HAR DIN VIRKSOMHED STYR PÅ GDPR? v/ Advokat Henrik Mansfeldt Witt & Advokatfuldmægtig Majbritt Alemany

Transkript

1 HAR DIN VIRKSOMHED STYR PÅ GDPR? v/ Advokat Henrik Mansfeldt Witt & Advokatfuldmægtig Majbritt Alemany 1

2 ER I KLAR? DAGE TIMER MINUTTER SEKUNDER

3 HVAD ER FORMÅLET? - Styrke og ensrette databeskyttelsen for individer i EU - Give borgerne mere kontrol over deres personoplysninger - Indføre større bøder for manglende overholdelse - Dele ansvaret mellem dataansvarlige og databehandlere 4 øjne ser bedre end 2 3

4 NOGLE AF DE CENTRALE BEGREBER Personoplysninger (oplysninger, der kan bruges til at identificere en person) Ansvarlighed (Dokumentation) Formål og behandlingsgrundlag Den registreredes rettigheder Behandlinger (alt det, man gør med personoplysningerne) Databeskyttelsesofficer (DPO) Dataansvarlig (den, der bestemmer over personoplysningerne) Databehandler (den, der behandler) Databehandleraftaler Passende tekniske foranstaltninger Passende organisatoriske foranstaltninger Sikkerhedsbrud Sikkerhedslog Privacy by design og default et krav når I udvikler software Håndhævelse og sanktioner 4

5 DE CENTRALE BEGREBER DER IKKE GENNEMGÅS Databeskyttelsesrådet Konsekvensanalyse (DPIA) Profilering Overførsel til tredjelande Privacy Shield SCC (Standard Contractual Clauses) BCI (Binding Corporate Rules) Anmeldelse og tilladelse Adfærdskodeks, certificering og databeskyttelsesmærkning 5

6 DE CENTRALE BEGREBER Personoplysninger (oplysninger, der kan bruges til at identificere en person) Ansvarlighed (Dokumentation) Formål og behandlingsgrundlag Den registreredes rettigheder Behandlinger (alt det, man gør med personoplysningerne) Databeskyttelsesofficer (DPO) Dataansvarlig (den, der bestemmer over personoplysningerne) Databehandler (den, der behandler) Databehandleraftaler Passende tekniske foranstaltninger Passende organisatoriske foranstaltninger Sikkerhedsbrud Sikkerhedslog Privacy by design og default et krav når I udvikler software Håndhævelse og sanktioner 6

7 DE CENTRALE BEGREBER Køn Familiemæssige oplysninger 7

8 DE CENTRALE BEGREBER Personoplysninger (oplysninger, der kan bruges til at identificere en person) Ansvarlighed (Dokumentation) Formål og behandlingsgrundlag Den registreredes rettigheder Behandlinger (alt det, man gør med personoplysningerne) Databeskyttelsesofficer (DPO) Dataansvarlig (den, der bestemmer over personoplysningerne) Databehandler (den, der behandler) Databehandleraftaler Passende tekniske foranstaltninger Passende organisatoriske foranstaltninger Sikkerhedsbrud Sikkerhedslog Privacy by design og default et krav når I udvikler software Håndhævelse og sanktioner 8

9 ANSVARLIGHED (DOKUMENTATION) Ansvarlighed Dokumentation DATATILSYNET DOKUMENTATION! - Hvis det ikke kan dokumenteres, at I overholder så overholder I IKKE! - I skal kunne dokumentere, at I både som dataansvarlig og databehandler udviser den krævede ansvarlighed Men det kan gøres på mange måder og på mange niveauer, så find det rette for jer 9

10 DE CENTRALE BEGREBER Personoplysninger (oplysninger, der kan bruges til at identificere en person) Ansvarlighed (Dokumentation) Formål og behandlingsgrundlag Den registreredes rettigheder Behandlinger (alt det, man gør med personoplysningerne) Databeskyttelsesofficer (DPO) Dataansvarlig (den, der bestemmer over personoplysningerne) Databehandler (den, der behandler) Databehandleraftaler Passende tekniske foranstaltninger Passende organisatoriske foranstaltninger Sikkerhedsbrud Sikkerhedslog Privacy by design og default et krav når I udvikler software Håndhævelse og sanktioner 10

