Persondata. Certificeret IT-Advokat, Torsten Hylleberg

Transkript

1 Persondata Certificeret IT-Advokat, Torsten Hylleberg

2 Torsten Hylleberg Attorney, Head of IT Law E: T: M: Stilling Uddannelse Tillidshverv Medlemsskaber Sprog Arbejdsområder Certificeret IT Advokat leder af IT retsafdelingen 2016: Certificeret IT Advokat 1999: Advokatbeskikkelse 1994: Cand.jur. fra Københavns Universitet 1998: HD i Finansiering fra Handelshøjskolen i København (CBS) 2004: Stenhus Kostskole, (formand) 2003: Stenhus Fonden Danske Advokater, Danske IT Advokater, Netværk for IT kontraktsret, LRM netværk, LES Persondatanetværk (ansvarlig) Skandinavisk & engelsk Persondata IT outsourcing Softwareudvikling IT kontrakter Softwarelicenser Hosting SaaS Cloud licensing Distributionsaftaler Cookie rådgivning Overholdelse af lovgivningen om e handel, fjernsalg og elektronisk kommunikation M&A

3 Disclaimer Indholdet af denne præsentation bør udelukkende anvendes som inspiration og må hverken betragtes som juridisk eller forretningsmæssig rådgivning. Disse slides er baseret på dansk ret. Afsender fralægger sig ethvert ansvar for direkte eller indirekte tab.

4 Hvad er en personoplysning? Persondatalovens 3, nr. 1: Enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede). Definitionen omfatter bl.a. billeder af personer, der kan identificeres, identifikationsnummer eller et eller flere elementer specifikke for denne persons fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sociale identitet. Omfatter også oplysninger om en person ved navns nævnelse eller oplysninger, der på anden vis kan henføres til en fysisk person.

5 Typer af personoplysninger Persondataloven opererer med tre forskellige niveauer af personoplysninger: Almindelige personoplysninger ( 6) Følsomme oplysninger ( 7) Andre typer af oplysninger om rent private forhold ( 8)

6 Almindelige personoplysninger Almindelige personoplysninger kan være identifikationsoplysninger, oplysninger om økonomiske forhold, kundeforhold eller andre lignende ikke følsomme oplysninger Eksempelvis navn, adresse, telefonnummer, fødselsdato samt oplysninger om nær familie, uddannelse, udtalelser, tidligere beskæftigelse, nuværende stilling, arbejdsopgaver, arbejdstider, løn, skat, pensionsforhold, kildeskatteoplysninger og kontonummer Se persondatalovens 6

7 Følsomme personoplysninger Følsomme personoplysninger er bl.a. oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold Se persondatalovens 7

8 Andre følsomme personoplysninger Introduktion til persondataret 5/23 Andre følsomme personoplysninger er bl.a. oplysninger om strafbare forhold, væsentlige sociale problemer og lignende følsomme privatlivsoplysninger, f.eks. om interne familieforhold Se persondatalovens 8

9 Behandling af personoplysninger Behandlingsgrundlag OG Behandlingsprincipper

10 Behandlingsgrundlag almindelige personregler 6 den registrerede har givet udtrykkeligt samtykke behandlingen er nødvendig af hensyn til opfyldelsen af en aftale behandlingen er nødvendig for at overholde en retlig forpligtelse behandlingen er nødvendig for, at den dataansvarlige eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en berettiget interesse og hensynet til den registrerede ikke overstiger denne interesse

11 Behandlingsgrundlag følsomme oplysninger 7 Udgangspunkt: behandling må ikke finde sted den registrerede har givet udtrykkeligt samtykke behandlingen vedrører oplysninger, som er blevet offentliggjort af den registrerede behandlingen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares Ingen interesseafvejningsregel

12 Behandlingsprincipper Herudover skal databehandling ske i overensstemmelse med 5 om god databehandlingsskik. Stk. 2. Indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og senere behandling må ikke være uforenelig med disse formål. Senere behandling af oplysninger, der alene sker i historisk, statistisk eller videnskabeligt øjemed anses ikke for uforenelig med de formål, hvortil oplysningerne er indsamlet Stk. 3. Oplysninger, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles

13 Dataansvarlig Det er som absolut udgangspunkt den dataansvarlige, som er ansvarlig for, at persondataloven overholdes Persondataloven 3, nr. 4, definerer den dataansvarlige således: Den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger.

