Forstå de nye krav til databehandling og lær at afkræfte myter om persondata

Transkript

1 Forstå de nye krav til databehandling og lær at afkræfte myter om persondata Birgitte Kofod Olsen, Partner, Cand.jur., PhD, Carve Consulting Medstifter af DataEthics Vi skaber muligheder & realiserer potentialet sammen

2 Introduktion Birgitte Kofod Olsen Jurist (1991) med Ph.D.-grad i biometri og privatlivsbeskyttelse (1998) Partner og medejer af Carve Consulting Professionel track-record CSR-chef i Tryg Vicedirektør, afdelingsleder og forsker i Institut for menneskerettigheder Ekstern lektor, gæsteforelæser, censor og PhD-bedømmer på Københavns Universitet, Roskilde Universitet, Århus Universitet, Ålborg Universitet, Copenhagen Business School, BI Norwegian Business School Netværk Medlem af repræsentantskabet i Foreningen Nordea Liv og Pension, Medlem af Ligebehandlingsnævnet Medstifter af tænke-handle-tanken Dataethics 2015 Formand for Rådet for Digital Sikkerhed Formand for Ungdomsbyen 2016-, næstformand Formand i teatrene Danskdansk og Teatergrad Modtog prisen som Årets Erhvervskvinde i 2014 Optaget i Kraks Blå Bog i

3 3

4 TERMINOLOGI 4

5 DATAETIK PERSONDATABESKYTTELSE Privatlivsbeskyttelse Privacy 5

6 Persondatabeskyttelse som grundrettighed EU direktiv om persondatabeskyttelse 1995 EU Charter for grundlæggende rettigheder 2000 EU Traktaten Lissabon 2009 EU forordning om persondatabeskyttelse 2018 Persondataloven 1995 Registerlovene 1978/79 Grundloven FN s Konvention om civile og politiske rettigheder 1966 FN s Verdenserklæring 1948 Europarådets Konvention om databeskyttelse 1981 Europarådets Europæiske Menneskerettighedskonvention 1953 OECD retningslinjer for persondata- Beskyttelse

7 DATAETIK? Mere end compliance Fremme af værdierne bag reguleringen Bæredygtig dataanvendelse Det rigtige at gøre for samfund & individ 7

8 PRINCIPPER 8

9 Grundrettighed: Datasubjektet har ret til kontrol med egne data Jeg bestemmer over min krop mine ting mine penge data om mig Retten til respekt for privatliv Derfor skal du spørge mig om lov, hvis du vil bruge mine data fortælle, hvorfor og til hvad, mine data skal bruges til fortælle, hvem der ellers ser dem fortælle, hvis du mister dem - Retten til persondatabeskyttelse 9

10 Kernen: formålsbestemthed Bestemt og beskrevet formål Samtykke eller andet lovligt grundlag Sletning Data skal være: Nødvendige Proportionale i forhold til formålet Datamængde og datatype skal være minimeret Korrekte og opdaterede Kun opbevares, så længe de er nødvendige i forhold til formålet 10

11 Konceptet: Grundprincipper for databeskyttelse EU persondataforordningen er baseret på fire grundprincipper: Databeskyttelse som rettighed: Beskyttelsesværnet er givet til individet i form af kunden, forbrugeren og medarbejderen. Den enkelte person skal kunne kontrollere sine egne data og som udgangspunkt bestemme, hvad data om vedkommende kan anvendes til. Livscyklus: Databeskyttelsen skal være effektiv fra indsamling til sletning Individets rettigheder Information Valg og samtykke Adgang til data Retten til at blive glemt Kontrol med informationer Informationssikkerhed Kvalitet Evaluering Kontrol Data livscyklus Indsamling Brug og opbevaring Videregivelse Sletning Ledelse Styring Administration Monitorering Håndhævelse Kontrol: Den dataansvarlige og databehandlere skal sikre dataenes integritet, troværdighed, tilgængelighed og kvalitet Ledelse: Den dataansvarlige og databehandlere skal sørge for organisatorisk og teknisk parathed og robusthed 11

12 KRAV TIL DATABESKYTTELSEN 12

13 Dataansvarlighed Databeskyttelsespoliti Adfærdskodeks Retningslinjer Procedurer and processer Anvendte standarder, fx. ISO27001 Dokumentation Databehandleraftale DPO Databehandling Databehandlingsbetingelser Lovligt grundlag: samtykke, lovkrav, kontrakt, tungere vejende interesser Overførsel til tredjeland Oplysning om behandling og videregivelse Adgang til data Berigtigelse og sletning Nej til profilering Dataportabilitet Tilgængelighed Fortrolighed Integritet Robusthed Sikkerhed Dataansvarlighed Datarettigheder

14 Dataansvarlighed: forordningens krav GDPR artikel 5, 24, 28, 30 og 37 stiller krav til dataansvarlighed: Lovlig, rimelig og transparent databehandling Databeskyttelsespolitik Organisatoriske og tekniske foranstaltninger: Interne retningslinjer, procedure og processer + kontroller Adfærdskodeks og certificeringer Anvendte standarder, fx ISO27001 Databehandleraftaler Dokumentation af databehandlingen Data Protection Officer