11 FORMÅL OG BEHANDLINGSGRUNDLAG FORMÅL Personoplysninger må alene indsamles til udtrykkeligt oplyste saglige formål. Den behandling, som personoplysningerne senere undergives, må ikke være uforenelig med det oplyste formål. Det oplyste formål har betydning for, hvilket behandlingsgrundlag, der anvendes til behandlingen BEHANDLINGSGRUNDLAG Behandlingsgrundlaget kan være: Et forudgående, frivilligt, specifikt, informeret og udtrykkeligt samtykke (NB: Kan tilbagekaldes) Til nødvendig opfyldelse af en kontrakt som den registrerede er part i At behandling er nødvendig for at overholde en retlig forpligtelse At behandlingen er nødvendigt for den dataansvarlige eller tredjemand kan forfølge en legitim interesse, medmindre hensynet til den registrerede går forud. 11

12 DE CENTRALE BEGREBER Personoplysninger (oplysninger, der kan bruges til at identificere en person) Ansvarlighed (Dokumentation) Formål og behandlingsgrundlag Den registreredes rettigheder Behandlinger (alt det, man gør med personoplysningerne) Databeskyttelsesofficer (DPO) Dataansvarlig (den, der bestemmer over personoplysningerne) Databehandler (den, der behandler) Databehandleraftaler Passende tekniske foranstaltninger Passende organisatoriske foranstaltninger Sikkerhedsbrud Sikkerhedslog Privacy by design og default et krav når I udvikler software Håndhævelse og sanktioner 12

13 DATAANSVARLIG DEN REGISTREREDES RETTIGHEDER Mine rettigheder! Eget initiativ Anmodning Oplysningspligt (Art. 13 & 14) Indsigtsret og korrektionsret Indsigelsesret Ret til sletning og databegrænsning Ret til dataportabilitet U: 22 13

14 DE CENTRALE BEGREBER Personoplysninger (oplysninger, der kan bruges til at identificere en person) Ansvarlighed (Dokumentation) Formål og behandlingsgrundlag Den registreredes rettigheder Behandlinger (alt det, man gør med personoplysningerne) Databeskyttelsesofficer (DPO) Dataansvarlig (den, der bestemmer over personoplysningerne) Databehandler (den, der behandler) Databehandleraftaler Passende tekniske foranstaltninger Passende organisatoriske foranstaltninger Sikkerhedsbrud Sikkerhedslog Privacy by design og default et krav når I udvikler software Håndhævelse og sanktioner 14

15 BEHANDLINGER Alle aktiviteter, som personoplysninger udsættes for, fra de opstår, til de ophører, er omfattet af behandlingsbegrebet Opbevaring Blokering Søgning Videregivelse Ændring Sletning Formidling Indsamling Samkøring Registrering Brug BEHANDLINGER 15

16 DE CENTRALE BEGREBER Personoplysninger (oplysninger, der kan bruges til at identificere en person) Ansvarlighed (Dokumentation) Formål og behandlingsgrundlag Den registreredes rettigheder Behandlinger (alt det, man gør med personoplysningerne) Databeskyttelsesofficer (DPO) Dataansvarlig (den, der bestemmer over personoplysningerne) Databehandler (den, der behandler) Databehandleraftaler Passende tekniske foranstaltninger Passende organisatoriske foranstaltninger Sikkerhedsbrud Sikkerhedslog Privacy by design og default et krav når I udvikler software Håndhævelse og sanktioner 16

17 DATABESKYTTELSESOFFICER (DPO) HVAD ER DATABESKYTTELSESOFFICERENS ROLLE? Underrette og rådgive den dataansvarlige eller databehandleren og de ansatte om deres forpligtelser Føre tilsyn med, om virksomheden overholder reglerne HVORNÅR SKAL VIRKSOMHEDER HAVE EN DPO? Når den dataansvarliges eller databehandlerens kerneaktiviteter består af behandlinger, der efter deres karakter, omfang eller formål kræver regelmæssig og systematisk overvågning af registrerede i stort omfang Når den dataansvarliges eller databehandlerens kerneaktiviteter består af behandling i stort omfang af følsomme personoplysninger og personoplysninger vedrørende straffedomme og lovovertrædelser 17

