SlideShare a Scribd company logo

Er du klar til den nye persondataforordning? Morgeninspiration d. 22/3/2018

Download as PPTX, PDF
Peytz & Co
Peytz & Co

Slides fra morgeninspiration i København d. 22/3/2018 om emnet "Er du klar til den nye persondataforordning" præsenteret af IT advokat Tim Nielsen og digital strateg og redaktør Bo Mikael.

Law
1 of 64
Er du klar til den nye persondataforordning?
Dataansvarlig eller databehandler? Peytz & Co. – 22. marts 2018
Dagens program 1. Introduktion 2. Dataansvarlig eller databehandler? 3. Håndtering af databehandleraftaler
Introduktion
Introduktion Hvad er fokus for dagens emne? • Overblik! • Fokus på rollefordelingen • Herefter lidt praktisk håndtering af databehandleraftaler • Det skal være relevant • Stil derfor gerne spørgsmål undervejs • Q&A efter sidste indlæg • Slides bliver tilsendt
• Speciale i teknologivirksomheder • Rådgiver bl.a. om • Persondata • IT-anskaffelser & Outsourcing • Licenser • Konflikter • …og andet branchespecifikt • Certificeret IT-advokat • Medlem af International Association of Privacy Professionals • DAHL i København siden 2014 • Kromann Reumert 2006-2014 • 2006-2008 - Selskabsret og finansiel regulering • 2008- Teknologivirksomheder Advokat tim@dahllaw.dk 88 91 98 21 61 91 51 05 Tim Nielsen
Hvem er DAHL? • 5 kontorer • 200 medarbejdere • Opdelt i specialer, f.eks. • Persondata • IT-forhold • HR-forhold • Outsourcing • Selskabsforhold • Skatter og afgifter • …osv. ESBJERG AARHUS VIBORG HERNING KØBENHAVN
Dataansvarlig eller databehandler?
PERSONDATA ER EN TILLIDSSAG
Intro til persondataretten • “Enhver form for information om en identificeret eller identificerbar fysisk person” •  Kan personen findes, er det persondata • …også selvom det er næsten umuligt • Særlig regulering!
Intro til persondataretten Persondata omfatter f.eks.:  Direkte: Navn, adresse, telefonnummer, e-mail osv.  Indirekte: Kundenummer, referencer, billeder, lyd osv.  “Umulige”: IP-adresser, eksternt kundenummer, krypterede data, lokationsdata osv. Persondata omfatter f.eks. ikke:  Teknisk data  Anonyme data  …forudsat at data ikke er sammensat med persondata  Næsten umuligt ikke at behandle persondata
Hjemmel • Hvilke data indsamlet og fra hvem? Formål? Alm/Følsom data? Hjemmel? Overholdes reglerne? Datasæt Lovlig behandling! • Hvilket formål indsamles data til – hvad skal data bruges til? • Er det almindelig eller følsom data? • Hvilken hjemmel anvendes ved indsamlingen, f.eks. samtykke eller lov? • Overholder jeg i øvrigt reglerne (f.eks. Dataminimering, sikkerhed etc.) • Så må data bruges • …til det konkrete formål, med den konkrete hjemmel etc.
Parterne • Fysisk person oplysningerne identificerer • Den hele beskyttelsen omhandlerRegistreret Dataansvarlig Databehandler • Dataejeren • Bestemmer over oplysningerne om den registrerede • Fuldt ansvarlig for reglernes overholdelse • (Under)leverandør • Behandling af oplysninger om registrerede på vegne af dataansvarlig • Begrænset ansvar for behandlingen
Dataansvarlig eller databehandler? Dataansvarlig eller databehandler? • Afgørende hvem der bestemmer • Formålet • Hjælpemidlerne • Reelt afgørende, om der handles efter instruks eller på eget initiativ • Dermed også afgørende, hvilken ydelse der leveres • Er databehandlingen ydelsen eller en accessorisk ydelse? • Afgrænsningen er ikke helt nem! • Dette på trods af en række vejledninger
En tredje mulighed? Er man altid enten dataansvarlig eller databehandler • Ja - også i koncerner! • …og så alligevel… • Medarbejdere er ikke dataansvarlig/databehandler • Muligvis undtagelse for medarbejderlignende forhold • Direkte instruks, kontrol osv. som var det en medarbejder • Dog uklar rækkevidde • Fremgår ikke af forordning eller vejledninger
Eksempel 1 Eksempel 1 - Hosting • Adgang til kundens persondata?: Ja • Hvem bestemmer formål databehandling: Kunden • Hvem bestemmer hjælpemidler?: Kunden (i teorien i hvert fald)  Kunde: Dataansvarlig for egne data  Leverandør: Databehandler
Eksempel 2 Eksempel 2 - Konsulentydelser • Adgang til kundens persondata?: Måske • Hvem bestemmer formål databehandling: Kunden • Hvem bestemmer hjælpemidler?: Kunden (i teorien i hvert fald)  Kunde: Dataansvarlig for egne data  Leverandør: Databehandler – hvis ydelsen reelt omhandler behandling af persondata  Dvs. ikke ren programmering  Men måske nok f.eks. migrering  Måske mulighed for hverken eller? (p.t. uklart!)
Eksempel 3 Eksempel 3 - Pakkeleverandør • Adgang til kundens persondata?: Ja – oplysninger om slutkunden • Hvem bestemmer formål databehandling: Kunden? • Hvem bestemmer hjælpemidler?: Leverandør  Kunde: Dataansvarlig  Leverandør: Dataansvarlig
Forskellige typer data Kundens data – eller data om kunden? • Kundens data  Databehandler eller evt. dataansvarlig • Kundens kunder • Kundens databaser • Data om kunden  Dataansvarlig • Kontaktperson hos kunden • Oplysninger om kunden
Konsekvenser Konsekvenser af afgrænsningen (eksempler) • Dataansvarlig: Det fulde ansvar • Lovlig behandling (formål, hjemmel, sletning osv.) • Registreredes rettigheder (oplysningspligt, indsigt, sletning osv.) • Sikkerhedskrav • Kontrol med databehandlere • Dokumentation • 4% bøder
Konsekvenser Konsekvenser af afgrænsningen (eksempler) • Databehandler: Begrænset ansvar • Lovlig behandling (formål, hjemmel, sletning osv.) • Registreredes rettigheder (oplysningspligt, indsigt, sletning osv.) • Dog hjælpe dataansvarlig med opfyldelse af pligter • Sikkerhedskrav • Kontrol med databehandlere • Dokumentation • 4% bøder • 2% …forudsat at der handles indenfor instruks! • (4% dog for overførelse til tredjeland og manglende overholdelse af påbud)
Håndtering af databehandleraftaler
Overførelse Dataansvarlig Databehandler • ”En databehandlers behandling skal være reguleret af en kontrakt eller et andet retligt dokument…” •  Hjemmel til databehandlerens lovlige behandling af data • Fastsætter vilkårene for behandlingen • Legale krav • Kommercielle krav • Behøver ikke være en selvstændig aftale – kan godt være del af hovedaftale
Videregivelse • Videregivelse kræver ikke en databehandleraftale • Til gengæld kræver det særskilt hjemmel, f.eks. samtykke eller nødvendighed • Typisk restriktiv adgang hertil • Normalt ikke ønskeligt – uden nærmere overvejelser Dataansvarlig Dataansvarlig
Ansvar for databehandleraftalen Hvem har ansvaret for at indgå databehandleraftale? • Begge parter! • Det er den der gør det lovligt at behandle data • Dataansvarlig må ikke overlade data • Databehandler må ikke behandle data • Databehandling udenfor instruks  Dataansvarlig • Uklart om blot fraværet af skriftlig aftale har denne konsekvens  Hvis tvivl, indgå en databehandleraftale!  …med mindre klart dataansvarlig - dataansvarlig
