PERSONDATAFORORDNING DEN NYE. Er du klædt på til den nye persondataforordning? it-forum og Kromann Reumert 5. april 2016

Transkript

1 DEN NYE PERSONDATAFORORDNING Er du klædt på til den nye persondataforordning? it-forum og Kromann Reumert 5. april 2016 SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø CVR. NR: DK

2 AGENDA 1. Persondataret og it - Overblik over den gældende lovgivning Kristian Storgaard, Kromann Reumert 2. Den kommende persondataforordning Daiga Grunte-Sonne, Kromann Reumert 3. Introduktion til PrivacyKompasset som værktøj Karen Gjølbo, Erhvervsstyrelsen I pausen og efter arrangementet er mulighed for at prøve PrivacyKompasset på opstillede computere Karen Gjølbo fra Erhvervsstyrelsen er tilgængelig for spørgsmål 4. Opsamling og spørgsmål SIDE 2

3 HVORFOR ER DET RELEVANT FOR MIG? Beskyttelse af privatlivets fred er (blevet) moderne - men udfordres kraftigt af den teknologiske udvikling Oplysninger samles i store mængder Big data og data mining Oplysninger deles i meget vidt omfang og ofte uden at folk ved det Datasikkerhed/cyber crime er kommet på dagsordenen Nye regler på vej fra EU Reglerne bliver mere og mere komplicerede og nogle aktører er slet ikke underlagt dansk ret SIDE 3

4 PERSONDATARET OG IT Overblik over den gældende lovgivning Kristian Storgaard advokat (L) certificeret IT-advokat Kromann Reumert SUNDKROGSGADE 5, DK-2100 KØBENHAVN Ø CVR. NR: DK

5 PERSONDATARETTEN I DAG National lovgivning baseret på direktiv 95/46/EF Hensynet - ensartethed I realiteten meget uensartet retstilstand og ikke mindst - uensartet håndhævelse I Danmark Persondataloven fra 2000 som ramme Herudover en række særlove lov om finansiel virksomhed, sundhedsloven, CPRloven, betalingstjenesteloven m.v. SIDE 5

6 PERSONDATALOVEN HVAD ER OMFATTET? Personoplysning: oplysning om en identificeret eller identificerbar fysisk person Dvs. enhver oplysning, der direkte eller indirekte identificerer en person også selv om krypteret Behandling - enhver operation eller række af operationer med eller uden brug af elektronisk databehandling (inkl. ikke-elektroniske registre) Hvornår gælder loven internationalt? Den dataansvarlige er etableret i Danmark -> alle danske virksomheder/myndigheder er omfattet af loven - uanset hvor i verden virksomheden får dataene behandlet og opbevaret. Når dataansvarlige i lande uden for EU benytter hjælpemidler i Danmark eller indsamler oplysninger i Danmark men henblik på behandling udenfor EU Dataansvarlig vs. Databehandler SIDE 6

7 GRUNDLÆGGENDE BEHANDLINGSREGLER 5 God databehandlingskik Saglige og legitime formål, skal angives udtrykkeligt Senere behandling må ikke være uforenelig med de oprindelige formål Kun relevante og tilstrækkelige oplysninger Kun hvis behandlingen er nødvendig Blot fordi den registrerede har offentliggjort sine oplysninger, f.eks. på Facebook, betyder det ikke, at de godt må behandles! Proportionalitetsprincippet Slettepligt SIDE 7

8 PERSONDATA KATEGORIER Almindelige oplysninger Navn, journal nr. mv. Kontaktoplysninger Køn, alder mv. Interesser Kundeprofil, købshistorik Kreditoplysninger mv. IP adresser Muligheder for behandling: bl.a. samtykke, kontrakt, interesseafvejningsreglen kan ofte behandles uden samtykke Følsomme oplysninger Race og etnisk baggrund (ikke nationalitet) Religion Politisk overbevisning Fagforeningsforhold Helbredsforhold Seksuelle forhold (ikke registreret partnerskab) Muligheder for behandling: som UP altid samtykke Oplysninger af rent privat karakter Strafbare forhold Væsentlige sociale problemer Andre rent private forhold: personlighedstests, skilsmisse, adoptionsforhold, positive alkohol- eller narkotikatest mv. Muligheder for behandling: som UP altid samtykke evt. en meget streng interesseafvejning CPR-numre Gælder kun for CPRnumre Muligheder for behandling: samtykke eller bestemt ved lov, afgrænsede muligheder for videregivelse til brug for identifikation SIDE 8

9 DEN REGISTREREDES RETTIGHEDER Oplysningspligt Indsigtsret Ret til at korrigere og slette oplysninger Ret til at gøre indsigelse mod behandlingen Ret til at tilbagekalde sit samtykke til enhver tid Ret til at klage til Datatilsynet SIDE 9

10 SIKKERHEDSKRAV TIL PERSONDATA Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven ( 41, stk. 3) Når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de [ ] nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker. ( 42, stk. 1) Sikkerhedskravene i persondataloven Adgangskontrol aflåste serverrum, vagt mv. Teknisk adgangskontrol brugernavn, passwords mv. Transmission (kryptering) Ingen uautoriseret adgang og logning af adgangsforsøg SIDE 10

