Q&A om GDPR IT-Branchen 30. april 2018

Transkript

1 Q&A om GDPR IT-Branchen 30. april 2018

2 Dagens program 1. Introduktion 2. Dataansvarlig eller databehandler? 3. Registreredes rettigheder 4. Sikkerhedsbrud 5. Fortegnelseskrav 6. Spørgsmål

3 Introduktion

4 Introduktion Hvad er fokus for dagens emne? Overblik! Mange forskellige emner Det skal være relevant Stil derfor gerne spørgsmål undervejs Præsentation udleveres efterfølgende

5 Tim Nielsen Advokat Speciale i teknologivirksomheder Rådgiver bl.a. om Persondata IT-anskaffelser & Outsourcing Licenser Konflikter og andet branchespecifikt Certificeret IT-advokat Medlem af International Association of Privacy Professionals DAHL i København siden 2014 Kromann Reumert Selskabsret og finansiel regulering Teknologivirksomheder tim@dahllaw.dk

6 Hvem er DAHL? 5 kontorer 200 medarbejdere Full-service Opdelt i specialer, f.eks. Persondata IT-forhold HR-forhold Outsourcing Selskabsforhold Skatter og afgifter osv. HERNING VIBORG ESBJERG AARHUS KØBENHAVN

7 PERSONDATA ER EN TILLIDSSAG

8 Intro til persondataretten Enhver form for information om en identificeret eller identificerbar fysisk person Kan personen findes, er det persondata også selvom det er næsten umuligt Særlig regulering!

9 Intro til persondataretten Persondata omfatter f.eks.: Direkte: Navn, adresse, telefonnummer, osv. Indirekte: Kundenummer, referencer, billeder, lyd osv. Umulige : IP-adresser, eksternt kundenummer, krypterede data, lokationsdata osv. Persondata omfatter f.eks. ikke: Teknisk data Anonyme data forudsat at data ikke er sammensat med persondata Næsten umuligt ikke at behandle persondata

10 Intro til persondataretten PERSONDATALOVENS GRUNDPRINCIPPER Lovlighed, rimelighed og gennemsigtighed Behandling af persondata kræver udtrykkelig hjemmel Typisk samtykke men også andre Formålsbegrænsning Indsamling og øvrig behandling skal ske til udtrykkeligt angivne og saglige formål Senere behandling må ikke være uforenelig hermed Styrende for øvrige vurderinger Dataminimering Kun indsamle og behandle relevant data need to have ikke nice to have

11 Intro til persondataretten PERSONDATALOVENS GRUNDPRINCIPPER Rigtighed Pligt til at ajourføre og kontrollere data Herunder at ajourføre eller slette data som er urigtige eller vildledende Opbevaringsbegrænsning Pligt til at slette data når formålet er udtjent eller når anden pligt foreskriver sletning Integritet og fortrolighed Sikre tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger

12 Dataansvarlig eller databehandler

13 Parterne Registreret Fysisk person oplysningerne identificerer Den hele beskyttelsen omhandler Dataansvarlig Dataejeren Bestemmer over oplysningerne om den registrerede Fuldt ansvarlig for reglernes overholdelse Databehandler (Under)leverandør Behandling af oplysninger om registrerede på vegne af dataansvarlig Begrænset ansvar for behandlingen

14 Parterne Dataansvarlig eller databehandler? Afgørende hvem der bestemmer Formålet Hjælpemidlerne Reelt afgørende, om der handles efter instruks eller på eget initiativ Dermed også afgørende, hvilken ydelse der leveres Er databehandlingen ydelsen eller en accessorisk ydelse? Afgrænsningen er ikke helt nem! Dette på trods af en række vejledninger

15 Parterne Er man altid enten dataansvarlig eller databehandler Ja - også i koncerner! og så alligevel Medarbejdere er ikke dataansvarlig/databehandler Muligvis undtagelse for medarbejderlignende forhold Direkte instruks, kontrol osv. som var det en medarbejder Dog uklar rækkevidde Fremgår ikke af forordning eller vejledninger

16 Databehandleraftalen som koncept Eksempel 1 - Hosting Adgang til kundens persondata?: Ja Hvem bestemmer formål databehandling: Kunden Hvem bestemmer hjælpemidler?: Kunden (i teorien i hvert fald) Kunde: Dataansvarlig for egne data Leverandør: Databehandler

17 Databehandleraftalen som koncept Eksempel 2 - Konsulentydelser Adgang til kundens persondata?: Måske Hvem bestemmer formål databehandling: Kunden Hvem bestemmer hjælpemidler?: Kunden (i teorien i hvert fald) Kunde: Dataansvarlig for egne data Leverandør: Databehandler hvis ydelsen reelt omhandler behandling af persondata Dvs. ikke ren programmering Men måske nok f.eks. migrering Måske mulighed for hverken eller? (p.t. uklart!)