Databehandleraftalen som koncept Underdatabehandlere  Leverandør: Start kæden ”bagfra” og brug så vidt muligt egen databehandleraftale  Kunde: Undgå overimplementering – det kan umuliggøre/fordyre brug af underleverandør Kunden (dataansvarlig) Leverandør (databehandler) Underleverandør (underdatabehandler) Underleverandør (underdatabehandler) Jura Kommercielt Databeskyttelsesforpligtelser Jura Kommercielt
Kontakt Tim Nielsen, Advokat Mobil: +45 61 91 51 05 Direkte: +45 88 91 98 21 E-mail: tim@dahllaw.dk
Er du klar til den nye Persondataforordning ?
Bo Mikael + Journalist og redaktør siden 1982 + Arbejdet digitalt siden 1996 + Kontaktdirektør hos Peytz & Co Disclaimer + Jeg er IKKE jurist + Forordningen er IKKE trådt i kraft + Den danske lovgivning er IKKE på plads
Fødselsdato Helbredsoplysninger IP-adresse Kreditkort Tøj- og sko-størrelser Billede Fagforening Parti Adresse Race Køn Telefonnummer Mail Sexuel overbevisning Pasnummer Religion Sociale issues GPS-info Straffeattest Uddannelse MAC-adresse Genetiske informationer Elektroniske spor Familie-informationer StillingLogin Interesser Og så er jeg jo også alt det her Varekøb
Det skal I gøre + Få overblik over data + Tjek jeres samtykker + Tjek jeres cookies + Tjek jeres databehandleraftaler
Dét her har I heldigvis allerede afklaret! + Hvor I indsamler jeres data + Hvilke data I indsamler + At I har samtykke (permission) + At I ved hvordan håndterer I jeres data + Hvor jeres data ligger ? + At I har databehandleraftaler på plads
Øhhhh..!
OK – så tager vi lige en opsamling!
Hvor opsamler I data? + Gennemgå jeres brugergrænseflader og identificér, hvor I opsamler data
Hvad er det, I indsamler? + Hvilke data…? ▫ Navn ▫ Adresse ▫ Interesser ▫ Andet + Er det særligt følsomme informationer? + De rigtige samtykker
Hvordan bruges data? + Bruges de til kontakt? + Til salg? + Sammen med data fra andre kilder, f.eks. cookies? + Sammen med statistik fra Google Analytics eller Siteimprove? + Dækker samtykkerne? + Bruges data efter hensigten?
Hvem arbejder med jeres data? + Er det jer selv, der behandler data? + Eller er det en ekstern partner? + Sker det i EU, i et sikkert land eller i et usikkert land? !!!
Hvordan er data-sikkerheden? + Er det hele beskrevet? + Har I en procedure for alt! + Ellers få den eller dem lavet! + Har I databehandler-aftaler? + Ellers få én – nu!
Databehandler-aftalen + Er I dataansvarlige eller databehandleren? + Har I en aftale eller aftaler, der afspejler dette? !!!
Hvor ligger jeres data? + På egne servere? + I et eksternt server-miljø? + I skyen? + I EU, under Privacy Shield-aftalen eller i usikkert 3. land?
Hvordan er data beskyttet? + Hvem har adgang til servere? + Hvordan er jeres interne retningslinjer? + Er I i stand til at slette data? + Kan I flytte data? + Er det hele beskrevet? Ellers få det gjort! + Har I databehandler-aftaler?
Hvad betyder det så ellers?
Samtykke, samtykke og atter samtykke + Samtykke er læserens/brugerens accept af f.eks.: ▫ At modtage et nyhedsbrev ▫ At blive kontaktet på anden vis ▫ At vedkommendes data behandles ▫ At vedkommendes data indgår i en segmentering ▫ Og rigtigt meget andet !!!
Et samtykke skal… + … være frivilligt + … være informeret + … være specifikt + … kunne trækkes tilbage !!!
Et samtykke må… + … ikke være underforstået + … ikke være koblet sammen med ”køb” af en anden ydelse + … ikke være for generelt !!!
Som dataansvarlig skal du + … kunne bevise, at den registrerede har givet sit samtykke + … have en standard for at afmelde eller slette en person + … altid informere om: ▫ den dataansvarliges identitet ▫ formålet med den påtænkte behandling ▫ hvilke oplysninger, der behandles og om hvilken behandling, der finder sted !!!
Cookies
Cookies er IKKE en del af GDPR, men… + Cookies kan indsamler mange forskellige slags informationer ▫ Anonyme ▫ Personlige ▫ Følsomme + Derfor kan dine cookies kan blive omfattet af GDPR
Der er forskellige cookie-formål + Strictly necessary + Performance + Functionality + Targeting
What to do? + Tjek jeres sites for cookies + Identificer de cookies, der indsamler personhenføredata (og find alle de andre samtidig) + Revidér jeres Cookie- og Privatlivspolitik
Når det er gjort, så sørg for at jeres Cookie- og privatlivspolitik er ajour
Cookie- og privatlivspolitik (best practice) • Ejeroplysninger • Hvad er cookies? • Hvor bruger I dem? • Så længe varer cookies? • Sådan kan man undgå og slette cookies • Hvilke cookies bruges og hvad bruges de til? • Optimering af visning • Statistik • Sociale medier • Markedsføring • Kontaktinfo
Cookie- og privtalivspolitik (best practice) EKSEMPEL: ABC anvender analyseværktøjer fra blandt andet Google Analytics til at udarbejde statistik over brugernes færden på vores site. Google Analytics m.fl. behandler oplysningerne på vegne af ABC. For at indsamle statistik over brugen af ABC’s sits anvender vi en række systemer, der alle lægger cookies: - Google Analytics - Google Tag Manager - Crazy Egg - Hotjar Disse udbydere lægger alle cookies på ABC’s site for at indsamle anonyme data om brugernes adfærd. De kan også indsamle personlige data. De deler data med tredjepart. Du kan slette cookies fra Google her: https://tools.google.com/dlpage/gaoptout. Disse cookies gemmes fra nul dage op til 2 år.
Databehandleraftalen
Hvad gør Peytz & Co + Arbejdsgruppe etableret i maj 2016 + ISO-27001 compliance + Procesdokumentation og formalisering af organisatoriske roller + Udvikler services og systemer, så de understøtter krav fra GDPR + Indgår databehandleraftaler med vores kunder (IT- Branchens modelkontrakt) + Indgår underdatabehandleraftaler med vores leverandører - primært hosting partnere
Databehandleraftalen hos Peytz & Co + Peytz & Co anvender IT-Branchens modelkontrakt for Databehandleraftaler + Det er en fordel for begge parter, at det er en branchestandard + Databehandleraftalen indgås altid i forlængelse af en driftsaftale med Peytz & Co - ift. hosting og/eller abonnement på Peytz Mail + Peytz & Co har indgået Dataunderbehandleraftaler med eksterne leverandører
Instruksen – vigtig for os og for jer + Beskrivelse af baggrunden for behovet for en databehandleraftale med henvisning til de relevante aftaler + Typer af personoplysninger, der behandles ved levering af Hovedydelsen + Kategorier af fysiske personer omfattet af Databehandleraftalen (fx. kunder, der har givet tilladelse til at den dataansvarlige må sende information på e-mail)
Tak for i dag (navneskilte, tak)