11 DATATILSYNETS KRAV OG ANBEFALINGER Overførsel af data via internettet (privat) Krav om kryptering ved overførsel af følsomme oplysninger via hjemmesider overførsel af personnumre via hjemmesider, samt behandlingen i henhold til tilladelse med vilkår om konkrete sikkerhedsforanstaltninger ved transmission over internettet (herunder ved ) Datatilsynet anbefaler kryptering ved overførsel af følsomme personoplysninger via personnummer via passwords m.v. via almindelige private (fortrolige) personoplysninger Beskyttelse mod malware og lign. Den dataansvarlige bør som minimum træffe følgende foranstaltninger: Firewall, som sikrer gennemførelse af myndighedens/virksomhedens sikkerhedspolitik, Ajourføring af servere og pc-arbejdspladser med sikkerhedsopdateringer Etablering af virusværn, der holdes opdateret Opsætning af sikkerhedsindstillingerne i browser og mailklient, der svarer til at der opnås den ønskede sikkerhedspolitik omkring websteder, cookies m.v. Andre tiltag efter en vurdering af den konkrete sikkerhedsrisiko eks. Anti-spyware SIDE 11

12 ANMELDELSE OG TILLADELSE Som udgangspunkt kun anmeldelsespligt, når behandlingen omfatter følsomme oplysninger Behandling af helbredsoplysninger, strafbare forhold mv. (der er dog undtagelser) Personaleadministration Whistleblowerordninger Lovpligtigt for finansielle virksomheder Særlige typer behandling, f.eks. erhvervsmæssig bistand ved stillingsbesættelse, videregivelse af oplysninger til bedømmelse af økonomisk soliditet og kreditværdighed, advarselsregistre Datatilsynets tilladelse afventes, før behandlingen må påbegyndes SIDE 12

13 BRUG AF DATABEHANDLERE Databehandler er en anden der hjælper med behandling af persondata, eks.: Behandling på vegne af kunden - egentlig databehandling Opbevaring af data drift, hosting, cloud m.v. Ekstern adgang til data (eks. support eller udvikling Relevant i mange kontrakter og samarbejdsforhold Dataansvarlig Databehandler Særlige krav Skriftlig aftale Krav til indholdet: kun efter instruks fra den dataansvarlige databehandleren skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven mv. Den dataansvarlige skal sikre sig, at databehandleren kan træffe de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker Behandlingen er altid den dataansvarliges ansvar! SIDE 13

14 OVERFØRSEL AF DATA TIL UDLANDET Indenfor EU: Som udgangspunkt tilladt Udenfor EU ( tredjelande ): Som udgangspunkt forbudt Dataoverførsel kan ske til tredjelande, hvis modtagerlandet yder et tilstrækkeligt sikkerhedsniveau for de overførte oplysninger, f.eks. EU standard contractual clauses (model contracts) Ikke krav om tilladelse fra Datatilsynet, medmindre ordlyden ændres Yderligere bestemmelser er som udgangspunkt ok, hvis de ikke er i strid med Model Clauses Binding Corporate Rules Skal godkendes af Datatilsynet og evt. et andet EU tilsyn Sikre tredjelande, såsom Israel, Argentina, Canada, Schweiz Ikke krav om tilladelse fra Datatilsynet for overførsel af almindelige oplysninger, tilladelse kræves ift. følsomme oplysninger Samtykke eller en af de andre undtagelser, f.eks. kontrakt- eller lovgrundlag SIDE 14

15 SAFE HARBOUR OVERFØRSLER TIL USA Tidligere godkendt af EU Kommissionen ( adequacy decision ) - Selvcertificeringssystem Safe Harbor-ordning gjorde at Safe Harbour-certificerede virksomheder var sikre EU-Domstolen har fastslået, at Safe Harbor-ordningen er ugyldig! Amerikanske myndigheder generelt kunne få adgang til de overførte personoplysninger De registrerede personer ikke selv kunne få adgang til deres oplysninger og kræve dem slettet eller berigtiget. => Data kan ikke længere frit kan overføres til certificerede Safe Harborvirksomheder. NU: Identificer berørte overførsler og beslut fremadrettet håndtering Art. 29-gruppen og Datatilsynet: EU standardkontrakter, BCR mv. kan stadigvæk bruges KOMMENDE: EU-US Privacy Shield (?) SIDE 15

16 EU-US PRIVACY SHIELD Intensive forhandlinger pga. kort frist fastsat af art. 29-gruppen (31. januar 2016) Pt. politisk enighed og udkast til afgørelse fra EU Kommissionen (decision on adequacy) Afventer fortsat art. 29-gruppens udtalelse (forventes april 2016) Hovedprincipper: Notice Principle oplysningspligt Choice Principle ift. videregivelse, behandling til helt andre formål, behandling af følsomme oplysninger og direct marketing Data Integrity and Purpose Limitation Principle Access Principle - indsigtsret Accountability of Onward Transfer Principle Recourse, Enforcement and Liability Principle persondata-ombudsmand i USA SIDE 16

17 Kristian Storgaard Advokat (L), certificeret IT-advokat Dir.: Mob.: SIDE 17