Hvad betyder EUs persondataforordning for dit arbejde? Slides fra Peytz & Co's morgeninspiration i København den 9. februar 2017.
Foredraget blev holdt af advokat Jesper Langemark, Bird & Bird, forfatter til bogen "Persondataforordningen – en håndbog for praktikere" og en af EU's førende eksperter på området.
Jesper fik i 2015 prisen 'Årets it-advokat i Danmark' af Corporate INTL Magazine.
Komfo Seminar - GDPR and cyber security (Part 2)Komfo
Bliv klædt på til den kommende EU-forordning.
Se dette seminar, hvis du ønsker at gå i dybden med, hvad man skal være opmærksom på i forhold til de største buzzwords fra den nye forordning:
- Indblik i cyber security
- Indblik i "data protection by design"
- Hvad indebærer det, når man arbejder med sociale medier i praksis?
General Data Protection Regulation by Bird & BirdAdapt
This presentation is made by the international law firm Bird & Bird and is focusing on the significant changes and important requirements in the General Data Protection Regulation and the importance of these.
The purpose is to have greater control over the company's data and to ensure a far better protection of personal data in the digital world. The presentation is aimed at anyone who needs to properly equipped to handle the processing of personal data in your company in relation to your digital solutions.
Slides fra Peytz & Co's morgeninspiration den 26. januar 2017.
Ingen kender Googles algoritme – nok ikke engang Google selv.Men alle kan se, at der sker ændringer.Det følgende er baseret på egne og mange andres erfaringer og studier.Det er vores fortolkning– og altså ikke nødvendigvis den skinbarlige sandhed.
Tre prisvindende wordpress sites fortællerPeytz & Co
Den 3. oktober 2015 vandt vores kunder hele fire ud af seks priser for Danmarks bedste websites bygget i WordPress.
De fire sites er meget forskellige, men de har allesammen vundet.
Der må være noget at lære her…
De bærende projektledere for 3 af de 4 sites fortalte den 23 februar 2016 en smuk forsamling om deres erfaringer. Arrangementet var en morgeninspiration hos Peytz & Co - se flere morgeninspirationer her: http://peytz.dk/events
De tre vindere er:
Stine Sandvej fra Mayday Film
Lise Broskov Nielsen fra DIS
Kristoffer Skadhauge fra FC Nordsjælland
Sådan arbejder du målrettet og resultatorienteret med dit indhold.
Slides fra morgeninspiration hos Peytz & Co 9. Marts 2017.
Formål. Målgrupper. Indholdsoverblik. Indholdsproduktion. Contentplan. Effekt-målinger. Og forfra ...
Komfo Seminar - GDPR and cyber security (Part 2)Komfo
Bliv klædt på til den kommende EU-forordning.
Se dette seminar, hvis du ønsker at gå i dybden med, hvad man skal være opmærksom på i forhold til de største buzzwords fra den nye forordning:
- Indblik i cyber security
- Indblik i "data protection by design"
- Hvad indebærer det, når man arbejder med sociale medier i praksis?
General Data Protection Regulation by Bird & BirdAdapt
This presentation is made by the international law firm Bird & Bird and is focusing on the significant changes and important requirements in the General Data Protection Regulation and the importance of these.
The purpose is to have greater control over the company's data and to ensure a far better protection of personal data in the digital world. The presentation is aimed at anyone who needs to properly equipped to handle the processing of personal data in your company in relation to your digital solutions.
Slides fra Peytz & Co's morgeninspiration den 26. januar 2017.
Ingen kender Googles algoritme – nok ikke engang Google selv.Men alle kan se, at der sker ændringer.Det følgende er baseret på egne og mange andres erfaringer og studier.Det er vores fortolkning– og altså ikke nødvendigvis den skinbarlige sandhed.
Tre prisvindende wordpress sites fortællerPeytz & Co
Den 3. oktober 2015 vandt vores kunder hele fire ud af seks priser for Danmarks bedste websites bygget i WordPress.
De fire sites er meget forskellige, men de har allesammen vundet.
Der må være noget at lære her…
De bærende projektledere for 3 af de 4 sites fortalte den 23 februar 2016 en smuk forsamling om deres erfaringer. Arrangementet var en morgeninspiration hos Peytz & Co - se flere morgeninspirationer her: http://peytz.dk/events
De tre vindere er:
Stine Sandvej fra Mayday Film
Lise Broskov Nielsen fra DIS
Kristoffer Skadhauge fra FC Nordsjælland
Sådan arbejder du målrettet og resultatorienteret med dit indhold.
Slides fra morgeninspiration hos Peytz & Co 9. Marts 2017.
Formål. Målgrupper. Indholdsoverblik. Indholdsproduktion. Contentplan. Effekt-målinger. Og forfra ...
Komfo Summit is all about enabling meaningful moments. Stay ahead of the curve with chatbots, customer service, data activation, ROI, AI, machine learning, influencers, and much more.
What is this presentation about?
Rasmus:
As a SoMe professional you are most likely handling personal data on behalf of your company. That is why the upcoming EU's General Data Protection Regulation (GDPR) will impact your daily work. Together with Niels Dahl-Nielsen (Synch Law), they are providing you with insights into why the GDPR is a great win for social media and how you can turn it to your advantage.