14 Databehandler Persondataloven 3, nr. 5, definerer den databehandleren som: Den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der behandler oplysninger på den dataansvarliges vegne. Databehandler kan i nogle situationer også være dataansvarlig Parternes egen definering ikke afgørende Efter instruks Skriftlig databehandleraftale

15 Minus rent private aktiviteter + journalistik Aktiviteter af rent privat karakter Oplysningerne, kun tilgængelige for en snæver kreds af personer, jf. 2, stk. 3 Journalistisk virksomhed, jf. 2, stk. 10, men virksomheder kan stort set aldrig påberåbe sig bestemmelsen Også andre undtagelser. Se bl.a. 2

16 Persondata Flere grundlæggende regler

17 Samtykke Enhver frivillig, specifik og informeret viljestilkendegivelse, hvorved den registrerede indvilger i, at oplysninger, der vedrører den pågældende selv, gøres til genstand for behandling Mundlig/skriftlig Enhver indikation Behov for handling / opt out ikke nok Udøve et reelt valg Skal være forståeligt / beskrivelse af omfang og konsekvenser Forståelse af de faktiske omstændigheder

18 Samtykke Entydigt Generelle persondata Udgangspunkt: databehandling ok Ingen tvivl om den registrerede hensigt til at give samtykke Oprette solide procedurer Ikke konsistens mellem medlemsstaterne Browser-indstillinger kan være nok Eksplicit Sensitive data Udgangspunkt: databehandling forbudt Reager aktivt

19 Behandlingssikkerhed Dataansvarlig Træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger Oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, Oplysninger kommer til uvedkommendes kendskab eller misbruges Oplysninger i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere selvstændig pligt

20 Behandlingssikkerhed Sikkerhedsbekendtgørelsen databehandling i det offentlige og for domstolene Datatilsynets vejledning Ikke fastsat særlige regler for behandlingssikkerhed i den private sektor Udgangspunkt dog samme krav til private sektor som til offentlige sektor Hensyn til det aktuelle tekniske og omkostningsmæssige niveau Ufravigelighed Registrerede ikke give samtykke til fravigelse Forpligtelse til at begrænse en opstået skade

21 Behandlingssikkerhed Kryptering Private sektor: Ikke samme krav som for offentlig sektor Følsomme oplysninger ( 7 og 8) Fortrolige personoplysninger Personnumre Tilladelse med vilkår om ekstra sikkerhedsforanstaltninger (kreditoplysningsbureauer, advarselsregistre, etc.) Selvstændig vurdering (fornødne) Påbud om at træffe bestemte tekniske og organisatoriske sikkerhedsforanstaltninger

22 Overførsel til tredjelande Der må overføres persondata til 3. land såfremt: 3. land sikrer et tilstrækkeligt beskyttelsesniveau Den registrerede har givet udtrykkeligt samtykke Overførslen er nødvendig af hensyn til opfyldelsen af en aftale (fx ansættelseskontrakt) mellem den registrerede og den dataansvarlige eller som er i den registreredes interesse Overførslen er nødvendig eller følger af lov eller bestemmelser fastsat i henhold til lov for at beskytte en vigtig samfundsmæssig interesse eller for, at et retskrav kan fastlægges, gøres gældende eller forsvares

23 Overførsel til tredjelande Der må endvidere overføres persondata til 3. land såfremt: Overførslen er nødvendig for at beskytte den registreredes vitale interesser Andre vægtige grunde Binding Corporate Rules (med tilladelse) Model klausul aftale (uden tilladelse) Herudover skal de almindelige regler for databehandling opfyldes

24 Overførsel til tredjelande Tilladelse fra Datatilsyn ( 50, stk. 2) Selve overførslen godkendes evt. generel tilladelse Personaleregister Aftaler hvor medarbejderen selv er part Aftaler hvor medarbejderen har en berettiget interesse Retskrav IKKE hvor udtrykkeligt samtykke

25 Andre rettigheder Oplysningspligt overfor den registrerede, kapitel 8. Den registreredes indsigtsret, kapitel 9. Indsigelse mod behandling, 35. Indsigelse mod overdragelse af kundedata, 36. Ret til berigtigelse, sletning eller blokering af oplysninger, 37. Ret til at tilbagekalde samtykke, 38. Indsigelse mod profilering, 39.

26 Persondataforordningen Hvorfor bekymre sig nu? Reglerne træder jo først i kraft 25. maj 2018

27 Sanktioner / straf 2 kategorier Specifik opregning af, hvilke pligter som falder i hver kategori Niveau 1: 10 mio. EUR eller op til 2 % af global årlig omsætning Niveau 2: 20 mio. EUR eller op til 4 % af global årlig omsætning Erstatning / godtgørelse Selvstændigt ansvar for databehandler

28 4 % Bøder: De grundlæggende databehandlingsprincipper, behandlingsgrundlag, betingelser for samtykke og behandling af sensitive data De registreredes rettigheder i henhold til art Overførsel af personoplysninger til en modtager i et tredjeland eller en international organisation Eventuelle forpligtigelser i medfør af medlemsstaternes nationale særbestemmelser vedtaget i henhold til kapitel IX (cpr. numre, ansættelsesforhold, etc.). Manglende overholdelse af et påbud eller af en midlertidig eller definitiv begrænsning af behandling eller tilsynsmyndighedens suspension

29 2 % Bøder: Dataansvarliges og databehandlerens forpligtelser vedrørende: Børns samtykke Privacy by design/default Repræsentanter for dataansvarlige og databehandlere, der ikke er etableret i Unionen Dokumentationskrav Behandlingssikkerhed Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden Underretning om brud på persondatasikkerheden til den registrerede Data Protection Impact Assessment (PIA)

