Data Protection Officer – Uddannelsesprogram 2 3 Indhold Overblik over uddannelsen Side 4 Uddannelsens indhold Foundation Side 6 Practitioner Side 6 Side 10 Underviserne Fakta om DPO’en Side 12 Praktisk information Side 15 Side 14 4 5 Overblik over uddannelsen Samtidig får offentlige myndigheder og visse virksomheder pligt til at udpege en databeskyttelsesrådgiver – en såkaldt ”Data Protection Officer” (DPO). Det er vigtigt, at organisationen allerede nu overvejer, om den vil blive underlagt persondataforordningens krav om at have en DPO. Man bør samtidig overveje, om man har en person med de fornødne evner i organisationen, eller om der er behov for at efteruddanne en medarbejder eller ansætte en ny til rollen. Det vil dog oftest være en god idé for en virksomhed, som håndterer persondata, at udpege en DPO, selv om virksomheden ikke har pligt til det. Dette vil øge sandsynligheden for, at de komplicerede regler i forordningen overholdes. DPO’ens rolle DPO’en vil blive udfordret af at skulle arbejde i grænselandet mellem navnlig compliance, persondata og informationssikkerhed. Samtidig skal DPO’en kunne mestre den svære balancegang mellem på den ene side uafhængighed og på den anden side opgaven med at kunne rådgive konkret i organisationen. Den nye rolle stiller med andre ord krav til, at DPO’en besidder alsidige kundskaber af både juridisk og IT-teknisk karakter. For at klæde DPO’en godt på til opgaven har har Kammeradvokaten og Implement Consulting Group udviklet en ny DPO-uddannelse. Uddannelsen er opdelt i to niveauer: Foundation og Practitioner. Der er mulighed for at gennemføre begge niveauer eller blot det ene alt efter den enkelte deltagers behov og ønske. Begge niveauer indledes med en før-uddannelse, der foregår online og forbereder deltagerne til uddannelsen. Tilsvarende følges begge niveauer efter en tid op med en dags efteruddannelse, hvor deltagerne opdateres på den aktuelle udvikling på persondataområdet. Før-uddannelse (Gratis online-læring for deltagere på Foundation og Practitioner) Foundation: For alle der arbejder med databeskyttelse mv. Foundation-niveauet giver det nødvendige grundlæggende teoretiske indblik og gør deltageren i stand til at identificere persondataretlige problemstillinger. Uddannelsen er derfor ikke kun relevant for DPO’en, men også sagsbehandlere, compliance-medarbejdere, IT-indkøbere, projektledere og andre, der beskæftiger sig med databeskyttelse og informationssikkerhed. På Foundation-delen er det målet, at deltagerne opnår kendskab til og forståelse af reglerne, så de opnår et bredt og solidt overblik over reglerne. På Foundation-niveauet gennemgås følgende: Introduktion til forordningen og dens anvendelsesområde Foundation (2 dages kursus) Den nye persondataforordning er vedtaget og gælder fra 25. maj 2018. Det er et centralt element i de nye regler, at offentlige myndigheder og virksomheder ikke alene skal overholde reglerne, men tillige skal kunne dokumentere, at reglerne overholdes. Persondataforordningen nødvendiggør med andre ord, at offentlige myndigheder og virksomheder har skærpet fokus på persondata-compliance. Behandlingsregler Informationssikkerhed De registreredes rettigheder Databehandlere Tredjelandsoverførsler DPO – udpegning og roller Datadokumentation Privacy by design og Privacy by default Konsekvensanalyser (DPIA) Notifikation ved datasikkerhedsbrister Datatilsynets roller og beføjelser samt sanktioner Practioner: For alle der skal være DPO, arbejde i en DPO-lignende rolle eller tæt sammen med en DPO Practitioner-niveauet klæder deltageren solidt på til rollen som DPO. Fokus er her på at udstyre