Niels:
As a SoMe professional you are most likely handling personal data on behalf of your company. That is why the upcoming EU's General Data Protection Regulation (GDPR) will impact your daily work. Together with Rasmus Møller-Nielsen (Komfo), they are providing you with insights into why the GDPR is a great win for social media and how you can turn it to your advantage.
Lone Forsberg, Senior manager i DPO funktionen, Københavns Kommune: Om hvordan DPO (data protection officer) funktionen i Københavns Kommune arbejder med at gøre Københavns Kommune compliant og klar til forordningens ikrafttræden.
Hvad er de vigtigste begreber i GDPR at kende til for en CIO? Og hvordan håndterer Microsoft, at aftaler, sikkerhedskontroller, processer mm. lever op til GDPRs skærpede krav for data-ansvar og databehandling? Sessionen giver overblik over spørgsmål og svar, som Microsoft har behandlet under de sidste mange års arbejde med at hjælpe vores kunder til en cloudbaseret digital transformation.
Jørgen Hallengren, Cloud Compliance Strategist, Microsoft
Præsentationer fra Borgerservice 2017 – afholdt af COK i samarbejde med KL. Se programmet og tilmeld dig næste års konference på cok.dk/borgerservice2017
Er du klar til den nye persondataforordning? Morgeninspiration d. 22/3/2018Peytz & Co
Slides fra morgeninspiration i København d. 22/3/2018 om emnet "Er du klar til den nye persondataforordning" præsenteret af IT advokat Tim Nielsen og digital strateg og redaktør Bo Mikael.
Dataforordningen træder i kraft i maj 2018, vi har været ude og tale med mange virksomeheder om deres processer og data behandling. Er i klar til de 4 store forandringer i persondataforordningen.
Bliv compliant med persondataforordningen – København, 24. oktoberPeytz & Co
Gennemgang af morgeninspiration afholdt hos Peytz & Co d. 24/10 2017. Præsentationer af IT-advokat Tim Nielsen, DAHL Advokatfirma; Bo Mikael, Digital strateg; Jens Ebak, Administrationschef.
VidenDanmark seminar: Erik Arndal Nielsen AC børnehjælp 310311VidenDanmark
VidenDanmark seminar om Elektronisk Dokumenthåndtering og Enterprise Search Best Practice 2011.
31. marts 2011.
Erik Arndal Nielsen fra AC Børnehjælp fortæller om Intelligent dokumenthåndtering hos AC Børnehjælp.
Komfo Summit is all about enabling meaningful moments. Stay ahead of the curve with chatbots, customer service, data activation, ROI, AI, machine learning, influencers, and much more.
What is this presentation about?
Rasmus:
As a SoMe professional you are most likely handling personal data on behalf of your company. That is why the upcoming EU's General Data Protection Regulation (GDPR) will impact your daily work. Together with Niels Dahl-Nielsen (Synch Law), they are providing you with insights into why the GDPR is a great win for social media and how you can turn it to your advantage.
Niels:
As a SoMe professional you are most likely handling personal data on behalf of your company. That is why the upcoming EU's General Data Protection Regulation (GDPR) will impact your daily work. Together with Rasmus Møller-Nielsen (Komfo), they are providing you with insights into why the GDPR is a great win for social media and how you can turn it to your advantage.
Lone Forsberg, Senior manager i DPO funktionen, Københavns Kommune: Om hvordan DPO (data protection officer) funktionen i Københavns Kommune arbejder med at gøre Københavns Kommune compliant og klar til forordningens ikrafttræden.
Hvad er de vigtigste begreber i GDPR at kende til for en CIO? Og hvordan håndterer Microsoft, at aftaler, sikkerhedskontroller, processer mm. lever op til GDPRs skærpede krav for data-ansvar og databehandling? Sessionen giver overblik over spørgsmål og svar, som Microsoft har behandlet under de sidste mange års arbejde med at hjælpe vores kunder til en cloudbaseret digital transformation.
Jørgen Hallengren, Cloud Compliance Strategist, Microsoft
Præsentationer fra Borgerservice 2017 – afholdt af COK i samarbejde med KL. Se programmet og tilmeld dig næste års konference på cok.dk/borgerservice2017
Er du klar til den nye persondataforordning? Morgeninspiration d. 22/3/2018Peytz & Co
Slides fra morgeninspiration i København d. 22/3/2018 om emnet "Er du klar til den nye persondataforordning" præsenteret af IT advokat Tim Nielsen og digital strateg og redaktør Bo Mikael.
Dataforordningen træder i kraft i maj 2018, vi har været ude og tale med mange virksomeheder om deres processer og data behandling. Er i klar til de 4 store forandringer i persondataforordningen.
Bliv compliant med persondataforordningen – København, 24. oktoberPeytz & Co
Gennemgang af morgeninspiration afholdt hos Peytz & Co d. 24/10 2017. Præsentationer af IT-advokat Tim Nielsen, DAHL Advokatfirma; Bo Mikael, Digital strateg; Jens Ebak, Administrationschef.
VidenDanmark seminar: Erik Arndal Nielsen AC børnehjælp 310311VidenDanmark
VidenDanmark seminar om Elektronisk Dokumenthåndtering og Enterprise Search Best Practice 2011.
31. marts 2011.
Erik Arndal Nielsen fra AC Børnehjælp fortæller om Intelligent dokumenthåndtering hos AC Børnehjælp.
Julie Schramm Rasmussens slides "5 myter om brugerinddragelse"Peytz & Co
Slides fra Julie Schramm Rasmussens præsentation til morgeninspiration "Gør UX agil – og spar en masse ressourcer", afholdt hos Peytz & Co d. 9/5/2018.