Recommended

GDPR og Cloud - Infowise
GDPR og Cloud - InfowiseGDPR og Cloud - Infowise
GDPR og Cloud - InfowiseOliver O'loughlin
 
Bliv compliant med persondataforordningen – København, 24. oktober
Bliv compliant med persondataforordningen – København, 24. oktoberBliv compliant med persondataforordningen – København, 24. oktober
Bliv compliant med persondataforordningen – København, 24. oktoberPeytz & Co
 
GDPR for GlobalNetwork
GDPR for GlobalNetworkGDPR for GlobalNetwork
GDPR for GlobalNetworkKåre Rude Andersen
 
General Data Protection Regulation by Bird & Bird
General Data Protection Regulation by Bird & BirdGeneral Data Protection Regulation by Bird & Bird
General Data Protection Regulation by Bird & BirdAdapt
 
Persondataforordning - Joomla User Group Copenhagen 18-01-2018
Persondataforordning - Joomla User Group Copenhagen 18-01-2018Persondataforordning - Joomla User Group Copenhagen 18-01-2018
Persondataforordning - Joomla User Group Copenhagen 18-01-2018AbMano - marketing & websupport
 
Komfo seminar: Er du klar til GDPR med Niels Dahl-Nielsen
Komfo seminar: Er du klar til GDPR med Niels Dahl-NielsenKomfo seminar: Er du klar til GDPR med Niels Dahl-Nielsen
Komfo seminar: Er du klar til GDPR med Niels Dahl-NielsenKomfo
 
KOMFO SUMMIT 2017 - Rasmus Møller-Nielsen & Niels Dahl-Nielsen
KOMFO SUMMIT 2017 - Rasmus Møller-Nielsen & Niels Dahl-Nielsen KOMFO SUMMIT 2017 - Rasmus Møller-Nielsen & Niels Dahl-Nielsen
KOMFO SUMMIT 2017 - Rasmus Møller-Nielsen & Niels Dahl-Nielsen Komfo
 
Persondataloven - gennemgang Videngruppe VidenDanmark 2013
Persondataloven - gennemgang Videngruppe VidenDanmark 2013Persondataloven - gennemgang Videngruppe VidenDanmark 2013
Persondataloven - gennemgang Videngruppe VidenDanmark 2013Inger Toft Thiersen
 

Recommended

GDPR og Cloud - Infowise
GDPR og Cloud - InfowiseGDPR og Cloud - Infowise
GDPR og Cloud - InfowiseOliver O'loughlin
 
Bliv compliant med persondataforordningen – København, 24. oktober
Bliv compliant med persondataforordningen – København, 24. oktoberBliv compliant med persondataforordningen – København, 24. oktober
Bliv compliant med persondataforordningen – København, 24. oktoberPeytz & Co
 
GDPR for GlobalNetwork
GDPR for GlobalNetworkGDPR for GlobalNetwork
GDPR for GlobalNetworkKåre Rude Andersen
 
General Data Protection Regulation by Bird & Bird
General Data Protection Regulation by Bird & BirdGeneral Data Protection Regulation by Bird & Bird
General Data Protection Regulation by Bird & BirdAdapt
 
Persondataforordning - Joomla User Group Copenhagen 18-01-2018
Persondataforordning - Joomla User Group Copenhagen 18-01-2018Persondataforordning - Joomla User Group Copenhagen 18-01-2018
Persondataforordning - Joomla User Group Copenhagen 18-01-2018AbMano - marketing & websupport
 
Komfo seminar: Er du klar til GDPR med Niels Dahl-Nielsen
Komfo seminar: Er du klar til GDPR med Niels Dahl-NielsenKomfo seminar: Er du klar til GDPR med Niels Dahl-Nielsen
Komfo seminar: Er du klar til GDPR med Niels Dahl-NielsenKomfo
 
KOMFO SUMMIT 2017 - Rasmus Møller-Nielsen & Niels Dahl-Nielsen
KOMFO SUMMIT 2017 - Rasmus Møller-Nielsen & Niels Dahl-Nielsen KOMFO SUMMIT 2017 - Rasmus Møller-Nielsen & Niels Dahl-Nielsen
KOMFO SUMMIT 2017 - Rasmus Møller-Nielsen & Niels Dahl-Nielsen Komfo
 
Persondataloven - gennemgang Videngruppe VidenDanmark 2013
Persondataloven - gennemgang Videngruppe VidenDanmark 2013Persondataloven - gennemgang Videngruppe VidenDanmark 2013
Persondataloven - gennemgang Videngruppe VidenDanmark 2013Inger Toft Thiersen
 
Komfo Seminar - GDPR and cyber security (Part 2)
Komfo Seminar - GDPR and cyber security (Part 2)Komfo Seminar - GDPR and cyber security (Part 2)
Komfo Seminar - GDPR and cyber security (Part 2)Komfo
 
GDPR for CIOs i praksis
GDPR for CIOs i praksisGDPR for CIOs i praksis
GDPR for CIOs i praksisMicrosoft
 
Implementering af databeskyttelsesforordningen i københavns kommune
Implementering af databeskyttelsesforordningen i københavns kommuneImplementering af databeskyttelsesforordningen i københavns kommune
Implementering af databeskyttelsesforordningen i københavns kommuneLFF - Landsforeningen til bevaring af foto og film
 
Devoteam indlæg - Ny forordning - hvordan skal man bære sig ad?
Devoteam indlæg - Ny forordning - hvordan skal man bære sig ad?Devoteam indlæg - Ny forordning - hvordan skal man bære sig ad?
Devoteam indlæg - Ny forordning - hvordan skal man bære sig ad?InfinIT - Innovationsnetværket for it
 
Er du klar til persondataforordningens?
Er du klar til persondataforordningens?Er du klar til persondataforordningens?
Er du klar til persondataforordningens?Peter Svane Andreasen
 
KL: Databeskyttelsesforordningen
KL: DatabeskyttelsesforordningenKL: Databeskyttelsesforordningen
KL: DatabeskyttelsesforordningenCOK
 
EU's Persondataforordning i det daglige arbejde
EU's Persondataforordning i det daglige arbejdeEU's Persondataforordning i det daglige arbejde
EU's Persondataforordning i det daglige arbejdePeytz & Co
 
