PERSONDATA - INDSAMLING, BEHANDLING OG OPBEVARING AF FORBRUGSDATA I FORSYNINGSSEKTOREN

Transkript

1 PERSONDATA - INDSAMLING, BEHANDLING OG OPBEVARING AF FORBRUGSDATA I FORSYNINGSSEKTOREN

2 PRÆSENTATION DAN B. LARSEN Advokat (H), Partner hos DAHL Advokatfirma Udvalgte beskæftigelsesområder: Forsyningsselskaber Persondataret IP-ret (markedsføringsret og immaterielret) Konkurrence- og udbudsret

3 PRÆSENTATION LINE FRØKJÆR KRISTENSEN DAHL Advokatfirma siden 2014 Udvalgte beskæftigelsesområder: Persondataret Markedsføringsret Ansættelsesret Proces

4 DAGENS EMNER Hvorfor er persondataretten relevant for forsyningsselskaber? Introduktion til persondataretten i dag Den kommende databeskyttelsesforordning

5 PERSONDATARET HVORFOR NU DET? Er persondataretten relevant for forsyningsselskaber? Behandler forsyningsselskaber persondata? Nye regler på vej fra EU.

6 INTRODUKTION TIL PERSONDATARETTEN - GÆLDENDE LOVGIVNING

7 GÆLDENDE LOVGIVNING Direktiv 95/46/EF Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger. I Danmark Persondataloven trådte i kraft 1. juli Sikkerhedsbekendtgørelsen - trådte i kraft 1. juli Særlovgivning.

8 GÆLDENDE LOVGIVNING Persondataloven regulerer hvornår man kan og må behandle personoplysninger. Jo mere følsomme personoplysninger, des mindre manøvrerum for behandling. Persondataloven baserer sig på retlige standarder (god databehandlingsskik m.v.).

9 HVAD ER PERSONDATA? DATA Persondata Enhver form for data. Regulering alt efter type, f.eks. aftaleret (aftale om brug), ophavsret (databaser), erhvervshemmeligheder. Enhver form for information om en identificeret eller identificerbar fysisk person. Kan personen findes, er der tale om persondata. også selvom det er næsten umuligt. Særlig regulering!

10 HVAD ER PERSONDATA? PERSONDATA OMFATTER Navn, adresse, telefonnummer, , kundenummer, løbende oplysninger om restancer, målernummer, billeder, IP-adresser, CPR-nr. m.v. PERSONDATA OMFATTER IKKE Teknisk data. Anonyme data forudsat data ikke kan de-anonymiseres, f.eks.: dekryptering af krypteret data.

11 HVORNÅR GÆLDER PERSONDATALOVEN? Loven gælder for behandling af personoplysninger, som helt eller delvist foretages ved hjælp af elektronisk databehandling samt for ikkeelektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register. Fysiske personer eller personligt ejede virksomheder. Ikke selskaber. Behandling F.eks.: Indsamling, opbevaring, brug, videregivelse og sletning m.v. Enhver behandling kræver hjemmel.

12 GRUNDBEGREBER Registreret Den fysiske person, som oplysningerne identificerer Den hele beskyttelsen omhandler Dataansvarlig Den der afgør til hvilket formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger. Fuldt ansvarlig for reglernes overholdelse. Databehandler (Under)leverandør. Behandling af oplysninger på vegne af dataansvarlig. Begrænset ansvar for behandlingen ( indtil videre).

13 PERSONDATALOVENS GRUNDPRINCIPPER Hjemmel Behandling af persondata kræver udtrykkelig hjemmel. Typisk samtykke, men også andre muligheder. God databehandlingsskik Behandling skal være lovlig og rimelig. Formålsbestemthed Indsamling og øvrig behandling skal ske til udtrykkeligt angivne og saglige formål. Senere behandling må ikke være uforenelig med de oprindelige formål.

14 PERSONDATALOVENS GRUNDPRINCIPPER Proportionalitet Behandling må kun omfatte relevante og tilstrækkelige oplysninger og ikke flere oplysninger end formålet kræver. Datakvalitet Pligt til at ajourføre og kontrollere data. Herunder at ajourføre eller slette data som er urigtige eller vildledende. Sletning Pligt til at slette data når formålet er udtjent eller når anden pligt foreskriver sletning.

15 OPLYSNINGSTYPER Almindelige oplysninger Navn Adresse Køn Alder Målernumre Kreditoplysninger Følsomme oplysninger Race og etnisk baggrund Religion Politisk og filosofisk overbevisning Fagforeningsforhold Helbredsforhold Seksuelle forhold Oplysninger om rent private forhold Strafbare forhold Væsentlige sociale problemer Andre rent private forhold CPR-numre Gælder kun for CPR-numre Muligheder for behandling: Samtykke, kontrakt, retlig forpligtelse, beskytte den registreredes vitale interesser og interesseafvejningsreglen. Muligheder for behandling: Samtykke er den klare hovedregel. Muligheder for behandling: Samtykke er den klare hovedregel. Behandling kan ske efter en streng interesseafvejning. Muligheder for behandling: Samtykke, bestemt ved lov og afgrænsede muligheder for videregivelse til brug for identifikation.

