Bliv compliant med persondataforordningen – København, 24. oktober

Velkommen
8.40: Vi sætter os ned (ikke før)
8.45: Velkommen
8.50: Tim Nielsen, DAHL Advokatfirma: Reglerne og deres praktiske betydning
9.40: Pause - alle strækker ben
10.00: Bo Mikael: Sådan gør du i praksis
10:30: Jens Ebak: Sådan gør vi i Peytz & Co
10.40: Panel: Spørgsmål og svar
11.00: Tak for i dag
OBS: Alle slides bliver delt bagefter

Bliv compliant med persondataforordningen
Peytz & Co. – 24. oktober 2017

Dagens program
1. Introduktion
2. Intro til persondataretten
3. Intro til den nye forordning
4. Hvordan gør man?
5. Eksempel på praktisk compliance
6. Spørgsmål

Introduktion
Hvad er fokus for dagens emne?
• Overblik!
• For mange detaljer til 50 min. alligevel
• Det skal være relevant
• Stil derfor gerne spørgsmål undervejs
• Præsentation udleveres efterfølgende

• Speciale i teknologivirksomheder
• Rådgiver bl.a. om
• Persondata
• IT-anskaffelser & Outsourcing
• Licenser
• Konflikter
• …og andet branchespecifikt
• Certificeret IT-advokat
• Medlem af International Association of Privacy Professionals
• DAHL i København siden 2014
• Kromann Reumert 2006-2014
• 2006-2008 - Selskabsret og finansiel regulering
• 2008- Teknologivirksomheder
Advokat
tim@dahllaw.dk
88 91 98 21
61 91 51 05
Tim Nielsen

Hvem er DAHL?
• 6 kontorer
• 200 medarbejdere
• Opdelt i specialer, f.eks.
• Persondata
• IT-forhold
• HR-forhold
• Outsourcing
• Selskabsforhold
• Skatter og afgifter
• …osv.
ESBJERG
AARHUS
RANDERSVIBORG
HERNING
KØBENHAVN

Introduktion til persondataretten

Intro til persondataretten
• “Enhver form for information om en
identificeret eller identificerbar fysisk
person”
•  Kan personen findes, er det persondata
• …også selvom det er næsten umuligt
• Særlig regulering!

Persondata omfatter f.eks.:
 Direkte: Navn, adresse, telefonnummer, e-mail osv.
 Indirekte: Kundenummer, referencer, billeder, lyd osv.
 “Umulige”: IP-adresser, eksternt kundenummer, krypterede data, lokationsdata osv.
Persondata omfatter f.eks. ikke:
 Teknisk data
 Anonyme data
 …forudsat at data ikke er sammensat med persondata
 Næsten umuligt ikke at behandle persondata

• Alle personoplysninger, der ikke er en af de to andre
• Alm. behandlingskravAlm. oplysninger
Følsomme
oplysninger
Rent private
oplysninger
• ”Racemæssig eller etnisk baggrund, politisk, religiøs eller
filosofisk overbevisning, fagforeningsmæssige tilhørsforhold
og oplysninger om helbredsmæssige og seksuelle forhold”
• Skærpede behandlingskrav ud over alm. krav
CPR-nr.
• ”Strafbare forhold, væsentlige sociale problemer og andre
rent private forhold ”
• Skærpede behandlingskrav ud over alm. krav
• Meget begrænset behandling

• Fysisk person oplysningerne identificerer
• Den hele beskyttelsen omhandlerRegistreret
Dataansvarlig
Databehandler
• Dataejeren
• Bestemmer over oplysningerne om den registrerede
• Fuldt ansvarlig for reglernes overholdelse
• (Under)leverandør
• Behandling af oplysninger om registrerede på vegne af
dataansvarlig
• Begrænset ansvar for behandlingen

Dataansvarlig
Databehandler
• ”En databehandlers behandling skal være reguleret af
en kontrakt eller et andet retligt dokument…”
• => Hjemmel til databehandlerens lovlige behandling af
data
• Fastsætter vilkårene for behandlingen mellem parterne
• Legale krav
• Kommercielle krav
• Behøver ikke være en selvstændig aftale – kan godt
være del af hovedaftale

• Videregivelse kræver ikke en databehandleraftale
• Til gengæld kræver det særskilt hjemmel, f.eks. samtykke eller nødvendighed
• Typisk restriktiv adgang hertil
• Normalt ikke ønskeligt – uden nærmere overvejelser
Dataansvarlig Dataansvarlig

