seminario agm y novicell - protección de datos
TRANSCRIPT
![Page 1: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/1.jpg)
Ana García
DESDE EL PUNTO DE VISTA LEGAL
NUEVA LOPDDESDE EL PUNTO DE VISTA
TÉCNICO
Asger Laursen
&
![Page 2: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/2.jpg)
Ana García
DESDE EL PUNTO DE VISTA LEGAL
NUEVA LOPD
![Page 3: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/3.jpg)
Nuevo Reglamento Europeo de Protección de Datos
Ana García Lucero
![Page 4: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/4.jpg)
Quiénes somosAGM Abogados es una firma de asesoríajurídica y financiera que lleva más de 30 añosen el mercado español y que cuenta consedes internacionales en distintoscontinentes.
Está integrado por un equipo de más de 100profesionales entre abogados, economistas ypersonal de apoyo.
Nuestro compromiso con el cliente no selimita a cubrir sus necesidades cuando éstasse producen, sino a prevenirlas.
Asimismo, nuestra vocación multidisciplinarpermite afrontar operaciones que exijan unasesoramiento integral.
En definitiva, en AGM Abogados queremosser aquello que nuestros clientes esperan denosotros. Tenemos vocación de ser undespacho de referencia que ofrece todosaquellos servicios, tanto a nivel nacionalcomo internacional, que contribuyen aasegurar el éxito en las actividades denuestros clientes.
“Nuestramisiónesofrecersolucionesintegradorasprestando
serviciosespecializados”
2www.agmabogados.com
![Page 5: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/5.jpg)
Introducción
2.1.
3.
4.
Índice
Transparenciaeinformaciónalosinteresados:a. Consentimientob. Deber de informar
Derechos:a. Procedimiento para el ejerciciob. Derecho de acceso c. Derecho al olvidod. Limitación del tratamientoe. Portabilidad
RelacionesResponsable-Encargado:a. Obligaciones para encargadosb. Elección del encargadoc. Contenido del contrato de encargo
3www.agmabogados.com
![Page 6: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/6.jpg)
5.
6.7.
Índice
Medidasderesponsabilidadactiva:a. Análisis de riesgosb. Registro de actividades de tratamientoc. Medidas de seguridad (anonimización)d. Violaciones de protección de datose. Evaluaciones de impactof. Delegado de Protección de Datos
4www.agmabogados.com
Transferenciasinternacionales
Informacióndeinterésgeneral
![Page 7: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/7.jpg)
El Reglamento General de Protección de Datos (RGPD) entró en vigor en mayo de 2016.
Será de aplicación enMAYO 2018 > 2 años periodo de transición > ADAPTACIÓN.
El RGPD es directamente aplicable sin necesidad de transposición à en trámite la nueva LEYORGÁNICA DE PROTECCIÓN DE DATOS.
Dos elementos CLAVE en el RGPD:
1. Principio de responsabilidad proactiva (actitud consciente, diligente y proactiva)¿Qué datos se tratan?¿Con qué finalidad se tratan?¿Qué tipo de tratamiento se lleva a cabo?¿Son adecuadas las medidas de seguridad?
2. Enfoque del riesgo:Análisis del riesgo para los derechos y libertades de las personas
5www.agmabogados.com
1. Introducción
![Page 8: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/8.jpg)
2. Transparencia e información a los interesados
6www.agmabogados.com
![Page 9: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/9.jpg)
INEQUÍVOCO: el que se ha prestado mediante una manifestación del interesado o mediante una claraacción afirmativa.
Tiene que ser además EXPLÍCITO en los siguientes casos:Tratamiento de datos sensibles (raza, etnia, religión, afiliación, política, datos genéticos, salud,vida sexual).Adopción de decisiones automatizadas.Transferencias internacionales.
Consentimiento ESPECÍFICO para cada tratamiento.
OBLIGACIONES:Información: concisa, transparente, inteligibley de fácil acceso.Actualizar derechos de los interesados.Incluir información sobre:
Base jurídica del tratamiento.Transferencias internacionales.Datos del Delegado del Protección de datos, si lo hay.Elaboración de perfiles.
7www.agmabogados.com
a) Consentimiento
RECOMENDACIONES:Revisarformulariosderecogidadeconsentimiento.AdaptacióndelosmismosincluyendoinformaciónrequeridaporelRGPD.