Hårde EU-straffe for persondatabrud - Michael Hopp, Plesner
Hårde EU-straffe for persondatabrud - Michael Hopp, PlesnerHårde EU-straffe for persondatabrud - Michael Hopp, Plesner
Hårde EU-straffe for persondatabrud - Michael Hopp, PlesnerMediehuset Ingeniøren Live
 
Are you ready for the General Data Protection Regulation?
Are you ready for the General Data Protection Regulation? Are you ready for the General Data Protection Regulation?
Are you ready for the General Data Protection Regulation? Adapt
 
Personoplysninger på specialområdet
Personoplysninger på specialområdetPersonoplysninger på specialområdet
Personoplysninger på specialområdetThomas Østerlund Mortensen
 
Tbp big dataogbi_tbp
Tbp big dataogbi_tbpTbp big dataogbi_tbp
Tbp big dataogbi_tbpInfinIT - Innovationsnetværket for it
 
Firstmover & datavogter (1)
Firstmover & datavogter (1)Firstmover & datavogter (1)
Firstmover & datavogter (1)DanskeMarked.dk
 
Datasikkerhed i folkeskolen
Datasikkerhed i folkeskolenDatasikkerhed i folkeskolen
Datasikkerhed i folkeskolen4ben
 
ACI gdpr præsentation
ACI gdpr præsentationACI gdpr præsentation
ACI gdpr præsentationJ Hartig
 
Workshop: Cookieregler fra Cookie Information
Workshop: Cookieregler fra Cookie InformationWorkshop: Cookieregler fra Cookie Information
Workshop: Cookieregler fra Cookie InformationMCB
 
Hvor sikkert er det Fælles MedicinKort (FMK)?
Hvor sikkert er det Fælles MedicinKort (FMK)?Hvor sikkert er det Fælles MedicinKort (FMK)?
Hvor sikkert er det Fælles MedicinKort (FMK)?Lakeside A/S
 
Oplæg v Focus Advokater: Ny EU persondataforordning
Oplæg v Focus Advokater: Ny EU persondataforordningOplæg v Focus Advokater: Ny EU persondataforordning
Oplæg v Focus Advokater: Ny EU persondataforordningInfinIT - Innovationsnetværket for it
 
Nyhedsbrev nr. 2, 2016 12 Spm. fra Datatilsynet
Nyhedsbrev nr. 2, 2016 12 Spm. fra DatatilsynetNyhedsbrev nr. 2, 2016 12 Spm. fra Datatilsynet
Nyhedsbrev nr. 2, 2016 12 Spm. fra DatatilsynetAnn Bruun Birk
 
Lær at lave leads med LinkedIn – Peytz & Co Morgeninspiration
Lær at lave leads med LinkedIn – Peytz & Co MorgeninspirationLær at lave leads med LinkedIn – Peytz & Co Morgeninspiration
Lær at lave leads med LinkedIn – Peytz & Co MorgeninspirationPeytz & Co
 
GDPR Release Party Peytz & Co
GDPR Release Party Peytz & CoGDPR Release Party Peytz & Co
GDPR Release Party Peytz & CoPeytz & Co
 
Jens Poders præsentation "Agil Brugerinddragelse i UX Design"
Jens Poders præsentation "Agil Brugerinddragelse i UX Design"Jens Poders præsentation "Agil Brugerinddragelse i UX Design"
Jens Poders præsentation "Agil Brugerinddragelse i UX Design"Peytz & Co
 
Julie Schramm Rasmussens slides "5 myter om brugerinddragelse"
Julie Schramm Rasmussens slides "5 myter om brugerinddragelse"Julie Schramm Rasmussens slides "5 myter om brugerinddragelse"
Julie Schramm Rasmussens slides "5 myter om brugerinddragelse"Peytz & Co
 

More Related Content

Similar to Er du klar til den nye persondataforordning? Morgeninspiration d. 22/3/2018

Komfo Seminar - GDPR and cyber security (Part 2)
Komfo Seminar - GDPR and cyber security (Part 2)Komfo Seminar - GDPR and cyber security (Part 2)
Komfo Seminar - GDPR and cyber security (Part 2)Komfo
 
GDPR for CIOs i praksis
GDPR for CIOs i praksisGDPR for CIOs i praksis
GDPR for CIOs i praksisMicrosoft
 
Er du klar til persondataforordningens?
Er du klar til persondataforordningens?Er du klar til persondataforordningens?
Er du klar til persondataforordningens?Peter Svane Andreasen
 
KL: Databeskyttelsesforordningen
KL: DatabeskyttelsesforordningenKL: Databeskyttelsesforordningen
KL: DatabeskyttelsesforordningenCOK
 
EU's Persondataforordning i det daglige arbejde
EU's Persondataforordning i det daglige arbejdeEU's Persondataforordning i det daglige arbejde
EU's Persondataforordning i det daglige arbejdePeytz & Co
 
Hårde EU-straffe for persondatabrud - Michael Hopp, Plesner
Hårde EU-straffe for persondatabrud - Michael Hopp, PlesnerHårde EU-straffe for persondatabrud - Michael Hopp, Plesner
Hårde EU-straffe for persondatabrud - Michael Hopp, PlesnerMediehuset Ingeniøren Live
 
Are you ready for the General Data Protection Regulation?
Are you ready for the General Data Protection Regulation? Are you ready for the General Data Protection Regulation?
Are you ready for the General Data Protection Regulation? Adapt
 
Firstmover & datavogter (1)
Firstmover & datavogter (1)Firstmover & datavogter (1)
Firstmover & datavogter (1)DanskeMarked.dk
 
Datasikkerhed i folkeskolen
Datasikkerhed i folkeskolenDatasikkerhed i folkeskolen
Datasikkerhed i folkeskolen4ben
 
ACI gdpr præsentation
ACI gdpr præsentationACI gdpr præsentation
ACI gdpr præsentationJ Hartig
 
Workshop: Cookieregler fra Cookie Information
Workshop: Cookieregler fra Cookie InformationWorkshop: Cookieregler fra Cookie Information
Workshop: Cookieregler fra Cookie InformationMCB
 
Hvor sikkert er det Fælles MedicinKort (FMK)?
Hvor sikkert er det Fælles MedicinKort (FMK)?Hvor sikkert er det Fælles MedicinKort (FMK)?
Hvor sikkert er det Fælles MedicinKort (FMK)?Lakeside A/S
 
Nyhedsbrev nr. 2, 2016 12 Spm. fra Datatilsynet
Nyhedsbrev nr. 2, 2016 12 Spm. fra DatatilsynetNyhedsbrev nr. 2, 2016 12 Spm. fra Datatilsynet
Nyhedsbrev nr. 2, 2016 12 Spm. fra DatatilsynetAnn Bruun Birk
 

Similar to Er du klar til den nye persondataforordning? Morgeninspiration d. 22/3/2018 (18)

Komfo Seminar - GDPR and cyber security (Part 2)
Komfo Seminar - GDPR and cyber security (Part 2)Komfo Seminar - GDPR and cyber security (Part 2)
Komfo Seminar - GDPR and cyber security (Part 2)
 
GDPR for CIOs i praksis
GDPR for CIOs i praksisGDPR for CIOs i praksis
GDPR for CIOs i praksis
 
Implementering af databeskyttelsesforordningen i københavns kommune
Implementering af databeskyttelsesforordningen i københavns kommuneImplementering af databeskyttelsesforordningen i københavns kommune
Implementering af databeskyttelsesforordningen i københavns kommune
 
Devoteam indlæg - Ny forordning - hvordan skal man bære sig ad?
Devoteam indlæg - Ny forordning - hvordan skal man bære sig ad?Devoteam indlæg - Ny forordning - hvordan skal man bære sig ad?
Devoteam indlæg - Ny forordning - hvordan skal man bære sig ad?
 
