelser CPR-numre • Stamoplysninger; navn, adresse, fødselsdato, køn mv. • Ansættelsesdata; ansøgning, CV, stilling, arbejdsområde, sygedage, tjenstlige forhold mv. • dækninger, depotstørrelser, personlige tilvalg, formue, begunstigede familieforhold, • IP-adresse, TV overvågning • Ikke udtømmende • Race eller etnisk oprindelse • Politisk, religiøs eller filosofisk overbevisning • Fagforeningsmæssigt tilhørsforhold • Genetiske og biometriske data (identifikationsformål) • Helbredsoplysninger • Oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering e.g. straffeattest 123456-7890 Behandlingsgrundlag Behandlingsgrundlag Behandlingsgrundlag Behandlingsgrundlag • Samtykke • Opfyldelse af kontrakt, som den registrerede er part i • Overholde retlig forpligtelse • Beskyttelse af en persons vitale interesser • Interesseafvejningsregl en • m.fl. • Forbudt, dog; • Udtrykkeligt samtykke • Arbejds-, sundheds- og socialretlige forpligtelser • Fastlægge eller forsvare retskrav • Hvis oplysninger tydeligvis er offentliggjort af den registrerede • m.fl. • National regulering: • Udtrykkeligt samtykke • Kvalificeret interesseafvejning • National regulering • Samtykke • Følger af lov • Videregivelse naturligt led i normal drift og afgørende for entydig identifikation eller kræves af en offentlig myndighed
Page 16 Overblik over krav og forpligtelser Udvidet oplysningsforpligtelse Som i dag: • Dataansvarliges identitet • Formålet med behandlingen • Kategorier af modtagere • Om det er obligatorisk at give oplysninger • Konsekvenser ved ikke at give oplysninger • Retten til indsigt og berigtigelse • Hvis indsamlet fra andre kilder: hvilken type oplysninger Nye oplysningsforpligtelser: • Kontaktinfo for DPO • Hvilket behandlingsgrundlag • De legitime interesser der forfølges – hvis hjemme er interesseafvejning • Ved 3. landsoverførsel – henvisning til hjemme • Det tidsrum, hvor data vil blive opbevaret • Retten til at tilbagekalde samtykke • Retten til sletning, indsigelse og dataportabilitet • Retten til at klage til tilsynsmyndighed • Automatiske afgørelser – herunder logikken • Hvis indsamlet fra andre kilder: oplysninger om kilder Det er den dataansvarliges ansvar uopfordret at sikre sig, at oplysningerne bliver givet!
Page 17 Overblik over krav og forpligtelser Behandlingshjemmel på formel Grundlæggende Principper Alm. oplysninger Særlige kategorier (følsomme oplysninger) Oplysninger om strafbare forhold Cpr.nr. Information Behandling er hjemlet 3. landsoverførsel
Overblik over krav og forpligtelser Personers rettigheder Oplysningspligt og Indsigtsret Berigtigelse Sletning (Ret til at blive glemt) Begrænsning Dataportabilitet Indsigelse • Ret til uopfordret at modtage oplysninger ved indsamlingen og efterfølgende på opfordring at få indsigt i oplysninger (ret til kopi) (Art 13 -15 ) • Ikke krænke andres rettigheder • Ret til at få urigtige personoplysninger om sig selv berigtiget eller fuldstændiggjort (Art. 16) • Underrette modtagere oplysninger er videregivet til – dog hvis umuligt eller uforholdsmæssigt (Art 19) • Ret til at få personoplysninger om sig selv slettet – NB Ikke nogen ubetinget ret (Art 17) • Underrette modtagere oplysninger er videregivet til – dog hvis umuligt eller uforholdsmæssigt (Art 19) • Ret til at opnå begrænsning af behandling (midlertidigt i forb. med indsigelse eller alternativ til sletning) (Art 18) • Underrette modtagere oplysninger er videregivet til – dog hvis umuligt eller uforholdsmæssigt (Art 19) • Ret til i et struktureret, almindeligt anvendt og maskinlæsbart format at modtage personoplysninger om sig selv, som vedkommende har givet til en dataansvarlig, og • ret til at transmittere disse oplysninger til en anden dataansvarlig (Art 20) • Ret til af grunde, der vedrører den pågældendes særlige situation at gøre indsigelse mod behandling af sine personoplysninger (Art 21) – kvalificeret interesseafvejning • Ubetinget ret til indsigelse mod direkte markedsføring og automatiserede afgørelser (profilering) Hvordan skal der reageres? • Skriftligt, kortfattet og letforståeligt samt gratis (modifikation: gentagne og overdrevne henvendelser) • Senest inden 1 måned (kan i særlige tilfælde forlænges med 2 måneder) (Art 12) • Undtagelser og begrænsninger? (Art 23) – EU og National ret. Page 18