![Page 10: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/10.jpg)
Obligación del RESPONSABLE del tratamiento.
¿CUÁNDO se debe informar?Cuando se obtienen directamente de los interesados > en el momento de recogida.Cuando se obtienen de fuentes de acceso público/cesión legítima > en un plazo razonable:
Antes de 1 mes desde que se obtuvieron los datos.Antes de la 1ª comunicación con el interesado.Antes de la comunicación a otros destinatarios.SALVO:
Comunicación imposible/esfuerzo desproporcionado.Datos de carácter confidencial por un deber legal de secreto.Obligación del RESPONSABLE del tratamiento.
¿CÓMO informar? > POR CAPASFormularios en papel.Navegación o formularios web.Entrevista telefónica.Registro de aplicaciones móviles, etc.
8www.agmabogados.com
b) Deber de informar
![Page 11: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/11.jpg)
9www.agmabogados.com
Epígrafe InformaciónBásica(1ªcapa) Información adicional(2ªcapa)
Responsable Identidad delresponsabledeltratamiento
Datosde contactodelresponsable.
Identidadydatos delrepresentante.
Datosde contactodelDPO.
Finalidad Descripciónsencilladelosfinesdeltratamiento,elaboracióndeperfiles
Descripción ampliadelosfinesdetratamiento.
Plazos/criterios deconservacióndedatos.
Decisionesautomatizadas,perfiles.
Legitimación Base jurídicadeltratamiento Detalle delabasejurídica;obligaciónlegal,interéspúblico,interéslegítimo.
Obligación onodefacilitardatosyconsecuenciasdenohacerlo.
Destinatarios Previsióno nodecesiones Destinatariosocategoríasdedestinatarios.
Previsiónonodetransferenciasatercerospaíses
Adecuación, garantías,situacionesespecíficasaplicablesentercerospaíses.
Derechos Referenciaalejerciciodelosderechos
Derechosdeacceso,rectificación,supresión,portabilidad,limitación,oposición.
Derecho aretirarelconsentimientoprestado.
Derecho areclamarantelaAutoridadcompetente.
Procedencia Fuentedelosdatos(cuandonoprocedendelosinteresados)
Informacióndetallada delorigendelosdatos,inclusosiprocedendefuentespúblicas.
Categorías delosdatosquesetraten.
b) Deber de informar
![Page 12: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/12.jpg)
10www.agmabogados.com
3. Derechos
![Page 13: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/13.jpg)
Facilitar el ejercicio por medios electrónicos.
Plazo de información al interesado > 1 mes > 2 meses solicitudes complejas.
Tomar medidas para verificar la identidad de quienes ejercitan los derechos.
Colaboración de encargados de tratamiento para atender las respuestas a los ejercicios de losderechos de los interesados.
GRATUITO, salvo:Solicitudes manifiestamente infundadas, excesivas, repetitivas > el responsable podrá cobrar uncanon.
11www.agmabogados.com
a) Procedimiento para el ejercicio
![Page 14: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/14.jpg)
12www.agmabogados.com
LOPD RGPDObligación defacilitartodoslosdatosdelosafectados,peronocopiasodocumentos(exceptoenelcasodehistoriaclínica)
Derecho delafectadodeobtenercopiadelosdatosobjetodeltratamiento.
Posibilidaddeaccesoremoto.
Aplicación del derecho de borrado, derecho de cancelación/oposición en el entorno online.
Introducir de medidas técnicas para informar a los afectados de este derecho y del procedimientopara ejercitarlo.
b) Derecho de acceso
c) Derecho al olvido
![Page 15: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/15.jpg)
No utilización de los datos del afectado.
Se puede solicitar cuando:Ejercicio de los derechos de rectificación/oposición, estando la solicitud en trámite.Tratamiento ilícito, pero el interesado se opone al borrado de los datos.Cuando ya no siendo procedentes, el interesado solicite su conservación para la formulación,ejercicio, defensa de reclamaciones.
El responsable sólo los puede tratar:Con el consentimiento de interesado.Para la formulación, el ejercicio o la defensa de las reclamaciones.Para proteger los derechos de otra persona física o jurídica.Por razones de interés público de la UE o de un Estado miembro.
