databeskyttelsesforordningen orientering om · 2019. 2. 19. · beskyttelsen af personoplysninger....
TRANSCRIPT
-
Orientering om databeskyttelsesforordningen
Sundhedsstrategisk ForumOnsdag den 21. marts 2018
-
Kort om mig…• Marie Brodde, Databeskyttelsesrådgiver i Esbjerg Kommune
◦ Digitalisering & It, Stab• Kultursociolog (cand. soc.) ved Syddansk Universitet• Certifikat i persondataret ved Syddansk Universitet• Diplomkursus i Informationssikkerhed – ISO/IEC 27001
-
Introduktion til Introduktion til databeskyttelsesforordningendatabeskyttelsesforordningen
-
Baggrund og formål
• Persondataloven erstattes af databeskyttelsesforordningen (og databeskyttelsesloven)◦ Forordning vs. Direktiv
• Beskyttelse af personoplysninger som grundlæggende rettighed
• Modernisering• Harmonisering• Fri udveksling af personoplysninger• Højt beskyttelsesniveau
-
Det handler om tillidtillid…
• ”Den hastige teknologiske udvikling og globaliseringen har skabt nye udfordringer, hvad angår beskyttelsen af personoplysninger. Omfanget af indsamlingen og delingen af personoplysninger er steget betydeligt. Teknologien giver både private selskaber og offentlige myndigheder mulighed for at udnytte personoplysninger i et hidtil uset omfang, når de udøver deres aktiviteter. […]” (DBF, præambel 6)
• Denne udvikling kræver en stærk og mere sammenhængende databeskyttelsesramme i Unionen, som understøttes af effektiv håndhævelse, fordi det er vigtigt at skabe den tillid, der gør det muligt, at den digitale økonomi kan udvikle sig på det indre marked. Fysiske personer bør have kontrol over deres personoplysninger. […]” (DBF, præambel 7)
Fysisk person = et menneske som individuel person
-
Hvad betyder det i praksis?
• Generel skærpelse af krav og sanktioner• Større forpligtelser for den ”dataansvarlige” (kommunen)
◦ Ansvar for efterlevelse af regler og principper◦ OG dokumentere efterlevelse
• Udvidede rettigheder for ”den registrerede” (borgere/medarbejdere)
• Skærpede håndhævelsesmuligheder hos Datatilsynet◦ Øgede ressourcer og beføjelser
• Risikobaseret tilgang til databeskyttelse
-
Dokumentationskrav
• Generel overholdelse af principper• Samtykke• Krav til indhold i databehandleraftaler• Fortegnelseskrav• Brud på persondatasikkerheden• Konsekvensanalyser• Procedurer for håndtering af registreredes rettigheder
-
Databeskyttelsesrådgiver (DPO)
• Alle offentlige myndigheder, offentlige organer og visse private virksomheder er forpligtede til at udpege en databeskyttelsesrådgiver
• Underrette og rådgive om databeskyttelsesretlige forpligtelser◦ Herunder konsekvensanalyse
• Overvåge (føre tilsyn med) overholdelse af databeskyttelsesregler og -politikker
• Kontaktperson for Datatilsynet• Kontaktperson for ”registrerede”
(borgere og medarbejdere)
-
DPO’ens uafhængighed
• Rapporterer til den øverste ledelse, dvs. kommunalbestyrelsen• Må ikke modtage instrukser• Beskyttet mod afskedigelse pga. udførelsen af DPO-opgaver• Skal inddrages tilstrækkeligt og rettidigt i alle spørgsmål
vedrørende databeskyttelse• Skal have tilstrækkelige ressourcer og tid• Underlagt tavshedspligt
-
”Elefanten” GDPR
• Skal spises i små bidder
• Dokumentation• Tilsyn og kontrol• Sanktioner• Organisation Må vi/må vi
ikke?
Principper
Rettigheder
Hjemmel/behandlings-betingelse
-
Behandlingsprincipper
• Lovlighed, rimelighed og gennemsigtighed• Formålsbegrænsning• Dataminimering• Rigtighed• Opbevaringsbegrænsning• Integritet og fortrolighed• Ansvarlighed
-
Den registreredes rettigheder
• Oplysningspligt◦ Indsamlet hos den registrerede◦ Ikke indsamlet hos den registrerede
• Indsigtsret• Ret til berigtigelse• Ret til sletning (”Retten til at blive glemt”) - NY• Ret til begrænsning - NY• Ret til dataportabilitet - NY• Ret til indsigelse• Ret til menneskelig indgriben
-
Hvad er ”personoplysninger”?
• En personoplysning er enhver form for information, der direkte eller indirekte kan henføres til bestemte personer
• Pseudonymiserede oplysninger er også personoplysninger• En subjektiv vurdering af/en forkert oplysning om en person er
også en personoplysning!• Der skelnes mellem almindelige og følsomme oplysninger
-
Almindelige vs. følsomme personoplysninger
Hjemmel = art. 9
Hjemmel = art. 6
-
Hvad er en ”behandling” af personoplysninger?
• Enhver form for håndtering, fx:◦ Indsamling◦ Registrering◦ Systematisering◦ Opbevaring◦ Søgning◦ Brug◦ Videregivelse◦ Sletning
• Selv det at kigge i personoplysninger er altså en behandling!
-
Implementering af Implementering af databeskyttelsesforordningendatabeskyttelsesforordningen
i Esbjerg Kommunei Esbjerg Kommune
GDPRGDPR
-
Projektet (2. marts – 25. maj 2018)
• Godkendt i Direktionen• Formålet er
◦ at Esbjerg Kommune pr. 25. maj 2018 er i stand til at udvise og dokumentere ”god vilje”
◦ at øge bevidstheden blandt ledere og medarbejdere om reglernes konsekvenser for deres arbejde
• Ressourcekrævende og tværgående• Hovedleverancen er overordnede handlingsplaner• Direktørerne bærer ansvaret for implementering• Projektorganisation – består fortsat efter 25. maj
GDPR
-
Opgaver og milepæleOpgave Milepæl Dato
Gennemføre gap-analyse Største ”gaps” identificeret
23. marts
Identificere indsatsområder Indsatsområder fastlagt 30. marts
Udarbejde fortegnelser over behandlingsaktiviteter
Der er skabt overblik over kommunens behandlingsaktiviteter
30. april
Beskrive nødvendige tiltag og procedurer
Handlingsplaner udarbejdet
21. maj
Overdrage ansvar for implementering af handlingsplaner
Ansvar for implementering overdraget
22. maj
-
Spørgsmål?Spørgsmål?