15 Dataansvarlighed: organisatorisk parathed Indsatsen for at sikre dataansvarlighed kræver en ledelsesstruktur og en organisation, der kan løfte disse opgaver: Ledelsesbeslutning om ambitionsniveau, intern regulering, kompetencer og kontrol Politik, der beskriver, hvordan databehandlingen foregår og hvordan behandlingssikkerheden etableres Procedurer og processer for modtagelse og behandling af anmodninger om brug af datarettigheder Opgavebeskrivelse og placering af ansvar Et passende kompetenceniveau hos medarbejdere til at efterleve forordningens krav i dagligdagen Integration af persondatabeskyttelse i daglig drift og planlægning Kontrol med processer og procedurer

16 Databehandling Databeskyttelsespoliti Adfærdskodeks Retningslinjer Procedurer and processer Anvendte standarder, fx. ISO27001 Dokumentation Databehandleraftale DPO Databehandling Databehandlingsbetingelser Lovligt grundlag: samtykke, lovkrav, kontrakt, tungere vejende interesser Overførsel til tredjeland Oplysning om behandling og videregivelse Adgang til data Berigtigelse og sletning Nej til profilering Dataportabilitet Tilgængelighed Fortrolighed Integritet Robusthed Sikkerhed Dataansvarlighed Datarettigheder

17 Databehandling: forordningens krav GDPR artikel 5-9 fastlægger forudsætningerne for persondatabehandlingen: Formålsbestemthed Dataminimering: Nødvendighed Tilstrækkelighed og relevans Nøjagtighed Opbevaringsbegrænsning Samtykke til behandling og videregivelse Dokumentation af samtykke Andet lovligt grundlag: lov, kontrakt samfundsmæssig interesse, der vejer tungere end hensynt til datasubjektet forretningsmæssig interesse, der vejer tungere

18 Databehandling: i praksis Er der tale om personoplysninger Behandles de elektronisk i register eller systematisk? Er de grundlæggende principper overholdt? Hvilken type oplysning? Er der hjemmel til den specifikke behandling? Grundlæggende principper, art. 5: Nødvendige Proportionale i forhold til formålet Datamængde og datatype skal være minimeret Korrekte og opdaterede Kun opbevares, så længe de er nødvendige i forhold til formålet

19 Datarettigheder Databeskyttelsespoliti Adfærdskodeks Retningslinjer Procedurer and processer Anvendte standarder, fx. ISO27001 Dokumentation Databehandleraftale DPO Databehandling Databehandlingsbetingelser Lovligt grundlag: samtykke, lovkrav, kontrakt, tungere vejende interesser Overførsel til tredjeland Oplysning om behandling og videregivelse Adgang til data Berigtigelse og sletning Nej til profilering Dataportabilitet Tilgængelighed Fortrolighed Integritet Robusthed Sikkerhed Dataansvarlighed Datarettigheder

20 Datarettigheder: forordningens krav Dataforordningens artikel bestemmer, at datasubjektet har ret til at Blive oplyst om behandlingen af deres persondata og formålet med behandlingen Blive oplyst om videregivelse af data Få adgang til sine data Få berigtiget sine data Få slettet sine data Få begrænset databehandlingen Overflyttet sine data til sig selv eller en anden serviceubyder Gøre indsigelse mod databehandlingen Ikke at blive udsat for profilering i forbindelse med afgørelser, der har betydning for vedkommende

21 Datarettigheder: i praksis Opfyldelse af datarettighederne i en organisation kræver: Ledelsesbeslutning om ambitionsniveau, intern regulering, kompetencer og kontrol Politik, der beskriver, hvordan rettighederne kan bruges af kunder og medarejdere Procedurer og processer for modtagelse og behandling af anmodninger om brug af rettigheder Opgavebeskrivelse og placering af ansvar Kompetencer hos medarbejdere til at behandle anmodningerne Kontrol med processer og procedurer

22 Behandlingssikkerhed Databeskyttelsespoliti Adfærdskodeks Retningslinjer Procedurer and processer Anvendte standarder, fx. ISO27001 Dokumentation Databehandleraftale DPO Databehandling Databehandlingsbetingelser Lovligt grundlag: samtykke, lovkrav, kontrakt, tungere vejende interesser Overførsel til tredjeland Oplysning om behandling og videregivelse Adgang til data Berigtigelse og sletning Nej til profilering Dataportabilitet Tilgængelighed Fortrolighed Integritet Robusthed Sikkerhed Dataansvarlighed Datarettigheder

23 Behandlingssikkerhed: forordningens krav Dataforordningens artikel 32 forpligter den dataansvarlige og databehandleren til at etablere et passende sikkerhedsniveau: Den dataansvarlige og databehandleren skal Gennemføre passende tekniske og organisatoriske foranstaltninger Etablere et sikkerhedsniveau, der er tilpasset organisationens risici Ved vurderingen af et passende sikkerhedsniveau kan der tages hensyn til: Det aktuelle tekniske niveau Implementeringsomkostningerne Den pågældende behandlings karakter, omfang, sammenhæng og formål Risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder Risikoen for navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.