16 DEN REGISTREREDES RETTIGHEDER OPLYSNINGSPLIGT INDSIGT BERIGTIGELSE SLETNING INDSIGELSE TILBAGEKALDE SAMTYKKE KLAGE Ret til at blive oplyst om, at forsyningsselskabet behandler oplysninger om personen uden forudgående forespørgsel. Ret til at få indsigt i, hvilke oplysninger forsyningsselskabet behandler om personen kræver forespørgsel. Ret til at få urigtige oplysninger berigtiget. Ret til at gå slettet oplysninger om personen. Ret til at gøre indsigelse mod behandling af oplysninger om personen. Samtykke skal kunne trækkes tilbage på en simpel og effektiv måde. Ret til at klage til Datatilsynet.

17 DATASIKKERHED De personoplysninger, som den dataansvarlige ligger inde med, skal beskyttes, f.eks gennem: Adgangskontrol Passwords Kryptering Sikkerhedskrav (PDL 41, stk. 3): Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende regel for databehandlere.

18 VIDEREGIVELSE AF OPLYSNINGER PERSONDATARETTEN ER IKKE NOK Markedsføringsretten gælder ud over persondataretten, særligt Uanmodede henvendelser Begge regelsæt skal være overholdt Samtykke kan sikres samtidigt

19 PERSONDATALOVENS MARKEDSFØRINGS- REGLER VIDEREGIVELSE AF OPLYSNINGER Persondataloven indeholder regler om videregivelse af oplysninger om forbrugere (kundeoplysninger) til brug for andre virksomhedes markedsføring HR: Virksomheder må ikke videregive detaljerede kundeoplysninger, jf. persondatalovens 6, stk. 2 U1: Udtrykkeligt samtykke fra forbrugeren (opt-in) Samtykkekravet er sammenfaldende med markedsføringslovens 6

20 PERSONDATALOVENS MARKEDSFØRINGS- REGLER VIDEREGIVELSE AF OPLYSNINGER U2: Generelle kundeoplysninger, hvis: Det er i overensstemmelse med interesseafvejningsreglen i 6, stk. 1, nr. 7 Behandlingen skal være nødvendig for, at den dataansvarlige eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en berettiget interesse, og hensynet til forbrugeren ikke overstiger denne interesse Forbrugeren ikke har gjort indsigelse

21 PERSONDATALOVENS MARKEDSFØRINGS- REGLER VIDEREGIVELSE AF OPLYSNINGER INDSIGELSESRETTEN Virksomheden må ikke videregive oplysninger om en forbruger, hvis forbrugeren har gjort indsigelse. Tjek egne registre. 2. Virksomheden skal tjekke i CPR, om forbrugeren har frabedt sig henvendelser i markedsføringsøjemed. 3. Virksomheden skal oplyse forbrugeren om indsigelsesretten forud for hver videregivelse forbrugeren gives konkret mulighed for at sige nej til videregivelse, jf. persondatalovens 36. Forbrugere skal have 14 dage til at modsætte sig videregivelse (dvs. man må først videregive når de 14 dage er gået).

22 DEN NYE DATABESKYTTELSESFORORDNING

23 INTRODUKTION TIL DATABESKYTTELSESFORORDNINGEN Fælles grundlag Forskellig implementering I Danmark: Persondataloven Fælles grundlag Fælles implementering I hele EU: Databeskyttelsesforordningen

24 INTRODUKTION TIL DATABESKYTTELSESFORORDNINGEN Forordningen erstatter 1995-direktivet og 28 medlemsstaters lovgivning. Del af Kommissionens digital single market strategi. Fremsat den 25. januar 2012 af Kommissionen Endeligt vedtaget i april 2016 Virkning fra den 25. maj Officielle titel er General Data Protection Regulation (GDPR) Forordning 2016/679.

25 INTRODUKTION TIL DATABESKYTTELSESFORORDNINGEN Totalharmoniserende forordning, bortset fra del specifikt overladt til nationale myndigheder. Uklart hvad der sker med særlovgivning, f.eks. sundhedsloven Særlovgivning skal som minimum tilpasses. Visse dele vil dog muligvis også erstattes helt. Justitsministeriet arbejder på en afklaring heraf Forventer at komme med overblik i start 2017 Mål: Fremsættelse af lovforslag i oktober 2017.

26 OVERORDNET OM ÆNDRINGERNE I FORORDNINGEN Indeholder reelt kun få helt nye regler materielle behandlingsregler overordnet set de samme, om end visse præciseringer og skærpelser. Dog mange nye krav omkring beskyttelse og håndtering af persondata Særligt mange regler om proces og dokumentation. Disse rammer også databehandlere. Forordningen får indflydelse på alle dataansvarlige og alle databehandlere Før var indflydelsen primært på den dataansvarlige.