13www.agmabogados.com
d) Limitación del tratamiento
![Page 16: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/16.jpg)
Derecho avanzado del derecho de acceso > la copia debe proporcionarse en un formato estructurado,de uso común y lectura mecánica.
Los datos se transmiten directamente de un responsable a otro, siempre que ello sea técnicamenteposible.
Sólo puede ejercitarse:Cuando el tratamiento se realiza por medio automatizados.Cuando el tratamiento se base en un consentimiento/contrato.Cuando se trate de datos proporcionados por el propio interesado.
14www.agmabogados.com
e) Portabilidad
![Page 17: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/17.jpg)
15www.agmabogados.com
4. Relaciones Responsable-Encargado
![Page 18: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/18.jpg)
Laresponsabilidadsobreeltratamiento>RESPONSABLE.
ProcesosdeCertificación/Adhesiónacódigosdeconducta.
Medidasderesponsabilidadactiva>Obligaciones:Registrodeactividadesdeltratamiento.Determinarlasmedidasdeseguridadaplicablesaltratamientoquerealizan.DesignarunDELEGADODEPROTECCIÓNDEDATOS(DPO)enloscasosprevistos.
16www.agmabogados.com
a) Obligaciones específicas para los encargados
![Page 19: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/19.jpg)
RECOMENDACIÓN:
Adherirsealoscódigosdeconducta/certificarseantelaautoridadcompetente.Contratassóloconencargadosdeltratamientoadheridos.
17www.agmabogados.com
LOPD RGPDDiligencia debidaenlaseleccióndeencargadosdetratamiento.
ElResponsabledeberáadoptarmedidasapropiadasquegaranticeypuedademostrarqueeltratamientoserealiceconformeal RGPD.
b) Elección del encargado del tratamiento
![Page 20: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/20.jpg)
Formalización del encargo en:Contrato.Acto Jurídico.
CONTENIDOmínimo del contrato:Objeto, duración, naturaleza y finalidad del tratamiento.Tipos de datos personales y categorías de los interesados.Tratamiento de datos por parte del encargado siguiendo instrucciones del responsable.Condiciones para dar autorización/consentimiento a subcontrataciones.Asistencia mutua para el ejercicio de los derechos de los interesados.Deber de confidencialidad.Medidas de seguridad.Destino de los datos al finalizar la prestación > supresión.
18www.agmabogados.com
c) Contenido del contrato de encargo
![Page 21: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/21.jpg)
19www.agmabogados.com
5. Medidas de responsabilidad activa
![Page 22: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/22.jpg)
Valoración del riesgo de los tratamientos que realicen.
El análisis variará en función de:Los tipos de tratamientos.La naturaleza de los datos.El número de interesados afectados.La cantidad y variedad de tratamientos que en una misma organización se lleven a cabo.
Grandes organizaciones.Organizaciones de menor tamaño y tratamientos de poca complejidad:
Análisis documentado.Ranking de riesgo:
¿Se tratan datos sensibles? SÍ < NO¿Se tratan datos de un gran número de personas? SÍ < NO¿Se realiza elaboración de perfiles? SÍ < NO¿Se cruzan datos con otros disponibles en otras fuentes? SÍ < NO¿Se pretenden utilizar los datos para varias finalidades? SÍ < NO¿Análisis masivo de datos (big data)? SÍ < NO¿Utilización de técnicas invasivas de la privacidad (videovigilancia, geolocalización, etc.)? SÍ < NO
20www.agmabogados.com
a) Análisis de riesgos
![Page 23: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/23.jpg)
Similar a la información que se comunica actualmente a la AEPD mediante la comunicación deficheros.
Exentas empresas con menos de 250 trabajadores, salvo que:El tratamiento entrañe un riesgo para los derechos y libertades de los interesados y no seaocasional.Datos especialmente protegidos.Datos relativos a condenas e infracciones penales.
Registro de operaciones de tratamiento:Nombre y datos de contacto del Responsable y DPO.Finalidades del tratamiento.Descripción de las categorías de interesados.Transferencias internacionales de datos.
21www.agmabogados.com
b) Registro de actividades de tratamientos
![Page 24: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/24.jpg)
Aplicación de las medidas desde el inicio del tratamiento.
El actual Documento de Seguridad puede seguir siendo útil, si tras realizar el análisis de riesgos seconcluye que las medidas de seguridad contempladas en el mismo son apropiadas.