30 Harmoniseret (og forenklet) lovgivning Ikke fuld harmonisering Visse områder stadig overladt til lokal regulering Mangler detailregulering fra EU, medlemsstater, brancheorganisationer, etc. Code of conducts Mange forhold stadig reguleret af lokale myndigheder Et element af vent og se

31 Generelle ændringer Færre administrative byrder for virksomhederne Styrket kompetence til de nationale databeskyttelsesmyndigheder Kun kontakt med én databeskyttelsesmyndighed 3. landes virksomheders behandling af persondata

32 Samtykke Udtrykkeligt samtykke Baseret på fri vilje og frit valg Skal kunne afslås eller nægtes uden skadesvirkning Særlige krav i forhold til samtykke fra medarbejdere (ubalance i styrkeforhold) Dokumentationskrav Samtykke tydeligt separeret fra andre vilkår Forståeligt og i let tilgængelig form

33 Samtykke Ret til at tilbagekalde samtykke til enhver tid tilbagekaldelse på samme måde som afgivet 16 / 13 års grænse for at kunne afgive samtykke uden medvirken af værge Mange virksomheder vil skulle redesigne den måde, hvorpå der i dag gives samtykke

34 Data portabilitet Ret til at modtage persondata om sig selv Struktureret Maskinlæsbart format Almindelig anvendelig elektroniske formater Ret til at få overført persondata direkte til en anden service provider, hvor det er teknisk muligt

35 Privacy by design and by default By design Produktdesign egnet til persondatasikkerhed Teknik skal være designet til compliance By default Kun relevante data indsamles og behandles Må ikke gemmes længere end nødvendigt Kun relevante personer har adgang Tilstrækkelige tekniske og organisatoriske mål Data beskyttelses politikker Anvende godkendte Code of Conduct s og certificeringer Pseudonymisering

36 Dokumentationskrav Passende dokumentation Demonstrere overholdelse af persondataforordningen Skriftlig dokumentation for enhver behandlingstype Den dataansvarlige skal have præcis, lettilgængelig og tydelig information om: hvorfor og hvordan persondata behandles hvilke rettigheder datasubjektet har hvem der er dataansvarlig hvilke persondata, der er blevet behandlet overførsler til 3. lande, m.v.

37 Datasikkerhed Pseudonymisering og kryptering Fortrolighed, integritet og tilgængelighed Robusthed i systemer og tjenester Sikre gendannelse og adgang til data i tilfælde af et fysisk eller teknisk hændelse Regelmæssigt test, vurdering og evaluering

38 Databreach Hændelig eller ulovlig ødelæggelse, tab m.v. Notificere DPA uden ubegrundet ophold, senest 72 timer efter hændelse Databehandler informere dataansvarlige uden ubegrundet ophold Beskrive brud på sikkerhed samt konsekvenser Notificere datasubjektet uden ubegrundet ophold, hvor risikoen er stor. Dog ikke, hvis: foranstaltninger implementeret eller plan for implementering ikke proportionel

39 Data Privacy Officer DPO Offentlige / større virksomheder / professionelle databehandlere Virksomhed, som kræver regelmæssig og systematisk overvågning af registrerede i stor målestok Planlæg hvordan DPO rollen skal udfyldes Koncernfunktion Uafhængig, deltid Særlig ekspertviden Overvåge compliance / point of contact / rådgivning om DPIA s og samarbejde med DPA

40 Data Protection Impact Assessment (PIA) Ny teknologi eller aktivitet Involverer en høj risiko (sensitive data) Ikke audit identificerer risiko up-front Generel beskrivelse af behandlingen Rådgivning DPO Vurdering af risici Anvendte mekanismer til nedsættelse af risici Konsultere DPA, hvis PIA påpeger høj risiko Inspiration Dansk Industris skabelon for data privacy impact assessment: elon%20for%20privacy%20impact%20assessment.pdf

41 Retten til at blive glemt Persondata som ikke længere er nødvendige Samtykke tilbagekaldes Dog ikke hvor: Udøvelse af pressefrihed Overholdelse af gældende lov Databehandling i den offentlige interesse Arkivering opretholdt i den offentlige interesse

42 Hvor begynder man? De færreste virksomheder har p.t. fuldt overblik over hvilke data, de behandler

43 Sørg for ledelsesforankring

44 Forståelse Hvilke data? Medarbejdere Kunder Leverandører Kunders data Hvem deles data med? Hvem er dataansvarlig / databehandler? Sub databehandlere? Overførsler til 3. land Tilstrækkelig dokumentation?

45 Andre Fokusområder Compliance Sikkerhed Aftaler Databehandlere Privacy by design / default Eksisterende IT-systemer: Understøttes privacy by design / default? Levetid af den pågældende IT løsning Nye IT-løsninger: Sikre, at kommende IT-løsninger understøtter privacy by design / default

46 Hvordan kan vi hjælpe? Finde løsninger - ikke problemer Indledende analyse fast pris Compliance workshops Guide omkring undersøgelse af processer og data flow Udarbejde politikker Uddannelse (webinar eller særligt tilpasset uddannelse) Gennemgang og opdatering af kontrakter Persondata Netværk

47 Advokat, Certificeret IT-retsadvokat, Torsten Hylleberg