deltagerne med konkrete værktøjer, som de kan anvende til at løse de persondataretlige problemstillinger i praksis. På Practitioner-delen er det målet, at deltagerne skal kunne anvende reglerne i praksis, f.eks. kunne lave databehandleraftaler, dokumentere dataflows, lave konsekvensanalyser, fastlægge en informationssikkerhedsorganisation og meget andet. På Practioner-niveauet gennemgås følgende: Practitioner (2 dages kursus) Relevant for alle, der beskæftiger sig med databeskyttelse og informationssikkerhed, eller som gerne vil vide mere om den nye persondataforordning. Særligt relevant for dem, der skal være DPO, arbejde i en DPO-lignende rolle eller tæt sammen med en DPO. Efter-uddannelse (1-dages opfølgningsdag, der er gratis for deltagere på Foundation og Practitioner) Som illustrationen viser, er undervisningen opdelt i to niveauer: Foundation og Practitioner. Det er op til den enkelte deltager, om man ønsker begge dele, eller blot har brug for den ene. Man kan frit vælge mellem de to dele alt efter ens behov og ønske. Dokumentér persondata Practitioner (2 dages kursus) Foundation (2 dages kursus) Organisering af informationssikkerhed Udarbejdelse af konsekvensanalyse (DPIA) Sikring af privacy by design og by default Detektion og notifikation af datasikkerhedsbrister Håndtering af de registreredes rettigheder Kontraktuel implementering Datatilsynets rolle nu og i fremtiden 6 7 Uddannelsens indhold Modul 4: Informationssikkerhed Foundation Modul 1: Introduktion til forordningen og dens anvendelsesområde Behandling af personoplysninger reguleres ikke kun i den nye persondataforordning, men også i f.eks. EU-charteret om menneskerettigheder og i nationale regler. Formålet med dette modul er at give et overblik over den persondataretlige regulering. Samtidig vil vi fokusere på, hvornår man skal anvende de nye regler i persondataforordningen. Det er navnlig et spørgsmål om at vide, hvad der forstås ved de brede begreber ”behandling” af ”personoplysninger”. I dette modul vil du opnå følgende: • Kendskab til den persondataretlige regulering •Forståelse af, hvornår persondataforordningen finder anvendelse •Forståelse af, hvad man forstår ved begreberne ”behand ling” og ”personoplysninger” I dette modul får du indblik i den dataansvarlige og databehandlerens roller og ansvar. I dette modul vil du opnå forståelse af: •Reglerne om, hvornår man må indhente, anvende og videregive personoplysninger •De grundlæggende principper for behandling af personoplysninger Hvornår må personoplysninger overføres til tredjelande, og hvilke krav gælder der i den sammenhæng? Modul 3: De registreredes rettigheder Formålet med dette modul er at give dig kendskab til disse rettigheder samt reglerne om, hvordan rettigheder udøves, f.eks. tidsfrister og format m.v. Formålet med modulet er endvidere at gøre dig bekendt med de grundlæggende krav, der stilles til en databehandler, herunder hvordan disse krav konkret skal udmøntes i aftaleforholdet mellem den dataansvarlige og databehandleren. I dette modul vil du opnå kendskab til: • Hvornår man er dataansvarlig eller databehandler • Den dataansvarlige og databehandlerens roller • Kravene til databehandleren Du vil herudover, blive i stand til at identificere kravene til en databehandleraftale. Modul 6: Tredjelandsoverførelser Samtidig gælder der en række grundlæggende principper for behandling af personoplysninger, som altid skal overholdes. Det gælder f.eks. princippet om god databehandlingsskik, datakvalitet, formålsbestemthed, sikkerhed m.v. De registrerede personer har en lang række rettigheder efter persondataforordningen. Det gælder