Den nye persondataforordning. 2. februar 2017

Transkript

1 Den nye persondataforordning 2. februar 2017

2 Vores persondata compliance team er forankret i afdelingen for Corporate Compliance & Investigations Det største advokatkontor i Danmark* Retsområder Arbejdsret Børs & Finans Corporate Compliance & Investigations EU- & Konkurrenceret Fast Ejendom & Entreprise IP & Technology Konfliktløsning M&A Corporate Offentlig Virksomhed Rekonstruktion Skat Transport & Forsikring Økonomisk Analyse medarbejdere Vi rådgiver mange brancher om persondata Bygge og anlæg Den finansielle sektor Den offentlige sektor Energi og forsyning Industri og produktion Landbrug og fødevarer Life science og medico Service og rådgivning Teknologi, medier og telekom Transport og logistik Et af Danmarks største og stærkeste persondata team med praktisk erfaring med persondata i arbejdet som advokater, rådgivere, virksomhedsjurister, Global DPO, Datatilsynet og universitetsverdenen. *Ifølge tal fra maj 2016

3 Referencer Vi rådgiver hver dag mange organisationer i forskellige sektorer. Her er nogle af vores referencer og opgaver. BCR projekter og implementering af persondataforordningen: Implementering af persondataforordningen og øvrige complianceprojekter:

4 4 Agenda 1. Hvad er personoplysninger? 2. Status på persondataforordningen 3. Væsentligste ændringer med forordningen: Oplysningskategorier Behandlingsbestemmelser Skærpede krav til samtykke Retten til at blive glemt & dataportabilitet Accountability dokumentere overholdelse Data Protection Impact Assessment Data protection by design/default/pseudonymisering Krav til databehandlere selvstændige krav til dokumentation mv. Notifikationspligt Data Protection Officer (DPO) Sanktioner

5 Hvad er personoplysninger? Anonyme oplysninger Pseudonyme oplysninger Cpr-nr. Køn Navn Race Adresse -adresse Seksuel overbevisning Fødselsdato Foto Kreditkortnummer Adgangskontrol Helbredsoplysninger MedarbejderID Telefonnummer Personlighedstest Nummerplade Politisk overbevisning Religion Genetisk information? Interesser Væsentlige sociale problemer Personlige produktionstal Familiemæssige oplysninger Uddannelse (karakterer) Pasnr. Initialer/Loginnavn Stilling GPSoplysninger Størrelse på tøj og sko IP-adresse Fagforeningsmæssige tilhørsforhold Rejseoplysninger Elektroniske spor Biometriske oplysninger Videoovervågning Logning i IT-systemer Straffeattest MAC-adresse Løn

6 6 Status på processen mod forordningens ikrafttrædelse Hvad ligger fast? Teksten i forordningen En dansk version af forordningsteksten Den endelige vedtagelse ikrafttrædelse den 25. maj 2018 Udestående Hvad vælger Danmark (og de andre medlemsstater) at gøre på områder, hvor medlemsstaterne har frihedsgrader? Hvornår begynder Kommissionen at vedtage delegerede retsakter? Hvornår begynder de relevante organer (herunder de store tilsynsmyndigheder) at komme med fortolkningsbidrag? Retningslinjer fra art. 29 gruppen for DPO og dataportabilitet.

7 7 Behandlingsbestemmelser Regler stort set identiske med reglerne i persondataloven (-direktivet), dog Medlemslande kan opretholde og vedtage særlovgivning vedr. behandling nødvendig for: overholdelse af retlig forpligtelse udførelsen af en opgave i samfundets interesse udførelsen af en opgave, der henhører under offentlig myndighedsudøvelse pålagt den dataansvarlige Behandling til nye formål (ikke samtykke eller lovgivning både EU og medlemsstat) dataansvarlig skal sikre forenelighed med det oprindelige indsamlingsformål, herunder Sammenhæng mellem formål Den kontekst som oplysningerne er indsamlet i Personoplysningernes natur Konsekvenserne af den påtænkte videre behandling Eksistensen af egnede sikkerhedsforanstaltninger Behandling til interne administrative formål i en koncern på baggrund af en legitim interesse