Morgeninspiration: Aktuelle digitale tendenser – strategisk, taktisk og teknisk Peytz & Co
Slides fra morgeninspiration hos Peytz & Co d. 13/3 i København om emnet "Aktuelle digitale tendenser – strategisk, taktisk og teknisk" præsenteret af Christian Peytz & Jan-Erik Revsbech.
Derfor lever googles design sprint op til hypenPeytz & Co
Slides fra morgeninspiration i København d. 8/3/2018 med titlen "Derfor lever Googles Design Sprint op til hypen" præsenteret af Jens Poder og Mads Vad Kristensen.
Hvem er mine kunder og hvor fanger jeg dem bedstPeytz & Co
Lær at identificere dine mest værdifulde kunder og forstå, hvordan og hvor du fanger dem bedst på sociale medier. Lær af de andres fejltagelser og gør det bedre selv. Slides fra morgeninspiration hos Peytz & Co den 28 september 2017
Slides fra morgeninspiration hos Peytz & Co den 31 august 2017
I skal have et nyt website, en mobil app eller et andet digitalt projekt.
I har hovedet fuldt af ønsker og krav, men hvordan sikrer I, at I ender med den succes, I drømmer om? Hvordan forbereder I jer, så processen bliver perfekt. Skal I sende opgaven i udbud? Og hvordan skal jeres organisation involveres undervejs?
Peytz & Co får nye digitale projekter ind ad døren hver uge. Nogle af dem er perfekt forberedt, andre er halve ideer – og nogle har brugt uger og måneder på at formulere opgaven, uden at det kan bruges til noget som helst.
De erfaringer deler vi med dig. Vi vil gerne gøre dig helt skarp på, hvordan din organisation bedst forbereder sig. For vi ved, at godt gennemførte digitale projekter giver de bedste resultater – for slet ikke at nævne stor respekt fra chefen.
Det handler om at få organisationen med i arbejdet. Om at opsætte de rigtige mål for projektet. Og for de helt store projekter gælder det desuden om at lave det helt rigtige udbud.
Internet of Things. Morgeninspiration Juni 2017Peytz & Co
Jens Poder og Mads Vad Kristensens gennemgang af først hvad Iinternet of Things egentlig går ud på, og dernæst hvordan man griber et konkret projekt an.
Slides fra morgeninspiration hos Peytz & Co den 14, juni 2017.
Morgeninspiration hos Peytz & Co den 31 maj 2017. Christian Hjorth og Kristina Vehn delte praktiske erfaringer og overvejelser om at få effekt gennem mange kanaler.
Se alle vores gratis morgeninspirationer på peytz.dk
3. Velkommen
● 8.55 : Vi sætter os ned (ikke før)
● 9:00: Velkommen ved Claus Sølvsteen, Peytz
● 9:05: Jesper Langemark, Bird & Bird
● 9:45: Et kvarters pause
● 10:45: Tak for i dag
Side 3
4. Om Bird & Bird
● 28 kontorer i 21 lande
● 2 kontorer i Danmark
● 1.200 advokater
● International Privacy & Data Protection Group
Side 4
5. Agenda
1. Forordningen i helikopterperspektiv
2. Sanktioner
3. Forordningens nye dokumentationskrav
4. Nye, skærpede sikkerhedskrav
5. Data Protection Officers
6. Hvordan gribes compliance arbejdet an?
7. Databehandleraftaler
8. Quiz
Side 5
6. Overblik over forordningen
● Afløser den 16 år gamle persondatalov
● Finder anvendelse fra den 25. maj 2018
● Udvider beskyttelsen af personlige oplysninger
● Udvider virksomhedernes forpligtelser
● Indfører nye rettigheder
− "The right to be forgotten", forbud mod automatisk profilering,
dataportabilitet, m.fl.
● Skærpet bødeniveau
Side 6
7. A quick comparison…
Page 7
291% increase
240 % increase
240 % increase
From local to global
From member states to
Europe
DP Directive
95/46/EC
General DP
Regulation
34 articles 99 articles
72 recitals 173 recitals
8 definitions 19 definitions
scope extends to
local processing
scope extends to
global processing
effective through
national DP Acts
directly effective
varied national
guidance &
enforcement
centralized
enforcement and
guidance
Enforcement
patchy
Fines of 4%
worldwide
turnover
From little enforcement
to a lot
8. ”Top-10” over væsentligste ændringer
1. Udvidet territorialt anvendelsesområde
2. Skærpede krav til behandlingshjemmel
3. Nye dokumentationskrav
4. Styrkelse af de registreredes rettigheder
5. Privacy by design, privacy by default og krav om
risikovurderinger
6. Pligt til udpegning af Data Protection Officer i visse tilfælde
Side 8
9. ”Top-10” - fortsat
7. Underretningspligt ved sikkerhedsbrud
8. Brug af databehandlere og krav til databehandlere
9. Overførsel til tredjelande
10. Håndhævelse, "one-stop shop" og sanktioner
Side 9
11. De skærpede sanktioner – nok den
væsentligste konsekvens…
● Virksomheder behandler eksponentielt stigende mængder af
personoplysninger
● Personoplysninger er for mange virksomheder et væsentligt aktiv og
persondatabehandling afgørende for virksomhedens drift
● Den øgede datamængde og vigtigheden heraf for virksomhederne på
den ene side og Forordningens skærpede sanktioner på den anden
er i praksis den væsentligste konsekvens for virksomhederne;
− Overholdelse af reglerne bliver forretningskritisk og dermed et
ledelsesanliggende
− Det bliver endvidere væsentligt for vurderingen af virksomhedens værdi – og
et centralt tema i virksomhedshandler
● "Compliance by chance" is no longer an option!