f.eks. indsigtsret, ret til information, ret til at blive glemt, sletnings- og berigtigelsesret osv. Efterlevelse af ISO27001 er obligatorisk for alle statslige myndigheder, og efterleves også af mange private virksomheder. Det er derfor vigtigt, dels at myndighederne og virksomhederne er bekendte med disse regler, dels at der stilles relevante krav til sikkerhedsforanstaltninger hos eksterne leverandører, når der outsources ansvarsområder, der er omfattet af ISO27001. Formålet med dette modul er at gøre dig i stand til at forstå sammenhænge og forskelle mellem IT-sikkerhed og databeskyttelse. I dette modul vil du opnå kendskab til: •ISO-27000-serien • Risikovurdering og Statement of Applicability • Kontrolmål og kontroller • Eksempler på implementering af sikkerhedskrav i kontrakter Modul 5: Databehandlere Modul 2: Behandlingsregler Det er et fundamentalt princip, at man skal have hjemmel, hvis man vil behandle personoplysninger. Det er helt afgørende at sikre sig, at man har fået samtykke eller har et andet grundlag, hvis man f.eks. som virksomhed skal indhente eller videregive kundeoplysninger, eller hvis en myndighed vil behandle oplysninger om en borger i en samværssag. Persondataret og informationssikkerhed hænger uløseligt sammen. I dette modul vil du opnå kendskab til følgende: • De registreredes forskellige rettigheder •Processen for behandling af de registreredes rettigheder, herunder tidsfrister og formater Formålet med dette modul er at gøre dig bekendt med forordningens geografiske anvendelsesområde, herunder begreberne ”sikre” og ”usikre” tredjelande. Du opnår også kendskab til de enkelte overførelsesgrundlag, der knytter sig til de enkelte overførelsessituationer. I dette modul vil du opnå kendskab til: • Forordningens geografiske anvendelsesområde •Tredjelandsbegrebet • Overførelsesgrundlag, herunder EU-U.S. Privacy Shield • Undtagelser i særlige situationer Modul 7: DPO – udpegning og rolle Som noget nyt skal alle offentlige myndigheder og en række private virksomheder have en databeskyttelsesrådgiver (DPO). DPO’en skal varetage en række opgaver såsom f.eks. kontakt til Datatilsynet, bistand ved udarbejdelse af konsekvensanalyser og meget andet. DPO’en skal balancere på en knivsæg mellem at være rådgiver i organisationen, men vedkommende skal samtidig være uafhængig. I dette modul opnår du forståelse af følgende: • Reglerne om, hvornår man skal udpege en DPO • DPO’ens opgaver og ansvar • Kravene til DPO’ens kvalifikationer • DPO’ens stilling og uafhængighed 8 9 Modul 8: Datadokumentation Dokumentation af data og data-flows er afgørende for at opnå et robust fundament for informationssikkerhed og særligt håndtering af persondata. Formålet med dette modul er at give et kendskab til hvorfor, hvornår og hvordan data kan dokumenteres samt hvad forudsætningerne for dokumentationens værdifastholdelse er. Modul 12: Datatilsynets roller og beføjelser samt sanktioner Efter dette modul vil du kunne: • Definere datadokumentation • Beskrive rækkevidden af data i organisationen • Opstille kriterier for prioritering af indsatsområder • Beskrive en metode til datadokumentation samt redegøre for kriterier for kortlægningen •Få kendskab til eksempler på dokumentation af data ift. kortlægning af data flows • Redegøre for karakteristika for datadokumentations værdi fastholdelse, der knytter sig til datas livscyklus fra koncepttualisering over registrering, arkivering, publisering, analyse og til sletning Modul 9: Privacy by design og by default Det er en nyskabelse i persondataforordningen, at man har pligt til at tænke databeskyttelse ind i f.eks. udviklingen af nye