27 HVAD ÆNDRER SIG IKKE MED DEN NYE FORORDNING? Dataansvarlig Databehandler Overordnet samme definitioner som i dag Fortsat krav om skriftlig databehandlingsaftale Datakategorier Overordnet samme datakategorier som i dag Overordnet samme adgang til behandling som i dag Dog tilføjelse af visse datakategorier som kræver en særlig beskyttelse Grundprincipper Overordnet set samme regulering som i dag Den registreredes rettigheder Sikkerhedskrav Fortsat en oplysningspligt, indsigtsret og indsigelsesret Rettighederne styrkes generelt i form at nye regler Overordnet set gælder samme krav til såvel teknisk som organisatorisk sikkerhed, Reglerne bliver dog yderligere uddybet/detaljeret Dataeksport Dataeksport til områder udenfor EU kræver fortsat hjemmel (BCR og modelkontrakter) Overordnet set så ændrer de materielle behandlingsregler sig ikke fundamentalt.

28 HVAD ÆNDRER SIG MED DEN NYE FORORDNING? Behandlingsbetingelser Forøgede krav til samtykke til behandling Den registreredes rettigheder Dokumentationskrav Risikoanalyse og ansvarlighed Den registreredes rettigheder kommer mere i fokus Forordningen stiller krav om etablering af politikker om den registreredes rettigheder og håndteringen heraf Eksisterende anmeldelsesordningen afskaffes Dokumentation for behandlingsaktivitet Forud for en persondatabehandling skal der gennemføres en risikoanalyse (Privacy Impact Assessment/PIA) Introduktion af Privacy by Design og Privacy by Default Konsekvensanalyse Hvis risikoanalysen viser, at behandlingen er særlig risikabel, skal der gennemføres en konsekvensanalyse Sikkerhedsbrud Kontrol Bøde Nye krav til håndtering af sikkerhedsbrister Bl.a. underretningskrav til tilsyn og den registrerede. Pligt til udføring af kontrol og opfølgning Visse virksomheder skal udpege en databeskyttelsesrådgiver Introduktion af one-stop-shop for tilsynsmyndigheder Op til 2 / 4 % af globale omsætning, eller op til EUR 10 / 20 mio. Mange nye proces- og dokumentationskrav

29 NØGLEPUNKTER Ansvarlighed En generel styrkelse af datasubjektets rettigheder Forøget gennemsigtighed Databeskyttelse gennem design og standardindstillinger Konsekvensanalyser / PIA Underretningsforpligtelse One-stop-shop Håndhævelse og sanktioner Databeskyttelsesrådgiver (DPO) Databehandlere er reguleret

30 GRUNDPRINCIPPER

31 ALMINDELIGE PERSONOPLYSNINGER

32 SAMTYKKET En viljestilkendegivelse, der skal være frivillig specifik Hvem må behandle? Hvilke oplysninger? Til hvilke formål? Informeret og utvetydig. Skærpede krav: Aktivt samtykke (gerne bokse, men ikke forudfyldte). Adskilt fra anden tekst. Må ikke være betinget af unødvendige forhold. Enkelt og tydeligt sprog. Skal kunne tilbagekaldes lige så nemt som det afgives.

33 HVORDAN FORBEREDER MAN SIG PÅ AT EFTERLEVE FORORDNINGEN? Behandlingskravene er som udgangspunkt de samme. Dog god idé at få efterset samtykker. Proces- og dokumentationskravene dog væsentligt udvidede. Stilles reelt krav om: Gennemførelse af risikovurderinger. Dokumentation af overholdelse af behandlingskrav. Dokumentation af overholdelse af sikkerhedskrav. Manglende dokumentation = overtrædelse af forordningen. Manglende dokumentation = manglende garanti for passende beskyttelse.

34 NÆRMERE OM DOKUMENTATIONSKRAV Virksomheder der er dataansvarlige eller databehandlere skal kunne demonstrere at: Man har omfattet alle relevante behandlinger af persondata, der udføres under ens ansvar. Man har forholdt sig til alle relevante krav og risici for krænkelse af den registreredes rettigheder. De valgte tekniske eller organisatoriske foranstaltninger til opfyldelse af krav til minimering af risiko til et acceptabelt niveau er passende og acceptable. De valgte foranstaltninger er implementeret og vedligeholdt. De valgte foranstaltninger fungerer og har den forventede effekt.

35 IMPLEMENTERING AF COMPLIANCE- PROGRAM Skab overblik over aktuel behandling af persondata - kortlægning Vurder om aktuel behandling overholder reglerne - aktuel complience Opstil prioritering af indsatsområder Foretag nødvendig redesign af processer Udarbejd interne og eksterne politikker og retningslinjer Implementer og vedligehold compliance Udarbejd samtykkeerklæringer, behandlingsaftaler m.v.

36 RÅD OG VEJLEDNING Datatilsynet Vejledning, praksis, klagemulighed, anmeldelse og tilladelse. Datatilsynets hjemmeside om databeskyttelsesreformen.

37 KONTAKT Dan B. Larsen, Advokat (H) / Partner Mobil: Direkte: dbl@dahllaw.dk Line Frøkjær Kristensen, Advokatfuldmægtig Mobil: Direkte: lfk@dahllaw.dk

38