8 8 Skærpede krav til samtykke Samtykke som behandlingsgrundlag: Almindelige oplysninger: Samtykke Følsomme oplysninger: Udtrykkeligt samtykke Dataansvarlig skal altid kunne dokumentere at samtykke er givet Samtykke er ikke lovligt behandlingsgrundlag, hvis der er en klar ubalance mellem den registrerede og den dataansvarlige Vurdering af, om et samtykke er frivilligt: Samtykke som betingelse for tillægsydelser, der ikke er nødvendige i forhold til en kontrakt? Det skal være lige så let at trække et samtykke tilbage som at afgive det Hvis samtykke indhentes igennem en skriftlig erklæring med anden information fx en ansættelseskontrakt eller en privacy policy skal samtykkeanmodningen adskilles tydeligt fra øvrigt indhold I forbindelse med børns (< 16 år) aktiviteter på sociale medier skal samtykke indhentes hos den, der har forældremyndigheden (medlemsstat kan vælge at nedsætte grænsen til 13 år)

9 9 Retten til at blive glemt & data portabilitet = Ret til sletning Når, oplysningerne er ikke længere nødvendige i forhold til formålet med indsamling og behandling, bl.a. Tilbagekaldelse af samtykke eller manglende retligt grundlag Den registrerede modsætter sig behandlingen og ingen tungtvejende legitime grunde til fortsat behandling Informationssamfundstjenester rettet mod børn (under 16 år eller ned til 13 år) Dataportabilitet Registrerede ret til at få personoplysninger givet til en dataansvarlig i et struktureret, almindeligt brugt og maskinlæsbart format Behandling er baseret på samtykke eller i henhold til kontrakt Behandlingen udføres via elektronisk databehandling

10 10 Accountability ansvar & dokumentationskrav Den dataansvarlige skal kunne dokumentere compliance med forordningen Både dataansvarlige (og databehandlere) skal opbevare dokumentation for enhver behandling af personoplysninger (gælder ikke for virksomheder med under 250 ansatte) Dokumentationen skal mindst omfatte: Navn og kontaktoplysninger på den dataansvarlige eller den fælles dataansvarlige og dennes eventuelle repræsentant samt evt. DPO Formålene med behandlingen Beskrivelse af kategorier af registrerede og kategorier af personoplysninger Kategorier af modtagere af personoplysningerne Evt. overførsel af personoplysninger til et tredjeland, herunder identifikation af dette tredjeland, og dokumentation af fornødne garantier ved overførsel til ikke-sikre tredjelande En generel angivelse af tidsfristerne for sletning af de forskellige kategorier af personoplysninger Hvis muligt, en beskrivelse de tekniske og organisatoriske sikkerhedsforanstaltninger

11 11 Data Protection Impact Assessment Konsekvensanalyse Behandlinger af personoplysninger der indebærer specifikke risici for registreredes rettigheder og frihedsrettigheder i medfør af dens karakter, omfang eller formål (både dataansvarlig og databehandler) Profilering Behandling af helbredsoplysninger mhp. at træffe foranstaltninger eller beslutninger vedr. bestemte grupper Overvågning af offentligt tilgængelige områder, navnlig ved omfattende brug af videoovervågning Minimumskrav til DPIA Generel beskrivelse af den planlagte behandling, Analyse af risiciene for registreredes rettigheder og frihedsrettigheder De foranstaltninger, der er nødvendige for at afhjælpe disse risici, samt Garantier, sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelsen af personoplysninger og påvise overensstemmelse med persondataforordningen

12 12 Data protection by design/by default og pseudonymisering Indbygget databeskyttelse (fra vugge til krukke) Iværksættes under hensyntagen til det aktuelle tekniske niveau og omkostningerne i forbindelse med gennemførelsen Både ved fastlæggelse af metoderne til behandling og når selve behandlingen foretages iværksættes tekniske og organisatoriske foranstaltninger og procedurer, fx pseudonymisering, så behandlingen opfylder kravene i forordningen og sikrer beskyttelsen af registreredes rettigheder Databeskyttelse gennem standard indstillinger Gennemførelse af mekanismer med henblik på, som udgangspunkt, at sikre at der kun behandles nødvendige personoplysninger i forhold til behandlingsformålet at der kun sker nødvendig indsamling og opbevaring i forhold til behandlingsformål (både mængde, omfang og periode) Mekanismer sikrer navnlig, at personoplysninger som udgangspunkt ikke stilles til rådighed for et ubegrænset antal personer uden registreredes vidende Pseudonymisering: Behandling af personoplysninger på en sådan måde, at det ikke er muligt at knytte oplysninger til registrerede uden brug af yderligere information (skal opbevares adskilt fra de pseudonymiserede oplysninger og underlægges tilstrækkelige sikkerhedsforanstaltninger)