Side 11
12. ● Erstatning
− Alle, der lider tab som følge af en overtrædelse, kan kræve
erstatning
− Omvendt bevisbyrde!
• Dataansvarlig eller databehandler kan/skal helt eller delvist fritages for
erstatningsansvar, hvis de:
– beviser, at de ikke er ansvarlige for hændelsen, der medførte skaden
− Tab skal stadig bevises, men
− 'Tort erstatning' for ikke økonomisk skade er en mulighed
− Mulighed for gruppesøgsmål fra registrerede
Side 12
13. ● Bøder
• Op til EUR 20m eller 4% af årlig globale omsætning
– Afhængigt af hvad der er højest
• Tage højde for: grovheden, skades størrelse, gentagelse m.v.
• Niveauet er væsentligt forøget i forhold til tidligere
• Sanktioner skal være afskrækkende
• Ensartede i hele EU
● Bøder kan udstedes administrativt – dog ikke i Danmark
Side 13
15. Sanktioner
Anmeldelse af sikkerhedsbrud til Datatilsynet
− Uden ugrundet ophold og ikke senere end 72 timer
● Orientering til datasubjekterne
− Hvor der er “høj risiko” for datasubjekterne
− Uden ugrundet ophold
Side 15
16. Side 16
Hacker puts up 167 Million LinkedIn Passwords for Sale
Wednesday, May 18, 2016
LinkedIn's 2012 data breach was much worse than anybody first thought.
In 2012, LinkedIn suffered a massive data breach in which more than 6 Million users accounts login
details, including encrypted passwords, were posted online by a Russian hacker.
Now, it turns out that it was not just 6 Million users who got their login details stolen.
http://thehackernews.com/2016/05/linkedin-account-hack.html
18. ● Anmeldelsessystemet afskaffes – ”prisen” er øgede krav til
dokumentation, gennemsigtighed og egenkontrol
● Virksomhedens persondatabehandling skal dokumenteres!
● Den dataansvarlige skal opfylde to overordnede
dokumentationskrav:
1. Dokumentere, at behandling af personoplysninger er i
overensstemmelse med forordningens generelle principper
2. Dokumentere, at der er iværksat passende tekniske og
organisatoriske foranstaltninger til beskyttelse af
personoplysninger
Side 18
19. ● Hvordan?
− 'fortegnelse' over behandlingsaktiviteter
− Passende procedure for håndtering af de registreredes
rettigheder
− Udarbejdelse af intern persondatapolitik samt sikkerhedspolitik
− Løbende ajourføring
Side 19
20. • Fortegnelsen over behandlingsaktiviteter skal indeholde
oplysninger om:
• Navn og kontaktoplysninger til:
– Dataansvarlig(e),
– Evt. DPO og evt. repræsentant
• Formål med behandlingen
• En beskrivelse af kategorier af datasubjekter og datatyper
• Kategorier af datamodtagere
• Overførsler til tredjelande
• Tidsgrænser for sletning
• Overordnet beskrivelse af teknisk og organisatorisk sikkerhed
Også et krav for databehandlere, men mindre omfattende
Side 20
21. ● Den dataansvarlige skal have passende foranstaltninger
(reelt procedurer), som sikrer håndteringen af:
− Alle datasubjekternes rettigheder, bl.a.:
• Orienteringspligt til datasubjekterne
• Indsigtsret
• Ret til berigtigelse
• Indsigelsesret
● Henvendelser vedrørende rettigheder
− Tidsfrist for besvarelse – uden unødigt ophold og inden 1 måned
− Hvis ønske afvises
• Begrundes
• Klagemulighed og mulighed for retssag skal beskrives
Side 21
22. ● Almindelig risikovurdering og Data Protection Impact
Assesment – skal dokumenteres
→ Bør altid foreligge skriftligt! (For DPIA et udtrykkeligt krav)
● Sikkerhedsbrud – skal også dokumenteres
Side 22
24. Artikel 22: Dataansvarlig skal implementere 'passende
tekniske og organisatoriske sikkerhedsforanstaltninger' og
kunne bevise dette overfor myndighederne.
• En del af den øgede dokumentationspligt (til gengæld afskaffes
anmeldelsespligten)
− Hvad er passende? (afvejning mellem risiko, state of the art og
omkostninger)
Side 24
25. ● Pligt til at foretage risikovurdering, dvs. en vurdering af risici forbundet med behandlingen
• Persondataforordningens artikel 32, stk. 1: "Under hensyntagen til det aktuelle tekniske niveau,
implementeringsomkostningerne og den pågældende behandlings karakter, omfang,
sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske
personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige og
databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et
sikkerhedsniveau, der passer til disse risici"
● Har altid skulle foretages!
− Men ofte overset
● DPIA (Data Privacy Impact Assessment)
− Særligt omfattende risikovurdering
− Kræves, hvis der er særlige risici
• Fx. brug af ny teknologi (cloud, big data m.v.), automatiseret behandling/profilering af økonomiske
forhold eller følsomme oplysninger
● Leverandørens (databehandlerens) rolle
● Brug af sikkerhedsstandarder – ISO 27000-serien f.eks.