Overblik over krav og forpligtelser Generelle forpligtelser Ansvarlighed Databeskyttelses- politik Databeskyttelse gennem design Databeskyttelse gennem standardindstillinger Tage ansvar for databehandlere Fortegnelse over behandlingsaktiviteter • Gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med forordningen. Disse foranstaltninger skal løbende revideres og ajourføres • Hvis det står i rimeligt forhold til behandlingsaktiviteterne - implementering af passende databeskyttelsespolitikker • Passende tekniske og organisatoriske foranstaltninger skal understøtte overholdelse af forordningen • E.g. gennem pseudonymisering og dataminimering, herunder intern acces management • Standardindstillinger skal sikre, at kun personoplysninger, der er nødvendige til hvert specifikt formål behandles • Mængde af data - omfang af behandling – opbevaringsperiode - tilgængelighed • Udelukkende anvende databehandlere, der garanterer for, at behandling opfylder forordningen. • Risikovurdering af databehandleren og løsningen. Føre kontrol og påse, at databehandler opfylder krav • Krav om skriftligt aftalegrundlag • Formål samt kategorier af personer, oplysninger og modtagere, slettepolitik og beskrivelse af sikkerhed • Undtagelse, hvis færre end 250 medarbejdere • Medmindre høj-risiko-behandling, regelmæssig behandling eller behandling omfatter særlige kategorier Samarbejde med tilsynsmyndigheden • Den dataansvarlige og databehandleren skal efter anmodning samarbejde med tilsynsmyndigheden i forbindelse med udførelsen af dens opgaver • Men pligt til anmeldelse og tilladelse bortfalder Page 19
Overblik over krav og forpligtelser Behandlingssikkerhed Tekniske og organisatoriske sikkerheds- foranstaltninger Anmeldelse af sikkerhedsbrister til tilsynsmyndigheden og evt. de berørte personer Konsekvensanalyser (DPIA) Databeskyttelses- rådgiver (DPO) • Hense til behandlingens risiko, det aktuelle tekniske niveau og omkostninger • Ingen specifikke krav, om end GDPR nævner: • Pseudonymisering og kryptering • Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer • Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger • Procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af sikkerheden • senest 72 timer efter, at man er blevet bekendt med bruddet • Databehandlere skal underrette den dataansvarlige • beskrive karakteren af bruddet, herunder kategorierne og det omtrentlige antal berørte personer samt personoplysninger, konsekvenserne og trufne foranstaltninger for at stoppe og begrænse skaden • Skal kunne dokumentere bruddet og de trufne foranstaltninger • Hvis høj risiko for berørte personer - tillige underretning af de berørte • Hvis en ny type behandling( e.g ny teknologi , eller karakter og omfang) sandsynligvis vil indebære en høj risiko, skal der foretages en konsekvensanalyse • særlige kategorier i stort omfang – systematisk overvågning – profilering som grundlag for afgørelser. • Analyse: en beskrivelse af a) den planlagte behandling b) en vurdering af, om behandlingen er nødvendige og står i rimeligt forhold til formålene c) en vurdering af risiciene og d) de foranstaltninger, der påtænkes for at imødegå disse risici. • Hvis fortsat høj risiko – pligt til høring af tilsynsmyndighed • Skal rådgive om og overvåge virksomhedens overholdelse af forordning, lovgivningen og virksomhedens egne politikker • Kerneaktiviteter kræver regelmæssig og systematisk overvågning af registrerede i stort omfang, eller • Kerneaktiviteter består af behandling i stort omfang af særlige kategorier af oplysninger. • Både dataansvarlige og databehandlere • ‘uafhængig’ og ‘beskyttet’ Page 20
Page 21 Overblik over krav og forpligtelser i Persondataforordningen Accountability Behandlings hjemmel Personers rettigheder Generelle forpligtelser (krav til processer) Behandlings -sikkerhed
Page 22 Program 1. Indledende bemærkninger 2. Vigtige begreber 3. Overblik over krav og forpligtelser i Persondataforordningen 4. Hvad betyder Persondataforordningen for jer? 5. Konkrete cases 6. Spørgsmål
Hvad betyder persondataforordningen for jer? Hvordan påvirkes I af forordningen? Nye eller ændrede processer, procedurer og funktioner Ændringer i eller nye roller og ansvar i organisationen Ændringer i eller nye teknologier, værktøjer, IT applikationer, IT infrastruktur Ny eller ændringer til information, data, dokumenter, aftaler m.m. Page 23
Hvad betyder persondataforordningen for jer? Hvad skal I kunne? • redegøre for hvilke oplysninger man indsamler til hvilke formål • vide hvordan personoplysninger flyder gennem virksomheden • vide hvilken kasket man har på i de forskellige situationer • anvise hjemmel til den pågældende indsamling og behandling • påvise at man kender sine forpligtelser og er i stand til at overholde dem, inkl. de grundlæggende principper – eks. sletning • være i stand til at opfylde personers rettigheder • have indrettet sin tekniske og organisatoriske sikkerhed ud fra en risikovurdering • have styr på sine databehandlere • i øvrigt kunne påvise, at man kender og overholder GDPR • …. Og hvordan kommer man der til? Page 24Page 24