18 Databehandleraftalen som koncept Eksempel 3 - Pakkeleverandør Adgang til kundens persondata?: Ja oplysninger om slutkunden Hvem bestemmer formål databehandling: Kunden? Hvem bestemmer hjælpemidler?: Leverandør Kunde: Dataansvarlig Leverandør: Dataansvarlig

19 Parterne Kundens data eller data om kunden? Kundens data Databehandler eller evt. dataansvarlig Kundens kunder Kundens databaser Data om kunden Dataansvarlig Kontaktperson hos kunden Oplysninger om kunden

20 Overførelse Dataansvarlig En databehandlers behandling skal være reguleret af en kontrakt eller et andet retligt dokument Hjemmel til databehandlerens lovlige behandling af data Fastsætter vilkårene for behandlingen Legale krav Databehandler Kommercielle krav Behøver ikke være en selvstændig aftale kan godt være del af hovedaftale

21 Videregivelse Dataansvarlig Dataansvarlig Videregivelse kræver ikke en databehandleraftale Til gengæld kræver det særskilt hjemmel, f.eks. samtykke eller nødvendighed Typisk restriktiv adgang hertil Normalt ikke ønskeligt uden nærmere overvejelser

22 Konsekvenser Konsekvenser af afgrænsningen (eksempler) Dataansvarlig: Det fulde ansvar Lovlig behandling (formål, hjemmel, sletning osv.) Registreredes rettigheder (oplysningspligt, indsigt, sletning osv.) Sikkerhedskrav Kontrol med databehandlere Dokumentation 4% bøder Erstatning

23 Konsekvenser Konsekvenser af afgrænsningen (eksempler) Databehandler: Begrænset ansvar Lovlig behandling (formål, hjemmel, sletning osv.) Registreredes rettigheder (oplysningspligt, indsigt, sletning osv.) Dog hjælpe dataansvarlig med opfyldelse af pligter Sikkerhedskrav Kontrol med databehandlere Dokumentation 4% bøder 2% forudsat at der handles indenfor instruks! Erstatning

24 Ansvar for databehandleraftalen Hvem har ansvaret for at indgå databehandleraftale? Begge parter! Det er den der gør det lovligt at behandle data Dataansvarlig må ikke overlade data Databehandler må ikke behandle data Databehandling udenfor instruks Dataansvarlig Uklart om blot fraværet af skriftlig aftale har denne konsekvens Hvis tvivl, indgå en databehandleraftale! med mindre klart dataansvarlig - dataansvarlig

25 Databehandleraftalen som koncept Underdatabehandlere Underleverandør (underdatabehandler) Kunden (dataansvarlig) Leverandør (databehandler) Underleverandør (underdatabehandler) Jura Kommercielt Jura Kommercielt Databeskyttelsesforpligtelser Leverandør: Start kæden bagfra og brug så vidt muligt egen databehandleraftale Kunde: Undgå overimplementering det kan umuliggøre/fordyre brug af underleverandør

26 Registreredes rettigheder

27 Registreredes rettigheder Overblik Oplysningspligt Indsigtsret Berigtigelse Sletning Begrænsning Dataportabilitet Indsigelsesret

28 Oplysningspligt Oplysningspligt Pligt til at give en række oplysninger til den registrerede, bl.a. Identitet på dataansvarlig Formålet Tidsrum for behandling Formkrav (ret til indsigt, tilbagekaldelse, klage osv.) Skal ikke forveksles med hjemme Gælder også selvom hjemmel ikke er samtykke Forskel på direkte og indirekte indsamling

29 Oplysningspligt Direkte (art. 13) Indirekte (art. 14) Oplyses ved indsamling eller ændret formål Undtagelse: Registreret allerede bekendt Oplyses enten Indtil 1 måned efter indsamling, Førstkommende kommunikation Ved første videregivelse Undtagelse: Registreret allerede bekendt Umulig eller uforholdsmæssig indsats Hindre formålet Indsamling i medfør af lov Lovbestemt tavshedspligt

30 Oplysningspligt Hvordan opfyldes oplysningspligten? Så længe det kommunikeres effektivt ingen formgrænser Bilag til kontrakt Link til hjemmeside Sammen med samtykke Pop-op i app Ordrebekræftelse Må gerne segmenteres Må også gerne gives på én gang f.eks. Hvis al videregivelse skrives ind bare hjemlen huskes

31 Indsigtsret & berigtigelse Indsigtsret Adgang til at spørge om behandling Behandles oplysninger om mig? Hvis ja, hvilke? Krav om udlevering af de behandlede personoplysninger Derudover gives oplysninger svarende til oplysningspligten Berigtigelse Ret til at få urigtige oplysninger berigtiget