IT-systemer (databeskyttelse gennem design). Samtidig er der også pligt til såkaldt databeskyttelse gennem standardindstillinger. Formålet med dette modul er at sætte dig i stand til at forstå disse regler samt give et indblik i typiske eksempler på privatlivsfremmende teknologier. I dette modul vil du opnå forståelse af følgende: •Reglerne om pligt til indbygget databeskyttelse og data beskyttelse gennem standardindstillinger • Grundlæggende metoder til at anvende typiske privatlivsfremmende teknologier, herunder pseudonymisering, anonymisering, adgangsstyring, transparens og dataminimering Modul 10: Konsekvensanalyser (DPIA) Som noget nyt stiller forordningen krav om, at man i visse tilfælde skal lave en konsekvensanalyse (”Data Protection Impact Assessment”), før man behandler personoplysninger. I de tilfælde, hvor man ikke har pligt til at lave en konsekvensanalyse, kan det under alle omstændigheder være fornuftigt at lave en konsekvensanalyse for at skabe et overblik. I dette modul vil du opnå forståelse af følgende: • Hvornår er der pligt til at lave en konsekvensanalyse • Hvad er dens indhold •Hvornår er det under alle omstændigheder fornuftigt at lave en konsekvensanalyse Modul 11: Notifikation ved datasikkerhedsbrister Hvordan skal brud på persondatasikkerheden håndteres, og til hvem skal der afgives notifikation? Formålet med dette modul er at gøre dig bekendt med, hvornår der skal ske henholdsvis anmeldelse til Datatilsynet og underretning til den registrerede efter et brud på persondatasikkerheden. Modulet har endvidere til formål at klæde dig på til at kunne udforme en handleplan i tilfælde af brud på persondatasikkerheden. I dette modul vil du opnå kendskab til: • Hvornår skal man anmelde et sikkerhedsbrud til Datatil synet og underrette den registrerede om det • Hvad skal anmeldelsen indeholde • Hvilke krav stilles der til underretningen af den registrerede • Håndtering af datasikkerhedsbrister • Aktiviteter der kan anvendes for at sikre gode muligheder for forretningsmæssig videreførelse efter en databrist •Teknikker der kan bidrage til at reducere risikoen for egentlig datatab ved en datasikkerhedsbrist Datatilsynet er den centrale tilsynsmyndighed på persondataretsområdet i Danmark. I dette modul sætter vi fokus på tilsynets mange roller og opgaver. Du opnår også indblik i tilsynets beføjelser, dvs. reglerne om, hvornår tilsynet kan nedlægge forbud og påbud vedr. persondatabehandlinger samt komme på tilsynsbesøg. Når uheldet er ude, og der f.eks. sker sikkerhedsbrister, kan det have konsekvenser både i form af store bøder og erstatningsansvar over for de registrerede. I dette modul gennemgår vi også reglerne om straf og erstatning. I dette modul opnår du forståelse af følgende: • Overblik over tilsynets roller og opgaver • Indsigt i tilsynets beføjelser over for virksomheder og myndigheder • Risikoen for (bøde)straf og erstatningsansvar 10 11 Practitioner Modul 5: Detektion og notifikation af datasikkerhedsbrister Modul 1: Dokumentér persondata Forordningen stiller krav om, at man skriftligt skal dokumentere bl.a., hvilke persondata man behandler, hvor og hvor længe. Man skal også kunne dokumentere, at man overholder reglerne i forordningen. Vi uddanner dig i at få overblik over data med brug af dataflow-analyser, referencearkitekturer og andre konkrete værktøjer og metoder. Samtidig lærer du at anvende metoder til at udfærdige og vedligeholde dokumentation af compliance med den samlede persondataforordning. Efter dette modul vil du kunne: • Forstå de retlige krav til datadokumentationspligten – og omfanget af DPO’ens datadokumentationsopgave • Anvende dataflow-analyser og referencearkitekturer til at få overblik over data og beskrive sammenhængene mellem forretning og IT • Anvende metoder til at udføre og fastholde dokumentation for compliance Modul 2: Organisering af informationssikkerhed Implementering af persondataforordningens krav til organisatoriske og tekniske sikkerhedsforanstaltninger kræver mere og andet end blot en henvisning til kravene i ISO27001. Kravene skal operationaliseres og indarbejdes i det kontraktuelle grundlag mellem kunden og leverandøren, ligesom kravene skal udmøntes i interne processer og retningslinjer. Efter dette modul har du opnået kendskab til metoden for nedbrydning og operationalisering af sikkerhedskravene i kontrakten, herunder har du opnået forståelse for anvendelsen af: • ISO-27000-serien • SANS Critical Security Controls Modul 3: Udarbejdelse af konsekvensanalyse (DPIA) Med udgangspunkt i gennemførte dataflow-analyser fra ‘Dokumentér persondata’ fortsætter vi arbejdet med at sikre bedst muligt prioritering af indsatsen. Vi arbejder med identifikation og afvejning af risici og prioriterer grundlaget for det videre arbejde med databeskyttelse. Vi gennemgår også på modulet hvordan DPIA (data protection impact assessment) dokumentation udarbejdes og sikres videreført i en operationel sammenhæng, samt medvirker til at skabe basis for en kontinuerlig overvågning af risikobilledet. Efter dette modulvil du kunne: • Anvende resultatet fra dataflow-analyser som grundlag for DPIA • Anvende risikoanalysemetoder til at sikre en velovervejet DPIA • Anvende skabeloner til dokumentation af DPIA og disses anvendelse i forbindelse med prioriteringer af indsats. • Have kendskab til hvordan arbejdet med DPIA dokumenta tion kan sættes i sammenhæng til det daglige arbejde og dermed sikres vedligeholdt. Modul 4: Sikring af privacy by design og by default Den nye forordning stiller krav om at privatlivsbeskyttelse skal tænkes ind når organisationer udvikler nye digitale løsninger. Vi arbejder på dette uddannelsesmodul med forskellene på klassiske sikkerheds- og privatlivsmetoder. Dette sker bl.a. gennem kendskabet til: • Reaktivt og proaktivt design • Udbedrende og forebyggende design • Livscyklusperspektiv på privatliv Vi fokuserer på anvendelse af synlighed, sporbarhed og transparens som kerneegenskaber ved privatlivsbeskyttende teknologier, og indarbejder dette i tekniske, organisatoriske og kulturelle sammenhænge. Efter dette modul vil du kunne: • Forstå hvad der kendetegner Privacy by Design og Default, og hvor dette adskiller sig fra traditionelle tilgange • Forstå hvordan principper bag dataminimering og pseudo nymisering kan implementeres i praksis • Bidrage til udarbejdelse af krav i relation til nye systemanskaffelser • Bidrage til udarbejdelse af krav i relation til forandringer i eksisterende systemer Detektion og notifikation af datasikkerhedsbrister er vigtige mekanismer i arbejdet med at beskytte din organisations informationsaktiver og samtidigt imødekomme den nye persondataforordning. På dette uddannelsesmodul er der fokus på hvordan vi kan registrere datasikkerhedsbrister og sikre gennem interne politikker og arbejdsgange at der fremsendes besked om et brist til relevante interne interessenter, den registrerede og Datatilsynet. Du får konkrete skabeloner, og træning i brugen af disse. Efter dette modul vil du kunne: • Kendskab til både tekniske og organisatoriske metoder til at opdage informationsikkerhedsbrister • Kunne bidrage til udarbejdelse af arbejdsgange og politik ker der understøtter rettidig opdagelse af informationssik kerhedsbrister, og korrekt håndtering