Hvad betyder persondataforordningen for jer? Projektorga nisation - Afgrænsning og forventnings -afstemning Kortlægning af det relevante data flow Undersøgel- seaf det aktuelle compliance- niveau Analyse og rapportering - Handleplan Implemente- ring Vedligehold- else og opfølgning Eksempel på Compliance Projekt Fase 1 Fase 2 Fase 3 Fase 4 Fase 5 Fase 6 Page 25
Hvad betyder persondataforordningen for jer? Fase 2 - Kortlægning af det relevante data flow • Projekt organisation – nedsættelse af multidisciplinær projekt- og styregruppe • 3D tilgang; personer - systemer – processer • Organisationsspecifikt spørgeskema som hovedingrediens • Kortlægningen skal besvare alle hv-spørgsmålene, f.eks.: • hvilke personoplysninger behandles? • hvilke personer behandles der oplysninger om? • hvilke formål? • hvor personoplysninger stammer fra? • hvordan indsamles oplysninger? • hvor og hvordan oplysninger opbevares ?– internt som eksternt • hvem har adgang til oplysninger ?– og hvorfor? • hvem videregives data til? – og hvorfor? • hvordan sikrer vi personoplysninger ? – teknisk og organisatorisk • hvad har vi af dokumentation? Oplysninger, samtykker, procedurer, politikker osv. • hvordan opfylder vi personers rettigheder? • hvad har vi af procedurer? • hvornår bruger vi databehandlere? • Besvarelserne skal danne grundlag for en GAP-analyse – identifikation af • Mangler/huller i forhold til overholdelse af krav i forordningen • Prioriteret handlingsplan • Udfyldelse af mangler/huller Page 26
Page 27 Program 1. Indledende bemærkninger 2. Vigtige begreber 3. Overblik over krav og forpligtelser i Persondataforordningen 4. Hvad betyder Persondataforordningen for jer? 5. Konkrete cases 6. Spørgsmål
Page 28 Cases - Eksempler • Håndværkervirksomhed • Få ansatte • B2B • Simpelt bogføringssystem • Overholder persondataloven i dag Virksomhed A Virksomhed B • Større produktionsvirksomhed • Over 100 ansatte • B2B • Flere integrerede IT systemer, f.eks. CRM • Ekstern hosting • Overholder ikke persondataloven i dag • Udlejningsvirksomhed med mange boliglejemål • Behandler følsomme oplysninger og CPR-numrer • Flere integrerede IT- systemer • Ekstern hosting og lønadministration • Anvender eksternt bureau til håndtering af markedsføring pr. mail. • Overholder ikke persondataloven i dag Virksomhed C MINDRE BEHOV FOR COMPLIANCE OMFATTENDE
Case 1 – Lokal dansk virksomhed Datamapning: • Systemanalyse • interviews • Udarbejdet af BB og intern projektleder alene GAP analyse • Virksomhed overholdte i høj grad persondataloven i dag, så alene GDPR tilpasninger Mitigerende handlinger: • Opdatering af databehandleraftaler, it sikkerhedspolitik, etc., Implementering og vedligeholdelse • strategi for fremtidig overholdelse og it indkøb Ressourcer • 1 uge til datamapping • Ressourcer: 1 fra hver ledelsesdel (HR, Markedsføring, it) 5-6 personer (projektleder og systemadministrator) + 2 advokater • 1 uge GAP analyse: systemanalyse + styrende GAP analyse • 2 måneder til implementering Page 29
Case 2 – Landsdækkende forening Projektorganisation: • Afholdelse af møder • Forventningsafstemning Datamapping: • Workshops • Procesanalyse • Pilotprojekter GAP analyse • Forening overholdte i nogen grad persondataloven i dag • Tilpasninger ifht. persondataloven • Implementering af GDPR Mitigerende handlinger: • Opdatering af databehandleraftaler, informationsskrivelser, sletterutiner, fortegnelser over behandlingsaktiviteter, etablering af hjemmelsgrundlag, etc. Implementering og vedligeholdelse • strategi for fremtidig overholdelse Ressourcer • 4 uger til datamapping • Ressourcer: styregruppe, projektgruppe, tovholdergruppe, projektleder + 2 advokater • 6 uger til GAP analyse + handlingsplan • 2-3 måneder til implementering Page 30
Page 31 Spørgsmål
Vil du vide mere? "Persondataforordningen – En håndbog for praktikere" 1. udg. 2016 www.extuto.dk Side 32
Kontaktoplysninger Bird & Bird advokatpartnerselskab Katja Djurhuus, Advokat, Telefon: 39 14 16 74 Mobil: 40 45 12 86 E-mail: katja.djurhuus@twobirds.com www.twobirds.com Page 33
BIRD & BIRD ADVOKATPARTNERSELSKAB Bird & Bird Advokatpartnerselskab er et registreret selskab i Danmark under CVR-nr. 35 14 45 01. Alle vores advokater er medlem af Advokatsamfundet og underlagt de advokatetiske regler fra Advokatrådet. Reglerne er tilgængelige her: www.advokatsamfundet.dk. BIRD & BIRD Bird & Bird LLP, er et registreret partnerskab, registreret i England og Wales under registreringsnummer OC340318, der er autoriseret og underlagt Solicitors Regulation Authority, og dets regler og retningslinier der er tilgængelige her: sra.org.uk/handbook/ For yderligere information om Bird & Bird internationalt, herunder Bird & Bird LLP, dets filialer og associerede selskaber (samlet benævnt ”Bird & Bird”), vores kontorer, ansatte, partnere og rådgivningsområder, brug af e-mails og regulatoriske forhold, se vores website på twobirds.com og navnlig ”Legal Notices”. Thank you

Recommended

GDPR for GlobalNetwork
GDPR for GlobalNetworkGDPR for GlobalNetwork
GDPR for GlobalNetworkKåre Rude Andersen
 
Persondataforordning - Joomla User Group Copenhagen 18-01-2018
Persondataforordning - Joomla User Group Copenhagen 18-01-2018Persondataforordning - Joomla User Group Copenhagen 18-01-2018
Persondataforordning - Joomla User Group Copenhagen 18-01-2018AbMano - marketing & websupport
 
Er du klar til den nye persondataforordning? Morgeninspiration d. 22/3/2018
Er du klar til den nye persondataforordning? Morgeninspiration d. 22/3/2018Er du klar til den nye persondataforordning? Morgeninspiration d. 22/3/2018
Er du klar til den nye persondataforordning? Morgeninspiration d. 22/3/2018Peytz & Co
 
Persondataloven - gennemgang Videngruppe VidenDanmark 2013
Persondataloven - gennemgang Videngruppe VidenDanmark 2013Persondataloven - gennemgang Videngruppe VidenDanmark 2013
Persondataloven - gennemgang Videngruppe VidenDanmark 2013Inger Toft Thiersen
 
EU's Persondataforordning i det daglige arbejde
EU's Persondataforordning i det daglige arbejdeEU's Persondataforordning i det daglige arbejde
EU's Persondataforordning i det daglige arbejdePeytz & Co
 
KOMFO SUMMIT 2017 - Rasmus Møller-Nielsen & Niels Dahl-Nielsen
KOMFO SUMMIT 2017 - Rasmus Møller-Nielsen & Niels Dahl-Nielsen KOMFO SUMMIT 2017 - Rasmus Møller-Nielsen & Niels Dahl-Nielsen
KOMFO SUMMIT 2017 - Rasmus Møller-Nielsen & Niels Dahl-Nielsen Komfo
 
Komfo seminar: Er du klar til GDPR med Niels Dahl-Nielsen
Komfo seminar: Er du klar til GDPR med Niels Dahl-NielsenKomfo seminar: Er du klar til GDPR med Niels Dahl-Nielsen
Komfo seminar: Er du klar til GDPR med Niels Dahl-NielsenKomfo
 
Komfo Seminar - GDPR and cyber security (Part 2)
Komfo Seminar - GDPR and cyber security (Part 2)Komfo Seminar - GDPR and cyber security (Part 2)
Komfo Seminar - GDPR and cyber security (Part 2)Komfo
 

Recommended

GDPR for GlobalNetwork
GDPR for GlobalNetworkGDPR for GlobalNetwork
GDPR for GlobalNetworkKåre Rude Andersen
 
Persondataforordning - Joomla User Group Copenhagen 18-01-2018
Persondataforordning - Joomla User Group Copenhagen 18-01-2018Persondataforordning - Joomla User Group Copenhagen 18-01-2018
Persondataforordning - Joomla User Group Copenhagen 18-01-2018AbMano - marketing & websupport
 
Er du klar til den nye persondataforordning? Morgeninspiration d. 22/3/2018
Er du klar til den nye persondataforordning? Morgeninspiration d. 22/3/2018Er du klar til den nye persondataforordning? Morgeninspiration d. 22/3/2018
Er du klar til den nye persondataforordning? Morgeninspiration d. 22/3/2018Peytz & Co
 
Persondataloven - gennemgang Videngruppe VidenDanmark 2013
Persondataloven - gennemgang Videngruppe VidenDanmark 2013Persondataloven - gennemgang Videngruppe VidenDanmark 2013
Persondataloven - gennemgang Videngruppe VidenDanmark 2013Inger Toft Thiersen
 
EU's Persondataforordning i det daglige arbejde
EU's Persondataforordning i det daglige arbejdeEU's Persondataforordning i det daglige arbejde
EU's Persondataforordning i det daglige arbejdePeytz & Co
 
KOMFO SUMMIT 2017 - Rasmus Møller-Nielsen & Niels Dahl-Nielsen
KOMFO SUMMIT 2017 - Rasmus Møller-Nielsen & Niels Dahl-Nielsen KOMFO SUMMIT 2017 - Rasmus Møller-Nielsen & Niels Dahl-Nielsen
KOMFO SUMMIT 2017 - Rasmus Møller-Nielsen & Niels Dahl-Nielsen Komfo
 
Komfo seminar: Er du klar til GDPR med Niels Dahl-Nielsen
Komfo seminar: Er du klar til GDPR med Niels Dahl-NielsenKomfo seminar: Er du klar til GDPR med Niels Dahl-Nielsen
Komfo seminar: Er du klar til GDPR med Niels Dahl-NielsenKomfo
 
Komfo Seminar - GDPR and cyber security (Part 2)
Komfo Seminar - GDPR and cyber security (Part 2)Komfo Seminar - GDPR and cyber security (Part 2)
Komfo Seminar - GDPR and cyber security (Part 2)Komfo
 
2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by HubspotMarius Sescu
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTExpeed Software
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsPixeldarts
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthThinkNow
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfmarketingartwork
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture CodeSkeleton Technologies
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024Neil Kimberley
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)contently
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024Albert Qian
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsKurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summarySpeakerHub
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next Tessa Mero
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentLily Ray
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations Rajiv Jayarajah, MAppComm, ACC
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data ScienceChristy Abraham Joy
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesVit Horky
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project managementMindGenius
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...RachelPearson36
 

More Related Content

Featured

2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by HubspotMarius Sescu
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTExpeed Software
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsPixeldarts
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthThinkNow
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfmarketingartwork
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024Neil Kimberley
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)contently
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024Albert Qian
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsKurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summarySpeakerHub
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next Tessa Mero
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentLily Ray
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesVit Horky
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project managementMindGenius
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...RachelPearson36
 