13 13 Krav til databehandlere selvstændige krav til dokumentation mv. Databehandlere underlagt langt strengere krav end efter PDL, bl.a. Næsten identiske dokumentationskrav som dataansvarlige Den dataansvarlige skal kun bruge databehandlere, der giver tilstrækkelige garantier For implementering af passende tekniske og organisatoriske foranstaltninger, Formål er at sikre behandling sker efter forordningens krav og sikrer beskyttelse af registreredes rettigheder Indgåelse af databehandleraftaler stadig den dataansvarliges ansvar! Databehandlerens ansvar ift. databehandleraftaler Indhentelse af den dataansvarliges samtykke ved overladelse af oplysninger til andre/nye underdatabehandlere Underdatabehandleraftaler Sikring af, at underdatabehandlere opfylder deres forpligtelser Krav til indholdet af en databehandleraftale Behandlingens varighed Formålet med behandlingen Typer af data der behandles Kategorier af registrerede Databehandlerens pligter og rettigheder,

14 14 Notifikationspligt Brud på persondatasikkerheden": Brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, ubeføjet udbredelse af eller adgang til personoplysninger, der er videregivet, lagret eller på anden måde behandlet Anmeldelse af brud til tilsynsmyndighed inden 72 timer med mindre det er usandsynligt at bruddet medfører risiko for personers rettigheder Indholdskrav til anmeldelse: Beskrivelse af karakteren af bruddet på persondatasikkerheden, herunder kategorierne og antallet af berørte registrerede samt kategorierne og antallet af berørte registreringer Angivelse af identitet og kontaktoplysninger for DPO en eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes Anbefaling af foranstaltninger, der kan afhjælpe de mulige skadevirkninger af bruddet på persondatasikkerheden Beskrivelse af konsekvenserne af bruddet på persondatasikkerheden Beskrivelse af de foranstaltninger, som den dataansvarlige foreslår eller har iværksat for at afhjælpe bruddet på persondatasikkerheden Hvis høj risiko for registreredes rettigheder og friheder skal de underrettes uden ugrundet ophold Databehandleren skal underrette den dataansvarlige uden ugrundet ophold

15 15 Data Protection Officer (DPO) Hvilke organisationer (både dataansvarlige og databehandlere) skal have en DPO? Offentlige myndigheder Private virksomheder, hvis kerneaktivitet består af omfattende databehandling, som kræver regelmæssig og systematisk monitorering Private virksomheder, hvis kerneaktivitet består af en omfattende behandling af følsomme personoplysninger Udpegning på grundlag af faglige kvalifikationer og ekspertise inden for persondatalovgivning og -praksis Øvrige organisationer kan udpege DPO medlemsstaterne kan lave særregler Alle organisationer bør forankre arbejdet med persondata hos en DPO/databeskyttelsesansvarlig Koncern kan udpege én fælles DPO

16 16 Data Protection Officer (DPO) Opgaver (minimumskrav): Underretning og rådgivning af dataansvarlig /databehandler om forpligtelser i henhold til forordningen Overvåge gennemførelsen og anvendelsen af den dataransvarliges/databehandlerens regler om beskyttelse af personoplysninger både fra EU og nationalt, herunder uddanne medarbejdere Kontrollere den dataansvarliges/databehandlerens gennemførelse af PIA og anvendelsen af forudgående godkendelse eller høring af tilsynsmyndigheden i de situationer, hvor der er krav om dette Samarbejde med og være kontaktpunkt for de relevante tilsynsmyndigheder Dataansvarlig/databehandler sikrer, at DPO en inddrages i alle spørgsmål vedr. beskyttelsen af personoplysninger Refererer direkte til øverste ledelse (karakter af stabsfunktion) Kan ikke afskediges eller straffes for udførelse af sine opgaver, men ikke en egentlig beskyttet stilling

17 17 Kontakt Susanne Stougaard Advokat København IP & Technology T M E [email protected] København Danmark Aarhus Danmark Shanghai Kina T