Medidas técnicas y organizativas teniendo en cuenta:El coste de la técnica.Los costes de aplicación.La naturaleza, el contexto y los fines del tratamiento.Los riesgos para los derechos y libertades.
Aplicación de los principios ya conocidos:Datos necesarios.Cantidad de los datos.Calidad de los datos.Extensión del tratamiento.Periodo de conservación.
PROCESOS DE ANONIMIZACIÓN /SEUDONIMIZACIÓN de los datos.
22www.agmabogados.com
c) Medidas de seguridad
![Page 25: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/25.jpg)
Todo incidente que ocasione: la destrucción, pérdida o alteración accidental o ilícita de datospersonales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso noautorizados a dichos datos. Ejemplos:
La pérdida de un ordenador portátil.El acceso no automatizado a una base de datos por personal no autorizado.Borrado accidental de datos.
Notificación a la autoridad competente > plazo > 72 horas.
Incluir en la notificación:La naturaleza de la violación.Categorías de los datos e interesados afectados.Medidas correctivas.Medidas para minimizar efectos negativos.Cuando afecte a los derechos y libertades de los afectados > notificación también a ellos.
23www.agmabogados.com
d) Notificación de violaciones de protección de datos
![Page 26: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/26.jpg)
24www.agmabogados.com
Para tratamientos de alto riesgo.
Se pueden realizar consultas a la AEPD, que puede dar recomendaciones o limitar el tratamiento.
Supuestos de alto riesgo:La AEPD elaborará listados sobre supuestos de tratamiento de alto riesgo.Elaboración de perfiles sobre cuya base se tomen decisiones jurídicas.Tratamientos a gran escala de datos personales:
Volumen absoluto de datos en relación a una determinada población.Volumen de datos y variedad de datos.Duración y permanencia de la actividad del tratamiento.La extensión geográfica de la actividad del tratamiento.
e) Evaluación de impacto
![Page 27: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/27.jpg)
25www.agmabogados.com
Persona con cualificaciones profesionales en materia jurídica y tecnológica (proceso de Certificaciónestablecido por la AEPD > la Certificación no es un requisito indispensable para el acceso a laprofesión).
Comunicación de la designación a la AEPD.
Contrato laboral/mercantil. Jornada completa/parcial.
Requisitos de sus funciones:Total autonomía en el ejercicio de sus funciones.Relación directa con el órgano de Administración.
Obligatorio para:Autoridades y organismos públicos.Tratamientos que requieran observación sistemática y habitual a gran escala.Tratamientos a gran escala de datos sensibles.
f) Delegado de Protección de Datos (DPO)
![Page 28: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/28.jpg)
26www.agmabogados.com
Los datos sólo pueden ser comunicados fuera del espacio Económico Europeo:
A países o sectores específicos previamente autorizados por la Comisión.Cuando se garanticen medidas de protección adecuadas en el destino.Cuando aunque el país no sea seguro, se realice de forma puntual y no suponga perjuicio para elafectado, y se realice en virtud de un interés legítimo del responsable.
6. Transferencias internacionales
![Page 29: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/29.jpg)
ContactoBARCELONAPau Clarís,139- 08009Tel.:[email protected]
MADRIDPaseodelaCastellana,114- 28046Tel.:[email protected]
SHANGHAICrystalCenturyPlaza– Room17A567WeihaiRoad- 200041WeChat:[email protected]
SABADELLC/delSol,217,Local- 08201Tel.:[email protected]
PARÍS27,rueDumontd’Urville- 75116Tel.:[email protected]
OficinaderepresentaciónMéxicoDF
27www.agmabogados.com
![Page 30: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/30.jpg)
AnaGarcíaLuceroAbogadaáreaDerechoMercantil–
www.agmabogados.com
Síguenosycompartetuopinión@AGMAbogados
AGMAbogados,S.L.Despachodeabogadosyeconomistas.MiembrosdelgrupointernacionaldeabogadosLAWROPE.
![Page 31: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/31.jpg)
NUEVA LOPDDESDE EL PUNTO DE VISTA
TÉCNICO
Asger Laursen
![Page 32: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/32.jpg)
![Page 33: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/33.jpg)
LOPD =
GDPR (General Data Protection Regulation)
![Page 34: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/34.jpg)
RIGHT
DUTY “A duty to obtain and process personal data fairly and lawfully”
Everyone has the right to respect for his private and family life, his home and his correspondence.