Dataeksport
 Indenfor EU/EØS kræver ikke særlig tilladelse
 Udenfor EU/EØS kræver (i praksis)
 …samtykke
 …tilladelse fra datatilsynet
 …eller brug af EU standardkontrakter
 ”Safe harbor” genopstået som ”Privacy Shield” (USA)
 Adgang til data er også omfattet
 F.eks. Support fra Indien

Introduktion til den nye forordning

Den nye forordning
• Fælles grundlag
• Forskellig implementering
• I Danmark: Persondataloven
• Fælles grundlag
• Fælles implementering
• I hele EU: Persondataforordningen
• (…evt. tilpasninger lokalt)

Den nye forordning
Hvad er nyt?
• Indeholder reelt kun få helt nye regler
• Materielle behandlingsregler overordnet de samme
• Om end visse præciseringer og skærpelser
• Dog mange nye krav omkring beskyttelse og håndtering af persondata
• Særligt mange regler om proces og dokumentation
• Fokus på egne risikovurdering og dokumentation
• Nu med bøder
• ”Tillidsbrud” – op til mEUR 20 eller 4 % af global omsætning
• ”Procesbrud” – op til mEUR 10 eller 2 % af global omsætning

Den nye forordning
Centralt begreb er ”ansvarlighed”
• Persondatareguleringen har en række generelt formulerede forpligtelser
• Forpligtelserne skal ”oversættes” til praktiske foranstaltninger
• Forpligtelserne skal implementeres i virksomheden
• Implementeringen heraf skal sikres effektivt
• Implementeringen og sikringen skal dokumenteres
 Man skal ikke bare gøre det, men vise at man gør det!

Den nye forordning
Krav om ansvarlighed i Persondataforordningen
• Art. 5, stk. 2: Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes
(»ansvarlighed«).
• Art. 5, stk. 1 er grundprincipperne (Gennemsigtighed, formålsbegrænsning, dataminimering,
rigtighed, opbevaringsbegrænsning, integritet og fortrolighed.)

Den nye forordning
Krav om ansvarlighed i Persondataforordningen
• Art. 24, stk. 1: ”Under hensyntagen til den pågældende behandlings karakter, omfang,
sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske
personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige passende tekniske
og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling
er i overensstemmelse med denne forordning. Disse foranstaltninger skal om nødvendigt
revideres og ajourføres.”
• Art. 28, stk. 3 (h): ”[databehandleren] stiller alle oplysninger, der er nødvendige for at påvise
overholdelse af kravene i denne artikel, til rådighed for den dataansvarlige og giver mulighed
for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en
anden revisor, som er bemyndiget af den dataansvarlige.”

Håndtering af ad
hoc
problemløsning
Kontoller og
dokumentation
4) Øvrige / ad
hoc
Idriftsættelse af
løsning
Prioritering
Scoping af
analysetilgang
DAHLs Compliancemodel
Opstart ”Baseline” Løsning Udrulning Kontrol Governance
Kickoff og
mobilisering
Undervisning
Interviews og
indblik
Kortlæg data
Kortlæg
aktiviteter
Kortlæg
standarder
GAP-analyse
Scoping af
løsning
1) Design af
overordnet
framwork
2) Processer
3) Governance
værktøjer
Uddannelse og
awareness
Metode til at
sikre løbende
efterlevelse
Styring af
framework
Justering af
framwork
1 2 3 4 5 6
Overordnedeleverancer
Opbygning af awareness
A  B
Løsning og idriftsættelse Optimering af drift

Hvordan gør man?
STEP 1: Skab overblik over behandling af personoplysninger i processerne
• Hvilke processer involverer behandling af personoplysninger i jeres virksomhed?
• Anbefaler at se på processer – ikke systemer
Medarbejdere
Markedsføring
Samarbejdspartnere
ogLeverandører
Kunderogleverancer
IT&
Informationssikkerhed

Hvordan gør man?
STEP 2: Vurder hvad risikoen (den persondataretlige) er ved behandlingen
• Risikovurdering er nøglen til at fastsætte niveauet af compliance
• Kig nærmere på de processer I har kortlagt i STEP 1.
• Overvej f.eks. på proces-niveau:
• Om der behandles følsomme personoplysninger
• Hvor mange personoplysninger der behandles
• Om der overføres personoplysninger til lande uden for EU
• Om I fortager profilering eller automatiske afgørelser af registrerede
• Hvis høj risiko skal der fortages en konsekvensanalyse
• Skriv det ned (dokumentation)!