18 DE CENTRALE BEGREBER Personoplysninger (oplysninger, der kan bruges til at identificere en person) Ansvarlighed (Dokumentation) Formål og behandlingsgrundlag Den registreredes rettigheder Behandlinger (alt det, man gør med personoplysningerne) Databeskyttelsesofficer (DPO) Dataansvarlig (den, der bestemmer over personoplysningerne) Databehandler (den, der behandler) Databehandleraftaler Passende tekniske foranstaltninger Passende organisatoriske foranstaltninger Sikkerhedsbrud Sikkerhedslog Privacy by design og default et krav når I udvikler software Håndhævelse og sanktioner 18

19 DE CENTRALE BEGREBER Hvorfor er det vigtigt at finde ud af, om du er dataansvarlig eller databehandler? DATAANSVARLIG Er ansvarlig for lovligt formål og behandlingsgrundlag. Er ansvarlig for at opfylde den registreredes rettigheder Skal implementere egne passende tekniske og organisatoriske sikkerhedsforanstaltninger. Ansvarlig for lovlig behandling og placering udenfor EU/EØS/Sikre tredjelande. Har pligt til at informere Datatilsynet indenfor 72 timer - og de berørte personer uden unødigt ophold ved sikkerhedsbrud. Skal udarbejde egne behandlingsfortegnelser Bestemmer hvordan personoplysningerne må behandles Er ansvarlig for udarbejdelse af evt. konsekvensanalyser DATABEHANDLER Er forpligtet overfor den dataansvarlige og hæfter for underdatabehandlere. Skal bistå den dataansvarlige med at denne kan opfylde sine forpligtelser, herunder overfor de registrerede og Datatilsynet (fornøden dokumentation) Skal udarbejde egne behandlingsfortegnelser. Skal implementere egne passende tekniske og organisatoriske sikkerhedsforanstaltninger. Informere den dataansvarlige uden unødigt ophold ved sikkerhedsbrud. Må kun behandle personoplysninger efter dokumenteret instruks. 19

20 20

21 Hovedspørgsmålene man skal stille sig selv : De seks H er: Hvorfor? Til hvilket formål Hvorhen? Videregivelse af personoplysninger Hvem? Kategorier af registrerede Personoplysninger Hvorfra? Indsamles personoplysninger Hvilke? Typer af personoplysninger Hvor? Opbevaring af personoplysninger 21

22 DE CENTRALE BEGREBER Personoplysninger (oplysninger, der kan bruges til at identificere en person) Ansvarlighed (Dokumentation) Formål og behandlingsgrundlag Den registreredes rettigheder Behandlinger (alt det, man gør med personoplysningerne) Databeskyttelsesofficer (DPO) Dataansvarlig (den, der bestemmer over personoplysningerne) Databehandler (den, der behandler) Databehandleraftaler Passende tekniske foranstaltninger Passende organisatoriske foranstaltninger Sikkerhedsbrud Sikkerhedslog Privacy by design og default et krav når I udvikler software Håndhævelse og sanktioner 22

23 DATABEHANDLERAFTALEN HVORFOR? 23

24 DATABEHANDLERAFTALEN DOKUMENTERET INSTRUKS - Skriftlig - Entydig - Relevant og præcis 24

25 DATABEHANDLERAFTALEN UNDERDATABEHANDLERE - Hæfter for samme forpligtelse 25

26 DATABEHANDLERAFTALEN KRAV TIL JER! - der er databehandler 26

27 DATABEHANDLERAFTALEN FRITSTÅENDE TAVSHEDSERKLÆRING 27

28 DE CENTRALE BEGREBER Personoplysninger (oplysninger, der kan bruges til at identificere en person) Ansvarlighed (Dokumentation) Formål og behandlingsgrundlag Den registreredes rettigheder Behandlinger (alt det, man gør med personoplysningerne) Databeskyttelsesofficer (DPO) Dataansvarlig (den, der bestemmer over personoplysningerne) Databehandler (den, der behandler) Databehandleraftaler Passende tekniske foranstaltninger Passende organisatoriske foranstaltninger Sikkerhedsbrud Sikkerhedslog Privacy by design og default et krav når I udvikler software Håndhævelse og sanktioner 28