Side 25
27. Anmeldelse af brud på persondatasikkerhed
● Hvad er et brud på persondatasikkerheden?
− "Et brud på sikkerheden, der fører til hændelig eller ulovlig
tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller
adgang til personoplysninger, der er transmitteret, opbevaret
eller på anden måde behandlet."
− Meget bred definition
Side 27
28. Anmeldelse af brud på persondatasikkerhed
Eksempler:
• Organisatorisk fejl
– Adgang for personer uden behov
• Menneskelige fejl
– Offentliggørelse af personoplysninger på internettet som følge af fejl eller
uvidenhed om, hvad der må offentliggøres, eller som følge af utilstrækkelig
anonymisering mv.
• Utilstrækkelige eller fejlbehæftede it-løsninger
– Manglende kryptering af formularer på hjemmesider til brug for
fremsendelse af følsomme oplysninger
• Kriminelle handlinger
– Hackerangreb
– Identitetstyveri
– Industrispionage eller terror
Side 28
29. Anmeldelse af brud på persondatasikkerhed
Orientering til tilsynsmyndighederne
Uden ugrundet ophold og ikke senere end 72 timer
Redegøre for:
• Sikkerhedsbruddets karakter
• Konsekvenser af sikkerhedsbruddet
• Hvordan skaden er/vil blive søgt begrænset af den dataansvarlige
• Kontaktoplysninger på dataansvarlig (evt. DPO)
• Dokumentere alle relevante forhold omkring sikkerhedsbruddet, så
myndigheden kan vurdere, om forordningen er overholdt
U: Usandsynligt at der er en risiko
Side 29
30. Anmeldelse af brud på persondatasikkerhed
Orientering til datasubjekterne
Kun hvor der er høj risiko for datasubjekterne
Uden ugrundet ophold
Redegøre i letforståeligt sprog for:
• Konsekvenser af sikkerhedsbruddet
• Anbefalinger til hvordan datasubjektet kan begrænse skaden
• Kontaktoplysninger til dataansvarlig (evt. DPO)
Ingen pligt, hvis:
• Data er gjort ’uforståelige’ fx ved stærk kryptering
• Den dataanvarlige har ‘fjernet’ risiko
• Uforholdsmæssigt besværligt
– Men så krav om offentlig kommunikation (fx. annoncer)
Procedure for sikkerhedsbrud bør være del af sikkerhedspolitik
Side 30
31. Privacy by Design/Default
● By design
− Alle nye teknologier, produkter og services, der behandler
persondata, skal designes med persondatasikkerhed og
overholdelse af forordningen in mente
● By default
− Persondatabeskyttelse skal være udgangspunktet
• Kun relevante data indsamles og behandles
• Data kan ikke gemmes længere end nødvendigt
• Kun relevante personer har adgang til data
Side 31
32. Privacy by Design/Default
● Eksisterende IT-løsninger
− Understøttes privacy by design/default?
− Hvis ikke - kan det bringes til at understøtte dette?
• Hvilket arbejde/hvilke omkostninger er der forbundet med dette?
• Hvor lang levetid har den pågældende it-løsning tilbage?
● Nye IT-løsninger
− Sikre, at kommende IT understøtter privacy by design/default
− Sikre, at de rigtige krav fremgår af kravsspecifikationer/løsningsbeskrivelse
− Få dokumentation fra leverandør
● Redskaber til understøttelse af privay by design/default
− Pseudonymisering
− Kryptering
− Systemopsætning/konfigurering
− Instrukser/vejledninger
Side 32
34. ● Hvad er en Data Protection Officer ('DPO')?
− Tilsyn med overholdelse af Persondataforordningen.
− Krav til uddannelsesbaggrund – ekspertviden inden for databeskyttelse,
herunder lovgivning og praksis.
− Ansat eller tredjepart (kan deles)
● Har din virksomhed brug for en DPO?
− Hvis offentlig virksomhed.
− Hvis din virksomheds "kerneaktivitet" består i behandling af
personoplysninger:
• Der har en sådan karakter eller et sådant formål at den kræver regelmæssig og systematisk
overvågning af datasubjekter i stort omfang.
• Af følsom karakter eller strafbare oplysninger i stort omfang.
Side 34
35. Data Protection Officers
● Ansat eller tredjepart
− Kan ’deles’ mellem flere myndigheder/virksomheder f.eks. kan en koncern
udpege en fælles DPO
● Uafhængig
− Må ikke have ’interessekonflikter’ i stillingen (kan blive svært!)
− Må ikke modtage ordrer vedr. dennes opgaver
− Kan ikke blive afskediget eller straffet for udførelse af sine opgaver)
● Rapporterer direkte til ledelse
● Kan have andre opgaver (kun hvis ingen interessekonflikt)
● Skal udpeges på grundlag af faglige kvalifikationer, herunder særligt
ekspertviden indenfor databeskyttelseslovgivning og praksis
Side 35
36. Data Protection Officers
● DPO’ens job (minimumskrav)
− Deltage i alle spørgsmål vedrørende persondatabehandling
− Øge vidensniveau hos arbejdsgiver om persondatabeskyttelse
(awareness)
− Kontaktperson for myndigheder og datasubjekter
− Tilsyn med overholdelse af forordning (compliance)
− Tilsyn med implementering og overholdelse af
• Politikker, procedurer
• Sikkerhedskrav/risikovurderinger (+DPIA)
• Sikre dokumentation
Side 36
38. Hvorfor gå i gang nu?
● Der er 16 måneder til Forordningen træder i kraft!