Er du klar til persondataforordningens?
Er du klar til persondataforordningens?Er du klar til persondataforordningens?
Er du klar til persondataforordningens?
 
KL: Databeskyttelsesforordningen
KL: DatabeskyttelsesforordningenKL: Databeskyttelsesforordningen
KL: Databeskyttelsesforordningen
 
EU's Persondataforordning i det daglige arbejde
EU's Persondataforordning i det daglige arbejdeEU's Persondataforordning i det daglige arbejde
EU's Persondataforordning i det daglige arbejde
 
Hårde EU-straffe for persondatabrud - Michael Hopp, Plesner
Hårde EU-straffe for persondatabrud - Michael Hopp, PlesnerHårde EU-straffe for persondatabrud - Michael Hopp, Plesner
Hårde EU-straffe for persondatabrud - Michael Hopp, Plesner
 
Are you ready for the General Data Protection Regulation?
Are you ready for the General Data Protection Regulation? Are you ready for the General Data Protection Regulation?
Are you ready for the General Data Protection Regulation?
 
Personoplysninger på specialområdet
Personoplysninger på specialområdetPersonoplysninger på specialområdet
Personoplysninger på specialområdet
 
Tbp big dataogbi_tbp
Tbp big dataogbi_tbpTbp big dataogbi_tbp
Tbp big dataogbi_tbp
 
Firstmover & datavogter (1)
Firstmover & datavogter (1)Firstmover & datavogter (1)
Firstmover & datavogter (1)
 
Datasikkerhed i folkeskolen
Datasikkerhed i folkeskolenDatasikkerhed i folkeskolen
Datasikkerhed i folkeskolen
 
ACI gdpr præsentation
ACI gdpr præsentationACI gdpr præsentation
ACI gdpr præsentation
 
Workshop: Cookieregler fra Cookie Information
Workshop: Cookieregler fra Cookie InformationWorkshop: Cookieregler fra Cookie Information
Workshop: Cookieregler fra Cookie Information
 
Hvor sikkert er det Fælles MedicinKort (FMK)?
Hvor sikkert er det Fælles MedicinKort (FMK)?Hvor sikkert er det Fælles MedicinKort (FMK)?
Hvor sikkert er det Fælles MedicinKort (FMK)?
 
Oplæg v Focus Advokater: Ny EU persondataforordning
Oplæg v Focus Advokater: Ny EU persondataforordningOplæg v Focus Advokater: Ny EU persondataforordning
Oplæg v Focus Advokater: Ny EU persondataforordning
 
Nyhedsbrev nr. 2, 2016 12 Spm. fra Datatilsynet
Nyhedsbrev nr. 2, 2016 12 Spm. fra DatatilsynetNyhedsbrev nr. 2, 2016 12 Spm. fra Datatilsynet
Nyhedsbrev nr. 2, 2016 12 Spm. fra Datatilsynet
 

More from Peytz & Co

Lær at lave leads med LinkedIn – Peytz & Co Morgeninspiration
Lær at lave leads med LinkedIn – Peytz & Co MorgeninspirationLær at lave leads med LinkedIn – Peytz & Co Morgeninspiration
Lær at lave leads med LinkedIn – Peytz & Co MorgeninspirationPeytz & Co
 
GDPR Release Party Peytz & Co
GDPR Release Party Peytz & CoGDPR Release Party Peytz & Co
GDPR Release Party Peytz & CoPeytz & Co
 
Jens Poders præsentation "Agil Brugerinddragelse i UX Design"
Jens Poders præsentation "Agil Brugerinddragelse i UX Design"Jens Poders præsentation "Agil Brugerinddragelse i UX Design"
Jens Poders præsentation "Agil Brugerinddragelse i UX Design"Peytz & Co
 
Julie Schramm Rasmussens slides "5 myter om brugerinddragelse"
Julie Schramm Rasmussens slides "5 myter om brugerinddragelse"Julie Schramm Rasmussens slides "5 myter om brugerinddragelse"
Julie Schramm Rasmussens slides "5 myter om brugerinddragelse"Peytz & Co
 
Succes med Design Sprint
Succes med Design SprintSucces med Design Sprint
Succes med Design SprintPeytz & Co
 
Erfaringer fra Design Sprint - sådan får din virksomhed mest ud af dem
Erfaringer fra Design Sprint - sådan får din virksomhed mest ud af demErfaringer fra Design Sprint - sådan får din virksomhed mest ud af dem
Erfaringer fra Design Sprint - sådan får din virksomhed mest ud af demPeytz & Co
 
Morgeninspiration: Aktuelle digitale tendenser – strategisk, taktisk og teknisk
Morgeninspiration: Aktuelle digitale tendenser – strategisk, taktisk og teknisk Morgeninspiration: Aktuelle digitale tendenser – strategisk, taktisk og teknisk
Morgeninspiration: Aktuelle digitale tendenser – strategisk, taktisk og teknisk Peytz & Co
 
Derfor lever googles design sprint op til hypen
Derfor lever googles design sprint op til hypenDerfor lever googles design sprint op til hypen
Derfor lever googles design sprint op til hypenPeytz & Co
 
2018 02-21 Gør din email marketing personlig
2018 02-21 Gør din email marketing personlig2018 02-21 Gør din email marketing personlig
2018 02-21 Gør din email marketing personligPeytz & Co
 
2018 02-21 rejsen mod marketing automation
2018 02-21 rejsen mod marketing automation 2018 02-21 rejsen mod marketing automation
2018 02-21 rejsen mod marketing automation Peytz & Co
 
Det lægger Google og Facebook vægt på i 2018 - februar 2018
Det lægger Google og Facebook vægt på i 2018 - februar 2018Det lægger Google og Facebook vægt på i 2018 - februar 2018
Det lægger Google og Facebook vægt på i 2018 - februar 2018Peytz & Co
 
Effektiv digital strategi – januar 2018
Effektiv digital strategi – januar 2018Effektiv digital strategi – januar 2018
Effektiv digital strategi – januar 2018Peytz & Co
 
Syv siteimprove hacks, der gør dit liv lettere
Syv siteimprove hacks, der gør dit liv lettereSyv siteimprove hacks, der gør dit liv lettere
Syv siteimprove hacks, der gør dit liv letterePeytz & Co
 
Hvem er mine kunder og hvor fanger jeg dem bedst
Hvem er mine kunder og hvor fanger jeg dem bedstHvem er mine kunder og hvor fanger jeg dem bedst
Hvem er mine kunder og hvor fanger jeg dem bedstPeytz & Co
 