Hvordan gør man?
STEP 3: Vurder om behandlingen sker i overensstemmelse med behandlingsprincipperne
• Kig igen på de forskellige behandlingsprocesser i jeres virksomhed
• Har I hjemmel til at fortage behandlingen?
• Har I fastsat formål for behandlingen, og er formålene saglige?
• Har I kun de personoplysninger der er relevante for formålene?
• Er personoplysningerne ajourførte og korrekte?
• Har I slettet personoplysningerne, der ikke længere er relevante eller nødvendige?
• Opbevares personoplysningerne tilstrækkeligt sikkert (se STEP 4)

Hvordan gør man?
STEP 4: Vurder om personoplysningerne behandles sikkert nok
• Ikke kun IT – også organisation
• Jo mere følsom personoplysningerne  Jo større krav til sikkerhed
• Opbevares oplysningerne et sikkert sted?
• Opbevares oplysninger hos jer selv eller hos en leverandør?
• Hvis oplysningerne behandles hos en leverandør
• Er der indgået en databehandleraftale?
• Krav til leverandøren?
• Hvilke sikkerhedsforanstaltninger er relevante?
• Følges der op? – revision og audit

Hvordan gør man?
STEP 5: Forhold jer konkret til hvad I skal gøre
• I behøver ikke at gøre alt
• Genbesøg jeres opdagelser i STEP 1-4, herunder
• Processer
• Risici
• Behandlingens lovlighed
• Sikkerhed
• Omfanget af krav og pligter afhænger overordnet af risiciene, herunder særligt:
• Typen af data
• Mængden af data

Hvordan gør man?
STEP 5: Lav en intern persondata politik
• Hvad I har fundet ud af i STEP 4?
• Hvilken værdi tillægger I beskyttelsen af personoplysninger i virksomheden?
• Hvordan har I tænkt jer at overholde behandlingsprincipperne og øvrige forpligtigelser?
• Nødvendigt at kende forpligtigelser i forordningen og databeskyttelsesloven
• Eksempel: Skal vi udforme fortegnelse over behandlingsaktiviteter (art. 30)?
Hvis ja – Hvordan gør vi det?
• Eksempel: skal min virksomhed udpege en DPO? (art. 37)
Hvis ja – Hvem er det, og hvornår bruger vi DPO’en?

Hvordan gør man?
STEP 6: Opsæt en række kontroller i et årshjul
• Er behandlingsprocesserne de samme, eller er der sket ændringer?
• Er risici de samme, eller er der sket ændringer?
• Behandles personoplysninger stadig i overensstemmelse med principperne i forordningen?
• Er sikkerhedsforanstaltningerne stadig passende, eller skal der ske ændringer?
• Overholdes politikkens indhold i praksis?
• Skal politikken evt. skal ændres/opdateres?

Eksempel på praktisk compliance

Eksempel på praktisk compliance
1
• Indledende samtale om proces og
roller
• Interviews af 2-4 timers varighed
baseret på DAHLs spørgeskema og
metodeværktøj
• Deltagere:
- direktør/ejerleder
- evt. IT/web-ansvarlig
- evt. personaleansvarlig(e)
- evt. andre
- DAHL-specialist
Step 1
2
• DAHL udarbejder dokument med
vurdering
- Viser hvor virksomhed rammes af de
nye regler og hvor hårdt den rammes
• DAHL udvikler en TO DO-liste til
virksomheden
• Møde af 2-3 timers varighed, hvor
anbefalingen gennemgås
- sikre forståelse for særlige
problemområder
- drøfte hvordan virksomheden kan
lykkes med vigtige TO DO’s
”TO DO”-liste og præsentation
Step 2
3
• Virksomhed kan efter behov tilkøbe
adgang til:
- DAHL webinar / videoundervisning,
som kan bruges til uddannelse og
dokumentation
- diverse standardværktøjer som
umiddelbart kan tages i brug
- Databehandleraftale
- Politik
- ”Sundhedstjek” efter 6 eller 12 mdr.
ved DAHL-specialist
• Tillægsydelser vurderes fra sag til sag
afhængigt af virksomhedens behov
Evt. adgang til standardværktøjer
Efter behov
Interviews og virksomhedsvurdering

Kontakt
Tim Nielsen, Advokat
Mobil: +45 61 91 51 05
Direkte: +45 88 91 98 21
E-mail: tim@dahllaw.dk

Bo Mikael
• Journalist og redaktør siden 1982
• Arbejdet digitalt siden 1996
• Kontaktdirektør hos Peytz & Co
Disclaimer
• Jeg er IKKE jurist
• Forordningen er IKKE trådt i kraft
• Den danske lovgivning er IKKE på plads

Sådan gør I jer klar
Gennemgå dette:
1. Hvor indsamler I data?
2. Hvilke data indsamler I?
3. Hvordan håndterer I data?
4. Hvor ligger jeres data?