− Der bliver nok at se til!
• Særligt hvis der ikke allerede er helt styr på persondatabehandlingen!
− Compliance har betydning for virksomhedens værdi
• Og image udadtil!
− Compliance er tidskrævende
• Og der kan dukke ubehagelige overraskelser op undervejs!
Side 38
40. Organisation
● Nedsæt en arbejdsgruppe
− Deltagelse fra alle relevante afdelinger – jura, forretning, it, HR
− Afhængigt af virksomheden størrelse
− Ansvarlige for at bringe virksomheden i compliance
● Inkludér DPO’en / sørg for ledelsesforankring!
Side 40
41. Mapping af persondata
● De færreste virksomheder har fuldt overblik over hvilke
persondata de behandler pt.
● Skab overblik/udarbejd en fortegnelse over:
− Hvilke persondata I indsamler og behandler
• HR, salgs- og markedsføringsafdelinger er ’usual suspects’
• Er der følsomme data iblandt?
• Er der ustrukturerede data?
• IT-afdeling er et godt sted at starte – de har overblik over systemer
• ’Interviews’ af nøglepersoner i alle afdelinger
− Til hvilke formål I behandler de enkelte datatyper?
Side 41
42. Mapping af persondata
− Hvem er datasubjekterne, og antallet af datasubjekter?
− Hvorfra er datene indsamlet?
• Datasubjekt
• Tredjemand
• Internettet
− Videregives data?
− Hvilken hjemmel ligger til grund for behandlingen, herunder
eventuelt videregivelsen?
− Er data stadig relevante/ajour?
Side 42
43. Mapping af persondata
− Hvor behandles data?
• Internt?
• Databehandlere?
– Er alle databehandleraftaler på plads (og hvor findes de?)
− Er der overførsler til tredjelande?
• Hvorfor overføres til tredjeland?
– Til anden dataansvarlig?
– Til databehandlere?
Side 43
44. Mapping af persondata
− Behandler I data for andre? (Dvs. I er databehandlere)
• Har I styr på alle databehandleraftaler?
• Skal de opdateres? (sandsynligvis)
• Overholder I kravene i databehandleraftalerne?
• Har I tredjemandsdata liggende, som reelt skulle have været slettet?
− Dataflowsdiagrammer kan være nyttige
− Indhent nødvendige eksisterende anmeldelser/tilladelser fra
databeskyttelsesmyndigheder.
• Selv om forordningen afskaffer anmeldelsespligten, vil anmeldelserne være
nyttige.
− Billedet ændrer sig løbende!
• Orientere ansatte om arbejdsgruppen/DPO
• Pligt til at orientere arbejdsgruppen/DPO
– ’Opdagelse’ af flere persondata
– Iværksættelse af projekter, som er persondata-relevante
Side 44
45. Politikker / Procedurer
● Eksterne
− Findes der en privacy policy?
• Er den relevant for alle/nogle indsamlinger af data?
• Up-to-date?
• Er den forståelig for målgruppen?
● Internt
− Er der en overordnet privacy policy ?
• Er der en for hver behandlingsområde, som foretages?
– Fx markedsføring og HR
− Er der udarbejdet en fortegnelse over behandlinger?
− Er der procedurer for håndtering af datasubjekters rettigheder?
• Ellers bør disse laves
Side 45
46. Orientering af datasubjekter
● Informeres datasubjekter om indsamlingen/
behandlingen?
− Kræves opdatering?
− Kan det dokumenteres?
• Gem tidligere udgaver.
● Samtykke
− Identificer eventuelle manglende oplysninger, der kræves i
henhold til forordningen
− Kan det dokumenteres?
• Gem tidligere udgaver
• Registrer hvilken udgave, der er samtykket til
Side 46
47. Sikkerhed
● Få overblik over virksomhedens sikkerhed
− Findes der en sikkerhedspolitik?
• Stadig up-to-date? Eller skal der startes helt fra bunden?
− Er der lavet risikovurderinger?
• Er de dokumenteret – eller skal de laves?
• Er der behov for, at der laves DPIA?
− Er der en procedure for udførelse af risikovurderinger/DPIA?
− Er der en procedure for håndtering af sikkerhedsbrud?
− Husk, at sikkerhed er ikke kun fysisk og teknisk, men i høj grad også
organisatorisk!
• Mapping af, hvem der har adgang til hvilke data, hvorfor, og er det relevant?
Side 47
48. Privacy by Design/Default
● Eksisterende IT-løsninger
− Understøttes privacy by design/default?
− Hvis ikke - kan det bringes til at understøtte dette?
• Hvilket arbejde/hvilke omkostninger er der forbundet med dette?
• Hvor lang levetid har den pågældende IT tilbage?
● Redskaber til understøttelse af privacy by design/default
• Pseudonymisering
• Kryptering
Side 48
49. Privacy by Design/Default
● Nye IT-løsninger
− Sikre, at kommende IT understøtter privacy by design/default
− Kontrollere, at det fremgår af kravsspec./løsningsbeskrivelse
− Få dokumentation fra leverandør
Side 49
50. Databehandlere
● Bruges databehandlere?