![Page 35: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/35.jpg)
RET PLIGTTRUST
GDPR IS ABOUT ONE THING:
![Page 36: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/36.jpg)
INDIVIDUAL (Data Subject)
DATA CONTROLLER (You)
DATA PROCESSOR (Google etc.)
![Page 37: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/37.jpg)
COLLECTED MOVED STORED LOADED PROCESSED
WHEN PERSONAL DATA IS…
![Page 38: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/38.jpg)
WHAT IS PERSONAL DATA?
![Page 39: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/39.jpg)
WHAT IS PERSONAL DATA?
"Personal data" means any information relating to an identified or identifiable natural person ("data subject"); an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that person.
![Page 40: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/40.jpg)
USER STORY DATA A-Z
![Page 41: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/41.jpg)
B2B LEAD: GDPR WHITEPAPER
![Page 42: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/42.jpg)
B2B LEAD: GDPR WHITEPAPER
![Page 43: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/43.jpg)
B2B LEAD STRANGER VISITOR LEAD CUSTOMER
User Story Sees a social media post Visits our blogpost about GDPR
Downloads the whitepaper, receives a newsletter and attends a seminar
-
Systemer / Processor
- -
Data - • IP Addresse • Timestamp • Behavior • Company name*
• Name • E-mail • Company • Titel • Phonenumber
…
GDPR - • Data processor agreement
• Consent
• Informativ Consent • Policies (access) • Right to be forgotten • Storing • Justification • Consequence-analysis
•
-
CRM
![Page 44: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/44.jpg)
B2C USER STORIES
![Page 45: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/45.jpg)
User Story: New customer registers for an insurance product and submits required information
Externally Internally
CRM
3. Party
Employees
Services
ERP
Consent/Agreement Data processing agreement Policies Technical Data Protection responsibility
![Page 46: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/46.jpg)
COLLECTED MOVED STORED LOADED PROCESSED
WHEN PERSONAL DATA IS…
![Page 47: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/47.jpg)
CRM
Services
ERP
User Story: New customer registers for an insurance product and submits required information
Externally Internally 3. Party
EmployeesConsent/Agreement Data processing agreement Policies Technical Data Protection responsibility
![Page 48: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/48.jpg)
CRM
Services
ERPSubmits history of health and payment
information
Send to CRM
Saved in CRM
Presented to account manager
Send to Gateway
Payment Service
Created In ERP
User Story: New customer registers for an insurance product and submits required information
Externally Internally 3. Party
EmployeesConsent/Agreement Data processing agreement Policies Technical Data Protection responsibility
![Page 49: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/49.jpg)
CRM
Services
ERPSubmits history of health and payment
information
Send to CRM
Saved in CRM
Presented to account manager
Send to Gateway
Payment Service
Created In ERP
User Story: New customer registers for an insurance product and submits required information
Externally Internally 3. Party
EmployeesConsent/Agreement Data processing agreement Policies Technical Data Protection responsibility
![Page 50: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/50.jpg)
B2C User Story: PRIVACY By DESIGN
![Page 51: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/51.jpg)
User Story: Client reports incident/damage and sends information to be processed
CRM
Receptionist
Finds contact information
Recipient
Forwards
Sends mail
Account Manager
Creates case in CRM system
Externally Internally 3. Party
![Page 52: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/52.jpg)
User Story: Kunde anmelder skade og indsender oplysninger til Trust Forsikring
Eksternt Internt
CRM
3. part
Reception
Finder kontaktoplysninger
Modtager
Forwarder
Sender mail
Sagsbehandler
Opretter skade
![Page 53: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/53.jpg)
User Story: Kunde anmelder skade og indsender oplysninger til Trust Forsikring
Eksternt Internt
CRM
3. part
Reception
Finder kontaktoplysninger
Modtager
Forwarder
Sender mail
Sagsbehandler
Opretter skade
![Page 54: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/54.jpg)
CRM
Case Worker
Finds Incident Form
Sends to CRM
Case is created in the system
Notification to employee
Fills in information
Externally Internally 3. Party
User Story: Client reports incident/damage and sends information to be processed
![Page 55: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/55.jpg)
B2C USER STORY RIGHT TO BE FORGOTTEN/ DATA PORTABILITY
![Page 56: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/56.jpg)
Externally Internally
CRM
3. part
Case Worker
User Story: Client wants to execute her right to be forgotten, or to have her data with her.