29 TEKNISKE FORANSTALTNINGER For eksempel: Teknisk beskyttelse mod uautoriseret adgang, herunder firewalls ved eksterne kommunikationslinjer Kryptering af personoplysninger Sikkerhedsforanstaltninger mod virus Regelmæssige backup-procedurer Passende beskyttelse af computere og mobile enheder Fysisk sikkerhed 29

30 DE CENTRALE BEGREBER Personoplysninger (oplysninger, der kan bruges til at identificere en person) Ansvarlighed (Dokumentation) Formål og behandlingsgrundlag Den registreredes rettigheder Behandlinger (alt det, man gør med personoplysningerne) Databeskyttelsesofficer (DPO) Dataansvarlig (den, der bestemmer over personoplysningerne) Databehandler (den, der behandler) Databehandleraftaler Passende tekniske foranstaltninger Passende organisatoriske foranstaltninger Sikkerhedsbrud Sikkerhedslog Privacy by design og default et krav når I udvikler software Håndhævelse og sanktioner 30

31 DE CENTRALE BEGREBER For eksempel: Procedurer for adgang til personoplysninger Procedurer for håndtering af sikkerhedsbrud Regler for brug af password Regler for ukontrolleret cirkulation og kopiering af persondata (mail-disciplin, disciplin ved håndtering af kunders data m.v.) Gennemgang af sikkerhed om tilgængelighed af persondata på fysiske medier Uddannelse og instruktion af medarbejderne Procedurer for kontinuerlig opfyldning (årshjul) Procedurer for risikovurdering/sikkerhedslog 31

32 32

33 DE CENTRALE BEGREBER Personoplysninger (oplysninger, der kan bruges til at identificere en person) Ansvarlighed (Dokumentation) Formål og behandlingsgrundlag Den registreredes rettigheder Behandlinger (alt det, man gør med personoplysningerne) Databeskyttelsesofficer (DPO) Dataansvarlig (den, der bestemmer over personoplysningerne) Databehandler (den, der behandler) Databehandleraftaler Passende tekniske foranstaltninger Passende organisatoriske foranstaltninger Sikkerhedsbrud Sikkerhedslog Privacy by design og default et krav når I udvikler software Håndhævelse og sanktioner 33

34 HVAD ER ET SIKKERHEDSBRUD? En hændelse, som fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse eller adgang til personoplysninger Eksempler på sikkerhedsbrud: - Cyber crime og informationssikkerhed - Phishing forsøg på at franarre typisk adgangs- eller identitetsoplysninger - Hacking - Organisatoriske sikkerhedsbrud (din kollegas misbrug af din login-information) Håndtering: - Stands ulykken - Derefter (eller sideløbende) skal OBS: Det afgørende for, om der er tale om et sikkerhedsbrud, som skal anmeldes er, om der sket kompromittering af personoplysninger. myndighederne i visse tilfælde orienteres og alle aspekter af sikkerhedsbruddet skal kunne dokumenteres. 34

35 35

36 SIKKERHESDLOG 36

37 DE CENTRALE BEGREBER Personoplysninger (oplysninger, der kan bruges til at identificere en person) Ansvarlighed (Dokumentation) Formål og behandlingsgrundlag Den registreredes rettigheder Behandlinger (alt det, man gør med personoplysningerne) Databeskyttelsesofficer (DPO) Dataansvarlig (den, der bestemmer over personoplysningerne) Databehandler (den, der behandler) Databehandleraftaler Passende tekniske foranstaltninger Passende organisatoriske foranstaltninger Sikkerhedsbrud Sikkerhedslog Privacy by design og default et krav når I udvikler software Håndhævelse og sanktioner 37