Bliv klar til et nyt website
Bliv klar til et nyt websiteBliv klar til et nyt website
Bliv klar til et nyt websitePeytz & Co
 
Internet of Things. Morgeninspiration Juni 2017
Internet of Things. Morgeninspiration Juni 2017Internet of Things. Morgeninspiration Juni 2017
Internet of Things. Morgeninspiration Juni 2017Peytz & Co
 
Omnichannel i praksis
Omnichannel i praksisOmnichannel i praksis
Omnichannel i praksisPeytz & Co
 
Digital strategi morgeninspiration - 18. maj 2017
Digital strategi morgeninspiration - 18. maj 2017Digital strategi morgeninspiration - 18. maj 2017
Digital strategi morgeninspiration - 18. maj 2017Peytz & Co
 
Lækkert digitalt design - Morgeninspiration i Kbh 09. maj 2017
Lækkert digitalt design - Morgeninspiration i Kbh 09. maj 2017Lækkert digitalt design - Morgeninspiration i Kbh 09. maj 2017
Lækkert digitalt design - Morgeninspiration i Kbh 09. maj 2017Peytz & Co
 
Morgeninspiration 25.04.17 forstå dine brugere
Morgeninspiration 25.04.17 forstå dine brugereMorgeninspiration 25.04.17 forstå dine brugere
Morgeninspiration 25.04.17 forstå dine brugerePeytz & Co
 

More from Peytz & Co (20)

Lær at lave leads med LinkedIn – Peytz & Co Morgeninspiration
Lær at lave leads med LinkedIn – Peytz & Co MorgeninspirationLær at lave leads med LinkedIn – Peytz & Co Morgeninspiration
Lær at lave leads med LinkedIn – Peytz & Co Morgeninspiration
 
GDPR Release Party Peytz & Co
GDPR Release Party Peytz & CoGDPR Release Party Peytz & Co
GDPR Release Party Peytz & Co
 
Jens Poders præsentation "Agil Brugerinddragelse i UX Design"
Jens Poders præsentation "Agil Brugerinddragelse i UX Design"Jens Poders præsentation "Agil Brugerinddragelse i UX Design"
Jens Poders præsentation "Agil Brugerinddragelse i UX Design"
 
Julie Schramm Rasmussens slides "5 myter om brugerinddragelse"
Julie Schramm Rasmussens slides "5 myter om brugerinddragelse"Julie Schramm Rasmussens slides "5 myter om brugerinddragelse"
Julie Schramm Rasmussens slides "5 myter om brugerinddragelse"
 
Succes med Design Sprint
Succes med Design SprintSucces med Design Sprint
Succes med Design Sprint
 
Erfaringer fra Design Sprint - sådan får din virksomhed mest ud af dem
Erfaringer fra Design Sprint - sådan får din virksomhed mest ud af demErfaringer fra Design Sprint - sådan får din virksomhed mest ud af dem
Erfaringer fra Design Sprint - sådan får din virksomhed mest ud af dem
 
Morgeninspiration: Aktuelle digitale tendenser – strategisk, taktisk og teknisk
Morgeninspiration: Aktuelle digitale tendenser – strategisk, taktisk og teknisk Morgeninspiration: Aktuelle digitale tendenser – strategisk, taktisk og teknisk
Morgeninspiration: Aktuelle digitale tendenser – strategisk, taktisk og teknisk
 
Derfor lever googles design sprint op til hypen
Derfor lever googles design sprint op til hypenDerfor lever googles design sprint op til hypen
Derfor lever googles design sprint op til hypen
 
2018 02-21 Gør din email marketing personlig
2018 02-21 Gør din email marketing personlig2018 02-21 Gør din email marketing personlig
2018 02-21 Gør din email marketing personlig
 
2018 02-21 rejsen mod marketing automation
2018 02-21 rejsen mod marketing automation 2018 02-21 rejsen mod marketing automation
2018 02-21 rejsen mod marketing automation
 
Det lægger Google og Facebook vægt på i 2018 - februar 2018
Det lægger Google og Facebook vægt på i 2018 - februar 2018Det lægger Google og Facebook vægt på i 2018 - februar 2018
Det lægger Google og Facebook vægt på i 2018 - februar 2018
 
Effektiv digital strategi – januar 2018
Effektiv digital strategi – januar 2018Effektiv digital strategi – januar 2018
Effektiv digital strategi – januar 2018
 
Syv siteimprove hacks, der gør dit liv lettere
Syv siteimprove hacks, der gør dit liv lettereSyv siteimprove hacks, der gør dit liv lettere
Syv siteimprove hacks, der gør dit liv lettere
 
Hvem er mine kunder og hvor fanger jeg dem bedst
Hvem er mine kunder og hvor fanger jeg dem bedstHvem er mine kunder og hvor fanger jeg dem bedst
Hvem er mine kunder og hvor fanger jeg dem bedst
 
Bliv klar til et nyt website
Bliv klar til et nyt websiteBliv klar til et nyt website
Bliv klar til et nyt website
 
Internet of Things. Morgeninspiration Juni 2017
Internet of Things. Morgeninspiration Juni 2017Internet of Things. Morgeninspiration Juni 2017
Internet of Things. Morgeninspiration Juni 2017
 
Omnichannel i praksis
Omnichannel i praksisOmnichannel i praksis
Omnichannel i praksis
 
Digital strategi morgeninspiration - 18. maj 2017
Digital strategi morgeninspiration - 18. maj 2017Digital strategi morgeninspiration - 18. maj 2017
Digital strategi morgeninspiration - 18. maj 2017
 
Lækkert digitalt design - Morgeninspiration i Kbh 09. maj 2017
Lækkert digitalt design - Morgeninspiration i Kbh 09. maj 2017Lækkert digitalt design - Morgeninspiration i Kbh 09. maj 2017
Lækkert digitalt design - Morgeninspiration i Kbh 09. maj 2017
 
Morgeninspiration 25.04.17 forstå dine brugere
Morgeninspiration 25.04.17 forstå dine brugereMorgeninspiration 25.04.17 forstå dine brugere
Morgeninspiration 25.04.17 forstå dine brugere
 