Featured (20)

2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPT
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage Engineerings
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture Code
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data Science
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project management
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
 

General Data Protection Regulation by Bird & Bird

  • 1. Adapt seminar 17. januar 2018 Persondataforordningen
  • 2. Page 2 Program 1. Indledende bemærkninger 2. Vigtige begreber 3. Overblik over krav og forpligtelser i Persondataforordningen 4. Hvad betyder Persondataforordningen for jer? 5. Konkrete cases 6. Spørgsmål
  • 3. Page 3 Indledende bemærkninger Vi har haft persondataloven siden 2000 • Baseret på persondatadirektivet (1995) • 15-20 år med voldsom udvikling • Forskelle i implementering af direktiv i 28 lande General Data Protection Regulation (GDPR) • Samme regler i hele EU • Udvidelse af persondataloven på nogle områder • Finder anvendelse fra den 25. maj 2018 Why all the fuzz? • Bøder: op til EUR 20 mio. eller 4% af årlig global omsætning • For at tilskynde overholdelse indføres et markant sanktionsniveau • Effektiv, proportional med overtrædelsen og have afskrækkende virkning • Ikke kun dataansvarlige, men også databehandlere kan ifalde bødestraf • GDPR compliance er blevet et salgs -og konkurrenceparameter • Troværdighed og image
  • 4. Page 4 Program 1. Indledende bemærkninger 2. Vigtige begreber 3. Overblik over krav og forpligtelser i Persondataforordningen 4. Hvad betyder Persondataforordningen for jer? 5. Konkrete cases 6. Spørgsmål
  • 5. Page 5 Vigtige begreber Behandling af personoplysninger GDPR Art 2: ”Denne forordning finder anvendelse på behandling af personoplysninger…”
  • 6. Page 6 Vigtige begreber Personoplysning ”enhver form for information om en identificeret eller identificerbar fysisk person" • Kun fysiske personer – ikke oplysninger om virksomheder eller myndigheder • Identificeret eller identificerbar = Personhenførbar – alle midler tages i betragtning – hvis personen kan identificeres af ‘nogen’. • Uanset kilde : • Oplyst af personen selv • indhentet fra andre kilder • Jeres egne eller andres observationer – også subjektive. • Uanset format: Nedskrevet, billede, video, lydoptagelse, fingeraftryk, biologisk materiale • Pseudonymisering – Kryptering - Anonymisering
  • 7. Page 7 Vigtige begreber Eksempler på personoplysninger • Peter Hansen, CPR nr. 200687-1233 er ansat i virksomhed A • Kattens stamnavn er Nero den tredje. • IP 145.97.39.155 • Bilen med registreringsnummer AF 22 454 holder ulovligt parkeret • Jordforurening på sommerhusgrund • Et portrætfoto uden tilhørende tekst eller forklaring • Registrering af medarbejderes færden via GPS i bilen • Kontaktoplysninger på ansatte hos en virksomheds leverandører, f.eks. e-mailadresse
  • 8. Vigtige begreber Page 8 Behandling ”enhver aktivitet eller række af aktiviteter — med eller uden brug af automatisk behandling — som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse” Noget der ikke er en behandling?
  • 9. Page9 Vigtige begreber Databehandler eller dataansvarlig? Dataansvarlig Den ”der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger” Databehandler Den ”der behandler personoplysninger på den dataansvarliges vegne” Hvorfor er sondringen relevant? Databehandleraftale
  • 11. Page 11 Program 1. Indledende bemærkninger 2. Vigtige begreber 3. Overblik over krav og forpligtelser i Persondataforordningen 4. Hvad betyder Persondataforordningen for jer? 5. Konkrete cases 6. Spørgsmål
  • 12. Page 12 Overblik over krav og forpligtelser i Persondataforordningen Accountability Behandlings hjemmel Personers rettigheder Generelle forpligtelser (krav til processer) Behandlings -sikkerhed
  • 13. Page 13 Overblik over krav og forpligtelser Behandlingshjemmel på formel Grundlæggende Principper Alm. oplysninger Særlige kategorier (følsomme oplysninger) Oplysninger om strafbare forhold Cpr.nr. Information Behandling er hjemlet 3. landsoverførsel
  • 14. Page 14 Overblik over krav og forpligtelser Grundprincipper der altid skal være opfyldt Lovlighed rimelighed og gennemsigtighed • Skal behandles lovligt, rimeligt og på en gennemsigtig måde Formålsbegrænsning • Skal indsamles til udtrykkeligt angivne og legitime formål, og • Senere behandling må ikke være uforenelig med indsamlingsformål Dataminimering • Skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles Rigtighed • Skal være korrekte og om nødvendigt ajourførte; • Skal tage ethvert rimeligt skridt til sletning eller berigtigelse Opbevarings- begrænsning • Opbevares så det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til formålet Integritet og fortrolighed • Sikre tilstrækkelig sikkerhed, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger Ansvarlighed • Skal kunne påvise overholdelse