ERP
![Page 57: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/57.jpg)
Externally Internally
CRM
3. part
Case Worker
ERP
User Story: Client wants to execute her right to be forgotten, or to have her data with her.
Can be withheld payment
Can be a manual process
Does also mean 3. party
![Page 58: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/58.jpg)
HOW TO GET STARTED
![Page 59: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/59.jpg)
ANCHOR PLANNING EXECUTE EVALUATE
4 STEPS
![Page 60: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/60.jpg)
ANCHORPurpose: Identify your role under GDRP Have a clear sense of: • Which personal data are you using? • Who has access to personal data? • Where and how is personal data stored? • When is personal data deleted? • How is personal data deleted? ...
Identify your need for working with personal data and map it to the how it is used in the organization today.
Identify the tasks and measures which needs to be taken and carried out.
Format: Workshop with stakeholder, and interviews with key personnel in the organization.
Result: Report of findings and overview of tasks needed to be carried out.
Scope: 15-20 hours*
![Page 61: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/61.jpg)
ANCHOR
WE HAVE MADE IT EASY…
![Page 62: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/62.jpg)
PLANNINGPurpose: Identify and give the needed mandate to the team driving the and fulfilling the tasks.
Allocate resources both internally and externally.
Identify a Change Agent across the organization.
Planning and estimation of the roadmap ahead and have the critical path defined and identified.
Format: Workshop
Result: A planned project with clear milestones. A team with clearly defined roles and responsibility in regard to driving and fulfilling the tasks in the project. A clear overview of the time, ressources and money needed to complete to project
Scope: 10 - 15 Hours*
![Page 63: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/63.jpg)
EXECUTEPurpose: • Establish and create documentation and policies. • Review legal texts concerning personal data • Data Processor Agreements • Internal policies • Internal documentation, consequence analysis, justification, processes • Operational procedures for how to delete or port data • Operational procedures for what to do in case of data breach. • Consent and information • IT-architecture overview of how and where personal data is stored and moved
around. • Internal education • Audit • New security measures • Passwords and user accounts • Review of current business design • Create contact forms • Data washing - getting rid of personal data not used or not obtained with the right
consent. • Flow for collecting consent from existing users/clients
Result: Measurable and tangible artifacts and solutions, bringing the company in compliance with GDPR
Scope: Very individual - estimated in the planning phase.
![Page 64: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/64.jpg)
EVALUERINGPurpose: Evaluation of the ended project.
Identification of any missing tasks.
Planning the next revisit of the Anchor step. • Motivated or triggered by: • Changes in the organization • Changes in GDPR. • Changes in the IT landscape
• New software etc. • Changes to the way the organization uses personal data.
Format: Workshop og audit
Result: Sign off on compliance process
Scope: 10 Hours*
![Page 65: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/65.jpg)
ANCHOR PLANNING EXECUTE EVALUATE
4 STEPS
![Page 66: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/66.jpg)
START TODAY!
![Page 67: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/67.jpg)
KICK START - PACKAGE
• Anchor step light • Website audit • Flow of data from and to the website • Legal audit on privacy copy/text • Identification of todos
Result: Action plan and tasks needed to be carried out regarding the website.
![Page 68: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/68.jpg)
SUMMED UP1. Appoint a Change Agent to take charge of the process. 2. Start asking yourself the right questions:
1. Why, which, who, when, what 3. Follow the flow of data in your organization
1. Collecting, Moving, Storing, Loading and Processing 4. Document
1. Responsibility| Processing| Policies| Procedures 5. Make a emergency procedure
1. What do we do if data is lost (breached/stolen) 6. Do recurring evaluation 7. Remember it is about the freedom and rights of the individual 8. Make a choice about what you want to handle yourself or need help to from us 9. Ask us how to get started if you are still in doubt!.
![Page 69: Seminario AGM y Novicell - Protección de datos](https://reader031.vdocuments.site/reader031/viewer/2022021923/5a6d1dc07f8b9ad1418b4d65/html5/thumbnails/69.jpg)
GRACIAS!@asgerlaursen [email protected]