af underretninger og notifikationer • Forståelse for hvilke krav der kan og bør stilles til tekiske løs inger i relation til egenskaber der fremmer hurtig detektion • Kendskab til proces og metode for håndtering af notifika tion til interne interessenter, Datatilsynet og underretning af den registrerede Modul 6: Håndtering af de registreredes rettigheder Det kan være svære end man tror at imødekomme de rettigheder som den registrerede tilskrives i persondataforordningen. Dette modul giver derfor en opfriskning af de registreredes rettigheder, og behandler de juridiske og praktiske krav til organisationer i imødekommelsen af disse rettigheder. Efter dette modul vil du: • Forstå de juridiske krav til imødekommelse at den registre redes rettigheder • Kunne organisere den praktiske håndtering af følgende: Oplysningspligten, Retten til indsigt, Retten til berigtigelse, Retten til sletning, Retten til dataportabilitet og Retten til ingen profilering • Have kendskab til eksisterende og nye teknologiske hjælpemidler Modul 7: Relevante kontraktforhold For at den dataansvarlige skal kunne leve op til forordningens krav er det afgørende at den dataansvarlige stiller de rigtige kontraktuelle krav til dennes leverandører (databehandlere). Formålet med dette modul er at give dig kendskab til de kontraktuelle temaer, som skal og bør reguleres i aftaleforholdet mellem en dataansvarlig og en databehandler. Dette gælder ikke kun kravene til databehandleraftalen, men også alle de øvrige kontraktuelle krav. I dette modul vil du opnå kendskab til, hvordan: • en databehandleraftale udformes, herunder hvilke dele af aftalen, der skal tilpasses den konkrete situation, og hvilke dele, der kan baseres på standardregulering. • relevante ændringsklausuler samt øvrige kontraktbestem melser udformes. Modul 8. Datatilsynets rolle nu og i fremtiden I dette afsluttende modul vil Datatilsynet berette om, hvordan tilsynet ser sin rolle i dag og i fremtiden, når de nye regler i persondataforordningen finder anvendelse. Hvad bliver de centrale opmærksomhedspunkter, og hvordan ser tilsynet selv sine udfordringer og rolle i overgangsfasen til de nye regler. 12 13 Underviserne Niels Banke er partner og advokat hos Kammeradvokaten, hvor Niels er leder af team for Arbejdsog Ansættelsesret. Niels rådgiver private og offentlige klienter om arbejds- og ansættelsesret i enhver form. Han fører i den forbindelse retssager ved f.eks. Højesteret, Arbejdsretten, Tjenestemandsretten og faglig voldgift. Som led i Niels’ store arbejds- og ansættelsesretlige erfaring, har Niels også stor erfaring med håndtering af de særlige HR-relaterede persondataretlige forhold. Emil Bisgaard er erhvervsjuridisk rådgiver hos Kammeradvokaten, hvor Emil beskæftiger sig be- skæftiger sig særligt med indkøb af IT-ydelser og koncipering af IT-kontrakter. Emil har i den sammenhæng opnået et stort kendskab til de særlige sikkerhedsaspekter, som knytter sig til komplekse og kritiske IT-systemer. Emil har konkret erfaring med at indarbejde sikkerhedskrav i kontrakterne, herunder ved en operationalisering af ISO-standarderne. Aage Lemche-Romvig er ekspert i informationssikkerhed og IT-arkitektur hos Implement. Aage har mere end 15 års erfaring med rådgivning inden for informationsteknologi, og har rådgivet både private og offentlige organisationer. Aages ekspertiseområder inkluderer udover sikkerhed og arkitektur, IT-indkøb og sourcing. Jesper Nørøxe er advokat i Kammeradvokatens afdeling for Offentlig ret. Jesper har særlig fokus på tværgående offentlig regulering, herunder persondataret hvor Jesper bl.a. rådgiver om complianceprogrammer