  • 15. Page 15 Overblik over krav og forpligtelser Retsgrundlag for behandling GDPR artikel 6 GDPR artikel 9 GDPR artikel 10 National regulering, jf. artikel 87 Almindelige personoplysninger Særlige kategorier af personoplysninger Straffedomme og lovovertrædelser CPR-numre • Stamoplysninger; navn, adresse, fødselsdato, køn mv. • Ansættelsesdata; ansøgning, CV, stilling, arbejdsområde, sygedage, tjenstlige forhold mv. • dækninger, depotstørrelser, personlige tilvalg, formue, begunstigede familieforhold, • IP-adresse, TV overvågning • Ikke udtømmende • Race eller etnisk oprindelse • Politisk, religiøs eller filosofisk overbevisning • Fagforeningsmæssigt tilhørsforhold • Genetiske og biometriske data (identifikationsformål) • Helbredsoplysninger • Oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering e.g. straffeattest 123456-7890 Behandlingsgrundlag Behandlingsgrundlag Behandlingsgrundlag Behandlingsgrundlag • Samtykke • Opfyldelse af kontrakt, som den registrerede er part i • Overholde retlig forpligtelse • Beskyttelse af en persons vitale interesser • Interesseafvejningsregl en • m.fl. • Forbudt, dog; • Udtrykkeligt samtykke • Arbejds-, sundheds- og socialretlige forpligtelser • Fastlægge eller forsvare retskrav • Hvis oplysninger tydeligvis er offentliggjort af den registrerede • m.fl. • National regulering: • Udtrykkeligt samtykke • Kvalificeret interesseafvejning • National regulering • Samtykke • Følger af lov • Videregivelse naturligt led i normal drift og afgørende for entydig identifikation eller kræves af en offentlig myndighed
  • 16. Page 16 Overblik over krav og forpligtelser Udvidet oplysningsforpligtelse Som i dag: • Dataansvarliges identitet • Formålet med behandlingen • Kategorier af modtagere • Om det er obligatorisk at give oplysninger • Konsekvenser ved ikke at give oplysninger • Retten til indsigt og berigtigelse • Hvis indsamlet fra andre kilder: hvilken type oplysninger Nye oplysningsforpligtelser: • Kontaktinfo for DPO • Hvilket behandlingsgrundlag • De legitime interesser der forfølges – hvis hjemme er interesseafvejning • Ved 3. landsoverførsel – henvisning til hjemme • Det tidsrum, hvor data vil blive opbevaret • Retten til at tilbagekalde samtykke • Retten til sletning, indsigelse og dataportabilitet • Retten til at klage til tilsynsmyndighed • Automatiske afgørelser – herunder logikken • Hvis indsamlet fra andre kilder: oplysninger om kilder Det er den dataansvarliges ansvar uopfordret at sikre sig, at oplysningerne bliver givet!
  • 17. Page 17 Overblik over krav og forpligtelser Behandlingshjemmel på formel Grundlæggende Principper Alm. oplysninger Særlige kategorier (følsomme oplysninger) Oplysninger om strafbare forhold Cpr.nr. Information Behandling er hjemlet 3. landsoverførsel
  • 18. Overblik over krav og forpligtelser Personers rettigheder Oplysningspligt og Indsigtsret Berigtigelse Sletning (Ret til at blive glemt) Begrænsning Dataportabilitet Indsigelse • Ret til uopfordret at modtage oplysninger ved indsamlingen og efterfølgende på opfordring at få indsigt i oplysninger (ret til kopi) (Art 13 -15 ) • Ikke krænke andres rettigheder • Ret til at få urigtige personoplysninger om sig selv berigtiget eller fuldstændiggjort (Art. 16) • Underrette modtagere oplysninger er videregivet til – dog hvis umuligt eller uforholdsmæssigt (Art 19) • Ret til at få personoplysninger om sig selv slettet – NB Ikke nogen ubetinget ret (Art 17) • Underrette modtagere oplysninger er videregivet til – dog hvis umuligt eller uforholdsmæssigt (Art 19) • Ret til at opnå begrænsning af behandling (midlertidigt i forb. med indsigelse eller alternativ til sletning) (Art 18) • Underrette modtagere oplysninger er videregivet til – dog hvis umuligt eller uforholdsmæssigt (Art 19) • Ret til i et struktureret, almindeligt anvendt og maskinlæsbart format at modtage personoplysninger om sig selv, som vedkommende har givet til en dataansvarlig, og • ret til at transmittere disse oplysninger til en anden dataansvarlig (Art 20) • Ret til af grunde, der vedrører den pågældendes særlige situation at gøre indsigelse mod behandling af sine personoplysninger (Art 21) – kvalificeret interesseafvejning • Ubetinget ret til indsigelse mod direkte markedsføring og automatiserede afgørelser (profilering) Hvordan skal der reageres? • Skriftligt, kortfattet og letforståeligt samt gratis (modifikation: gentagne og overdrevne henvendelser) • Senest inden 1 måned (kan i særlige tilfælde forlænges med 2 måneder) (Art 12) • Undtagelser og begrænsninger? (Art 23) – EU og National ret. Page 18
