Webinar om Persondataforordningen. 10. april :30-10:15 Advokat Lars Japp Haslund

Transkript

1 Webinar om Persondataforordningen 10. april :30-10:15 Advokat Lars Japp Haslund

2 HELT KORT OM LUNDGRENS Blev til Lundgrens i 2016 Full-service på større kommercielle juridiske områder ansatte + 80 jurister Hellerup, København FAST EJENDOM & ENTREPRISE KONKURRENCE- RET PERSONDATA FORSIKRING & ERSTATNING RETSSAGER & VOLDGIFT OFFENTLIG VIRKSOMHED M & A SKAT IP & LIFE SCIENCE REKONSTRUK- TION & INSOLVENS MEDIA & ENTERTAIN- MENT FINANS & KAPITAL- MARKED CORPORATE & COMMERCIAL ANSÆTTELSES- RET IT & TECHNOLOGY 2

3 PERSONDATA EKSEMPLER Lokation Båndoptagelse af stemme Videooptagelse Medlemskaber Seksuel orientering Sygedage Udseende Telefonnummer Jobinformation Skostørrelse Biometri Genetik Økonomi Politisk overbevisning Persondata Nationalitet Fagforeningsmæssigt tilhørsforhold Navn Køn Religion CPR-nr. Helbredsoplysninger IP-adresse Fotografi Nummerplade Straffeattest Etnicitet og race Uddannelse Familieforhold Adresse Civilstand 3 = særlige kategorier af persondata ( følsomme oplysninger ) = (almindelig) persondata

4 PERSONDATA KORT OM NOGLE GRUNDBEGREBER EU/EEA 4 4

5 PERSONDATAFORORDNINGEN - I KAMPEN OM PERSONDATA Persondataforordningen får virkning 25. maj Forordningen trådte i kraft i maj EU gav medlemsstater, virksomheder mv. 2 år til at blive klar. Mange krav i forordningen er ikke nye. Fx Indsamling til bestemte formål, sletning, når formålet ophører og mange af registreredes rettigheder. Gælder efter persondataloven i dag. Der er dog også en del ny regler og krav i forordningen. Nogle krav fastlægges i en ny dansk persondatalov, der får virkning samtidig med forordningen. Virksomheder skal være klar til disse regler den 25. maj Fra denne data er Datatilsynet forpligtet til at begynde håndhævelsen. I denne præsentation fremhæves nogle af de væsentligste nye krav og nogle forslag til, hvad I kan gøre allerede nu. 5

6 PERSONDATAFORORDNINGEN OM NOGLE AF DE NYE PÅ HOLDET 6 1. Stærkere og afskrækkende Datatilsyn skal sikre reglerne For at sikre, at reglerne overholdes har tilsynsmyndighederne fået skrappere beføjelser. Mest i øjenfaldende er de store bødestraffe. Afhængig af lovovertrædelsen: 10 millioner / 2 % af global omsætning eller 20 millioner / 4 % af global omsætning for virksomheder. EU ville have hurtige, afskrækkende administrative bøder. Datatilsynet kan ikke udstede endelige administrative bøder, men et bødeforlæg. Accepterer virksomheden ikke dette, skal sagen køre som straffesag ved domstol, der fastlægger bøden. Dataansvarlig hæfter for alle sine behandlinger, herunder for brug af databehandlere. Der er solidarisk ansvar så registrerede kan også vælge at gå efter databehandler for dataansvarliges fejl. Derefter må parterne fordele ansvar.

7 PERSONDATAFORORDNINGEN OM NOGLE AF DE NYE PÅ HOLDET 2. Mere ansvarlighed, mindre bureaukrati Ansvarlighed måske det mest væsentlige nye: Virksomheder skal på ethvert tidspunkt kunne påvise dokumentere at forordningen overholdes. Fx lovligt formål, samtykke eller andet retsgrundlag, slettefrister, sikkerhed, brug af databehandlere efter aftale osv. DPIA: Der skal i visse tilfælde laves konsekvensanalyser på nye behandler af persondata for at afdække og imødegå evt. risici DPO: myndigheder og visse organisationer skal udpege en data protection officer. Kriterier for dette er spegede. Fortegnelse over behandlingsaktiviteter. Der er mindre bureaukrati, før behandlinger kan iværksættes. Kun få behandler kræver forudgående anmeldelse eller tilladelse fra et tilsyn. 7

8 PERSONDATAFORORDNINGEN OM NOGLE AF DE NYE PÅ HOLDET 3. Brud på persondatasikkerheden Ved databrud både hændeligt og utilsigtet skal der inden 72 timer ske underretning til tilsynet, med mindre usandsynligt at der er risiko for de registreredes rettigheder og frihedsrettigheder. Ved høj risiko de registreredes rettigheder og frihedsrettigheder skal de registrerede underrettes. Dvs. kunder, borger mv. skal oplyses om disse hændelser, så de kan tage forholdsregler. Vigtigt at have en plan for, hvordan dette håndteres, så frister kan overholdes, OG der kun sker underretning, når det er relevant og nødvendigt. 8

9 PERSONDATAFORORDNINGEN OM NOGLE AF DE NYE PÅ HOLDET 4. Privacy by Design and default Den dataansvarlig skal tænke databeskyttelse ind i sine (nye) systemer og arbejdsgange, så det er en del af design og standardindstillingerne at passe på persondata. Gælder ikke eksisterende systemer, men nye eller væsentlige ændringer. Husk dog, at systemer, der ikke kan overholde gældende regler fx elementær sletning er allerede i problemer. 9

10 PERSONDATAFORORDNINGEN OM NOGLE AF DE NYE PÅ HOLDET De registreredes rettigheder Mange rettighederne er gældende i dag fx information, indsigt. Visse er nye, fx retten til at få data med (dataportabilitet), der gælder i visse situationer. Den dataansvarlig må forberede sig på at kunne håndtere rettigheder og vide, hvad der skal oplyses. Fx hvilke oplysninger skal der gives, når en medarbejder bliver ansat, når en kunde køber en vare, melder sig til et nyhedsbrev eller bruger virksomhedens hjemmeside Oplysningspligten er generelt udvidet, og der skal gives flere informationer om brugen af persondata i disse tilfælde. Dataansvarlig må også have taget stilling til, hvordan gives indsigtsret i de oplysninger, der behandles fx til en ansat. Eller hvad hvis en kunde kræver ale oplysninger slettet ( retten til at blive glemt ) der ikke er en ubetinget ret.