38 Privatlivs- og persondatabeskyttelse indlejres i IT-design og arkitektur fra begyndelsen Standardmekanismer, der begrænser indsamling/adgang til personlige informationer i forhold til de bestemte formål PRIVACY BY DESIGN AND DEFAULT FORBEREDELSE Fastslå hvilke kategorier af personlige informationer og dermed forbundne risici softwaren skal kunne håndtere. Gennemfør analyse ud fra aktuel teknisk niveau, omkostninger samt risici af hvilke yderligere tiltag der med rimelighed kan tages. BESKYTTELSE Indbyg mulighed for et eller flere passende beskyttelsesniveauer. Herunder evt. adgang til anonymiseret/ pseudonymiseret/data minimering og differentieret adgang til data (default højeste sikkerhed og mindst adgang). AUTOMATISEREDE VÆRKTØJER Overvej automatiserede scanningsværktøjer til at opdage sikkerhedssvagheder og potentielle risici og værktøjer til at styre autorisation og adgang. KONTROL Brugbare logs der kan anvendes til dokumentation for, at der kun sker lovlige behandlinger af de personlige informationer. 38

39 PRIVACY BY DESIGN AND DEFAULT PRINCIPPER PROAKTIV, IKKE REAKTIV ANALYSE DOKUMENTATION STILLES TIL RÅDIGHED FOR DEN DATAANSVARLIGE RESULTAT AF ANALYSE IMPLEMENTERES I SOFTWAREN PRIVACY BY DESIGN AND DEFAULT ANALYSE FORETAGES UD FRA AKTUELT TEKNISK NIVEAU, OMKOSTNINGER, FUNKTIONALITET OG RISICI PRIVACY SOM STANDARD INDLEJRET I SOFTWAREN (EVT. SOM TILKØB) 39

40 DE CENTRALE BEGREBER Personoplysninger (oplysninger, der kan bruges til at identificere en person) Ansvarlighed (Dokumentation) Formål og behandlingsgrundlag Den registreredes rettigheder Behandlinger (alt det, man gør med personoplysningerne) Databeskyttelsesofficer (DPO) Dataansvarlig (den, der bestemmer over personoplysningerne) Databehandler (den, der behandler) Databehandleraftaler Passende tekniske foranstaltninger Passende organisatoriske foranstaltninger Sikkerhedsbrud Sikkerhedslog Privacy by design og default et krav når I udvikler software Håndhævelse og sanktioner 40

41 HÅNDHÆVELSE OG SANKTIONER FOR PRIVATE VIRKSOMHEDER Sanktion 1: Påbud Påbud om lovliggørelse herom om hvordan og hvornår, Påbud om at stoppe med en behandling (midlertidigt eller definitivt,) Påbud om at give de registrerede underretning om datatab Sanktion 2: Bøder 2 grænser: Den milde op til EURO eller 2 % af den globale oms. i senest regnskab hvis højere end Den hårde op til EURO eller 4 % af den blobale oms. I seneste regnskab, hvis højere end EURO Sanktion 3: Fængsel: Fængsel op til 6 måneder. 41

42 HÅNDHÆVELSE OG SANKTIONER Sanktion 1 og 2 kan kombineres - De bøder der gives, skal have en afskrækkende virkning! (Står direkte i forordningen) Bøderne skal så også stå i et rimeligt forhold til overtrædelsen - Så det bliver en afvejning, hvor bl.a. fortsæt bliver væsentlig. Også hvordan man efterfølgende har opført sig. De største bøder udløses af: - Tilsidesættelse af de registreredes rettigheder, eller brud på de grundlæggende principper for behandling af personoplysninger (f.eks. manglende dokumentation) - Brug af ulovligt samtykke kan også blive dyrt 42

43 KUN EN TÅBE FRYGTER IKKE 43

44 SPØRGSMÅL? ADDRESS : Kongens Nytorv, 28, 2, 1050 København K PHONE : CONTACT hmw@integralaw.dk WEB : integralaw.dk