Tidsrum: 9:00-16:30

Underviser: Karsten Thystrup – chefjurist og Henrik Acosta Cramer – jurist

Persondataforordningens dækningsområde

Persondataforordningen opstiller forskellige regler for offentlige og private virksomheder. I tilknytning hertil er der også forskel på kravene til den dataansvarlige og databehandleren. Især på området imellem det klassiske private og offentlige område, f.eks. fonde, offentlige selskaber og selvejende institutioner, kan det give anledning til tvivl og man er offentlig eller privat. Desuden man også være både databehandler og dataansvarlig – for forskellige oplysninger virksomheden arbejder med. Vi gennemgår de grundlæggende og vigtigste regler og forskelle for det offentlige og det private område samt de grundliggende forskelle på at være dataansvarlig og databehandler. Vi kommer ind på DPO-kravet, fortegnelseskravet, databehandleraftaler, krav om konsekvensanalyse. m.v.

Hvornår må man behandle – hvilke – persondata?

Uanset om man behandler simple almindelige personoplysninger eller meget fortrolige oplysninger kræver persondataforordningen at behandlingen er lovlig, og det er den dataansvarlige som skal bevise, at enhver behandling er lovlig. Vi gennemgår de lovkrav som gælder for behandling af de enkelte typer personoplysninger indenfor de forskellige relevante virksomhedstyper. Samtykke krav og værdispringsregel er centrale begreber i denne forbindelse.

Rettigheder og pligter.

Uanset om man er kunde, forbruger, ansat, borger eller klient gælder det, at persondataforordningen giver særlige rettigheder og beskyttelse hvis ens personoplysninger bliver underkastet databehandling. Vi gennemgår den registreredes rettigheder og den dataansvarlige/datebehandlerens pligter overfor den registrerede og datatilsynet.  Sletningsret, dataminimering, retten til at blive glemt, oplysningspligt m.v. er centrale regler som gennemgås.

Frokost

IT-sikkerhed

Et særligt element i persondataforordningen er, at den dataansvarlige fremover får ansvaret for, at de IT systemer som virksomheden bruger – systemmæssigt og i måden de sættes op på – fungerer således, at det sikres, at de forskellige krav og rettigheder håndteres i selve systemet. Fremover må IT-systemer ikke sælges, hvis de ikke kan leve op til disse krav og eksisterende systemer skal ændres så de opfylder kravene. Alternativt skal der foretages såkaldte organisatoriske tilpasninger så det sikres at man altid kan leve op til forordningen. Vi gennemgår hvad det betyder i praksis både i den store skala i relation til IT-platforme og lavpraktisk i forhold til en simpel hjemmearbejdsplads.

Hvordan bliver I klar til 25. maj 2018?

Vi slutter dagen af med en case om egen virksomhed med udgangspunkt i de 4 ovenstående emneområder, hvor vi arbejder med hvad du helt konkret kan gå hjem i egen virksomhed og sætte i gang men henblik på at kunne leve op til persondataforordningens krav den 25/5 2018. Vi drøfter data flow analysen som værktøj til dette arbejde. Vi arbejder med eksempler på hvordan den dataansvarliges dokumentationskrav kan opfyldes igennem fortegnelser. Vi arbejder med krav til og eksempler på databehandleraftaler og konsekvensanalyser samt udformning af skriftlige samtykker. Endelig arbejder vi med hvordan i kan gå i gang med at sikre IT-sikkerheden.