og indgåelse af databehandleraftaler. Jesper har også erfaring med at repræsentere offentlige myndigheder og private virksomheder i sager for Datatilsynet. Tom Holsøe er partner og advokat hos Kammeradvokaten, hvor Tom er ansvarlig for afdeling for Kontrakter og Udbud og leder forretningsområdet ”IT og digitalisering”. Rasmus Børlum Petersen er management konsulent ved Implement indenfor IT-ledelse, datasty- Toms erfaring dækker over rådgivning og tvistløsning i de største offentlige IT-projekter herhjemme. Tom har bl.a. også bistået flere statslige myndigheder med operationalisering af sikkerhedskrav i kontrakter. Rasmus har flere års erfaring i arbejdet med datastyring, -kortlægning og med rådgivning af komplekse IT-projekter på koncernniveau. Claus Ipsen er ekspert i IT-indkøb og implementering i en offentlig kontekst hos Implement. Claus har mere end otte års erfaring fra projekter i den offentlige sektor, og har stort kendskab til at indarbejde IT-sikkerhed i indkøb- og udbudsprocesser. ring og projektledelse. Marianne Søgaard er partner og advokat hos Kammeradvokaten, hvor Marianne særligt beskæftiger sig med outsourcing af IT og IT-drift. Marianne rådgiver også om persondataretlige forhold i en IT-retlig kontekst, herunder i relation til indgåelse af databehandleraftaler og overførelse af personoplysninger til tredjelande. Jakob Kamby er partner og advokat hos Kammeradvokaten, hvor jakob er ansvarlig for team for Martin Sønnersgaard er advokat med speciale i persondataret og digital forvaltningsret, hvor Martin rådgiver offentlige virksomheder og private virksomheder herom. Jakob har bred erfaring med rådgivning om persondataretlige problemstillinger f.eks. i forbindelse med store offentlige digitaliseringsprojekter, udarbejdelse af lovforslag og juridisk risikostyring. Martin beskæftiger sig med alle aspekter af persondataretten, herunder f.eks. udarbejdelse af complianceprogrammer, kravsætning til digitaliseringsprojekter og konsekvensanalyser (DPIA). Martin er endvidere en ivrig oplægsholder om emnet. Michael Holm Larsen er direktør i Implement og en erfaren underviser indenfor IT-ledelse, og har arbejdet både i den offentlige og den private sektor. Anni Noes Westergaard er certificeret IT-advokat og beskæftiger sig primært med anskaffelse af Michael har i mere end 15 år rådgivet organisationer i IT-ledelse både indenfor indkøb og implementering. Michael har forud for sin tid som konsulent, arbejdet som forsker og underviser på flere danske universiteter. Anni beskæftiger sig herudover med persondataretlige forhold i en IT-retlig kontekst, herunder i relation til indgåelse af databehandleraftaler og overførelse af personoplysninger til tredjelande. Stats- og Forvaltningsret og har speciale i disse hvorunder også persondataret er placeret. komplekse IT-kontrakter og kontraktstyringen heraf. 14 15 Fakta om DPO’en Praktisk information Hvilke myndigheder og virksomheder skal have en DPO? Datoer, København: Foundation: 8.-9. november 2016 fra kl. 09.00-17.00. Practitioner: 15.-16. november 2016 fra kl. 09.00-17.00. Opfølgningsdag: 9. februar 2016 fra kl. 09.00-16.00. Alle offentlige myndigheder og offentlige organer (undtagen domstole) skal have en DPO. Det samme gælder for virksomheder, hvis kerneaktiviteter består af behandlingsaktiviteter, der i medfør af deres karakter, omfang og/eller formål kræver regelmæssig og systematisk overvågning af registrerede i stort omfang, eller virksomheden kerneaktiviteter består af behandling i stort omfang af visse følsomme personoplysninger. Offentlige myndigheder eller offentlige organer kan efter omstændighederne