Hvor opsamler I data?
•Gennemgå jeres brugergrænseflader og identificér,
hvor I opsamler data

Andre steder?
•Live, f.eks. messer, flyers
•Statistik
•Cookies
•Data-mining

Fødselsdato
Helbredsoplysninger
Adresse
Race
Køn
Telefonnummer
Mail
Sexuel overbevisning
Religion
Sociale issues
Straffeattest
Uddannelse
Genetiske informationer
Familie-informationer
Mine persondata
Stilling

Fødselsdato
Helbredsoplysninger
IP-adresse
Kreditkort Tøj- og sko-størrelser
Billede
Fagforening
Parti
Adresse
Race
Køn
Telefonnummer
Mail
Sexuel overbevisning
Pasnummer
Religion
Sociale issues
GPS-info
Straffeattest
Uddannelse
MAC-adresse
Genetiske informationer
Elektroniske spor
Familie-informationer
StillingLogin
Interesser
Mine persondata + alt det andet
Varekøb

Hvad er det, I indsamler?
1. Hvilke data?
1. Navn
2. Mail
3. Adresse
4. …..
5. …..
6. Andet
2. Almindelige eller følsomme data?
3. Permissions/samtykker?

Hvornår må man bruge persondata?
•”Når der er afgivet hjemmel, f.eks. et udtrykkeligt
og informeret samtykke”
•”Når det er nødvendig for opfyldelse af en aftale
med den registrerede”
•”Når det er nødvendig af hensyn til en berettiget
interesse – forudsat at den registreredes
modstående interesse ikke er større”

Hvad er det, der skal beskyttes?
•Personhenførbare data
”Personhenførbare data er infoirmationer, som kan
henføres til en given person.
Det kan både være enkelte data, som f.eks. navn,
men kan også være flere sammensatte datasæt
som f.eks. en mail-adresse, interesser og geografi.”

Hvordan bruges jeres data?
• Til kontakt?
• Til salgsbudskaber?
• Sammen med data fra cookies?
• Sammen med data fra data-mining?
• Sammen med data fra statistik, f.eks. Analytics eller
SiteImprove?
• Hvad dækker jeres permissions/samtykker?
• Bruges de efter hensigten?

Hvem arbejder med jeres data?
•Er det jer selv, der behandler data?
•Eller er det en ekstern partner?
•Sker det i EU, i et sikkert land eller i et usikkert
land?

Hvordan er data-sikkerheden?
•Er det hele beskrevet? Ellers få det gjort!
•Har I databehandler-aftaler?

Hvor ligger jeres data?
•På egne servere?
•I et eksternt server-miljø?
•I skyen?
•I EU, i sikker havn eller i usikkert 3. land?
•Ved I det?

Hvordan er data beskyttet?
•Adgang til servere
•Organisatoriske retningslinjer
•Kan I slette data?
•Kan I flytte data?
•Er det hele beskrevet? Ellers få det gjort!
•Har I databehandler-aftaler?

Sådan gør I jer klar
1. Hvor indsamler I data?
2. Hvilke data indsamler I?
3. Hvordan håndteres data?
4. Hvor ligger data?
• Nyhedsbreve
• Events
• Live
• Cookies
• Statistik
• Andet
• Bruges alene
• Bruges sammen med cookies
• … sammen med statistik
• Håndteres af underleverandør
• Instruks
• Andet
• Navn
• Mail
• Interesser
• Adresse
• Følsomme?
• Andet
• På egne servere
• På ekstern servere
• I skyen
• Databehandleraftale
• Andet

Databehandleraftalen i praksis
Oktober 2017

Jens Ebak
• Økonomidirektør hos Peytz & Co
• Ansvarlig for kontrakter med kunder og
leverandører
Disclaimer
• Jeg er IKKE jurist
• Forordningen er IKKE trådt i kraft
• Den danske lovgivning er IKKE på plads