− Hvordan er databehandleraftalerne udformet?
• Sikrer de jer som dataansvarlig på fornøden vis?
• Skal de opdateres for at leve op til forordningens krav?
• Bruges ’standardteksten’ fra Datatilsynets hjemmeside?
− Hvilke sikkerhedskrav skal stilles til databehandlere?
• Om muligt, skal databehandlere overholde samme politik som virksomheden selv
• Hvis ikke – hvordan skal ’gaps’ håndteres?
− Overholder databehandlerne sikkerhedskravene?
• Har I en tilsynsret?
– Indhent årlig revisionsrapport
– Overvej at foretag inspektion
Side 50
51. Overførsler til tredjelande
● Har I de nødvendige aftaler på plads?
− Safe Harbor
• OBS! Ordningen er erklæret ugyldig
– Find nyt hjemmelsgrundlag fx SCC, BCR eller samtykke
• Ny aftale vedtaget og godkendt af Kommisionen - Privacy Shield
− SCC
• Kan I leve op til vilkårene?
– Vær opmærksom på at det ikke er muligt at foretage materielle ændringer
• Nye SCC'er ?
Side 51
52. Awareness
● Planlæg undervisning af medarbejdere
− Generelt om persondata, og hvorfor det skal respekteres
− I politikker/procedurer
− Relevante sikkerhedsforhold
• også organisatorisk
● Intern bevidsthed og kommunikation
● Opgave for DPO
Side 52
53. Forslag til compliance projektets faser
Side 53
1. Opstart
2. Analyse
3. Løsningsbeskrivelse
4. Implementering
5. Drift
55. Dataansvarlig eller databehandler?
− Dataansvarlig: Afgør til hvilke formål og med hvilke
hjælpemidler der må foretages behandling af
personoplysninger.
− Databehandler: Behandler personoplysninger på
dataansvarliges vegne.
• Behandler aldrig data til egne formål
− Minder om et 'arbejdsgiver – arbejdstager' forhold
Side 55
56. Indledende præmisser
I. Der er (næsten) persondata i alle it-systemer…
II. Leverandøren er databehandler hvis adgang til kundens persondata
III. Forordning tildeler databehandleren en mere aktiv rolle og flere
forpligtelser end Persondataloven
IV. Væsentligt skærpede sanktioner for både dataansvarlige og
databehandlere ved manglende compliance
=> Databehandleraftalen – den nye kampplads i
kontraktforhandlinger..
Side 56
58. ● Den dataansvarlige må alene benytte databehandlere,
der giver fornødne garantier vedrørende beskyttelse
af den dataansvarliges oplysninger
● Risikoanalyse skal i nødvendigt omfang også omfatte
databehandlerens forhold
=> Behov for "due dilligence":
Den dataansvarlige bør aktivt spørge ind til, og om fornødent
kontrollere og sikre sig dokumentation for, hvordan
databehandleren behandler den dataansvarliges persondata,
inden aftaleindgåelsen!
Side 58
60. ● Yderligere grunde for kunden til at se sig for:
Den dataansvarlige hæfter solidarisk med
databehandleren over for de registrerede for
databehandlerens manglende overholdelse af reglerne.
Den dataansvarlige kan ifalde bøder for databehandlerens
behandling af personoplysninger
Side 60
62. Genstanden for behandlingen og typen af personoplysninger
Varigheden af behandlingen
Hvilken form for behandling, der skal foretages og til hvilke(-t)
formål
Hvilke kategorier af registrerede, som de behandlede
personoplysninger vedrører
Den dataansvarliges rettigheder og forpligtelser
Side 62
Krav til indhold (artikel 28, stk. 3)
§
§
§
63. ● At databehandleren kun må behandle personoplysningerne på
baggrund af den dataansvarliges instruks
● At personer hos databehandleren, der er autoriserede til at behandle
oplysningerne, er underlagt en fortrolighedsforpligtelse
● At databehandleren skal etablere passende
sikkerhedsforanstaltninger
● At databehandleren overholder betingelserne i Forordningen om
brug af underdatabehandlere
Side 63
64. ● At databehandleren skal bistå den dataansvarlige med at opfylde
dennes forpligtelser over for de registrerede
● At databehandleren skal bistå den dataansvarlige med at sikre
dennes overholdelse af forpligtelserne i Forordningens artikel 32-36
om bl.a.
- sikkerhedsforanstaltninger
- anmeldelse ved sikkerhedsbrud
- udarbejdelse af risikoanalyser, herunder eventuelt en DPIA
- eventuel konsultation med databeskyttelsesmyndighederne
Side 64
65. ● At databehandleren på den dataansvarliges anmodning og efter den
dataansvarliges valg sletter eller returnerer de behandlede
personoplysninger ved behandlingens ophør
● At databehandleren udleverer alle nødvendige informationer
med henblik på, at den dataansvarlige kan dokumentere at
behandlingen hos databehandleren lever op til forpligtelserne samt
● At databehandleren tillader og medvirker til kontrol og
audits.
● At databehandleren har pligt til at informere
den dataansvarlige, såfremt det er databehandler-
ens opfattelse at en instruks er ulovlig.
Side 65
67. ● Kundens standardaftale vs. Leverandørens
standardaftale?
- "Battle of forms"
- Behov for grundig gennemgang; compliance, fordeling af ansvar og
forpligtelser
- Væsentligt forhandlingstema
● Model contractual clauses?