udpege en fælles DPO. Hvad er DPO’ens opgaver og ansvar? DPO’en har til opgave bl.a. at rådgive internt i organisationen om databeskyttelse og at påse, at forordningens regler overholdes. DPO’en skal udpeges på grundlag af sine faglige kvalifikationer, navnlig ekspertise inden for databeskyttelsesret og -praksis samt evne til at udføre de opgaverne. DPO’en kan være ansat hos den pågældende myndighed eller virksomhed eller kan udføre hvervet på grundlag af en tjenesteydelseskontrakt (dvs. en ekstern DPO). DPO’en nyder uafhængighed, idet DPO’en ikke må modtage instrukser vedrørende udførelsen af sine opgaver. DPO’en må ikke afskediges eller straffes af den pågældende myndighed eller virksomhed for at udføre sine opgaver. DPO’en rapporterer direkte til det øverste ledelsesniveau. Foundation: 28. februar-1. marts 2017 fra kl. 09.00-17.00. Practitioner: 14.-15. marts 2017 fra kl. 09.00-17.00. Practitioner: 28.-29. marts 2017 fra kl. 09.00-17.00. Opfølgningsdag: 31. maj 2017 fra kl. 09.00-16.00. Foundation: 5.-6. september 2017 fra kl. 09.00-17.00. Practitioner: 12.-13. september 2017 fra kl. 09.00-17.00. Practitioner: 14.-15. november 2017 fra kl. 09.00-17.00. Opfølgningsdag: Januar 18 fra kl. 9.00-16.00. Se kursussted her: www.kammeradvokaten.dk/dpo Datoer, Aarhus: Foundation: 19.-20. april 2017 fra kl. 9.00-17.00. Practitioner: 26.-27. april 2017 fra kl. 09.00-17.00. Opfølgningsdag: 22. august 2017 fra kl. 09.00-16.00. Foundation: 24.-25. oktober 2017 fra kl. 9.00-17.00. Practitioner: 31. oktober-1. november 2017 fra kl. 09.00-17.00. Opfølgningsdag: Februar 2018 fra kl. 09.00-16.00. Se kursussted her: www.kammeradvokaten.dk/dpo Tilmelding: Tilmelding sker løbende, men på grund af det begrænsede antal pladser tilrådes snarlig tilmelding. Kammeradvokaten/Advokatfirmaet Poul Schmith Kammeradvokaten/Advokatfirmaet Poul Schmith er med sine omkring 450 medarbejdere et af Danmarks førende og mest alsidige advokatfirmaer med kontorer i København og Aarhus. Vi rådgiver vores kunder i det offentlige og private inden for stort set alle juridiske rådgivningsområder. På området for persondataret, tilbyder vi bl.a. vores kunder compliance-tjek og hjælper også gerne med implementeringen af løsninger, f.eks. ved at udarbejde (under)databehandleraftaler, retningslinjer, datapolitikker og anmeldelser til Datatilsynet. Implement Consulting Group – Forandring med effekt Implement Consulting Group er en skandinavisk baseret managementkonsulentvirksomhed med 500+ konsulenter i Danmark, Sverige, Norge, Finland og Schweiz. Vi hjælper private og offentlige virksomheder med at gennemføre strategiske transformationer. Vores konsulenter er kendetegnet ved at have indgående erfaring med at planlægge og gennemføre strategiske forandringer kombineret med dyb faglig indsigt indenfor: Change Communication, Change Management, Commercial Excellence, Connected Industry, HR & Organisation, Innovation, IT Management, Leadership Development, Process Improvement, Project Management, Operations Strategy, Risk & Finance management, SAP Implementation, Sourcing & Procurement, Strategy & Transformation og Supply Chain Management. Pris: Foundation-delen koster kr. 10.000,- ekskl. moms. Practitioner-delen koster kr. 12.500,- ekskl. moms. Spørgsmål Der henvises til FAQ for uddannelsen, som kan tilgås her: www.kammeradvokaten.dk/DPOFAQ Kammeradvokaten Advokatfirmaet Poul Schmith København Vester Farimagsgade 23 DK-1606 København V Aarhus Åboulevarden 49, 1. DK-8000 Aarhus C www.kammeradvokaten.dk Implement Consulting Group København Strandvejen 54 DK-2900 Hellerup www. implementconsultinggroup.com
© Copyright 2024