  • 19. Overblik over krav og forpligtelser Generelle forpligtelser Ansvarlighed Databeskyttelses- politik Databeskyttelse gennem design Databeskyttelse gennem standardindstillinger Tage ansvar for databehandlere Fortegnelse over behandlingsaktiviteter • Gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med forordningen. Disse foranstaltninger skal løbende revideres og ajourføres • Hvis det står i rimeligt forhold til behandlingsaktiviteterne - implementering af passende databeskyttelsespolitikker • Passende tekniske og organisatoriske foranstaltninger skal understøtte overholdelse af forordningen • E.g. gennem pseudonymisering og dataminimering, herunder intern acces management • Standardindstillinger skal sikre, at kun personoplysninger, der er nødvendige til hvert specifikt formål behandles • Mængde af data - omfang af behandling – opbevaringsperiode - tilgængelighed • Udelukkende anvende databehandlere, der garanterer for, at behandling opfylder forordningen. • Risikovurdering af databehandleren og løsningen. Føre kontrol og påse, at databehandler opfylder krav • Krav om skriftligt aftalegrundlag • Formål samt kategorier af personer, oplysninger og modtagere, slettepolitik og beskrivelse af sikkerhed • Undtagelse, hvis færre end 250 medarbejdere • Medmindre høj-risiko-behandling, regelmæssig behandling eller behandling omfatter særlige kategorier Samarbejde med tilsynsmyndigheden • Den dataansvarlige og databehandleren skal efter anmodning samarbejde med tilsynsmyndigheden i forbindelse med udførelsen af dens opgaver • Men pligt til anmeldelse og tilladelse bortfalder Page 19
  • 20. Overblik over krav og forpligtelser Behandlingssikkerhed Tekniske og organisatoriske sikkerheds- foranstaltninger Anmeldelse af sikkerhedsbrister til tilsynsmyndigheden og evt. de berørte personer Konsekvensanalyser (DPIA) Databeskyttelses- rådgiver (DPO) • Hense til behandlingens risiko, det aktuelle tekniske niveau og omkostninger • Ingen specifikke krav, om end GDPR nævner: • Pseudonymisering og kryptering • Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer • Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger • Procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af sikkerheden • senest 72 timer efter, at man er blevet bekendt med bruddet • Databehandlere skal underrette den dataansvarlige • beskrive karakteren af bruddet, herunder kategorierne og det omtrentlige antal berørte personer samt personoplysninger, konsekvenserne og trufne foranstaltninger for at stoppe og begrænse skaden • Skal kunne dokumentere bruddet og de trufne foranstaltninger • Hvis høj risiko for berørte personer - tillige underretning af de berørte • Hvis en ny type behandling( e.g ny teknologi , eller karakter og omfang) sandsynligvis vil indebære en høj risiko, skal der foretages en konsekvensanalyse • særlige kategorier i stort omfang – systematisk overvågning – profilering som grundlag for afgørelser. • Analyse: en beskrivelse af a) den planlagte behandling b) en vurdering af, om behandlingen er nødvendige og står i rimeligt forhold til formålene c) en vurdering af risiciene og d) de foranstaltninger, der påtænkes for at imødegå disse risici. • Hvis fortsat høj risiko – pligt til høring af tilsynsmyndighed • Skal rådgive om og overvåge virksomhedens overholdelse af forordning, lovgivningen og virksomhedens egne politikker • Kerneaktiviteter kræver regelmæssig og systematisk overvågning af registrerede i stort omfang, eller • Kerneaktiviteter består af behandling i stort omfang af særlige kategorier af oplysninger. • Både dataansvarlige og databehandlere • ‘uafhængig’ og ‘beskyttet’ Page 20
  • 21. Page 21 Overblik over krav og forpligtelser i Persondataforordningen Accountability Behandlings hjemmel Personers rettigheder Generelle forpligtelser (krav til processer) Behandlings -sikkerhed
  • 22. Page 22 Program 1. Indledende bemærkninger 2. Vigtige begreber 3. Overblik over krav og forpligtelser i Persondataforordningen 4. Hvad betyder Persondataforordningen for jer? 5. Konkrete cases 6. Spørgsmål
  • 23. Hvad betyder persondataforordningen for jer? Hvordan påvirkes I af forordningen? Nye eller ændrede processer, procedurer og funktioner Ændringer i eller nye roller og ansvar i organisationen Ændringer i eller nye teknologier, værktøjer, IT applikationer, IT infrastruktur Ny eller ændringer til information, data, dokumenter, aftaler m.m. Page 23
  • 24. Hvad betyder persondataforordningen for jer? Hvad skal I kunne? • redegøre for hvilke oplysninger man indsamler til hvilke formål • vide hvordan personoplysninger flyder gennem virksomheden • vide hvilken kasket man har på i de forskellige situationer • anvise hjemmel til den pågældende indsamling og behandling • påvise at man kender sine forpligtelser og er i stand til at overholde dem, inkl. de grundlæggende principper – eks. sletning • være i stand til at opfylde personers rettigheder • have indrettet sin tekniske og organisatoriske sikkerhed ud fra en risikovurdering • have styr på sine databehandlere • i øvrigt kunne påvise, at man kender og overholder GDPR • …. Og hvordan kommer man der til? Page 24Page 24