- Forordningens artikel 28, stk. 7 og 8: Kommissionen eller nationale
tilsynsmyndigheder kan vedtage standardkontraktbestemmelser
- Uvist om hjemmel vil blive udnyttet
- Forsigtigt bud: Nok ikke..?
- Brancheaftaler – ITB m.fl.
Side 67
69. Underdatabehandlere og "under-under databehandlere":
Side 69
Dataansvarlig
Databehandler
Underdatabehandler Underdatabehandler
Underdatabehandler
70. ● ’Underdatabehandlere’- begreb:
− ’Underleverandører’ til databehandleren
− Underdatabehandlere er også databehandler for den
dataansvarlige
• Uagtet der ikke måtte være et direkte leverandørforhold
• Er der ikke et direkte leverandørforhold, er databehandleren ansvarlig
overfor den dataansvarlige i relation til underdatabehandlerens
misligholdelse
● Brug af underdatabehandlere kræver samtykke fra den
dataansvarlige
Side 70
71. − Der skal indgås en (under-)databehandleraftale med
underdatabehandleren
− Skal være på back-to-back vilkår:
− Hele vejen ned igennem "kæden"
Side 71
73. Behov for nye aftaler?
● Eksisterende databehandleraftaler bortfalder ikke automatisk
● Hvis databehandleraftalen ikke overholder Forordningens krav, vil
det være en overtrædelse af Forordningen (uanset om selve
behandlingen overholder reglerne)
● Manglende opdatering vil være en skærpende omstændighed
ved vurderingen af erstatnings- og bødeansvar i tilfælde af
f.eks. et sikkerhedsbrud.
Side 73
74. Behov for nye aftaler?
Både kunder og leverandører bør gennemgå deres kontrakter fra
før Forordningens ikrafttrædelse og får foretaget de
nødvendige opdateringer, så kontrakterne overholder
Forordningen!
Nye aftaler bør tage højde for Forordningens krav!
Side 74
76. Hvad er kravene til kontrol og audits?
● Den dataansvarlige skal være i stand til at dokumentere, at
behandling af personoplysninger, som foretages af eller for
den dataansvarlige, er i overensstemmelse med Forordningen.
Side 76
Behov for præcise og operationelle vilkår, der sætter den
dataansvarlige i stand til over for tilsynsmyndighederne at
demonstrere, at tekniske og organisatoriske
sikkerhedsforanstaltninger overholdes.
77. ● Herudover bør den dataansvarlige sikre sig, at
- databehandleren løbende tester og evaluerer effektiviteten af
sikkerhedsforanstaltningerne, og
- stiller dokumentation for resultatet af sådanne tests til rådighed
for den dataansvarlige.
● Tillige behov for regulering af:
- hvordan databehandleren skal medvirke
ved kontrol og audits
- hvilke varsler der skal gives
- om, og i givet fald hvordan, databehandleren skal betales for at
medvirke
Side 77
79. ● Databehandleren skal bistå den dataansvarlige med at
overholde forpligtelserne i Forordningen om anmeldelse
ved sikkerhedsbrud og eventuel konsultation med
databeskyttelsesmyndighederne
● Pligten skal eksplicit fremgå af databehandleraftalen, jf.
artikel 28, stk. 3, litra f
Side 79
81. Aftalefrihed?
● Kan kunde og leverandør frit aftale fordeling af ansvaret
og ansvarsbegrænsninger ved f.eks. sikkerhedsbrud eller
tilsidesættelse af registreredes rettigheder?
● Eksempel:
"Leverandørens ansvar, herunder for krav fra tredjemand, som
følge af manglende overholdelse af databehandleraftalen, er
begrænset til 1 mio. DKK. Kunden skal skadesløsholde
Leverandøren for ethvert krav fra tredjemand, der overstiger dette
beløb."
Side 81
82. Aftalefrihed?
● Erstatning til registrerede?: Nej, jf. artikel 88, stk. 5
● Erstatning for kundens egne tab (f.eks. internt
tidsforbrug og eksterne konsulenter): Ja
● Bøder? Nej, DL 5-1-2 (aftaler i strid med lov og
ærbarhed)
Side 82
83. Hvis du vil vide mere:
"Persondataforordningen – en håndbog for
praktikere"
Side 83
84. Thank you
Advokat, partner
Jesper Langemark
Telefon: 22 26 20 02
Mail: jesper.langemark@twobirds.com
BIRD & BIRD ADVOKATPARTNERSELSKAB
Bird & Bird Advokatpartnerselskab er et registreret selskab i Danmark under CVR-nr. 35 14 45 01. Alle vores advokater er medlem af Advokatsamfundet og underlagt de advokatetiske
regler fra Advokatrådet. Reglerne er tilgængelige her: www.advokatsamfundet.dk.
BIRD & BIRD
Bird & Bird LLP, er et registreret partnerskab, registreret i England og Wales under registreringsnummer OC340318, der er autoriseret og underlagt Solicitors Regulation Authority, og
dets regler og retningslinier der er tilgængelige her: sra.org.uk/handbook/
For yderligere information om Bird & Bird internationalt, herunder Bird & Bird LLP, dets filialer og associerede selskaber (samlet benævnt ”Bird & Bird”), vores kontorer, ansatte,
partnere og rådgivningsområder, brug af e-mails og regulatoriske forhold, se vores website på twobirds.com og navnlig ”Legal Notices”.