Er du klar til den nye persondataforordning? Morgeninspiration d. 22/3/2018

  • 1. Er du klar til den nye persondataforordning?
  • 2. Dataansvarlig eller databehandler? Peytz & Co. – 22. marts 2018
  • 3. Dagens program 1. Introduktion 2. Dataansvarlig eller databehandler? 3. Håndtering af databehandleraftaler
  • 5. Introduktion Hvad er fokus for dagens emne? • Overblik! • Fokus på rollefordelingen • Herefter lidt praktisk håndtering af databehandleraftaler • Det skal være relevant • Stil derfor gerne spørgsmål undervejs • Q&A efter sidste indlæg • Slides bliver tilsendt
  • 6. • Speciale i teknologivirksomheder • Rådgiver bl.a. om • Persondata • IT-anskaffelser & Outsourcing • Licenser • Konflikter • …og andet branchespecifikt • Certificeret IT-advokat • Medlem af International Association of Privacy Professionals • DAHL i København siden 2014 • Kromann Reumert 2006-2014 • 2006-2008 - Selskabsret og finansiel regulering • 2008- Teknologivirksomheder Advokat tim@dahllaw.dk 88 91 98 21 61 91 51 05 Tim Nielsen
  • 7. Hvem er DAHL? • 5 kontorer • 200 medarbejdere • Opdelt i specialer, f.eks. • Persondata • IT-forhold • HR-forhold • Outsourcing • Selskabsforhold • Skatter og afgifter • …osv. ESBJERG AARHUS VIBORG HERNING KØBENHAVN
  • 9. PERSONDATA ER EN TILLIDSSAG
  • 10. Intro til persondataretten • “Enhver form for information om en identificeret eller identificerbar fysisk person” •  Kan personen findes, er det persondata • …også selvom det er næsten umuligt • Særlig regulering!
  • 11. Intro til persondataretten Persondata omfatter f.eks.:  Direkte: Navn, adresse, telefonnummer, e-mail osv.  Indirekte: Kundenummer, referencer, billeder, lyd osv.  “Umulige”: IP-adresser, eksternt kundenummer, krypterede data, lokationsdata osv. Persondata omfatter f.eks. ikke:  Teknisk data  Anonyme data  …forudsat at data ikke er sammensat med persondata  Næsten umuligt ikke at behandle persondata
  • 12. Hjemmel • Hvilke data indsamlet og fra hvem? Formål? Alm/Følsom data? Hjemmel? Overholdes reglerne? Datasæt Lovlig behandling! • Hvilket formål indsamles data til – hvad skal data bruges til? • Er det almindelig eller følsom data? • Hvilken hjemmel anvendes ved indsamlingen, f.eks. samtykke eller lov? • Overholder jeg i øvrigt reglerne (f.eks. Dataminimering, sikkerhed etc.) • Så må data bruges • …til det konkrete formål, med den konkrete hjemmel etc.
  • 13. Parterne • Fysisk person oplysningerne identificerer • Den hele beskyttelsen omhandlerRegistreret Dataansvarlig Databehandler • Dataejeren • Bestemmer over oplysningerne om den registrerede • Fuldt ansvarlig for reglernes overholdelse • (Under)leverandør • Behandling af oplysninger om registrerede på vegne af dataansvarlig • Begrænset ansvar for behandlingen
  • 14. Dataansvarlig eller databehandler? Dataansvarlig eller databehandler? • Afgørende hvem der bestemmer • Formålet • Hjælpemidlerne • Reelt afgørende, om der handles efter instruks eller på eget initiativ • Dermed også afgørende, hvilken ydelse der leveres • Er databehandlingen ydelsen eller en accessorisk ydelse? • Afgrænsningen er ikke helt nem! • Dette på trods af en række vejledninger
  • 15. En tredje mulighed? Er man altid enten dataansvarlig eller databehandler • Ja - også i koncerner! • …og så alligevel… • Medarbejdere er ikke dataansvarlig/databehandler • Muligvis undtagelse for medarbejderlignende forhold • Direkte instruks, kontrol osv. som var det en medarbejder • Dog uklar rækkevidde • Fremgår ikke af forordning eller vejledninger
  • 16. Eksempel 1 Eksempel 1 - Hosting • Adgang til kundens persondata?: Ja • Hvem bestemmer formål databehandling: Kunden • Hvem bestemmer hjælpemidler?: Kunden (i teorien i hvert fald)  Kunde: Dataansvarlig for egne data  Leverandør: Databehandler
  • 17. Eksempel 2 Eksempel 2 - Konsulentydelser • Adgang til kundens persondata?: Måske • Hvem bestemmer formål databehandling: Kunden • Hvem bestemmer hjælpemidler?: Kunden (i teorien i hvert fald)  Kunde: Dataansvarlig for egne data  Leverandør: Databehandler – hvis ydelsen reelt omhandler behandling af persondata  Dvs. ikke ren programmering  Men måske nok f.eks. migrering  Måske mulighed for hverken eller? (p.t. uklart!)
  • 18. Eksempel 3 Eksempel 3 - Pakkeleverandør • Adgang til kundens persondata?: Ja – oplysninger om slutkunden • Hvem bestemmer formål databehandling: Kunden? • Hvem bestemmer hjælpemidler?: Leverandør  Kunde: Dataansvarlig  Leverandør: Dataansvarlig
  • 19. Forskellige typer data Kundens data – eller data om kunden? • Kundens data  Databehandler eller evt. dataansvarlig • Kundens kunder • Kundens databaser • Data om kunden  Dataansvarlig • Kontaktperson hos kunden • Oplysninger om kunden
  • 20. Konsekvenser Konsekvenser af afgrænsningen (eksempler) • Dataansvarlig: Det fulde ansvar • Lovlig behandling (formål, hjemmel, sletning osv.) • Registreredes rettigheder (oplysningspligt, indsigt, sletning osv.) • Sikkerhedskrav • Kontrol med databehandlere • Dokumentation • 4% bøder
  • 21. Konsekvenser Konsekvenser af afgrænsningen (eksempler) • Databehandler: Begrænset ansvar • Lovlig behandling (formål, hjemmel, sletning osv.) • Registreredes rettigheder (oplysningspligt, indsigt, sletning osv.) • Dog hjælpe dataansvarlig med opfyldelse af pligter • Sikkerhedskrav • Kontrol med databehandlere • Dokumentation • 4% bøder • 2% …forudsat at der handles indenfor instruks! • (4% dog for overførelse til tredjeland og manglende overholdelse af påbud)
  • 23. Overførelse Dataansvarlig Databehandler • ”En databehandlers behandling skal være reguleret af en kontrakt eller et andet retligt dokument…” •  Hjemmel til databehandlerens lovlige behandling af data • Fastsætter vilkårene for behandlingen • Legale krav • Kommercielle krav • Behøver ikke være en selvstændig aftale – kan godt være del af hovedaftale
  • 24. Videregivelse • Videregivelse kræver ikke en databehandleraftale • Til gengæld kræver det særskilt hjemmel, f.eks. samtykke eller nødvendighed • Typisk restriktiv adgang hertil • Normalt ikke ønskeligt – uden nærmere overvejelser Dataansvarlig Dataansvarlig
  • 25. Ansvar for databehandleraftalen Hvem har ansvaret for at indgå databehandleraftale? • Begge parter! • Det er den der gør det lovligt at behandle data • Dataansvarlig må ikke overlade data • Databehandler må ikke behandle data • Databehandling udenfor instruks  Dataansvarlig • Uklart om blot fraværet af skriftlig aftale har denne konsekvens  Hvis tvivl, indgå en databehandleraftale!  …med mindre klart dataansvarlig - dataansvarlig