  • 25. Hvad betyder persondataforordningen for jer? Projektorga nisation - Afgrænsning og forventnings -afstemning Kortlægning af det relevante data flow Undersøgel- seaf det aktuelle compliance- niveau Analyse og rapportering - Handleplan Implemente- ring Vedligehold- else og opfølgning Eksempel på Compliance Projekt Fase 1 Fase 2 Fase 3 Fase 4 Fase 5 Fase 6 Page 25
  • 26. Hvad betyder persondataforordningen for jer? Fase 2 - Kortlægning af det relevante data flow • Projekt organisation – nedsættelse af multidisciplinær projekt- og styregruppe • 3D tilgang; personer - systemer – processer • Organisationsspecifikt spørgeskema som hovedingrediens • Kortlægningen skal besvare alle hv-spørgsmålene, f.eks.: • hvilke personoplysninger behandles? • hvilke personer behandles der oplysninger om? • hvilke formål? • hvor personoplysninger stammer fra? • hvordan indsamles oplysninger? • hvor og hvordan oplysninger opbevares ?– internt som eksternt • hvem har adgang til oplysninger ?– og hvorfor? • hvem videregives data til? – og hvorfor? • hvordan sikrer vi personoplysninger ? – teknisk og organisatorisk • hvad har vi af dokumentation? Oplysninger, samtykker, procedurer, politikker osv. • hvordan opfylder vi personers rettigheder? • hvad har vi af procedurer? • hvornår bruger vi databehandlere? • Besvarelserne skal danne grundlag for en GAP-analyse – identifikation af • Mangler/huller i forhold til overholdelse af krav i forordningen • Prioriteret handlingsplan • Udfyldelse af mangler/huller Page 26
  • 27. Page 27 Program 1. Indledende bemærkninger 2. Vigtige begreber 3. Overblik over krav og forpligtelser i Persondataforordningen 4. Hvad betyder Persondataforordningen for jer? 5. Konkrete cases 6. Spørgsmål
  • 28. Page 28 Cases - Eksempler • Håndværkervirksomhed • Få ansatte • B2B • Simpelt bogføringssystem • Overholder persondataloven i dag Virksomhed A Virksomhed B • Større produktionsvirksomhed • Over 100 ansatte • B2B • Flere integrerede IT systemer, f.eks. CRM • Ekstern hosting • Overholder ikke persondataloven i dag • Udlejningsvirksomhed med mange boliglejemål • Behandler følsomme oplysninger og CPR-numrer • Flere integrerede IT- systemer • Ekstern hosting og lønadministration • Anvender eksternt bureau til håndtering af markedsføring pr. mail. • Overholder ikke persondataloven i dag Virksomhed C MINDRE BEHOV FOR COMPLIANCE OMFATTENDE
  • 29. Case 1 – Lokal dansk virksomhed Datamapning: • Systemanalyse • interviews • Udarbejdet af BB og intern projektleder alene GAP analyse • Virksomhed overholdte i høj grad persondataloven i dag, så alene GDPR tilpasninger Mitigerende handlinger: • Opdatering af databehandleraftaler, it sikkerhedspolitik, etc., Implementering og vedligeholdelse • strategi for fremtidig overholdelse og it indkøb Ressourcer • 1 uge til datamapping • Ressourcer: 1 fra hver ledelsesdel (HR, Markedsføring, it) 5-6 personer (projektleder og systemadministrator) + 2 advokater • 1 uge GAP analyse: systemanalyse + styrende GAP analyse • 2 måneder til implementering Page 29
  • 30. Case 2 – Landsdækkende forening Projektorganisation: • Afholdelse af møder • Forventningsafstemning Datamapping: • Workshops • Procesanalyse • Pilotprojekter GAP analyse • Forening overholdte i nogen grad persondataloven i dag • Tilpasninger ifht. persondataloven • Implementering af GDPR Mitigerende handlinger: • Opdatering af databehandleraftaler, informationsskrivelser, sletterutiner, fortegnelser over behandlingsaktiviteter, etablering af hjemmelsgrundlag, etc. Implementering og vedligeholdelse • strategi for fremtidig overholdelse Ressourcer • 4 uger til datamapping • Ressourcer: styregruppe, projektgruppe, tovholdergruppe, projektleder + 2 advokater • 6 uger til GAP analyse + handlingsplan • 2-3 måneder til implementering Page 30
  • 32. Vil du vide mere? "Persondataforordningen – En håndbog for praktikere" 1. udg. 2016 www.extuto.dk Side 32
  • 33. Kontaktoplysninger Bird & Bird advokatpartnerselskab Katja Djurhuus, Advokat, Telefon: 39 14 16 74 Mobil: 40 45 12 86 E-mail: katja.djurhuus@twobirds.com www.twobirds.com Page 33
  • 34. BIRD & BIRD ADVOKATPARTNERSELSKAB Bird & Bird Advokatpartnerselskab er et registreret selskab i Danmark under CVR-nr. 35 14 45 01. Alle vores advokater er medlem af Advokatsamfundet og underlagt de advokatetiske regler fra Advokatrådet. Reglerne er tilgængelige her: www.advokatsamfundet.dk. BIRD & BIRD Bird & Bird LLP, er et registreret partnerskab, registreret i England og Wales under registreringsnummer OC340318, der er autoriseret og underlagt Solicitors Regulation Authority, og dets regler og retningslinier der er tilgængelige her: sra.org.uk/handbook/ For yderligere information om Bird & Bird internationalt, herunder Bird & Bird LLP, dets filialer og associerede selskaber (samlet benævnt ”Bird & Bird”), vores kontorer, ansatte, partnere og rådgivningsområder, brug af e-mails og regulatoriske forhold, se vores website på twobirds.com og navnlig ”Legal Notices”. Thank you