24 Behandlingssikkerhed: forordningens krav Dataforordningens artikel 32 stiller krav om sikkerhed i forhold til datas fortrolighed, integritet, tilgængelighed og robusthed: Relevante sikkerhedsforanstalninger kan omfatte: pseudonymisering og kryptering af persondata, vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og - tjenester rettidig genoprettelse af tilgængelighed adgang til persondata efter fysisk eller teknisk hændelse procedurer for regelmæssig afprøvning, vurdering og evaluering af sikkerhedsforanstaltningernes effektivitet. Artikel 32 stiller også krav om etablering af adgangrettigheder: Den dataansvarlige og databehandleren sikrer, at enhver fysisk person, der udfører arbejde for dem og får adgang til persondata, kun må behandle disse efter instruks fra den dataansvarlige, med mindre behandlingen kræves i lovgivningen.

25 Behandlingssikkerhed i praksis Hvad er passende tekniske og organisatoriske foranstaltninger? Beskyttelse Beredskab Selvevaluering Hvilke sikkerhedstiltag er relevante? Hvordan sikrer vi vores behandlingssystemers Hvordan sikrer vi at vores tekniske og organisatoriske EU-GDPR foranstaltninger er effektive? Pseudonymisering Fortrolighed Afprøvning Anonymisering Integritet Vurdering Kryptering Tilgængelighed Evaluering Robusthed

26 MYTER 26

27 # vi behandler ikke følsomme persondata - så persondataloven og EU forordningen er ikke relevante for os 27

28 Datatyper Racemæssig, eller etnisk baggrund politisk, religiøs el. filosofisk overbevisning, fagforening, helbredsmæssige og seksuelle forhold, biometriske og genetiske data art. 9 Udtrykkeligt samtykke Nødvendig ansættelsesretligt formål Offentliggjort af den registrerede Nødvendig af offentlig interesse Evt. yderligere national regulering/overenskomster fsva. biometriske og genetiske data Strafbare forhold Art 10 CPR-nummer Art. 87 Fx: Økonomi, skat, gæld, sygedage, tjenstlige forhold, familieforhold, bolig, bil, geo-location, netadfærd, IP-adresse, eksamen, ansøgning, CV, ansættelsesdato, stilling, arbejdsområde, arbejdstelefon, stamoplysninger: navn, adresse, fødselsdato samt øvrige nummeroplysningsdata NB! Ansættelsesdata kan blive omfattet af særlig national regulering Art. 6 Samtykke Kontraktlig forpligtelse Retlig hjemmel Offentlig interesse Legitim interesseafvejning 28

29 Datatyper i praksis 29

30 # vi har indhentet samtykke - så behøver vi ikke bekymre os om mere 30

31 Bak engang! Er de grundlæggende principper overholdt? Hvilken type data? Almindelige Kumulerede Følsomme Er der hjemmel til den specifikke behandling? Grundlæggende principper, art. 5: Nødvendige Proportionale i forhold til formålet Datamængde og datatype skal være minimeret Korrekte og opdaterede Kun opbevares, så længe de er nødvendige i forhold til formålet

32 # vi kan lige så godt bruge data i andre projekter - når nu vi har indhentet dem 32

33 Fokusér på formålet! Bestemt og beskrevet formål Opdaterede og korrekte data Sletning, når behandlingen ikke længere er nødvendig Data skal være: Nødvendige Proportionale i forhold til formålet Datamængde og datatype skal være minimeret Korrekte og opdaterede Kun opbevares, så længe de er nødvendige i forhold til formålet 33

34 # vi har helt styr på datasikkerheden 34

35 - det troede Ashley Madison også 35

36 INFORMATIONSMATERIALE 36

37 37

38 Justitsministeriet mv. Stormøde den 9. februar 2017 Hav styr på de 12 spørgsmål Slides og Q&A på Rapport fra projektgruppen begyndelsen af april

39 Datatilsynet Afgørelse fra Datatilsynet af 15. december 2016 om datakvalitet Behandling af personoplysninger skal tilrettelægges således, at der foretages fornøden ajourføring af oplysningerne, jf. PDL 5, stk. 4 (artikel 5, stk. 1 (d)) Dette medfører et krav om fornøden kontrol for at sikre, at der ikke behandles urigtige eller vildledende oplysninger. Disse skal snarest slettes eller berigtiges. Vejledende udtalelse om kontrol af internettrafik og s for medarbejdere og byrådsmedlemmer af 14. Februar

40 Ny litteratur 40

41 Kontaktinformation Birgitte Kofod Olsen Partner, phd Carve Consulting Nørre Voldgade 11, 2. sal 1358 København K bko@carve.dk Carve.dk 41