  • 26. Databehandleraftalen som koncept Underdatabehandlere  Leverandør: Start kæden ”bagfra” og brug så vidt muligt egen databehandleraftale  Kunde: Undgå overimplementering – det kan umuliggøre/fordyre brug af underleverandør Kunden (dataansvarlig) Leverandør (databehandler) Underleverandør (underdatabehandler) Underleverandør (underdatabehandler) Jura Kommercielt Databeskyttelsesforpligtelser Jura Kommercielt
  • 27. Kontakt Tim Nielsen, Advokat Mobil: +45 61 91 51 05 Direkte: +45 88 91 98 21 E-mail: tim@dahllaw.dk
  • 28.
  • 29.
  • 30. Er du klar til den nye Persondataforordning ?
  • 31. Bo Mikael + Journalist og redaktør siden 1982 + Arbejdet digitalt siden 1996 + Kontaktdirektør hos Peytz & Co Disclaimer + Jeg er IKKE jurist + Forordningen er IKKE trådt i kraft + Den danske lovgivning er IKKE på plads
  • 32. Fødselsdato Helbredsoplysninger IP-adresse Kreditkort Tøj- og sko-størrelser Billede Fagforening Parti Adresse Race Køn Telefonnummer Mail Sexuel overbevisning Pasnummer Religion Sociale issues GPS-info Straffeattest Uddannelse MAC-adresse Genetiske informationer Elektroniske spor Familie-informationer StillingLogin Interesser Og så er jeg jo også alt det her Varekøb
  • 33. Det skal I gøre + Få overblik over data + Tjek jeres samtykker + Tjek jeres cookies + Tjek jeres databehandleraftaler
  • 34. Dét her har I heldigvis allerede afklaret! + Hvor I indsamler jeres data + Hvilke data I indsamler + At I har samtykke (permission) + At I ved hvordan håndterer I jeres data + Hvor jeres data ligger ? + At I har databehandleraftaler på plads
  • 36. OK – så tager vi lige en opsamling!
  • 37. Hvor opsamler I data? + Gennemgå jeres brugergrænseflader og identificér, hvor I opsamler data
  • 38. Hvad er det, I indsamler? + Hvilke data…? ▫ Navn ▫ Adresse ▫ Interesser ▫ Andet + Er det særligt følsomme informationer? + De rigtige samtykker
  • 39. Hvordan bruges data? + Bruges de til kontakt? + Til salg? + Sammen med data fra andre kilder, f.eks. cookies? + Sammen med statistik fra Google Analytics eller Siteimprove? + Dækker samtykkerne? + Bruges data efter hensigten?
  • 40. Hvem arbejder med jeres data? + Er det jer selv, der behandler data? + Eller er det en ekstern partner? + Sker det i EU, i et sikkert land eller i et usikkert land? !!!
  • 41. Hvordan er data-sikkerheden? + Er det hele beskrevet? + Har I en procedure for alt! + Ellers få den eller dem lavet! + Har I databehandler-aftaler? + Ellers få én – nu!
  • 42. Databehandler-aftalen + Er I dataansvarlige eller databehandleren? + Har I en aftale eller aftaler, der afspejler dette? !!!
  • 43. Hvor ligger jeres data? + På egne servere? + I et eksternt server-miljø? + I skyen? + I EU, under Privacy Shield-aftalen eller i usikkert 3. land?
  • 44. Hvordan er data beskyttet? + Hvem har adgang til servere? + Hvordan er jeres interne retningslinjer? + Er I i stand til at slette data? + Kan I flytte data? + Er det hele beskrevet? Ellers få det gjort! + Har I databehandler-aftaler?
  • 45. Hvad betyder det så ellers?
  • 46. Samtykke, samtykke og atter samtykke + Samtykke er læserens/brugerens accept af f.eks.: ▫ At modtage et nyhedsbrev ▫ At blive kontaktet på anden vis ▫ At vedkommendes data behandles ▫ At vedkommendes data indgår i en segmentering ▫ Og rigtigt meget andet !!!
  • 47. Et samtykke skal… + … være frivilligt + … være informeret + … være specifikt + … kunne trækkes tilbage !!!
  • 48. Et samtykke må… + … ikke være underforstået + … ikke være koblet sammen med ”køb” af en anden ydelse + … ikke være for generelt !!!
  • 49. Som dataansvarlig skal du + … kunne bevise, at den registrerede har givet sit samtykke + … have en standard for at afmelde eller slette en person + … altid informere om: ▫ den dataansvarliges identitet ▫ formålet med den påtænkte behandling ▫ hvilke oplysninger, der behandles og om hvilken behandling, der finder sted !!!
  • 51. Cookies er IKKE en del af GDPR, men… + Cookies kan indsamler mange forskellige slags informationer ▫ Anonyme ▫ Personlige ▫ Følsomme + Derfor kan dine cookies kan blive omfattet af GDPR
  • 52. Der er forskellige cookie-formål + Strictly necessary + Performance + Functionality + Targeting
  • 53. What to do? + Tjek jeres sites for cookies + Identificer de cookies, der indsamler personhenføredata (og find alle de andre samtidig) + Revidér jeres Cookie- og Privatlivspolitik
  • 54.
  • 55.
  • 56. Når det er gjort, så sørg for at jeres Cookie- og privatlivspolitik er ajour
  • 57. Cookie- og privatlivspolitik (best practice) • Ejeroplysninger • Hvad er cookies? • Hvor bruger I dem? • Så længe varer cookies? • Sådan kan man undgå og slette cookies • Hvilke cookies bruges og hvad bruges de til? • Optimering af visning • Statistik • Sociale medier • Markedsføring • Kontaktinfo
  • 58. Cookie- og privtalivspolitik (best practice) EKSEMPEL: ABC anvender analyseværktøjer fra blandt andet Google Analytics til at udarbejde statistik over brugernes færden på vores site. Google Analytics m.fl. behandler oplysningerne på vegne af ABC. For at indsamle statistik over brugen af ABC’s sits anvender vi en række systemer, der alle lægger cookies: - Google Analytics - Google Tag Manager - Crazy Egg - Hotjar Disse udbydere lægger alle cookies på ABC’s site for at indsamle anonyme data om brugernes adfærd. De kan også indsamle personlige data. De deler data med tredjepart. Du kan slette cookies fra Google her: https://tools.google.com/dlpage/gaoptout. Disse cookies gemmes fra nul dage op til 2 år.
  • 60. Hvad gør Peytz & Co + Arbejdsgruppe etableret i maj 2016 + ISO-27001 compliance + Procesdokumentation og formalisering af organisatoriske roller + Udvikler services og systemer, så de understøtter krav fra GDPR + Indgår databehandleraftaler med vores kunder (IT- Branchens modelkontrakt) + Indgår underdatabehandleraftaler med vores leverandører - primært hosting partnere
  • 61. Databehandleraftalen hos Peytz & Co + Peytz & Co anvender IT-Branchens modelkontrakt for Databehandleraftaler + Det er en fordel for begge parter, at det er en branchestandard + Databehandleraftalen indgås altid i forlængelse af en driftsaftale med Peytz & Co - ift. hosting og/eller abonnement på Peytz Mail + Peytz & Co har indgået Dataunderbehandleraftaler med eksterne leverandører
  • 62. Instruksen – vigtig for os og for jer + Beskrivelse af baggrunden for behovet for en databehandleraftale med henvisning til de relevante aftaler + Typer af personoplysninger, der behandles ved levering af Hovedydelsen + Kategorier af fysiske personer omfattet af Databehandleraftalen (fx. kunder, der har givet tilladelse til at den dataansvarlige må sende information på e-mail)
  • 63.
  • 64. Tak for i dag (navneskilte, tak)