Hvad gør Peytz & Co
• Arbejdsgruppe etableret i maj 2016
• ISO-27001 compliance
• Procesdokumentation og formalisering af
organisatoriske roller
• Udvikler services og systemer, så de
understøtter krav fra GDPR
• Indgår databehandleraftaler med vores kunder
(IT-Branchens modelkontrakt)
• Indgår underdatabehandleraftaler med vores
leverandører - primært hosting partnere

Databehandleraftalen
IT-Branchens modelkontrakt

Databehandleraftalens anvendelse
• Databehandleraftalen indgås, når Peytz & Co behandler
personoplysninger på vegne af den Dataansvarlige
• Databehandleraftalen har til formål at sikre, at Peytz & Co overholder
den til enhver tid gældende persondataretlige regulering
• Peytz & Co anvender IT-Branchens modelkontrakt for
Databehandleraftaler
• Det er en fordel for begge parter, at det er en branchestandard
• Databehandleraftalen indgås altid i forlængelse af en driftsaftale med
Peytz & Co - ift. hosting og/eller abonnement på Peytz Mail

Databehandleraftalen - indhold
1. BAGGRUND OG FORMÅL
2. OMFANG
3. VARIGHED
4. DATABEHANDLERENS FORPLIGTELSER
5. DEN DATAANSVARLIGES FORPLIGTELSER
6. UNDERDATABEHANDLERE
7. OVERFØRSEL TIL TREDJELANDE OG
INTERNATIONALE ORGANISATIONER
8. DATABEHANDLING UDENFOR INSTRUKSEN
9. VEDERLAG OG OMKOSTNINGER
10. ÆNDRING AF INSTRUKSEN
11. MISLIGHOLDELSE
12. ANSVAR OG ANSVARSBEGRÆNSNINGER
13. FORCE MAJEURE
14. FORTROLIGHED
15. OPHØR
16. TVISTLØSNING
17. FORRANG
BILAG 1 Hovedydelsen
BILAG 2 Tekniske og organisatoriske sikkerhedskrav og
garantier
BILAG 3 Dokumentation for overholdelse af forpligtelser
BILAG 4 Konkret bistand
BILAG 5 Den Dataansvarliges forpligtelser
BILAG 6 Underdatabehandlere
BILAG 7 Overførsel til tredjelande og internationale
organisationer

Databehandleraftalen - indhold
1. BAGGRUND OG FORMÅL
2. OMFANG
3. VARIGHED
4. DATABEHANDLERENS FORPLIGTELSER
5. DEN DATAANSVARLIGES FORPLIGTELSER
6. UNDERDATABEHANDLERE
7. OVERFØRSEL TIL TREDJELANDE OG
INTERNATIONALE ORGANISATIONER
8. DATABEHANDLING UDENFOR INSTRUKSEN
9. VEDERLAG OG OMKOSTNINGER
10. ÆNDRING AF INSTRUKSEN
11. MISLIGHOLDELSE
12. ANSVAR OG ANSVARSBEGRÆNSNINGER
13. FORCE MAJEURE
14. FORTROLIGHED
15. OPHØR
16. TVISTLØSNING
17. FORRANG
BILAG 1 Hovedydelsen – INSTRUKSEN!
BILAG 2 Tekniske og organisatoriske sikkerhedskrav og
garantier
BILAG 3 Dokumentation for overholdelse af forpligtelser
BILAG 4 Konkret bistand
BILAG 5 Den Dataansvarliges forpligtelser
BILAG 6 Underdatabehandlere
BILAG 7 Overførsel til tredjelande og internationale
organisationer

Bilag 1 Hovedydelsen - Instruksen
• Beskrivelse af baggrunden for behovet for en
databehandleraftale med henvisning til de
relevante aftaler
• Typer af personoplysninger, der behandles ved
levering af Hovedydelsen
• Kategorier af fysiske personer omfattet af
Databehandleraftalen (fx. kunder, der har givet
tilladelse til at den dataansvarlige må sende
information på e-mail)

Tak for i dag
(navneskilte, tak)

Partner
Claus Sølvsteen
cs@peytz.dk
7220 0101

Bliv compliant med persondataforordningen – København, 24. oktober

Recommended

Recommended

More Related Content

Similar to Bliv compliant med persondataforordningen – København, 24. oktober

Similar to Bliv compliant med persondataforordningen – København, 24. oktober (20)

More from Peytz & Co

More from Peytz & Co (20)

Bliv compliant med persondataforordningen – København, 24. oktober