11 BETYDNING FOR ERHVERVSLIVET BREAKING NEWS: HELE ERHVERVSLIVET ER RAMT Næppe en overraskelse, da personoplysninger indgår i en række sammenhænge fx: GDPR HR: Ansatte, ansøgere, tidligere ansatte Kunder (branche, B2C, B2B) Særlige pligter, fx hvidvask, journalpligt Markedsføring, nyhedsbreve, websites, tracking, profilering Finans og bogholderi IT systemer og IT sikkerhed, herunder logs, monitorering tvovervågning 11

12 BETYDNING FOR ERHVERVSLIVET Organisér 1. Set scenen Strategi: Hvad vil organisationen med opgaven/projektet? Synliggør risici og gevinster for ledelsen og få commitment Scope omfanget af opgaven fastlægges: Fastlægge nøglepersoner der skal inddrages. Ressourcer: hvem skal anvendes i forretningen og skal der ekstern bistand til? DPO de fleste næppe. Overveje forankring af persondata - ansvar. IT tool til understøttelse er det nødvendigt? 2. Mobilisering Nøglepersoner evt. have indledende, kort træning for at kunne besvare meningsfuldt på data mapping skemaer, jf. om lidt. 3. Styring og revidering Formentlig være behov for nogle tilpasninger; pas på med scopescreep, det er også en risikodisciplin 12

13 BETYDNING FOR ERHVERVSLIVET 13 Analysér 1. Data mapping skabe overblik og grundlag for analyse I hvilke processer bruges persondata? (bl.a. afklare) Hvilke persondata har vi - og om hvem Formål og hvilket behandlingsgrundlag, fx samtykke er det opdateret? Hvor indsamler vi persondata fra Hvor længe har vi det og sletter vi? Hvornår skal vi slette? Informerer vi de registrerede korrekt og kan vi håndtere rettigheder; fx anmodning om indsigt Bruger vi databehandlere, og har vi databehandleraftale med dem? Er de i EU og hvis ikke, kan vi lovligt overføre persondata? Hvem videregiver vi oplysninger til og på hvilket grundlag? Har vi dokumentation for, hvad vi gør og bruger persondata til? 2. IT sikkerhed og - systemer: har vi overblik over risiko og systemer? Kan vi understøtte de registreredes rettigheder; evt. tilpasninger 3. Gap analyse på baggrund af oversigter og evt. supplerende informationer 4. Handleplan for det der skal fikses

14 BETYDNING FOR ERHVERVSLIVET Implementér 1. Udføre handlinger for at komme på plads, typiske opgaver Generel politik for behandling af personoplysninger, herunder sletning og årshjul af opgaver. Evt. specifikke politikker på særlige områder fx HR, salgskundeprocesser, markedsføring Lave fortegnelser over behandlingsaktiviteter (meget input vil være direkte i en god mappingøvelsen) Beredskabsplan for brud på persondatasikkerheden (/evt. kobles til IT incident respons plan) Rettigheder. Hvordan håndterer vi rent praktisk anmodning om indsigt, dataportabilitet osv. Skabeloner for databehandlingsaftaler, information om behandlinger til de registrerede, samtykkeskabeloner Ved nye arbejdsgange og projekter sikres databeskyttelse iagttages og vurderes ( DPIA og DbD ) 2. IT tilpasninger: hvis IT systemer ikke kan håndtere grundlæggende krav og/eller de registreredes rettigheder. 14

15 BETYDNING FOR ERHVERVSLIVET Drift 1. Drift walk the talk og find løsninger Følge politikker og årshjul mv. Træning og awareness af medarbejdere 2. Audit og kontroller Kontrollere at vi følger politikker og regler i praksis Virker governance det som tilsigtet, sender giver vores databehandlere relevante erklæringer ind, får vi trænet medarbejdere 3. Orientering til ledelsen Status på projekt og drift risikobilledet. Relevante hændelser. (Skal de evt. have særlige forsikringer tegnet, hvis ricisi taler herfor) 4. Handle og tilpasse Hvis hændelse eller ændret risikobillede handle og tilpasse Rapportering til ledelse osv. 15

16 16 Tak for jeres opmærksomhed

17 KONTAKTINFORMATION OG CV Lars Japp Haslund Head of Data Protection Advokat, Director T M E ljh@lundgrens.dk Head of Data Protection Team hos Lundgrens Advokatfirma 1/ Certificeringer fra IAPP i persondata (FIP,CIPP/E, CIPM) Underviser jurister og andre i IAPP certificeringer på JUC.dk Underviser i IT Governance certificeringer Senioradvokat i Bech Bruun på GDPR Advokat og senere Global DPO i ROCKWOOL koncernen Advokat i DONG Energy (nu Ørsted) i 6 år, bl.a. compliance med persondataret 17

18 LUNDGRENS.DK LUNDGRENS LAW FIRM P/S TUBORG BOULEVARD 12 DK-2900 HELLERUP DENMARK