32 Sletning Sletning Retten til at blive glemt Sletning på anmodning Afventer henvendelse Sletning i øvrigt Løbende monitoreres og gennemføres Ikke længere nødvendige Samtykke tilbagekaldes / indsigelse og ikke anden hjemmel Ulovlig behandling Gælder også for offentliggjorte oplysninger udenfor dataansvarliges kontrol Indenfor rimelige grænser

33 Sletning & begrænsning Sletning Der er dog undtagelser, særligt lovkrav om opbevaring nødvendigt for at kunne fastlæggelse, forsvare eller gøre retskrav gældende Begrænsning På anmodning fra den registrerede Enten ønske som alternativ til sletning Ellers midlertidigt mens undersøgelser pågår Begrænsede oplysninger må kun opbevares Dog ok at bruge ift. retskrav

34 Underretningspligt Berigtigelse, sletning & begrænsning Underretningspligt Hver modtager, som oplysningerne er videregivet til Hver gang oplysninger berigtiges, slettes eller begrænses med mindre umuligt eller uforholdsmæssigt besværligt Dog altid pligt til at oplyse om disse på anmodning Krav om at alle videregivelser trackes og dokumenteres!

35 Dataportabilitet Dataportabilitet Ret til at modtage oplysninger om sig selv Som registreret selv har givet Struktureret, alm. og maskinlæsbart format Direkte fra en ansvarlig til en anden Lidt uklarhed om omfanget Dog nok reelt ret til dataeksport Både egen dage Også data genereret eller indsamlet til en vis grad

36 Indsigelsesret Indsigelsesret Altid ret til indsigelse mod behandling Hvis ikke anden hjemmel & nødvendighed Ubetinget indsigelsesret ift. markedsføring Ret til indsigelse mod automatiske afgørelser Dog undtagelser, herunder samtykke men pligt til indgriben, herunder mindst manuel behandling

37 Sikkerhedsbrud

38 Sikkerhedsbrud Hvad udgør et sikkerhedsbrud? hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger Mere end bare hacking Alle brud på integriteten set fra personens situation Alt der kan bringe fysiske personers rettigheder og frihedsrettigheder i fare

39 Håndtering af sikkerhedsbrud Step 1 - logføring Alle sikkerhedsbrud skal logføres Uafhængigt af øvrige krav Ingen formkrav Dog indholdskrav: de faktiske omstændigheder ved bruddet på persondatasikkerheden dets virkninger og de trufne afhjælpende foranstaltninger.

40 Håndtering af sikkerhedsbrud Step 2 orientering af Datatilsynet Udgangspunkt: Altid orientering af Datatilsynet Undtagelsesmulighed: Lav risiko Kryptering? Pseudonymisering? Genoprettelse? Tid: Uden unødig forsinkelse om muligt inden 72 timer fra opdagelse Portalløsning fra Datatilsynet

41 Håndtering af sikkerhedsbrud Step 3 orientering af registreret Udgangspunkt: Ingen orientering af registreret Undtagelsesmulighed: Høj risiko Kan andre reelt få adgang til data (f.eks. kryptering)? Er skaden genoprettet? Tid: Uden unødig forsinkelse Individuel underretning Dog mulighed for generelt offentlig underretning hvis besværligt

42 Håndtering af sikkerhedsbrud Databehandlerens rolle Orientering af dataansvarlig Uden unødig forsinkelse Assistance med genopretning Bør være reguleret i databehandleraftalen Selve forpligtelsen Tid Betaling Ingen forpligtelse overfor selve den registerede

43 Fortegnelseskrav

44 Fortegnelseskrav Grundlæggende fortegnelseskrav Erstatter den tidligere anmeldelsespligt Krav om registrering af behandlingsaktiviteter Reelt et krav til alle Undtagelsesmuligheden sjældent anvendt Reelt kun for lejlighedsvis behandling Er der en egentlig proces er der derfor også krav om fortegnelse Kan dog formentlig godt blive for detaljeret Forskel på indhold alt efter dataansvarlig eller databehandler

45 Fortegnelseskrav Hvis dataansvarlig Kontaktoplysninger, herunder på DPO Formålene med behandlingen Kategorierne af registrerede og kategorierne af personoplysninger Kategorier af modtagere ved videregivelse Dataeksport Hvis det er muligt, de forventede tidsfrister for sletning Hvis det er muligt, en generel beskrivelse af sikkerhedsforanstaltninger

46 Fortegnelseskrav Hvis databehandler Kontaktoplysninger, herunder på DPO Kategorier af behandling Dataeksport Hvis det er muligt, en generel beskrivelse af sikkerhedsforanstaltninger Føres for alle behandlingsaktiviteter Dvs. pr. dataansvarlig

47 Fortegnelseskrav Formkrav Ingen formkrav Blot skriftligt/elektronisk Datatilsynet har et eksempel på en skabelon Kan dog f.eks. med fordel gøres på andre måder Excel-ark Med procesbeskrivelser Evt. database

48

49 Kontakt Tim Nielsen, Advokat Mobil: Direkte: