Nyhedsbrev. Corporate Compliance, Persondata og Interne undersøgelser

Transkript

1 Nyhedsbrev Corporate Compliance, Persondata og Interne undersøgelser

2 STORMØDE ARRANGERET AF JUSTITSMINISTERIET OM DEN NYE PERSONDATAFORORDNING Justitsministeriet har nu afholdt det første af en række stormøder om EU's generelle persondataforordning. Fokuspunkterne på mødet var orientering om det projektarbejde, der er igangsat med analyse af forordningens bestemmelser, herunder forordningens rammer for nationale særregler og en analyse af gældende dansk lovgivning. Justitsministeriet afholdt den 24. juni 2016 stormøde om arbejdet med implementering af den nye persondataforordning, der gælder fra den 25. maj Justitsministeriet har igangsat dette arbejde i samarbejde med Datatilsynet, Digitaliseringsstyrelsen og Erhvervsstyrelsen. Til stormøderne inviteres bl.a. interesseorganisationer og advokatkontorer med speciale i persondataret. På stormøderne præsenteres projektets foreløbige overvejelser, og der drøftes med interessenterne med henblik på, at deres overvejelser kan indgå i Justitsministeriets arbejde. Projektorganisering Mødet blev indledt med en præsentation af den fremadrettede proces, idet mødet kun er ét blandt flere. Der blev herudover fokuseret særligt på projektorganiseringen. Der er nedsat en styregruppe, der har det overordnede ansvar for projektets gennemførelse. Styregruppen består af afdelingschefen for Justitsministeriets lovafdeling og direktørerne for henholdsvis Datatilsynet, Digitaliseringsstyrelsen og Erhvervsstyrelsen. Projektet er opdelt i to projektgrupper, hvoraf den ene skal arbejde med forordningens rammer for nationale særregler. Der er nemlig over 50 steder i forordningen, der efterlader rum for nationale særregler. Den anden projektgruppe skal arbejde med forordningens konsekvenser for den generelle databeskyttelseslovgivning i Danmark. Arbejdet i projektgrupperne understøttes af to eller flere arbejdsgrupper. Det er planen, at projektarbejdets analyser, anbefalinger og udkast til lovgivningsmæssige tilpasninger skal være afsluttet senest i første kvartal 2017, så der i oktober 2017 kan fremsættes de nødvendige lovforslag i Folketinget. Endnu uvist hvordan Danmark skal fortolke forordningens bestemmelser Justitsministeriet understregede, at det er svært på nuværende tidspunkt at konkludere på, hvordan vi agter at indrette os i Danmark. Det vil i den sammenhæng også få en stor betydning, hvordan de andre EU-medlemslande fortolker forordningens bestemmelser. Derfor mødes Justitsministeriets embedsmænd også med embedsmænd fra andre medlemslande, som vi bedst kan sammenligne os med. Det blev nævnt som værende Finland, Sverige, Irland, Tyskland, Luxembourg, Frankrig, Slovakiet og Holland (når de ikke længere har formandskabet). Det igangsatte arbejde vil resultere i udarbejdelsen af én samlet publikation med 2/11

3 analysernes resultater (svarende til resultaterne fra forventeligt ca. 100 notater). Publikationen vil minde om en betænkning. Publikationen vil indeholde anbefalingerne til, hvordan dansk lovgivning skal indrettes i lyset af forordningen. På den baggrund vil der blive udarbejdet de fornødne lovforslag og vejledninger. Fælles vejledning forventet af bl.a. Art. 29-gruppen Justitsministeriet vil ikke udsende delprodukter undervejs i forløbet. Vi må derfor afvente den endelige publikation primo Det udelukker dog ikke, at der løbende kan blive udsendt vejledninger fra f.eks. Art. 29-gruppen, der består af samtlige datatilsyn i EU. Ifølge Datatilsynet kan vi forvente, at Art. 29-gruppen kommer med fælles vejledninger om f.eks. den nye rettighed om dataportabilitet, forpligtelsen til anmeldelse af sikkerhedsbrud og konsekvensanalyse vedrørende databeskyttelse (benævnt "DPIA" data protection impact assessment). Styrelsernes roller Digitaliseringsstyrelsens rolle i projektet er blandt andet at sikre, at der tages højde for de offentlige myndigheders interesser i forhold til digitaliseringen af offentlige myndigheder. Digitaliseringsstyrelsen vil særligt bidrage med input i forhold til kommende regler om data protection by design and by default (standardindstillinger), behandlingssikkerhed, cloud computing og konsekvensanalyser. Erhvervsstyrelsens rolle vil blandt andet være at følge op på virksomhedernes ønske om færrest mulige byrder og at sikre ens harmonisering i EU, så danske virksomheder stilles lige i forhold til udenlandske konkurrenter. Erhvervsstyrelsen vil inddrage virksomheder ved 1) etablering af workshops inden for centrale emner, hvor erhvervslivets behov afdækkes, 2) udarbejdelse af udkast til Q&As, og 3) udsendelse af udkastene til høring hos interessenter. Forordningen giver blandt andet EU-Kommissionen beføjelsen til at vedtage såkaldte "delegerede retsakter". EU-Kommissionen forventes at starte op med møder i efteråret Vi kan ikke nødvendigvis forvente vejledninger derfra. Hos Kromann Reumert glæder vi os til at følge med i den spændende udvikling på det persondataretlige område. Vi vil følge Justitsministeriets og øvrige institutioners arbejde nøje. Vi deltager i samtlige stormøder og følger straks derefter op med udsendelse af nyheder om arbejdet med persondataforordningen, så vores nyhedsbrevsabonnenter får de vigtigste opdateringer hurtigst muligt. 3/11

4 BLIV KLAR TIL DEN NYE PERSONDATAFORORDNING MED ET FOREBYGGENDE COMPLIANCE-TJEK Persondataforordningen har først virkning i Danmark og øvrige EU-medlemslande fra den 25. maj 2018, men det er en god ide at begynde forberedelserne allerede nu. Få et compliance-tjek så I bliver klædt ordentligt på til at overholde den nye persondataforordning. Den nye persondataforordning har sat fornyet fokus på behandling af persondata. Nye krav til datasikkerhed og dokumentation samt truslen om store bøder er nogle af de grundlæggende elementer i den nye persondataforordning. Mange virksomheder behandler, opbevarer og videregiver store mængder af persondata uden nødvendigvis at have taget stilling til samtlige processer, såvel internt som eksternt. Er din virksomhed en af dem, er det vigtigt at sikre, at I håndterer persondataene i overensstemmelse med reglerne i persondataloven og på sigt også den nye persondataforordning. Overtrædelse af reglerne i persondataforordningen kan få store konsekvenser for din virksomhed, blandt andet erstatningskrav, bøde, skade på virksomhedens renommé samt brud på tilliden til virksomheden. Efter persondataforordningen er bødeniveauet op til 4 % af virksomhedens samlede globale årlige omsætning i det foregående regnskabsår. Er du sikker på, at din virksomhed kan opfylde kravene i persondataforordningen? Datatilsynet har den 21. juni 2016 offentliggjort et dokument, hvori tilsynet oplister 12 spørgsmål, som man som dataansvarlig med fordel kan forholde sig til allerede nu for at forberede sig på den nye persondataforordning. Kan du f.eks. besvare følgende spørgsmål: Hvilke personoplysninger behandler I? Hvilken information giver I de registrerede? På hvilket retligt grundlag behandler I personoplysninger? Hvordan indhenter I samtykke? Hvad skal I gøre ved brud på persondatasikkerheden? Har I indtænkt databeskyttelsen i jeres it-systemer? Se alle Datatilsynets 12 spørgsmål med tilhørende kommentarer. Har din virksomhed brug for et forebyggende compliance-tjek? Kromann Reumerts specialister rådgiver om alle juridiske aspekter inden for persondataretten med hensyntagen til de særlige brancheforhold, der f.eks. gælder inden for den finansielle sektor, forsknings- og sundhedssektoren og telebranchen. Over de senere år har vi udvidet vores kompetencer og rådgivning inden for 4/11

5 persondataretten ganske betragteligt. Det betyder, at Kromann Reumert med en række erfarne og dygtige advokater og advokatfuldmægtige kan bistå med at klæde din virksomhed på til at overholde persondataforordningens nye krav til persondatasikkerhed. Vi bistår jer med at systematisere virksomhedens datastrømme, identificere persondataretlige problemstillinger, udarbejde strategier og handleplaner, så I er sikre på at efterleve persondataforordningen. Vores compliance-tjek vil tage udgangspunkt i en række emner, blandt andet: Hvilken rolle har virksomheden i forhold til databehandling (dataansvarlig, databehandler eller måske underdatabehandler)? Hvilke kategorier af data behandles (kundedata, medarbejderdata, kontaktoplysninger fra samarbejdspartnere mv.)? Er der evt. tale om følsomme oplysninger? Er behandlingen lovlig? Er der f.eks. indhentet samtykke fra de registrerede, eller kan behandlingen ske på andet grundlag, f.eks. efter interesseafvejningsreglen? Hvordan håndteres de registreredes rettigheder? Overføres oplysninger til lande under for EU/EØS og på hvilket grundlag? Sker databehandling af databehandlere, og hvilket aftalegrundlag dækker dette? Hvilke sikkerhedstiltag har virksomheden i forhold til persondata? Hvilke politikker har virksomheden, f.eks. it-politik, social media-politik, retningslinjer om håndtering af sikkerhedsbrud mv.? Vi ser derefter også på, hvordan virksomheden fremadrettet kan sikre, at behandlingen kan dokumenteres, og hvilke tiltag der ellers kan være relevante i forhold til f.eks. konsekvensanalyse, data protection by design, data protection by default mv. Vi har også fokus på forhold, der kan kræve opdateringer for at opfylde forordningens krav, såsom databehandleraftaler, bindende virksomhedsregler (BCR), meddelelser til de registrerede, samtykketekster mv. Hvis du ønsker at vide mere eller at få et tilbud på et compliance-tjek eller en anden konkret opgave, er du velkommen til at kontakte din sædvanlige rådgiver hos Kromann Reumert eller vores persondataretlige specialister: Direkte: Direkte: dso@kromannreumert.com 5/11

6 EURO I BØDE FOR ULOVLIG OVERFØRSEL AF PERSONDATA Tre amerikanske virksomheder er idømt bøder på euro af et af de tyske datatilsyn, Hamborg-Kommissionen, for at overføre persondata mellem EU og USA uden at have sikret alternativ hjemmel i stedet for den nu ugyldige Safe Harbor-aftale. Bøderne er blevet tilkendt på baggrund af en større undersøgelse, som stadig er i gang. Hamborg-Kommissionen har tilkendegivet, at bødeniveauet skærpes ved fremtidige overtrædelser. Det er heller ikke udelukket, at andre europæiske datamyndigheder, herunder det danske Datatilsyn, vil følge op på sådanne sager. De tre amerikanske virksomheder havde overført data om medarbejdere og kunder fra EU til USA. Efter Hamborg-Kommissionens omfattende undersøgelser viste det sig, at tre amerikanske virksomheder havde brugt den nu ugyldige Safe Harbor-aftale som retsgrundlag for overførslen efter udløbet af den overgangsperiode, der var fastsat til implementeringen af et alternativt grundlag for overførslen. Overgangsperioden løb frem til den 31. januar 2016, hvorefter samtlige virksomheder skulle have styr på en lovlig overførsel af persondata til USA. Hamborg-Kommissionens undersøgelse har hidtil omfattet 35 virksomheder. Undersøgelsen er endnu ikke afsluttet, og yderligere afgørelser kan derfor forventes. Det skal i den forbindelse bemærkes, at Hamborg-Kommissionen har udtalt, at bødeniveauet for de tre virksomheder, som har modtaget bøde, er fastsat under hensyntagen til, at virksomhederne på nuværende tidspunkt har implementeret et lovligt grundlag for overførslerne. Med andre ord kan fremtidige overtrædelser medføre et endnu højere bødeniveau, hvis virksomheden stadig ikke har fået rettet op på de overførsler, som sker på baggrund af Safe Harbor-aftalen. På nuværende tidspunkt kan EU-Kommissionens Standardkontraktbestemmelser eller bindende virksomhedsregler (BCR) benyttes til at sikre lovlig persondataoverførsel til USA. Er disse løsninger ikke en mulighed for din virksomhed, kan det være nødvendigt at indhente samtykke fra samtlige af de registrerede. Den forventede afløser af Safe Harbor-aftalen, Privacy Shield-aftalen, er endnu ikke blevet endeligt godkendt som tilstrækkeligt grundlag for persondataoverførsler til USA og er indtil videre blevet kritiseret af flere EU-aktører for at medføre et uacceptabelt beskyttelsesniveau. 6/11

7 REVISORVIRKSOMHEDER SKAL FRA 1. JANUAR 2017 HAVE EN WHISTLEBLOWER-ORDNING Fra den 1. januar 2017 er det lovpligtigt for revisionsvirksomheder at have en intern whistleblower-ordning med mulighed for indberetning af (potentielle) overtrædelser af revisorlovgivningen. Reguleringen minder om de regler, der blev indført for finansielle virksomheder i 2014, og stiller blandt andet krav om, at anmeldelsen af et forhold skal kunne ske anonymt. Det har Folketinget vedtaget på baggrund af nye EU-regler. De nye regler tilsiger, at revisionsvirksomheder "skal have en ordning som led i deres kvalitetsstyringssystem, hvor den ansatte via en kanal kan indberette overtrædelser eller potentielle overtrædelser af den revisionsretlige regulering". Det er et krav, at indberetningen kan ske anonymt, og medarbejdere må ikke udsættes for ufordelagtig behandling eller følger som følge af en sådan indberetning. Ordningen skal være etableret senest den 1. januar Kromann Reumert forestår etablering, administration og drift af lovpligtige whistleblower-ordninger, ligesom vi bistår med udarbejdelse af de nødvendige whistleblower-politikker, databehandleraftaler og efterforskning af anmeldelser. Etablering og drift af whistleblower-ordninger er ofte baseret på fastprisaftaler. gerne partner eller advokat Daiga Grunte-Sonne for at høre nærmere herom. 7/11

8 ERHVERVSSTYRELSEN HAR OPRETTET EN WHISTLEBLOWER- ORDNING FOR REVISOR- VIRKSOMHEDER Fra den 17. juni 2016 kan man anonymt indberette overtrædelser af revisionslovgivningen til Erhvervsstyrelsen. Erhvervsstyrelsen har oprettet en whistleblower-ordning, hvor ansatte i revisionsvirksomheder og andre, der har information om potentielle overtrædelser af revisorlovgivningen, kan anmelde forholdet direkte til Erhvervsstyrelsen. Erhvervsstyrelsens nye ordning giver mulighed for, at alle, der har informationer om mulige overtrædelse af revisionslovgivningen, kan indberette forholdet til Erhvervsstyrelen. Indberetningen sker gennem en sikker konktaktformular, og det vil være op til den pågældende anmelder, om denne ønsker at være anonym. Vælger den pågældende at opgive sit navn, må Erhvervsstyrelsen som udgangspunkt ikke videregive navnet. Erhvervsstyrelsen sikrer derfor beskyttelsen af den pågældendes personoplysninger, og det samme gælder i forhold til den person, som indberetningen vedrører. Whistleblower-ordningen er etableret på baggrund af ny EU-lovgivning. Den nye EU-lovgivning tilsiger tillige, at revisionsvirksomheder skal have en ordning som led i deres kvalitetsstyringssystem, hvor ansatte i revisionsvirksomheder anonymt kan indberette eventuelle overtrædelser af revisorlovgivningen. Denne interne ordning, som skal være indført senest 1. januar 2017, er nærmere beskrevet her. 8/11

9 NYE RETNINGSLINJER FRA DATATILSYNET OM ANONYMISERING Datatilsynet har offentliggjort nye retningslinjer for, hvornår en personoplysning er anonymiseret på en sådan måde, at man ikke er forpligtet til at følge reglerne for persondatabeskyttelse. Persondataloven gælder for behandling af personoplysninger. Med andre ord falder anonyme oplysninger uden for reglerne. Datatilsynet har offentliggjort retningslinjer for, hvornår en oplysning kan anses for at være anonym. En oplysning er anonymiseret, når den person, oplysningen vedrører, ikke længere kan identificeres. Det skal vurderes konkret, hvornår af-identificering er sket, men det afgørende er, at det hverken direkte eller indirekte er muligt at identificere personen. Ved afgørelsen af, om personen er identificerbar, skal alle hjælpemidler, der med rimelighed kan anvendes til brug for identifikation af den pågældende, tages i betragtning. Det betyder, at alle oplysninger, der kan føre tilbage til en fysisk person, vil blive anset for personoplysninger i persondatalovens forstand. Datatilsynet giver en række eksempler på, hvilke oplysninger der er personoplysninger, og anfører blandt andet, at også tilfælde, hvor det kun vil være muligt for den indviede at forstå, hvem en oplysning vedrører, falder inden for persondatalovens anvendelsesområde. Læs retningslinjerne i deres helhed. 9/11

10 GOOGLE INDBRINGER SAG OM RETTEN TIL AT BLIVE GLEMT FOR FRANKRIGS HØJESTERET Google har valgt at indbringe en afgørelse fra den franske datamyndighed, CNIL, med en tilhørende bøde på euro, for de franske domstole. Bøden skyldes en uenighed mellem CNIL og Google om, hvorvidt retten til at blive glemt forpligter Google til at slette personoplysninger på den amerikanske "Google.com"-side foruden den franske "Google.fr"-side. Den juridiske kamp om retten til at blive glemt fortsætter dermed for fuld styrke. Sagen begyndte ved EU-Domstolen Sagen stammer fra juni 2014, hvor EU-Domstolen pålagde Google at slette en række søgeresultater om en spansk statsborgers tidligere tvangsauktion, der blev vist på Googles resultatliste ved søgning på mandens navn. Med dommen introducerede EU-Domstolen princippet "retten til at blive glemt", som indebærer, at søgemaskiner herunder Google er forpligtet til at vurdere, om links til personoplysninger skal slettes fra søgemaskinens resultatliste. Det vil især være tilfældet, hvis oplysningerne ikke længere er relevante eller korrekte, forældede, eller hvis oplysningerne efter en proportionalitetsvurdering omfatter mere, end formålet med indsamlingen tillader. Vi har skrevet om EU-Domstolens dom i vores tidligere nyhedsbrev: Nu kan du pålægge Google at fjerne uønskede søgeresultater om dig selv. Retten til at blive glemt kan have eksterritorial virkning Sidenhen har de franske domstole i en anden sag givet en dansk advokat medhold i, at såvel Googles franske datterselskab som det amerikanske moderselskab var forpligtet til at fjerne oplysninger om ham både på den franske og den amerikanske version af Googles internetside. Googles franske datterselskab blev tildelt dagbøder på euro til advokaten, indtil Google i USA også havde slettet de pågældende links. Vi har også skrevet om denne sag i vores tidligere nyhedsbrev: Google i Frankrig skal betale dagbøder for ikke at fjerne links fra amerikansk side. Google kæmper videre i Frankrig I den konkrete sag i Frankrig valgte Google at følge domstolens afgørelse og slettede søgeresultaterne på den amerikanske søgemaskine. Google har imidlertid sidenhen modtaget omkring 1,5 millioner anmodninger fra personer, der også ønsker at få slettet personoplysninger fra Googles resultatliste. I de sager, hvor Google konkret har vurderet, at ansøgerne har ret til at blive glemt, har Google alene slettet de pågældende links på den europæiske version af Google, men ikke på den amerikanske version. Den franske datamyndighed, CNIL, var uenig med Google i, at personoplysningerne 10/11

11 alene skulle slettes fra den europæiske version af Google og rettede derfor tilbage i maj 2015 henvendelse til Google med krav om, at alle de pågældende links også skulle slettes fra det amerikanske domænenavn. Da Google nægtede at efterkomme CNIL's anmodning, udstedte CNIL en bøde til Google på euro, da retten til at blive glemt gælder alle domænenavne, også uden for de franske landegrænser. Læs CNIL's udtalelse og vores tidligere nyhedsbrev om udtalelsen. Bøden er nu omdrejningspunktet i sagen, som Google har indbragt for Frankrigs Højesteret. Google argumenterer i korte træk for, at EU-lovgivningen alene gælder i EU, og at afgørelsen er ude af proportioner, da den overvejende del (ca. 97 %) af de franske internetbrugere tilgår en europæisk version af Googles søgemaskine. Den juridiske kamp om retten til at blive glemt fortsætter dermed. 11/11